ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ на дружество „АФИ Лагера Тюлип” ЕООД
I. ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) Настоящата политика за защита на личните данни урежда условията и реда за обработване на лични данни и тяхната защита, както и реда за водене на регистри с личните данни в дружество „АФИ Лагера Тюлип” ЕООД, ЕИК 175071126, със седалище и адрес на управление в град София, район „Красно село”, ул.Добротица Деспот, бл.41, вх.Г, партер, по-долу наричано „Дружеството“
(2) Настоящата политика се издава на основание Закона за защита на личните данни и Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
Цели
Чл. 2. (1) Настоящата политика има за цел да регламентира:
(2) процедурите, механизмите и условията за законосъобразно обработване и съхранение на лични данни;
(3) видовете регистри с лични данни и начина на поддържането им;
(4) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);
(5) правата и задълженията на администратора на лични данни, на обработващия лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на администратора на лични данни, тяхната отговорност при неизпълнение на тези задължения;
(6) правата на физическите лица, на които се обработват или съхраняват лични данни или т.н субекти на данни;
(7) процедури за докладване, управляване и реагиране при инциденти.
Обхват
Чл. 3. (1) Настоящата политика е задължителна и се прилага от всички заети по трудови или граждански правоотношения в Дружеството.
(2) Настоящата политика е задължителна и се прилага от всички външни консултанти, които са в договорни взаимоотношения с Дружеството. Външните консултанти са Обработващи личните данни, по смисъла на член 28 от Регламент (ЕС) 2016/679.
II. ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ
Чл. 4. (1) По смисъла на настоящите правила:
(2) Лични данни е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
(3) Обработване на лични данни е всяка операция или съвкупности от операции, която Дружеството извършва с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(4) Администратор на лични данни е Дружеството, както и всяко друго физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
(5) Обработващ лични данни е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Дружеството.
(6) Регистър с лични данни е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.
III. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 5. (1) Дружеството като администратор на лични данни обработва личните данни чрез съвкупност от действия с автоматични или неавтоматични средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(2) Дружеството обработва личните данни самостоятелно или чрез възлагане на лица, обработващи данните, като определя целите и обема на задълженията, възложени от администратора, при наличие на релевантно правно основание, съгласно ЗЗЛД и Регламент (ЕС) 2016/679.
(3) Обработващи данните лица от името на Дружеството се явяват всички лица свързани с Дружеството, чиито права и задължения, във връзка с обработването се уреждат с настоящата политика.
(4) Администраторът може да определи външни консултанти като маркетинг мениджъри и специалисти по информационното обслужване да обработват личните данни от негово име за изпълнение на целите посочени в член 8. В този случай отношенията между администратора и външните консултанти се урежда с договора между тях. Настоящата политика за защита на личните данни е задължителна и се спазва и от външните консултанти, явяващи се обработващи от името на Администратора.
Принципи на обработването
Чл. 6. Дружествата обработват личните данни при спазване на следните принципи:
• Принцип на законосъобразно обработване - личните данни се обработват законосъобразно, добросъвестно и прозрачно;
• Принцип на ограниченото събиране – събирането на лични данни трябва да бъде в рамките на необходимото;
• Принцип на ограниченото използване, разкриване и съхранение – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели;
• Принцип на прецизност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се използват;
• Принцип на сигурността и опазването – личните данни трябва да са защитени с мерки за сигурност, съответстващи на чувствителността на информацията;
Основания за законосъобразно обработване
Чл. 7. Дружеството като администратор на лични данни винаги обработват личните данни при наличие на едно от следните основания за законосъобразно обработване:
• Нормативно основание – обработването на личните данни е необходимо за изпълнение на законово установено задължение. Такива задължения например са: съхраняване на счетоводни документи, съобразно Закона за счетоводството, задължения породени от Закона за мерките срещу изпирането на пари, както и всички други нормативни задължения на администратора;
• Изрично писмено съгласие - физическото лице чрез писмена декларация изразява изричното си съгласие да му бъдат обработвани личните данни, както за какви цели и за какъв срок;
• Изпълнение на договор – обработването е необходимо за сключване или изпълнение на договор, по който физическото лице, за което се отнасят данните е страна или представител на страната;
• Обществен интерес – обработвенето е необходимо за изпълнението на задача, която се осъществява в обществен интерес.
Цели на обработването
Чл. 8. (1) Дружеството като администратор на лични данни обработва законосъобразно личните данни, за изпъление на предлаганите от Дружеството услуги, като за целта физическите лица предварително са ги заявили и изразили своето изрично съгласие.
(2) Дружеството обработва лични данни във връзка с изпълнение на следните услуги, но не само:
• Сключване на предварителни, окончателни договори с Купувачи/ относно притежаваните от Дружеството недвижими имоти;
• Сключване на договори за поддръжка на сградите със собственици и наематели;
• изготвяне на всички видове договори, споразумения, пълномощни и всякакви други правни документи, свързан с основния предмет на дейност на дружеството относно продажба и отдаване под наем на недвижими имоти;
• сключване на договори за посредничество с брокерски фирми;
• Счетоводство.
(3) Целта на обработка на личните данни е еднозначно да се идентифицира физическите лица, а именно купувачи, наематели, собственици, контрагенти, клиенти, на Дружеството. Обработката на данни е най – често вследствие на изрично писмено съгласие и изпълнение на нормативно установено задължение на администратора на лични данни.
(4) Във връзка с изпълнение на нормативно установени задължения, при осъществяване на своята дейност, Дружеството обработва лични данни на физически лица за следните цели:
• Идентифициране и обмен на информацията за целите на търговското, социалното и данъчно право.
• Идентифициране на клиенти и проверка на идентификацията на физическите лица чрез представяне на официален документ за самоличност при спазването на разпоредбите на Закона за мерките срещу изпирането на пари.
(5) За изпълнение на горепосочените услуги, администратора на лични данни събира, записва обработва,съхрянава и предава следните категории лични данни:
• Идентификатор като имена;
• Идентификационен номер (ЕГН) и дата на раждане;
• Данни за документа за самоличност;
• Адрес, телефон, имейл адрес;
• Онлайн идентификатори, включително ай пи адреси и др.
Чл. 9. (1) Дружеството уведомява всички лица, че НЕ събира, записва, съхранява или обработва по какъвто и да е начин техни Специални категории лични данни по смисъла на Регламент (ЕС) 2016/679.
Последица от отказ за предоставяне на лични данни
Чл. 10. (1) В случай на отказ за доброволно предоставяне на изискваните лични данни, Дружеството няма да бъде в състояние да предостави и изпълни своите услуги.
(2) Изрично съгласие на физическите лица, чиито данни се обработват не винаги е необходимо, ако Администраторът разполага с друго правно основание за обработка на лични данни – например нормативно установено задължение във връзка с изискванията на Закона за мерките срещу изпиране на пари и Правилника по прилагането му.
IV. РЕГИСТРИ С ЛИЧНИ ДАННИ
Видове регистри
Чл. 11. Дружеството набира и съхранява лични данни за изпълнение на целите посочени в чл. 8, като води следните регистри с лични данни:
1. Регистър „Клиенти“
2. Регистър „Контрагенти“
Регистър „Клиенти“
Чл. 12. (1) Регистър „Клиенти“ съдържа информация и лични данни за всички клиенти (Купувачи) в Дружеството, които са пожелали да закупят имот.
(2) Администраторът обработва личните данни в Регистър „Клиенти“ на основание изрично съгласие от страна на физическото лице, по смисъла на Чл. 6, ал. 1, буква „а“ от Регламент (ЕС) 2016/679.
(3) При липса на изрично съгласие Администратора може да обработва личните данни на едно от другите основания посочени в чл. 7.
(4) Администратора води структурирано досие за всеки отделен клиент, което съдържа следните групи лични данни:
• Физическа идентичност: имена, дата на раждане, ЕГН, гражданство, данни от документа за самоличност, адрес, телефон, имейл адрес и други лични данни.
(5) Администраторът може да предава или разкрива лични данни от Регистър „Клиенти“ на трети лица – получатели, за изпълнение на нормативни задължения и за изпълнение на целите, посочени в чл. 8. Трети лица или т.нар „получатели“ са държавни органи, агенции, банки, нотариуси и застрахователи като например Национална агенция по приходите, Агенцията по вписванията и водения Търговски регистър към нея и всички банкови институции.
Регистър „Потребители на уебсайта“
Чл. 13. (1) Регистър „Потребители на уебсайт“ съдържа информация за всички потребители и бъдещи клиенти на Дружеството, които имат сайтове и които са използвали услугите на уебсайта: http://lageratulip.bg като са попълнили контактната форма и са изпратили запитване до Дружеството.
(2) При попълването на контактната форма на уебсайта Дружеството – притежтаел на сайта събира и обработва следните лични:
• Физическа идентичност: имена, телефон, имейл адрес.
• Потребителят допълнително по собствено желание може да предостави гражданство, адрес.
(3) Администраторът обработва личните данни в Регистър „Потребители на уебсайта“ на основание изрично съгласие от страна на физическото лице, по смисъла на Чл. 6, ал. 1, буква „а“ от Регламент (ЕС) 2016/679. При попълването на контакната форма потребителят с отбелязване на отметката “Съгласен съм да ми обработват личните данни“ предоставя своето съгласие.
(4) Отметката “Съгласен съм да ми обработват личните данни“ съдържа хиперлинк. При натискането му се появява подробна информация относно целите и срока на обработване, правата на физическите лица и друга информация относно обработването на личните данни.
Регистър „Контрагенти“
Чл. 14. Регистър „Контрагенти“ съдържа информация и лични данни за всички контрагенти, с които Дружеството е в договорни отношения, както и за всички лица, участващи в процеса на осъществяване на дейноста на Дружеството.
Чл. 15. Администраторът води структурирано досие за всеки отделен контрагент, което съдържа следните групи лични данни:
• Физическа идентичност на представителите на дружествата -контрагенти: имена, ЕГН, адрес, телефон, имейл адрес.
Форми на водене на регистрите
Чл. 16. Дружеството води регистрите с лични данни на хартиен или технически носител.
Чл. 17. Форма на организация и съхраняване на личните данни на хартиен носител:
(1) Формата на организация и съхраняване на личните данни е писмена (документална).
(2) Папките са разположени в офис шкафове, като достъпът до тях е контролиран. Предоставянето, промяната или прекратяването на оторизиран достъп до регистри се контролира от Администратора на лични данни.
(3) Местонахождение на картотечния шкаф – може да бъде поставен в помещение, предназначено за самостоятелна работа на обработващия лични данни или в общо помещение за работа с изпълняващи други дейности;
(4) Носител (форма) за предоставяне на данните от физическите лица – личните данни за всяко лице се набират в изпълнение на целите посочени в чл. 8 чрез следните форми:
• Устно ;
• Хартиен носител – предоставяне на писмено заявление, съдържащо данните на физическото лице;
(5) Личните данни от лицата се подават на администратора на лични данни и оправомощеното лице, назначено за обработването им – обработващ лични данни.
(6) Достъп до личните данни – такъв има само обработващият лични данни.
Чл. 18. Форма на организация и съхраняване на личните данни на технически носител:
(1) Личните данни се съхраняват на твърд диск на компютъра на обработващия лични данни, както и на централен сървър от компютърна мрежа. Компютърът е свързан в локалната мрежа, със защитен достъп до личните данни като само обработващия личните данни има достъп до него.
(2) При работа с данните се използват съответните софтуерни продукти за обработка. Те могат да бъдат адаптирани към специфичните нужди на администратора на лични данни. Данните се въвеждат в компютъра от хартиен носител.
(3) Достъп до личните данни на технически носител имат само обработващия лични данни. Достъпа до компютрите и централния сървър се осъществява след въвеждане на парола, уникална за всеки един от обработващите.
(4) Местонахождение на компютрите – в помещение за самостоятелна работа на обработващия лични данни.
(5) Защита на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни електронни носители, както и чрез съхраняване на информацията на хартиен носител. Системния администратор отговаря за архивирането на данни, находящи се на централния сървър, както и за данните находящи се на изолирани компютри, използвани от обработващите лични данни.
Срок за съхранение на личните данни
Чл. 19. Личните данни съхранявани в горепосочените регистри се обработват за следните срокове:
(1) Личните данни, съхранявани в Регистър „Клиенти“, обработвани на основание изрично пимено съгласие, се обработват до изтичане на срока посочен в тази писмена декларация, като посочения срок не може да бъде по дълъг от 10 години. Личните данни се унищожават или предават на друг администратор след изтичане на този срок или след оттегляне на изричното писмено съгласие на физическото лице.
(2) Личните данни, съхранявани в регистър „Потребители на уебсайта“ обработвани на основание изрично пимено съгласие, се обработват до изтичане на срока посочен в тази писмена декларация, като посочения срок не може да бъде по дълъг от една година. Личните данни се унищожават или предават на друг администратор след изтичане на този срок или след оттегляне на изричното писмено съгласие на физическото лице.
(3) Личните данни, съхранявани в Регистър „Контрагенти“, обработвани на основание за изпълнение на договор, се обработват до прекратяване на договора или до 5 години след прекратяване на договора. Личните данни се унищожават или предават на друг администратор след изтичане на този срок.
Актуализация на лични данни
Чл. 20. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в Дружеството. Актуализация на лични данни се извършва:
• по искане на физическото лице, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
• по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация;
• при установена грешка при обработката на личните данни от страна на администратора или обработващия лични данни;
(2) При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.
Предаване на лични данни на трети държави
Чл. 21. (1) Администраторът може да предава лични данни към трети държави, за които е налице решения на Европейската Комисия, че тази трета държава осигурява адекватно ниво на защита.
(2) При предаването на лични данни, Администраторът осъществява процедурите на член 44, 45 и 46 от Регламент (ЕС) 2016/679.
V. МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 22. Администраторът на лични данни предприема следните технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
Физическа защита
Чл. 23. Физическата защита на личните данни се осъществява при спазване на следните мерки:
1. Личните данни от регистрите се обработват в кабинетите на упълномощените по чл. 5, ал. 3 лица.
2. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове в кабинет с ограничен достъп само за упълномощени лица.
3. Елементите на комуникационно-информационните системи, използвани за обработване на лични данни се намират в заключен шкаф, в помещение с ограничен достъп само за упълномощените лица.
4. Достъпът до помещенията, където се съхранявят и обработват лични данни е строго контролиран чрез система за контрол на физическия достъп. Само упълномощените лица чрез специално устройство имат директен достъп до помещенията. Външни лица нямат свободен достъп.
5. Помещенията са снабдени с пожароизвестителни и пожарогасителни системи.
6. Достъпът до самата срада, където се намира офисът на Дружеството е контролиран от Охрана и система за сигурност, включително и чрез видеонаблюдение. Охраната и видеонаблюдението се извършват от външен консултант, отговорен за охраната, видеонаблюдението и цялостния достъп до офис сградата. Отношенията между администратора и външния консултант се уреждат с договор.
Персонална защита
Чл. 24. Персоналната защита на личните данни се осъществява при спазване на следните мерки:
1. Лицата, обработващи лични данни подробно се запознават с нормативната уредба по защита на личните данни, както и с настоящата политика, при постъпване на работа.
2. Лицата, обработващи лични данни, преминават обучение, включващо запознаване с политиката и ръководствата за защита на личните данни, запознаване с опасностите за личните данни, обработвани от администратора, като се провежда тренировка на персонала за реакция при събития, застрашаващи сигурността на данните.
3. Лицата, обработващи лични данни се съгласяват, при постъпване на работа чрез подписването на трудовия си договор или на специална декларация за поемане на задължение за неразпространение на личните данни.
4. Обработването на лични данни се осъществява само от упълномощени лица при спазване на принципа „Необходимост да знае“.
Документална защита
Чл. 25. Документалната защита на личните данни се осъществява при спазване на следните мерки:
1. Регистрите по чл. 11, т. 1, т. 3 и т. 4 се поддържат на хартиен и на технически носител.
2. Достъп до регистъра имат лицата по чл. 5, ал. 3 в съответствие с принципа “Необходимост да се знае”.
3. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания. Данните се класифицират в съответствие с тяхното предназначение и характер, и се съхраняват в заключващ се шкаф в зоните с ограничен достъп.
4. Сроковете за обработване на лични данни за всеки конкретен регистър са определени в чл. 19.
5. Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители, само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежния ред от държавни органи в изпълнение на нормативни изисквания.
6. След изтичане на срока за съхранение или при отпаднало основание за обработване, личните данни се унищожават чрез специално устройство (шредер).
Защита на автоматизираните информационни системи и мрежи
Чл. 26. Защитата на автоматизирани информационни системи и мрежи се осъществява при спазване на следните мерки:
1. Регистрите по чл. 11, т. 1-4 се съхраняват и на технически носител – централен сървър.
2. Всяко упълномощено лице, което обработва личните данни има отделен личен профил за достъп до компютъра си и отделен личен профил за достъп до централния сървър. Достъпът се осъществява чрез уникални потребителски имена и пароли (идентификация и автентификация).
3. Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели в изпълнение на чл. 8.
4. Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система, защитни стени, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма и се извършва периодична профилактика на софтуера и системните файлове.
5. За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).
6. Достъпът до помещенията, в които са разположени компютърни и комуникационни средства, е строго контролиран чрез система за контрол на физическия достъп. Само упълномощените лица чрез специално устройство имат директен достъп до помещенията. Външни лица нямат свободен достъп.
7. Цялостната подръжка и профилактика на автоматизираните информационни системи и мрежи се извършва от външен специалист по информационното обслужване. Специалиста по информационното обслужване е отговорен за периодични и регулярни проверки на системите за сигурност и за защитата на автоматизираните информационни системи и мрежи.
8. Външния специалист по информационното обслужване осигурява възможности за копиране и наличия на резервни копия на данните, съхранявани на централния сървър.
Ай Ти политики за защита на личните данни
9. Външния специалист по информационното обслужване урежда отношенията и отговорностите си по защита на автоматизираните информационни системи и мрежи с администратора чрез допълнителни ай ти политика за защита на данните.
Криптографска защита
Чл. 27. Администраторът използва стандартни криптографски възможности на операционните системи, на системите за управление на базата данни и на комуникационното оборудване.
Оценка и нива на въздействие
Чл. 28. (1) Администраторът извършва оценка на въздействието периодично на всеки две години или при промяна характера на обработваните лични данни.
(2) При оценката на въздействието администратора анализира характера на обработваните лични данни. За целта администраторът извършва систематизиране и оценка на лични аспекти, свързани с дадено физическо лице или т.н „профилиране“. Администраторът проверява и отчита дали има промяна във вида на обработваните данни, като проверява дали се събират специални катерогии лични данни, лични данни в широкомащабни регистри с лични данни, данни, чието обработване съгласно решение на Комисията за защита на личните данни, застрашава правата и законните интереси на физическите лица.
Процедура за унищожаване на лични данни
Чл. 29. (1) Администратора унищожава събраните лични данни, когато има едно от следните основания:
• оттеглено съгласие за обработване на личните данни;
• изпълнен договор, когато основанието е било в изпълнение на договор;
• други основания за изтриване на личните данни, спрямо нормативните актове за защита на личните данни;
(2) Администраторът определя със заповед, лицата отговорни за унищожаване на личните данни, измежду лицата по чл. 5, ал. 3.
(3) Личните данни, които са съхранявани на хартиен носител се унищожават чрез специално устройство шредер. За унищожението им се съставя протокол, в който се описва категорията унищожени лични данни и се подписва от упълномощените лица.
(4) Личните данни, които са съхранявани на технически носител се унищожават чрез автоматизирани действия по изтриване на данните от компютрите на служителите, както и от централния сървър.
Уведомяване на Комисията за защита на личните данни при нарушение на сигурността
Чл. 30. (1) При нарушение на сигурността на личните данни, администраторът е задължен без ненужно забавяне и не по-късно от 72 часа да уведоми надзорния орган за защита на личните данни, а именно Комисията за защита на личните данни, когато нарушението на сигурността поражда риск за правата и свободите на физическите лица.
(2) Когато обработващите личните данни установят нарушение на сигурността на личните данни, те без ненужно забавяне и не по-късно от 24 часа уведомяват администраторът, който изпълнява процедурата по алинея 1.
(3) Администраторът изпраща уведомлението до Комисията за защита на личните данни, при спазване изискванията на член 33 от Регламент (ЕС) 2016/679 и на Закона за защита на личните данни.
VI. ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА
Право на информация и достъп до лични данни
Чл. 31. (1) Всяко физическо лице, което има основания да смята, че администратора обработва лични данни отнасящи се за него, има право да подаде писмено заявление с искане за предоставяне на информацията по чл. 15, т. 1 от Регламент (ЕС) 2016/679 и за достъп до личните данни.
(2) Заявлението съдържа име на лицето, адрес за кореспонденцията, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис и дата; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.
Право на коригиране
Чл. 32. (1) Физическо лице, за което се обработват лични данни, има право да поиска от администратора да коригира неточни лични данни, свързани с него.
(2) За целта физическото лице попълва лично или изпраща до адреса на администратора Искане за коригиране, като посочва точно и ясно какви корекции следва да се извършат.
Право на изтриване
Чл. 33. (1) Физическо лице, за което се обработват лични данни, има право да поиска от администратора да изтрие личните данни, отнасящи се за него, при наличие на едно от следните основания:
• физическото лице оттегли своето сългасие, върху което се основава обработването;
• личните данни повече не са необходими, за целите за които са били обработвани;
• личните данни са обработвани незаконосъобразно;
(2) Физическото лице изпраща Искане за заличаване на лични данни, с което администратора е задължен да изтрие всички лични данни, при наличие на някое от горепосочените условия, спазвайки процедурата за унищожаване на личните данни в чл. 28.
Право на оттегляне на съгласието
Чл. 34. Всяко физическо лице, за което обработването се извършва на основание изрично съгласие, има право във всеки един момент да оттегли своето съгласие.
Право на ограничаване на обработването
Чл. 35. Физическо лице, за което се обработват лични данни, има право да изиска от Администратора да ограничи обработването на личните данни, отнасящи се до него, при наличие на основанията в чл. 18, т. 1 от Регламент (ЕС) 2016/679.
Право на преносимост
Чл. 36. Физическо лице, за което се обработват лични данни, има право да получи личните данни отнасящи се до него в структуриран, широко използван и пригоден за машинно четене вид. Ако е техническо осъществимо, администраторът може да прехвърли тези данни директно на друг администратор, по изрично желание на физическото лице.
Право на възражение
Чл. 37. Физическо лице, за което се обработват лични данни, има право по всяко време да възрази срещу обработването на лични данни, включително и при профилиране и при обработване за целите на директния маркетинг.
Право на жалба до надзорен орган
Чл. 38. Физическото лице има право да подаде жалба до надзорния орган, а именно до Комисията по защита на личните данни, която се подава във форма и реквизити, определени от Закона за защита на личните данни.
Процедура за изпълнение на правата по глава IV.
Чл. 39. (1) За изпълнения на правата по глава VI, физическото лице подава или изпраща своите заявления и искания, лично или чрез куриер до адреса на Администратора, а именно град София, район „Красно село”, ул.Добротица Деспот, бл.41, вх.Г, партер, или на имейл адрес: office@afi-europe.bg.
(2) Дружеството осигурява стандартизирани бланки (образец) за горепосочените заявления и искания за осъществяване на вашите права по глава VI. Ако не се възползвате от тях, вашето Заявление или искане следва да съдържа: име на заявителя и други данни, които го идентифицират, ЕГН, адрес за кореспонденция, правото, от което искате да се възползвате, точно описание на искането, всички обстоятелства относно искането, предпочитана форма за предоставяне достъпа до лични данни, подпис и дата; пълномощно – когато заявлението се подава от упълномощено лице.
(3) Достъп до данните на лицето се осигурява под формата на:
1. устна справка;
2. писмена справка;
3. преглед на данните от самото лице;
4. предоставяне на копие от исканата информация.
(4) Администраторът извършва проверка в 14-дневен срок от получаването на Заявлението или искането по алинея 2, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора.
(5) Администраторът извършва всички действия по осъществяване правата на физическите лица, с които е сезиран, без ненужно забавяне в 14-дневен срок от получаване на заявлението или искането. Администраторът изпраща уведомление до физическото лице с информация и с резултата относно неговото искане.
(6) След извършване на проверка по чл. 29, Администраторът съобщава резултатите на Заявителя по алинея 2, в съответствие с с избрания начин за получаване на решението.
(7) Ако проверката по чл. 29 завърши с резултат, които установи, че не се обработват лични данни по отношение на Заявителя, администраторът го уведомява, относно липсата на лични данни спрямо него.
(8) Ако проверката по чл. 29 завърши с резултат, които установява, че се обработват лични данни по отношение на Заявителя, администраторът е длъжен да му предостави следната информация:
• данни за администратора, обработващ личните данни;
• целите на обработването;
• правното основание за обработване;
• съответните категории лични данни;
• получателите или категориите получатели на лични данни;
• срок за който се съхраняват личните данни;
• друга информация, относно личните данни;
(8) Администраторът извършва и предоставя информация на физическите лица, относно всички Заявления или искания.
V. Права на интелектуална собственост и ограничаване на отговорността
Чл.40.1 Уебсайтът http://lageratulip.bg е изключителна интелектуална собственост на търговско дружество „Афи Лагера Тюлип“ ЕООД. Цялото съдържание на уебсайта (напр. информация, данни, марки, логота, снимки, графики, рисунки, схеми и всякакви други отличителни черти като цяло на всички цифрови файлове) и услугите на уебсайта се определят като интелектуална собственост на Дружеството, като са защитени от българските, общностните и международните закони за авторски права, интелектуална и индустриална собственост.
40.2 Нито една част от горепосоченото съдържание на уебсайта не могат на бъдат продавани, копирани, възпроизвеждани, променяни, предавани, повторно публикувани и/или разпространявани по какъвто и да е начин или чрез каквото и да е средство, изцяло или от части, освен ако Дружеството не се е договорил писмено за това.
Ограничаване на отговорността.
40.3. Дружеството не носи отговорност за вреди, възникнали вследствие на достъпа или невъзможността за достъп до сайта на Дружеството, както и за пропуснати ползи във връзка с достъпа или невъзможността за достъп или получена информация от сайта.
V. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Чл. 41. (1) Настоящата политика за защита на личните данни е утвърдена представляващите Дружеството.
(2) Дружеството има право едностранно да променя настоящата политика за защита на личните данни за изпълнение на бъдещи промени по нормативните актове в областта на защитата на личните данни.
(3) Настоящата политика, както и всички Приложения към нея се приемат в два варианта – на български и на английски език. В случай на несъответствие или противоречие между английския и българския текст, българският текст има предимство.