ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА „КЕЙ ДИ СМАРТ БГ“ ЕООД

I. ОБЩИ РАЗПОРЕДБИ

чл. 1. Цел и обхват на Политиката. Принципи.
(1) Целта на тази Политика във връзка със защитата на личните данни (по-долу „Политиката“) е да уреди реда и начина на събиране, съхранение, обработка и други действия с всички лични данни, събрани и съхранявани в хода на дейността на „КЕЙ ДИ СМАРТ БГ“ ЕООД. Политиката задава приложимите стандарти на работа с лични данни на „КЕЙ ДИ СМАРТ БГ“ ЕООД и на служители му, като установява задължителните правила за гарантиране на адекватно цялостно ниво на защита на личните данни на клиенти, служители и партньори, които са в бизнес отношения с „КЕЙ ДИ СМАРТ БГ“ ЕООД. Тази Политика се отнася за всякакво Обработване на лични данни, което означава всяка операция или дейност извършвана с лични данни, включително събиране, записване, организация, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространение или предоставяне по друг начин, настройване или комбинация, блокиране, заличаване или унищожаване. Тази Политика предоставя общи принципи за спазване на режима за защита на личните данни.
(2) Ако не е посочено друго, документите, към които препраща настоящата Политика или които препращат към нея, включително но не само действащи конкретни процедури, образци на уведомления, оценки и други, се считат за неразделна част от Политиката.
(3) Съобразно с чл. 5 от Общия регламент относно защитата на данните (както е дефиниран по-долу) при Обработването на личните данни от „КЕЙ ДИ СМАРТ БГ“ ЕООД и неговите служители се спазват следните принципи:
а) законосъобразност, добросъвестност и прозрачност – личните данни следва да са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на Субекта на данните;
б) ограничение на целите – личните данни следва да са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;
в) свеждане на данните до минимум – личните данни следва да бъдат подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват;
г) точност – личните данни следа да са точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
д) ограничение на съхранението – личните данни следва да бъдат съхранявани във форма, която да позволява идентифицирането на Субекта на данните за период, не по-дълъг от необходимия за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно позволеното от Общия регламент относно защита на данните, при условие че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на Субекта на данните;
е) цялостност и поверителност – личните данни следва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно Обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
ж) отчетност – „КЕЙ ДИ СМАРТ БГ“ ЕООД носи отговорност и е в състояние да докаже спазването на изискванията на приложимите нормативни актове.
(4) Служителите и другите лица, работещи за „КЕЙ ДИ СМАРТ БГ“ ЕООД следва да имат винаги предвид ключовото значение, което има за репутацията на „КЕЙ ДИ СМАРТ БГ“ ЕООД съблюдаването на изискванията за съхраняването и Обработването на лични данни.

чл. 2. Нормативни изисквания
Тази Политика е приета в изпълнение на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с Обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (по-долу – „Общ регламент относно защитата на данните“ или „Общ регламент“), на другите актове на европейското право по прилагането на Общия регламент, на Закона за защита на личните данни (по-долу – „ЗЗЛД“), както и на други разпоредби на приложимото българското законодателство.

чл. 3. Основни понятия
Доколкото не са вече дефинирани по-горе, за целите на тази Политика термините, използвани в нея ще имат значението, както е посочено по-долу, а ако не са дефинирани изрично в Политиката, ще имат значението дадено им в Общия регламент:
а) „Администратор“ – означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за Обработването на Лични данни;
б) „Дружеството“ – означава „КЕЙ ДИ СМАРТ БГ“ ЕООД, както е посочено по-горе в Секция I от Политиката, в качеството му на Администратор, освен ако друго следва от контекста;
в) „Биометрични данни“ – означава Лични данни, получени в резултат на специфично техническо Обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;
г) „Данни за здравословното състояние“ – означава Лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
д) „КЗЛД“ – означава Комисия за защита на личните данни, т.е. българския надзорен орган в сферата на защита на личните данни;
е) „Лични данни“ – означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („Субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
ж) „Нарушение на сигурността на лични данни“ – означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни, които се предават, съхраняват или обработват по друг начин;
з) „Обработване“ – означава всяка операция или съвкупност от операции, извършвана с Лични данни или набор от Лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване; „обработва“ има съответно значение;
и) „Обработващ лични данни“ – означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва Лични данни от името на Администратора;
й) „Ограничаване на обработването“ – означава маркиране на съхранявани Лични данни с цел ограничаване на Обработването им в бъдеще;
к) „Получател“ – означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват Личните данни, независимо дали е Трета страна или не. Същевременно публичните органи, които могат да получават Лични данни в рамките на конкретно разследване в съответствие с правото на Европейския съюз или правото на държава членка, не се считат за „Получатели“; Обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на Обработването;
л) „Профилиране“ – означава всяка форма на автоматизирано Обработване на Лични данни, изразяващо се в използването на Лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
м) „Псевдонимизация“ – означава Обработването на Лични данни по такъв начин, че Личните данни не могат повече да бъдат свързвани с конкретен Субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че Личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
н) „Регистър с лични данни“ – означава всеки структуриран набор от Лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
о) „Субект на данни“ – има значението дадено на този термин в дефиницията на „Лични данни“;
п) „Съгласие на субекта на данните“ – означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на Субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него Лични данни да бъдат обработени;
р) „Трета страна“ – означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от Субекта на данните, Администратора, Обработващия лични данни и лицата, които под прякото ръководство на Администратора или на Обработващия лични данни имат право да обработват Личните данни.

II. РАЗПОРЕДБИ ОТНОСНО РАЗЛИЧНИТЕ АСПЕКТИ НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ОТ ДРУЖЕСТВОТО И ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ

чл. 4. Защита на данните на етапа на проектиране и по подразбиране
(1) Дружеството прилага технически и организационни мерки при проектирането на операциите по обработване на Лични данни по такъв начин, че гарантира спазване на принципите за защита на Личните данни, както са посочени в чл. 1, ал. 3 от тази Политика, от най-ранните етапи на Обработване на Лични данни (етапа на определяне на целите и средствата за Обработване) до тяхното унищожаване, като взема предвид техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на Обработването, както и породените от Обработването рискове за всеки вид Обработване, което извършва.
(2) На обработване и съхранение подлежат само тези Лични данни, които са необходими за всяка конкретна цел на Обработването за ограничено време и само от тези служители на Дружеството, които е необходимо да имат достъп до Личните данни съобразно целите на Обработването (“need to know” принцип).
(3) Дружеството автоматично прилага най-строгите правила за поверителност относно Лични данни на субект, придобил нов продукт или услуга, постъпил на работа при Дружеството или кандидатствал за работна позиция в Дружеството. Степента на поверителност на данните може да бъде променяна съгласно действащата нормативна уредба.

чл. 5. Права на Субектите на данни. Упражняване на правото на Субектите на данни. Задължения на Дружеството
(1) Всеки Субект на данни има право на достъп до събраните за него от Дружеството Лични данни, които го засягат, и да упражнява това право лесно и в разумни срокове, за да бъде осведомен за Обработването и да провери законосъобразността му.
(2) По-специално, субектът на данните има право да получи от Дружеството потвърждение дали се обработват Лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация относно целите на Обработването, съответните категории Лични данни, Получателите или категориите Получатели, пред които са или могат да бъдат разкрити Личните данни, по-специално Получателите в трети държави или международни организации, предвидения срок, за който ще се съхраняват Личните данни (а ако е невъзможно посочване на срока – критериите, използвани за определянето на този срок), съществуването на право да се изиска от Дружеството коригиране или изтриване на Лични данни или Ограничаване на обработването на Лични данни, свързани със Субекта на данните, или да се направи възражение срещу такова Обработване, правото на жалба до надзорен орган, когато Личните данни не се събират от Субекта на данните, всякаква налична информация за техния източник, както и съществуването или не на автоматизирано вземане на решения, включително Профилирането, и съществена информация относно използваната логика, както и значението и предвидените последствия от това Обработване за Субекта на данните.
(3) Субектите на данни осъществяват правото си на достъп чрез подаване на заявление в писмена форма, лично или чрез упълномощено от субекта лице с изрично пълномощно в офис на Дружеството, както и по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги с имейл със заявление, подписано с квалифициран електронен подпис. При смърт на физическото лице, това право може да се упражни от неговите наследници.
(4) Служителите на Дружеството, определени за получаване на заявления по ал. 3 следва да изискват от Субектите на данни да посочват в него име, адрес, вкл. адрес за кореспонденция, и други данни за идентификация на заявителя, описание на искането, контакти за обратна връзка и др. Заявленията следва да са надлежно подписани и датирани.
(5) Достъпът до данни, отнасящи се до Субекта на данни, се предоставя чрез устна или писмена справка, като включително може да се предостави копие на данните на траен носител или по електронна поща или друг подходящ начин, при спазване на приложимите нормативни изисквания и добри практики за защита на информацията. Достъпът следва да се ограничи само до данни, отнасящи се до конкретния Субект на данни, подал заявлението, като се изключи разкриването на данни на заявителя, отнасящи се до трети лица.
(6) Субектите на данни имат право също така данните им да бъдат прехвърлени от Дружеството към друг Администратор, както и да бъдат коригирани или изтрити, в случаите предвидени от Общия регламент, ЗЗЛД или други нормативни актове. Упражняването на тези права се извършва чрез писмено заявление по реда на ал. 3.
(7) Дружеството разглежда заявленията по ал. 3 и 6 в срок от един месец от подаването им, като този срок може да бъде удължен с още два месеца от Дружеството при наличието на обективна нужда от по-дълъг срок или при създаването на прекомерно затруднение за Дружеството (напр. в случаите на данни предоставени на Дружеството значителен период от време преди заявлението) или в по-кратък срок ако такъв е предвиден в приложимото право. До изтичане на срока по предходното изречение, Дружеството уведомява Субекта на данните за решението си по заявлението, като включително предоставя исканите данни и информация. В случай на отказ от страна на Дружеството да отговори положително на заявление по ал. 3 или 6, както и при предоставянето на частична информация, Дружеството мотивира пред субекта решението си писмено.
(8) Дружеството отказва достъп до Лични данни, съответно извършването на действия по ал. 6, когато данните не съществуват или предоставянето им е забранено със закон.

чл. 6. Общи задължения на Дружеството като Администратор
(1) Дружеството извършва Обработване на Лични данни единствено при наличие на едно от следните основания:
а. изпълнение на нормативно установено задължение;
б. изрично съгласие на субекта на данните;
в. изпълнение на договор на Дружеството или на правна претенция, независимо дали в рамките на съдебна, административна или друга извънсъдебна процедура, включително пред регулаторен орган;
г. изпълнение на задача в обществен интерес;
д. защита на легитимен интерес на Дружеството или на трета страна, ако тези интереси имат преимущество пред интересите на Субекта на данните;
е. за защитата на важни интереси на Субекта на данни или друго физическо лице;
(2) Дружеството събира Лични данни на следните категории лица:
а. Клиенти – физически лица, както и физически лица, собственици на капитала на клиенти – юридически лица, техни органни, законни представители и пълномощници;
б. Трети лица, свързани с клиента – служители, членове на семейството; поръчители; съдлъжници; лица за контакт;
в. потенциални клиенти и други лица, влизащи в контакт с Дружеството;
г. физически лица, представляващи насрещни страни по договори с Дружеството, различни от клиенти;
д. служители, както и лица наети по граждански договори, стажанти и други;
е. кандидати за работа;
ж. други категории лица, определени от съответните бизнес звена на Дружеството
(3) Когато Личните данни се използват за цели и на основание, различно от изброените по ал. 1, Дружеството следва да се увери дали Обработването за други цели е съвместимо с първоначалната цел, за която са били събрани Личните данни, като вземе под внимание:
а. връзка между целите, за които са били събрани Личните данни, и целите на предвиденото по-нататъшно Обработване;
б. контекста, в който са събрани Личните данни във връзка с отношенията между Субекта на данните и Дружеството;
в. естеството на Личните данни;
г. възможните последствия от по-нататъшно Обработване за Субектите на данните;
д. предвиждане на необходимите мерки за защита на Личните данни.
4) Дружеството не събира Лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели или се отнасят до здравето, сексуалния живот или човешкия геном
(5) Събиране на Лични данни от категориите, изброени по ал. 4, е допустимо при наличие на законово основание, по-специално: 1) във връзка с действащото трудово законодателство; 2) ако субектът на данни е предоставил изрично своето съгласие за Обработването на такива данни или 3) данните са публично известни
(6) Когато Лични данни, свързани с даден Субект на данни, се събират от Субекта на данните, в момента на получаване на Личните данни Дружеството предоставя на Субекта на данните цялата посочена в чл. 13 от Общия регламент информация под формата на Уведомление относно Обработване на Личните данни. Уведомлението е налично във всеки на хартиен носител в офисите;
(7) Когато Личните данни не са получени от Субекта на данните, Дружеството предоставя на Субекта на данните цялата посочена в чл. 14 от Общия регламент информация, освен ако не са приложими предвидените в Общия регламент изключенията
(8) При Обработване на Лични данни Дружеството прилага следните мерки за защита на Лични данни
а. мерки за физическа защита:
– ограничен физически достъп с карти за достъп до помещенията на Дружеството;
– забрана за неправомерно изнасяне на документи и носители на информация, съдържащи Лични данни, извън помещенията на Дружеството;
– обособено сървърно помещение, в което се разполагат елементите на комуникационно-информационните системи за Обработване на Лични данни. Помещението е с контролиран достъп, защита чрез заключване и други средства.
б. мерки за персонална защита:
– обучение на служителите на Дружеството относно опасностите, които биха довели до Нарушаване на сигурността на личните данни, обработвани от Дружеството;
– поемане на задължение за неразпространение на Личните данни от всички служители на Дружеството чрез подписване на декларация за поверителност.
в. мерки за документална защита:
– изготвяне на Регистри с лични данни;
-прилагане на Политиката и други правила относно законосъобразното Обработване на Личните данни, събирани и обработвани от Дружеството;
– изготвяне на оценки за въздействието при Обработването на Лични данни;
– прилагане на Псевдонимизация, когато е оправдано, напр. при намалена интензивност на ползване от Дружеството на Личните данни, докато същите бъдат изтрити съобразно изискванията на нормативната уредба и настоящата Политика;
– определяне на срокове за съхранение на Личните данни и въвеждане на правила след изтичането на сроковете за съхранение.
г. мерки за защита при автоматизираните информационни системи и/или мрежи:
– алокиране на всеки служител на Дружеството, който има достъп до информационните й системи, на потребителско име и парола, с оглед контролиран достъп до Лични данни;
– използване на специализиран антивирусен софтуер;
– изготвяне на копия и резервни копия за възстановяване на масивите от данни, поддържани от Дружеството, като част от общия план за възстановяване на дейността;
– специално тестване и проверка на възможностите при внедряване на нов програмен продукт за Обработване на Лични данни, за да се установи дали е налице съответствие с изискванията на Общия регламент и дали програмният продукт осигуряване максимална защита на Личните данни от неправомерен достъп, загубване, повреждане или унищожаване;
– други мерки, които могат да бъдат определени във вътрешните политики и процедури за информационна сигурност на Дружеството.
(9) Дружеството, а и неговите служители, полагат дължимата грижа за събиране на точни и актуални данни при извършване на своята дейност, в това число като се придържат стриктно към включените в одобрените образци на Дружеството категории лични данни и към конкретните процедури за всеки продукт или процес и не изискват допълнителни данни от физическите лица. При наличие на грешка или промяна в Личните данни, системите на Дружеството позволяват извършване на тяхната актуализация. Субектите на данни могат във всеки един момент да се обърнат към Дружеството за промяна и актуализация на техните данни, както е описано в чл. 5, ал. 7 от Политика. Неточни и непропорционални по отношение на целите данни, обработвани от Дружеството, се заличават или съответно коригират в разумен срок от узнаване тяхната неточност и непропорционалност.
(10) След изтичането на определените срокове за съхранение Личните данни се изтриват или анонимизират съгласно правилата по чл. 15 от Политиката.

чл. 7. Обработващи Лични данни от името на Дружеството
(1) В рамките на своите взаимоотношения на сътрудничество, Дружеството може да възлага на свои дъщерни дружества или на други трети страни Обработване на Лични данни от името на Дружеството. В информацията, която предоставя на Субектите на данните съгласно чл. 13 или чл. 14 от Общия регламент, Дружеството посочва категориите трети лица – Получатели на Личните данни на Субектите
(2) Дружеството предоставя Лични данни само на такива Обработващи лични данни, които осигуряват достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че Обработването да протича в съответствие с изискванията на Общия регламент и българското законодателство и при необходимото ниво на защита на правата на Субектите на данни. Необходимо е Обработващите лични данни от името на Дружеството да предоставят достатъчни гаранции по-специално по отношение на експертни знания, надеждност и ресурси, че ще предприемат технически и организационни мерки, които отговарят на действащите изисквания за Обработване на Лични данни, включително на изискванията за сигурност на Обработването.
(3) Отношенията между Дружеството и всеки от Обработващите лични данни се уреждат съобразно действащата нормативна уредба, както и със споразумение за защита на Личните данни и споразумение за неразпространяване на поверителна информация или друг правен акт
(4) Споразумението за защита на Личните данни обвързва Обработващия лични данни и Дружеството като регламентира предмета и продължителността на Обработването, естеството и целите на Обработването, вида Лични данни и категориите Субекти на данни, чиито данни се предоставят, като се вземат предвид конкретните задачи и отговорности на Обработващия лични данни в контекста на Обработването, което следва да се извърши, както и рискът за правата и свободите на Субектите на данни. Със споразумението за защита на Личните данни се уреждат необходимите мерки за съхранение и Обработване на предоставените данни от страна на Обработващия с цел осигуряване на необходимата защита и сигурност на данните, както и това, че всеки Обработващ:
а. обработва Личните данни само по документирано нареждане на Дружеството, включително що се отнася до предаването на Лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на действащата нормативна уредба, която се прилага спрямо Обработващия лични данни, като в този случай Обработващият лични данни информира Дружеството за това правно изискване преди Обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;
б. гарантира, че лицата, оправомощени да обработват Личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
в. взема всички необходими мерки за гарантиране сигурността на данните съгласно действащата нормативна уредба;
г. спазва условията по ал. 7 и 8 за включване на друг Обработващ лични данни;
д. като взема предвид естеството на Обработването, подпомага Дружеството, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на Дружеството да отговори на искания за упражняване на правата на Субектите на данни съгласно действащото законодателство;
е. подпомага Дружеството да гарантира изпълнението на задълженията си във връзка с Обработването и съхранението на Лични данни съгласно Общия регламент и другите приложими нормативни актове, като отчита естеството на Обработване и информацията, до която е осигурен достъп на Обработващия лични данни;
ж. по инструкции на Дружеството заличава или връща на Дружеството всички Лични данни след приключване на услугите по Обработване и заличава съществуващите копия, освен ако правото на Европейския съюз или правото на държава членка не изисква тяхното съхранение;
з. осигурява достъп на Дружеството до цялата информация, необходима за доказване на изпълнението на задълженията по действащата нормативна уредба и подписания индивидуален договор, и позволява и допринася за извършването на одити, включително проверки, от страна на Дружеството или друг одитор, оправомощен от Дружеството;
и. други условия, които Дружеството счете за необходимо спрямо всеки конкретен случай.
(5) Всеки Обработващ лични данни следва да поддържа документация за дейностите по Обработване, за която той е отговорен. Обработващият лични данни е длъжен да си сътрудничи с КЗЛД и да осигури достъп до тази документация при поискване.
(6) В случай, че субект се позове на някое от правата си по Общия регламент или българското право – право на коригиране, право на изтриване, право на Ограничаване на обработването и право на възражение или др. и искането му е основателно, Дружеството своевременно уведомява Обработващите личните данни, на които е предоставила Личните данни на субекта, за предприемане на съответните действия.
(7) Обработващ лични данни включва друг Обработващ данни единствено с предварителното конкретно или общо писмено разрешение на Дружеството при наличие на необходимост с оглед целите на Обработването на Личните данни. В договора между двамата Обработващи следва да се предвидят същите или по-строги задължения за защита на данните, както задълженията, предвидени в договора между Дружеството и първоначалния Обработващ лични данни. Когато последващият Обработващ лични данни не изпълнява задължението си за защита на данните, първоначалният Обработващ данните продължава да носи пълна отговорност пред Дружеството за изпълнението на задълженията на този друг Обработващ лични данни.
(8) В случай на общо писмено разрешение, Обработващият лични данни винаги информира Дружеството за всякакви планирани промени за включване или замяна на други лица, Обработващи данни. Дружеството оспорва такова предоставяне по своя преценка, ако счете, че планираната замяна може да доведе до занижаване нивото на защита на Лични данни и застрашаване тяхната сигурност.
(9) Съответните длъжностни лица в Дружеството, които участват в преговорите относно подписването на договори с Обработващи лични данни, следят за включването на уговорки в тези договори съгласно гореописаното в настоящия член.

чл. 8. Дружеството като Обработващ лични данни
(1) Дружеството действа в качеството на Обработващ лични данни, когато такива са й предоставени от Администратор – дружество от нейната група или от трета страна за изпълнение на целите, за които данните са първоначално предоставени.
(2) Дружеството осигурява подходящи технически и организационни мерки, така че Обработването протича в съответствие с изискванията на Общия регламент и българското законодателство като осигурява необходимата защита на правата на Субектите на данни.
(3) Отношенията между Дружеството като Обработващ лични данни и Администраторите се уреждат със споразумение или друг правен акт.
(4) По отношение на споразумението по ал. 3, както и относно правата и задълженията на Дружеството като Обработващ лични данни се прилагат правилата на чл. 7 от Политиката.
(5) Длъжностните лица в Дружеството, които участват в преговорите относно и подписването на договори с Администратори, следва да следят за включването на уговорки в тези договори съгласно гореописаното в настоящия член, чл. 7 от Политиката.

чл. 9. Съвместни Администратори
(1) Когато Дружеството и един или повече Администратори на лични данни заедно определят целите и средствата на Обработването, те действат като съвместни Администратори. Те следва да сключат отделно споразумение помежду си, в което да уговорят по прозрачен начин съответните си отговорности за изпълнение на задълженията си като съвместни Администратори съобразно действащите нормативни изисквания, по-специално що се отнася до упражняването на правата на Субектите на данни и предоставяне на информацията по чл. 13 и чл. 14 от Общия регламент. Със споразумението се посочва и точка за контакт за Субектите на данни.
(2) Същественото съдържание на споразумението следва да бъде достъпно за Субектите на данни.
(3) Независимо от условията на споразумението, посочено в ал.1, Субектите на данни могат да упражняват своите права по отношение на всеки и срещу всеки от Администраторите, включително Дружеството.

чл. 10. Длъжностно лице по защита на данните
(1) Съобразно изискванията на регламента или българското законодателство Дружеството може да назначи Длъжностното лице по защита на данните с права и задължения предвидени в закова и настоящата Политика
(2) Длъжностното лице по защита на данните отговоря за основните дейности на Дружеството като Администратор и Обработващ лични данни, както и за осигуряването на адекватна защита на данните в съответствие с действащото законодателство и по-специално с изискванията на Общия регламент. Длъжностното лице участва своевременно във всички въпроси, свързани със защитата на Личните данни и служи като лице за контакт с КЗЛД и Субектите на данни по всички въпроси свързани с Обработване на Лични данни от страна на Дружеството. Длъжностното лице по защита на данните е подчинено пряко на управителя.
(3) Длъжностното лице по защита на данните има следните функции:
а. информира и консултира Дружеството относно нейните задължения по отношение на защитата на Личните данни;
б. наблюдава спазването на законодателството в областта на защита на Личните данни в Дружеството, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по Обработване и съответните одити;
в. при поискване предоставя съвети по отношение на оценката на въздействието върху защитата на данните и наблюдава извършването на оценката;
г. при поискване или по своя преценка издава препоръки и предоставя специализирана помощ на Изпълнителния комитет на Дружеството относно тълкуването и прилагането на разпоредбите на законодателството за защита на Личните данни.
д. предоставя консултации в разработването и прилагането на вътрешни политики, процедури и друга документация по отношение на обработване и защита на Личните данни;
е. преглежда и одобрява всички вътрешни или външни документи, които имат или могат да окажат влияние върху обработването на Лични данни от страна на Дружеството;
ж. сътрудничи с надзорния орган по спазване на режима за защита на Личните данни;
з. действа като лице за контакт на надзорния орган по въпроси, свързани с Обработването на Лични данни в Дружеството;
и. действа като лице за контакт за всички категории Субекти, чиито Лични данни се обработват от страна на Дружеството;
й. следи за приложимото към Дружеството европейско и национално законодателство относно поверителността и защитата на данни;
к. насърчава защитата на Личните данни, като постоянно помага за подобряване на начина, по който се обработват и съхраняват Личните данни;
л. поддържа своите експертни знания в областта на защита на данните.
(4) Дружеството гарантира, че от нейна страна Длъжностното лице по защита на данните не получава никакви указания във връзка с изпълнението на своите задачи. То не може да бъде освобождавано от длъжност, нито санкционирано от Дружеството за изпълнението на своите задачи.
(5) Длъжностното лице по защита на данните може да изпълнява и други задължения и отговорности в Дружеството. В случай, че Длъжностното лице има и допълнителни функции, те не следва да бъдат в конфликт с неговите задължения във връзка със защитата на Личните данни.
(6) Дружеството публикува данните за контакт с Длъжностното лице на своя уебсайт и ги съобщава на КЗЛД.

чл. 11. Оценка на въздействие върху защитата на Личните данни
(1) Когато съществува вероятност определен вид Обработване, особено при което се използват нови технологии, и/или предвид естеството, обхвата, контекста и целите на Обработването, да породи висок риск за правата и свободите на Субектите на данни, Дружеството извършва оценка на въздействието на предвидените операции по Обработването върху защитата на Личните данни преди да бъде извършено Обработването. В една оценка може да бъде разгледан набор от сходни операции по Обработване, които представляват сходни високи рискове. Оценката се извършва, като Дружеството взема предвид предполагаемата гледна точка, положението и интересите на Субектите на данни – индивидуално и/или като група със сходни характеристики (напр. доставчици и пр.).
(2) Оценката на въздействието върху защитата на данните, посочена в ал. 1, се изисква по-специално (но не само) при систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично Обработване, включително Профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице.
(3) Длъжностното лице по защита на данните дава становище по изготвената Оценка, в което може да направи препоръки или задължителни указания към бизнес звеното.
(4) Когато е целесъобразно, Дружеството се обръща към Субектите на данните или техните представители за становище относно планираното Обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по Обработване.
(5) При оценка на въздействието се отчитат надзорните практики на КЗЛД. Задължително се търси и становището и указанията на КЗЛД преди Обработването на Лични данни, когато оценката на въздействието върху защитата на данните покаже, че Обработването ще породи висок риск, ако Дружеството не предприеме мерки за ограничаване на риска. Консултирането се извършва по реда на чл. 36 от Общия регламент.
(6) При необходимост Дружеството прави преглед, за да прецени дали Обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по Обработване.

чл. 12. Задължение за водене на Регистри с лични данни
(1) Дружеството поддържа регистри на дейностите по Обработване съобразно с изискванията на Общия регламента.
(2) За всяка дейност по Обработване звената посочват в съответния регистър информация относно обработваните Лични данни за съответния процес, целта на Обработването, категориите Субекти, чиито Лични данни се обработват, основанието за Обработване, предоставянето на Личните данни на други Администратори и Обработващи лични данни лица, срокове за съхранението на Личните данни и техническите и организационни мерки за защита на данните, както и формата на съхранение на регистъра (електронна и/или на хартиен носител).
(3) Ръководителят на всяко звено отговаря за уведомяването на Длъжностното лице по защита на Личните данни и отдел „Защита на данните“ за включването на нов процес по Обработване на Личните данни във вече заявен регистър, за който това звено отговаря. Уведомлението следва да се извърши не по-късно от 10 дни след стартиране на процеса по Обработване, като актуализацията на съответния регистър следва да се извърши не по-късно от 30 дни от стартиране на процеса.
(4) Служителите на Дружеството, които имат достъп до Регистрите с лични данни, събират, записват, организират, съхраняват, адаптират или изменят, възстановяват, използват, разкриват, актуализират, блокират, заличават или унищожават обработвани лични данни при спазване на нормативните изисквания, тази Политика и необходимото ниво на защита на Личните данни, установено с извършените оценки на въздействието по чл. 11 от Политиката.
(5) При съхраняване на Лични данни, се предприемат следните мерки за тяхната защита от страна на Дружеството:
– За Лични данни, съхранявани на електронен носител: идентификация и автентификация; управление на регистрите; външни връзки/свързване; защита от вируси; копия/резервни копия за възстановяване; носители на информация; телекомуникации и отдалечен достъп; поддържане/ експлоатация; определяне на роли и отговорности; контроли на сесията; наблюдение; управление на конфигурацията;
– За Лични данни, съхранявани на хартиен носител: контролиран достъп до хартиените носители; използване на техника за унищожаване на хартиени носители; правила за размножаване и разпространение; процедури за унищожаване; пожароизвестителни и пожарогасителни системи; шкафове с ключалки;

чл. 13. Уведомяване при нарушения на сигурността
(1) В случай на нарушение на сигурността на Личните данни Дружеството най-късно до 72 часа от узнаването на факта на нарушаването уведомява КЗЛД, освен ако няма вероятност нарушението на сигурността на Личните данни да породи риск за правата и свободите на Субектите на данните. Уведомлението съдържа най-малко следното:
а. описание на естеството на нарушението на сигурността на Личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите Субекти на данни и категориите и приблизителното количество на засегнатите записи на Лични данни;
б. посочване на името и координатите за контакт от името на Дружеството, а именно: ел. писмо до адрес office@kdsmart.bg;
в. описание на евентуалните последици от нарушението на сигурността на Личните данни;
г. описание на предприетите или предложените от Дружеството мерки за справяне с нарушението на сигурността на Личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
(2) Когато и доколкото не е възможно информацията по ал. 1 да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
(3) Дружеството документира в нарочен регистър всяко нарушение на сигурността на Личните данни, като в него се посочват фактите, свързани с нарушението на сигурността на Личните данни, последиците от него и предприетите действия за справяне с него.
(4) Независимо от уведомлението по ал. 1, когато има вероятност нарушението на сигурността на Личните данни да породи висок риск за правата и свободите на Субектите на данни, Дружеството незабавно съобщава за това обстоятелство и на Субекта на данните за нарушението на сигурността на Личните данни. В съобщението на ясен и прост език се описва естеството на нарушението на сигурността на Личните данни и се посочват най-малко информацията и мерките, посочени в ал. 1, б. „б“, „в“ и „г“.
(5) Освен ако получи указания от КЗЛД в противен смисъл, Дружеството не е задължена да изпраща съобщение по ал. 3, ако някое от следните условия е изпълнено:
а. Дружеството е предприела подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на Личните данни, засегнати от нарушението на сигурността на Личните данни, по-специално мерките, които правят Личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
б. Дружеството е взела впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на Субектите на данни по ал. 3;
в. изпращането на индивидуални съобщения би довело до непропорционални усилия, в който случай се прави публично съобщение или се взема друга подобна мярка, така че Субектите на данни да бъдат в еднаква степен ефективно информирани.

чл. 14. Трансфер на данни
(1) В случаите, когато се налага Дружеството да предостави Лични данни към Трета страна извън Европейското икономическо пространство, Дружеството прехвърля Личните данни съобразно изискванията на Глава Пета от Общия регламент, ако трансферът на Лични данни е към трета държава по отношение на която Европейската комисия има прието решение за адекватност, както и e включена в актуалния списък на трети държави, територии и конкретни сектори в трета държава и международни организации, за които е Европейската комисия е решила, че осигуряват адекватно ниво на защита, достъпен на уебсайта на Европейската комисия; или
(2) Дружеството предава Лични данни на трета държава или международна организация само при осигуряване на подходящи гаранции и при условие че са налице приложими права на Субектите на данни и ефективни правни средства за защита. Такива подходящи гаранции могат да бъдат предвидени, без да се изисква специално разрешение на КЗЛД, посредством:
а. задължителни фирмени правила съгласно Общия регламент, одобрени от компетентния надзорен орган;
б. стандартни клаузи за защита на данните, приети по реда на Общия регламент;
в. одобрен кодекс за поведение съгласно член 40 от Общия регламент, заедно със задължителни ангажименти с изпълнителна сила на Администратора или Обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на Субектите на данни; или
г. одобрен механизъм за сертифициране съгласно член 42 от Общия регламент, заедно със задължителни и изпълними ангажименти на Администратора или Обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на Субектите на данни.
(3) В случай че не са налице предпоставките по ал. 1 и 2 по-горе, Дружеството извършва трансфер към трета държава или международна организация единствено при наличие на едно от следните условия:
а. Субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за Субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;
б. предаването е необходимо за изпълнението на договор между Субекта на данните и Дружеството или за изпълнението на преддоговорни мерки, взети по искане на Субекта на данните;
в. предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на Субекта на данните между Дружеството и друго физическо или юридическо лице;
г. предаването е необходимо поради важни причини от обществен интерес;
д. предаването е необходимо за установяването, упражняването или защитата на правни претенции;
(4) Служителите на Дружеството следва да се консултират с Длъжностното лице по защита на данните преди извършване на трансфер на данни по настоящия член.

чл. 15. Изтриване на Лични данни
(1) В най-кратки разумни срокове след постигане на целта, заради която се събират и обработват Личните данни, Дружеството ги изтрива или анонимизира.
(2) Обработваните от Дружеството Лични данни се съхраняват за сроковете, определени в Регистрите с лични данни за всеки един процес. Когато в регистъра не може да бъде посочен конкретен срок, Дружеството посочва критериите, които използва за определянето на срока за съхранение на обработваните от нея Лични данни.
(3) В случай, че Субект на данни е упражнил правото си на Ограничаване на обработването, Дружеството ще съхранява и обработва негови Лични данни и след изтичане на сроковете определени по ал. 2 – за по-дългия срок измежду този по ал. 2 и срока, посочен в искането.
(4) След изтичане на периода за изпълнение на целите, за които данните са събрани, при необходимост те могат да бъдат съхранявани за исторически, статистически и/или научни цели във вид непозволяващ идентификация на физическите лица.
(5) С изтичане на приложимия срок по настоящия член, Личните данни се изтриват чрез физическо унищожаване на носителите им или чрез трайно и невъзстановимо анонимизиране или изтриване от техните електронни носители по начин, изключващ възстановяване на Личните данни.

чл. 16. Задължения на персонала при Обработване на Лични данни и отговорност при нарушения
(1) Спазването на изискванията за защита на Личните данни е неразделна и всекидневна част от трудовите задължения на служителите на Дружеството, съответно на лица, ангажирани по граждански и търговски договори за изпълнение на задачи в полза на Дружеството. Служителите следва да имат предвид, че нарушението на нормативните изисквания и настоящата Политика може да навреди на Субектите на данни, а също и на самата Дружеството, например поради отправяне на претенции срещу нея от увредени Субекти на данни или налагане на санкции от КЗЛД срещу Дружеството. Доверието в Дружеството и нейната репутация могат да бъдат силно накърнени.
(2) Предвид горепосоченото, нарушението на Политиката или действащото законодателство – било умишлено или небрежно – ще се счита за сериозно нарушение на трудовите задължения на служителите, съответно на договорните задължения на лица, ангажирани по граждански и търговски договори за изпълнение на задачи в полза на Дружеството, и в резултат може да доведе до налагането на дисциплинарни наказания, търсене на имуществена отговорност, и/или прекратяване, съответно разваляне на съответния договор.
(3) На служителите на Дружеството, съответно на лица, ангажирани по граждански и търговски договори за изпълнение на задачи в полза на Дружеството се забранява:
а. да използват за свои цели или да предоставят за техни цели на трети лица извън Дружеството лични данни, получени в процеса на работа с тях. За предоставяне се счита изпращане на лични данни на клиенти и кредитоискатели (или документи, съдържащи такива лични данни) чрез електронни средства, вкл. служебен/личен e-mail, приложения за комуникация като Viber, Messenger, връчването им на хартиен носител или устното разкриване на личните данни.
б. да обменят всякаква информация по отношение бивши, настоящи или потенциални клиенти (лични данни, сметки, договорни условия и пр.), както и всякаква друга служебна информация с лица в или извън Дружеството, които не са надлежно оторизирани да ползват и обработват тази информация.
в. да нарушават установените в Дружеството правила за физическа и информационна сигурност;
г. да използват Лични данни освен за целите на своите служебни задължения, като да събират и обработват Лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и Обработването на генетични данни, Биометрични данни за целите единствено на идентифицирането на физическо лице, Данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице; (освен (1) доколкото е необходимо за целите на съобразяване на Дружеството с трудовото законодателство, законодателството за мерките срещу изпирането на пари, срещу финансиране на тероризма, срещу корупцията и корупционните практики, със санкции на Българската държава, Европейския съюз, международни организации или държави, с които Република България и Европейския съюз партнират на международно ниво на основата на международни актове (САЩ, Япония, Швейцария и др.), (2) налице е съгласие на субекта на данните за Обработването на такъв тип Лични данни за една или повече конкретни цели, освен когато в приложимите нормативни актове предвиждат, че съгласието на субекта на данни е правно ирелевантно, (3) Обработването е необходимо с цел установяване, упражняване или защита на Дружеството срещу правни претенции; (4) в други случаи, предвидени в чл. 9, пар. 2 от Общия регламент или друг действащ нормативен акт)
д. да извършват други нерегламентирани дейности с Лични данни;
(4) Служителите на Дружеството, които отговарят за събиране и/или съхранение на Лични данни, следва да обезпечат същите да бъдат точно въвеждани в Регистрите с лични данни и системите на Дружеството и при необходимост да се коригират и актуализират, включително при искане от Субекта на данни за поправка или актуализиране на личните им данни (напр. грешно регистрирани ЕГН/ЛНЧ, данни от лична карта или при издаване на нова лична карта и др.).
(5) Служителите на Дружеството се задължават да указват съдействие на Субектите на данни при упражняване на техните права по Общия регламент, действащата нормативна уредба и настоящата Политика;
(6) Ако служител на Дружеството, съответно лице, ангажирано по граждански и търговски договори за изпълнение на задачи в полза на Дружеството – има опасения относно защитата на Личните данни при изпълнение на служебните си задължения, същият е длъжен да повдигне въпроса до непосредствения си висшестоящ ръководител или директно до Длъжностното лице по защита на данните („ескалиране“).
(7) Служителите на Дружеството, съответно лицата, ангажирани по граждански и търговски договори за изпълнение на задачи в полза на Дружеството, подписват декларация – Приложение № 1, с което потвърждават, че са се запознали със съдържанието и задълженията си по тази Политика.

чл. 17. Правила за действие при извършване на надзорни проверки
(1) При извършване на проверка на Дружеството от страна на КЗЛД съобразно действащата нормативна уредба, Дружеството, както и всички нейни служители, които участват в процеси по Обработване на Лични данни следва да оказват съдействие на надзорния орган.
(2) Лице за контакт и комуникация с КЗЛД при условията на проверка е Длъжностното лице по защита на данните (ако има назначено такова). Длъжностното лице по защита на данните информира мениджмънта на Дружеството за извършваната проверка и:
а. Предлага сформирането на екип, състоящ се от служители на Дружеството, чиито отдели са пряко засегнати от проверката, който да бъде на разположение на КЗЛД през времетраенето й;
б. Предлага мерките за координация на екипа по б. „а“ и периодичното докладване на мениджмънта за хода на проверката;
в. координира с Управление „Правно“ на Дружеството при необходимост на извършване на процесуални действия;
г. Уведомява мениджмънта за резултатите от проверката и за препоръки и стъпки, които е желателно да бъдат предприети от Дружеството с оглед преодоляване на евентуално идентифицирани слабости, с оглед подобряване практиките на Дружеството, защитата на правата и интересите на Субектите на данни, както и на легитимните интереси на Дружеството.

III. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

чл. 18. Контрол за прилагане на Политиката. Периодичен преглед
(1) Длъжностното лице по защита на данните ще извършва редовен и инцидентен (ad hoc) контрол на прилагането на Политиката.
(2) В резултат от осъществявания контрол, Длъжностното лице по защита на данните ще изготвя подробни доклади до управителя на Дружеството или упълномощено от него лице, в които ще включва информация особено относно набелязаните слабости при съблюдаване на действащите нормативни актове и на Политиката, анализ на причините за това, както и предложения за преодоляването им.
(3) Докладите по ал. 2 ще бъдат изготвяни и представяни на управителя на Дружеството поне веднъж годишно.
(4) Управителя на Дружеството ще разглежда получените доклади по ал. 2 и в случай, че са установени недостатъци, пропуски или нарушения, дължащи се на Политиката, или други обстоятелства, налагащи промени в нея (напр. промени в действащите нормативни актове), ще приема изменения и допълнения на Политиката. Също така, Управителят ще предприема и други необходими мерки по отстраняване на констатираните в докладите по ал. 2 или установени по друг начин недостатъци и пропуски, свързани с режима на Личните данни.