1. ВЪВЕДЕНИЕ
Тази политика има за цел да потвърди задължението на "И ЕЛ ДЖИ" АД (“Организацията”) за опазването на обработваните от нея лични данни и гарантиране на правата на субектите, съгласно изискванията на Общ регламент за защита на данните (“Регламентът”).
Според Регламента всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, се определя като ЛИЧНИ ДАННИ.
Тази политика определя процедурите, които трябва да се следват при обработването на лични данни. Процедурите и принципите, изложени тук, трябва да бъдат спазвани по всяко време от Организацията, нейните служители, изпълнители или други страни, които работят от нейно име.
Организацията се ангажира не само със съдържанието на Регламента, но и с духа му и обръща голямо внимание на правилното, законосъобразно и справедливо третиране на всички лични данни, като се зачитат законните права, неприкосновеността на личния живот и доверието на всички лица и заинтересовани страни.
2. ПРИНЦИПИ ЗА ЗАЩИТА НА ДАННИТЕ
Тази политика има за цел да гарантира спазването на Регламента. Той определя следните принципи, които трябва да спазват всички страни, обработващи лични данни. Всички лични данни трябва:
2.1. да се обработват законно, справедливо и по прозрачен начин по отношение на субекта на данните;
2.2. да бъдат събирани за конкретни, изрични и законни цели и да не се обработват по начин, който е несъвместим с тези цели; по-нататъшната обработка за архивиране за цели от обществен интерес или статистически цели не се считат за несъвместими с първоначалните цели;
2.3. да бъдат адекватни, уместни и ограничени до това, което е необходимо във връзка с целите, за които се обработват;
2.4. да бъдат точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или отстраняват незабавно;
2.5. да бъдат съхранявани във форма, която позволява идентифицирането на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни; личните данни могат да бъдат съхранявани за по-дълги периоди, доколкото личните данни ще бъдат обработвани единствено с цел архивиране за обществени интереси, научни или исторически научноизследователски цели или статистически цели, при условие че са изпълнени съответните технически и организационни мерки, изисквани от Регламента, с цел защитата на правата и свободите на субекта на данните;
2.6. да бъдат обработвани по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу
случайна загуба, унищожаване или повреда, като се използват подходящи технически и/или организационни мерки.
3. ЗАКОННА, СПРАВЕДЛИВА И ПРОЗРАЧНА ОБРАБОТКА НА ДАННИ
Регламентът цели да гарантира, че личните данни се обработват законосъобразно, справедливо и прозрачно, без това да накърнява правата на субекта на данните. В Регламента се посочва, че обработването на лични данни е законосъобразно, ако се прилага поне едно от следните условия:
3.1. субектът на данните е дал съгласие за обработването на личните му данни за една или повече конкретни цели;
3.2. обработването е необходимо за изпълнението на договор, по който лицето, за което се отнасят данните, е страна или за да предприеме стъпки по искане на субекта на данните преди сключването на договор;
3.3. обработването е необходимо за спазване на правно задължение, на което се подчинява администраторът;
3.4. обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице;
3.5. обработването е необходима за изпълнение на задача, изпълнявана в обществен интерес или при упражняване на публична власт на контролиращия орган;
3.6. обработването е необходимо за целите на легитимните интереси, преследвани от администратора или от трета страна, освен когато тези интереси са пренебрегнати от основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато обект на данните е дете.
4. ОБРАБОТВАНИ ЗА КОНКРЕТНИ, ИЗРИЧНИ И ЗАКОННИ ЦЕЛИ
4.1 Организацията събира и обработва личните данни, посочени в Част 21 на тази Политика. Това може да включва лични данни, получени директно от субектите на данни (например данни за контакт, използвани, когато обектът на данни комуникира с нас) и данни, получени от трети страни (например
Агенции за подбор на персонала, Застрахователи, Служби по трудова медицина, Органи на държавната власт, различни регистри).
4.2 Организацията обработва лични данни само за конкретните цели, посочени в Част 21 на тази Политика (или за други цели, изрично разрешени от Регламента). Субектите на данни ще бъдат информирани за целите, за които обработваме личните данни в момента, в който те се събират директно от тях или колкото е възможно по-скоро (не повече от един календарен месец) след събирането, в случай че данните са получени от трета страна.
5. АДЕКВАТНА, ПОДХОДЯЩА И ОГРАНИЧЕНА ОБРАБОТКА НА ДАННИ
Организацията ще събира и обработва лични данни само за и в степента, необходима за конкретната (ите) цел (и), за които е информирала субектите на данни, както е посочено в Част 4, по-горе.
6. ТОЧНОСТ НА ДАННИТЕ И ПОДДЪРЖАНЕ НА ДАННИ ДО ДАТА
Организацията гарантира, че всички събрани и обработени лични данни се поддържат точни и актуални. Точността на данните се проверява в момента, в който се събират и след това на планирани интервали. Когато се установят неточни или неактуални данни, незабавно се предприемат всички разумни стъпки, за да се изменят или заличат тези данни, според случая.
7. НАВРЕМЕННА ОБРАБОТКА
Организацията няма да съхранява лични данни за по-дълго от необходимото във връзка с целите, за които тези данни първоначално са били събрани и обработени. Когато данните вече не се изискват, всички разумни стъпки ще бъдат предприети, за да бъдат изтрити без забавяне.
8. ЗАЩИТА ПРИ ОБРАБОТКАТА
Организацията гарантира, че всички събрани и обработвани лични данни са защитени от неразрешена или незаконна обработка и от случайна загуба, унищожаване или повреда. Допълнителни подробности относно мерките за защита на данните и организационните мерки, които трябва да бъдат предприети, са дадени в Части 22 и 23 от настоящата Политика.
9. ОТГОВОРНОСТ
9.1 Длъжностното лице по защита на личните данни в "И ЕЛ ДЖИ" АД е Михаела Кръстева.
9.2 Организацията трябва да води писмени вътрешни записи за събирането, притежаването и обработването на всички лични данни, които включват следната информация:
9.1.1. името и данните на Организацията, нейното Длъжностно лице по защита на личните данни и всички приложими администратори на данни от трети страни;
9.1.2. целите, за които Организацията обработва лични данни;
9.1.3. подробности за категориите лични данни, събрани, съхранявани и обработвани от Организацията; и категориите субекти, за които се отнасят тези лични данни;
9.1.4. подробности (и категории) за трети страни, които ще получават лични данни от Организацията;
9.1.5. подробности за всички прехвърляния на лични данни към страни извън ЕИП, включително всички механизми и предпазни мерки за сигурност;
9.1.6. подробности за това колко дълго ще бъдат задържани от Организацията личните данни; и
9.1.7. подробни описания на всички технически и организационни мерки, предприети от Организацията, за да се гарантира сигурността на личните данни.
10. ОЦЕНКА НА РИСКА ПО ПОВОД ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
Организацията извършва оценки на въздействието върху личните данни, съгласно изискванията на Регламента. Оценяването се контролира от Длъжностното лице по защита на личните данни в Организацията и се отнася до следните важни области:
10.1 Цел (и), за които се обработват лични данни, и операциите по обработване, които се извършват с тези данни;
10.2 Подробности за законните интереси, преследвани от Организацията;
10.3 Оценка на необходимостта и пропорционалността на обработването на данни по отношение на целта (целите), за която се обработват;
10.4 Оценка на рисковете за отделните субекти на данни; и
10.5 Подробности за мерките, прилагани за минимизиране и управление на рисковете, включително предпазни мерки, сигурност на данните и други мерки и механизми за гарантиране на защитата на личните данни, достатъчни за доказване на съответствието с Регламента.
11. ПРАВА НА СУБЕКТА НА ДАННИ
Регламентът определя следните права, приложими за субектите на данни:
11.1. правото да бъдете информирани;
11.2. правото на достъп;
11.3. правото на поправяне;
11.4. правото на заличаване (известно също като "правото да бъдеш забравен");
11.5. право на ограничаване на обработката;
11.6. правото на преносимост на данни;
11.7. правото на възражение;
11.8. права по отношение на автоматизираното вземане на решения и профилиране.
12. ИНФОРМИРАНЕ НА СУБЕКТИТЕ ЗА ДАННИ
12.1 Организацията трябва да гарантира, че при събирането на лични данни е предоставена следната информация на всеки субект на данни:
12.1.1. подробности за Организацията, включително, но не само, самоличността на нейното Длъжностно лице по защита на личните данни;
12.1.2. целта / целите, за които се събират и ще се обработват личните данни (както е описано подробно в Част 21 на тази Политика) и правното основание, обосноваващо това събиране и обработка;
12.1.3. когато е приложимо, законните интереси, с които Орагнизацията оправдава събирането и обработката на личните данни;
12.1.4. когато личните данни не се получават директно от субекта на данните, категориите на събраните и обработвани лични данни;
12.1.5. когато личните данни трябва да бъдат прехвърлени на една или повече трети страни, подробности за тези страни;
12.1.6. когато личните данни трябва да бъдат прехвърлени на трета страна, която се намира извън Европейското икономическо пространство ("ЕИП"), подробности за това прехвърляне, включително, но без да се ограничават до съществуващите гаранции (вж. част 24 от настоящото Политика за допълнителни подробности относно прехвърлянето на данни от трети държави);
12.1.6. подробности за продължителността на съхраняване на личните данни от Организацията (или, ако няма предварително определен период, подробности за това как ще бъде определена тази продължителност);
12.1.7. подробности за правата на субекта на данни съгласно Регламента;
12.1.8. подробности за правото на субекта на данни да оттегли своето съгласие за обработката на личните данни по всяко време;
12.1.9. подробности относно правото на субекта на данните да подаде жалба до КЗЛД ("надзорният орган" съгласно Регламента);
12.1.10. където е приложимо, подробности за всяко правно или договорно изискване или задължение, изискващо събирането и обработката на личните данни и подробности за последствията от непредоставянето им;
12.1.11. подробности за всяко автоматично вземане на решения, което ще се извърши, като се използват личните данни (включително, но не само профилирането), включително информация за това как ще се вземат решения, значението на тези решения и последствията от тях.
12.2 Информацията, посочена по-горе в Част 12.1, се предоставя на субекта на данните в следното приложимо време:
12.2.1 Когато личните данни са получени пряко от субекта на данните в момента на събирането;
12.2.2 Когато личните данни не се получават пряко от субекта на данни (т.е. от друга страна):
• ако личните данни се използват за комуникация с лицето, за което се отнасят, то по време на първото съобщение; или
• ако личните данни трябва да бъдат разкрити на друга страна, то преди да бъдат разкрити; или
• във всеки случай не повече от един месец след датата, на която Организацията получава личните данни.
13. ДОСТЪП ДО ДАННИ
13.1 Даден субект на данните може по всяко време да направи заявка за достъп до своите лични данни ("ЗДД"), за да разбере повече относно информацията, която Организацията притежава за него. Организацията се стреми да отговори на ЗДД в рамките на един месец от получаването й (това може да бъде удължено с до два месеца в случай на сложни и/или многобройни искания, а в такива случаи субектът на данните се информира за необходимостта от удължаване на срока).
13.2 Всички получени искания за достъп трябва да бъдат изпратени до Длъжностното лице по защита на личните данни в Организацията на електронен адрес dpo@euroleasegroup.com
13.3 Организацията не начислява такса за обработка на нормални ЗДД, но си запазва правото да начислява разумни такси за допълнителни копия на вече предоставена информация на субекта на данни и за искания, които са явно неоснователни или прекомерни, особено когато такива искания се повтарят.
13.4 Идентификация на субектите на данни при подаване на заявки:
13.4.1. При постъпване на заявка за достъп по имейл, отговорното лице трябва да го съпостави с имейла, предоставен от субекта в данните за контакт. При съвпадение, това може да се смята за достатъчна проверка за легитимността на искането.
13.4.2. При постъпване на заявка за достъп от субекта, направена лично, отговорното лице или лицето, което контактува непосредствено с клиента, следва да изисква представяне на лична карта от субекта на данните, като метод за легитимиране. При искане направено от пълномощник по този начин, следва отговорното лице да изиска лична карта на пълномощника и представяне на пълномощното, където ясно е упоменато правото да изиска такива данни за упълномощителя.
13.4.3. При всички други типове заявки за достъп, направени по телефон, чрез имейл различен от този предоставен в данните за контакт на лицето и др., следва отговорното лице да изиска следните методи за легитимиране:
- изпращане на имейл, съдържащ копие от личната карта на субекта на личните данни, направил искането;
- при искания направени от пълномощник: копие от личната карта на пълномощника и копие от пълномощното, където ясно е упоменато правото му да изиска такива данни за упълномощителя;
- искането да бъде направено лично, където важи процедурата описана в т. 13.4.2. по-горе.
14. КОРЕКЦИЯ НА ДАННИ
14.1. Ако даден субект на данни информира Организацията, че личните данни, съхранявани от нея, са неточни или непълни, като изисква те да бъдат коригирани, въпросните лични данни ще бъдат поправени и субектът на данните ще бъде информиран за това коригиране в рамките на един месец от получаването на предупреждението му (това може да бъде удължено с до два месеца в случай на сложни искания, а в такива случаи субектът на данните трябва да бъде информиран за необходимостта от удължаване на срока).
14.2. В случай че всички засегнати лични данни са били разкрити на трети лица, тези страни трябва да бъдат информирани за всяка поправка на тези лични данни.
15. ЗАЛИЧАВАНЕ НА ЛИЧНИ ДАННИ
15.1. Субектите на данни могат да поискат от Организацията да изтрие личните данни, които притежава за тях, при следните обстоятелства:
15.1.1. Вече не е необходимо Организацията да поддържа личните данни по отношение на целта, за която са били първоначално събрани или обработени;
15.1.2. Субектът на данните желае да оттегли своето съгласие за притежаване и обработване на личните му данни от Организацията;
15.1.3. Субектът на данните възразява срещу това, че Организацията притежава и обработва личните му данни (и няма преимуществен легитимен интерес, който да позволи на Организацията да продължи това) (вж. Част 18 от тези Политика за допълнителни подробности относно правото на субектите на данни да оспорят обработването);
15.1.4. Личните данни са били обработени незаконосъобразно;
15.1.5. Личните данни трябва да бъдат изтрити, за да може Организацията да спазва конкретно правно задължение; или
15.1.6. Личните данни се съхраняват и обработват с цел предоставяне на „услуга на информационното общество“, което означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент.
15.2. Освен ако Организацията има основателни причини да откаже да изтрие лични данни, всички молби за изтриване трябва да бъдат спазени и субектът на данните се уведомява за изтриването в рамките на един месец от получаването на искането на субекта на данните (това може да бъде удължено до два месеца в случай на сложни искания, а в такива случаи субектът на данните се информира за необходимостта от удължаване на срока).
15.3. В случай че лични данни, които трябва да бъдат изтрити в отговор на искане на субекта на данни, са били разкрити на трети лица, тези страни ще бъдат информирани за изтриването (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).
16. ЗАБРАНА ЗА ОБРАБОТКА НА ДАННИ
16.1. Субектите на данни могат да поискат Организацията да прекрати обработването на личните данни, които притежава за тях. Ако даден субект на данни направи такова искане, Организацията ще запази само количеството лични данни, отнасящи се до този субект на данните, което е необходимо, за да се гарантира, че няма да се извършва по-нататъшна обработка на личните им данни.
16.2. В случай че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за приложимите ограничения при обработването им (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).
17. ПРЕНОСИМОСТ НА ДАННИ
17.1 Организацията обработва лични данни чрез автоматизирани средства, а именно чрез:
17.1.1. интегриран софтуер за автоматизиране на дейностите по управление на човешките ресурси и трудовите възнаграждения (Омекс);
17.1.2. специализирани регистри с данни съхранявани в защитени масиви;
17.1.3. звукозапис на разговори през телефонна централа.
17.2. Когато субектите на данни дадат своето съгласие на Организацията да обработва личните им данни по такъв начин или обработването е необходимо за изпълнението на договор между Организацията и субекта на данните, субектите имат законовото право съгласно Регламента да получават копие от личните им данни и да ги използват за други цели (а именно да ги предават на други администратори на данни, например други организации).
17.3. За да се улесни правото на преносимост на данните, Организацията трябва да предостави всички приложими лични данни на субектите на данни в следния формат:
17.3.1. Структурирани – структурната връзка между елементите е вградена в начина, по който данните се съхраняват в база или регистър.
17.3.2. Често използван формат – формат, който може да бъде използван на повечето компютърни конфигурации (напр. Microsoft Office пакет и др.);
17.4. Когато това е технически осъществимо, при поискване от субект на данни личните данни се изпращат директно на друг администратор на данни.
17.5. Всички заявки за копия на лични данни трябва да бъдат спазени в рамките на един месец от искането на субекта на данните (това може да бъде удължено с до два месеца в случай на сложни или многобройни искания, а в такива случаи субектът на данни трябва да бъде информиран за необходимостта от удължаване).
18. ВЪЗРАЖЕНИЯ СРЕЩУ ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
18.1 Субектите на данни имат право да възразят срещу това, че Организацията обработва техни лични данни въз основа на законни интереси (включително профилиране), директен маркетинг и обработка за научни и / или исторически изследвания и статистически цели.
18.2 Когато даден субект на данни възразява срещу това, че Организацията обработва личните му данни въз основа на законните му интереси, Организацията незабавно прекратява такава обработка, освен ако не може да се докаже, че законните основания на Организацията за такова обработване надвишават интересите, правата и свободите на субекта на данните; или обработването е необходимо за извършване на съдебни искове.
18.3 Когато даден субект на данни възразява срещу това, че Организацията обработва неговите лични данни за целите на директния маркетинг, Организацията незабавно прекратява такава обработка.
18.4 Когато даден субект на данни възразява срещу това, че Организацията обработва личните му данни за научни и / или исторически проучвания и статистически цели, субектът на данните трябва съгласно Регламента да "демонстрира основания, свързани с конкретната ситуация". Организацията не е задължена да се съобрази с това възражение, ако обработва данните от съображения за обществен интерес.
19. АВТОМАТИЧНО ВЗЕМАНЕ НА РЕШЕНИЯ
19.1. В случай, че Организацията използва лични данни за целите на автоматизираното вземане на решения и тези решения имат правен (или подобно значим) ефект върху субектите на данни, субектите на данни имат право да оспорят такива решения съгласно Регламента, като поискат намеса, изразяване на собствената си гледна точка и получаване на обяснение за решението на Организацията.
19.2. Правото, описано в Част 19.1 не се прилага при следните обстоятелства:
19.2.1. решението е необходимо за влизането или изпълнението на договор между Организацията и субекта на данните;
19.2.2. решението е разрешено от закона; или
19.2.3. Субектът на данните е дал своето изрично съгласие.
20. ПРОФИЛИРАНЕ
Когато Организацията използва лични данни за целите на профилирането, следните условия следва да се изпълняват:
20.1. да бъде предоставена ясна информация, обясняваща профилирането, включително значението и вероятните последици;
20.2. да се използват подходящи математически или статистически процедури;
20.3. да са въведени технически и организационни мерки, необходими за минимизиране на риска от грешки и за да се позволи лесното коригиране на такива грешки; и
20.4. всички лични данни, обработени с цел профилиране, трябва да бъдат обезопасени, за да се предотврати дискриминационното въздействие, произтичащо от профилирането (вж. Части 22 и 23 от настоящата Политика за повече подробности относно сигурността на данните).
21. ЛИЧНИ ДАННИ
Типовете лични данни, съхранявани и обработвани от Организацията, са описани в Регистър на обработваните ЛД, чиято актуалност се контролира от Длъжностно лице по защита на данните.
22. МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ
Организацията гарантира, че са предприети следните мерки по отношение на събирането, притежаването и обработването на лични данни:
22.1. Най-малко два пъти в годината се извършва от всеки служител, който работи със съответните документи, инвентаризация на изтичащите срокове, и след консултация с отговорника по защита на данните и юрист, документите се унищожават. Документите на хартиен носител се унищожават чрез шредер, а документите на електронен носител се заличават или изтриват.
22.2. Оторизирано от дружеството лице има право да заличава данни от софтуерните продукти.
22.3. При унищожаване на данни на хартиен носител се съставя протокол за унищожаване по образец /Приложение №1 към настоящата Политика/.
22.4. Всички служители, изпълнители или други страни, работещи от името на Организацията, трябва да бъдат напълно запознати както със своите индивидуални отговорности, така и с отговорностите на Организацията съгласно Регламента и тази Политика и им се предоставя копие от тази Политика;
22.5. Само служители, подизпълнители или други лица, работещи от името на Организацията, които имат нужда от достъп и използване на лични данни, за да изпълняват правилно своите служебни задължения, имат достъп до личните данни, съхранявани от Организацията;
22.6. Всички служители, работещи от името на Организацията, обработващи лични данни, ще бъдат подходящо обучени за това;
22.7. Всички служители, работещи от името на Организацията, работещи с лични данни, ще бъдат надлежно контролирани;
22.8. Методите за събиране, съхраняване и обработване на лични данни се оценяват и преглеждат редовно;
22.9. Работата на тези служители, работещи от името на Организацията, обработващи лични данни, трябва редовно да се оценява и преглежда;
22.10. Всички служители, изпълнители или други страни, които работят от името на Организацията, обработващи лични данни, са длъжни да го правят в съответствие с принципите на Регламента и настоящата Политика по договор;
22.11. Всички изпълнители или други страни, работещи от името на Организацията, обработващи лични данни, трябва да гарантират, че всички техни служители, които участват в обработването на данните, спазват същите условияи имат същите задължения, както съответните служители на Организацията, произтичащи от тази Политика и Регламента;
22.12. Когато някой изпълнител или друга страна, работеща от името на Организацията, обработваща лични данни, не изпълни задълженията си по тази Политика, то тази страна ще обезщети и ще обезвреди Организацията срещу всички разходи, отговорност, вреди, загуби, искове или производства, възникнали от този провал.
23. ПРЕХВЪРЛЯНЕ НА ЛИЧНИ ДАННИ ИЗВЪН ЕВРОПЕЙСКОТО ИКОНОМИЧЕСКО ПРОСТРАНСТВО ЕИП
23.1. Организацията може в определени случаи да прехвърля лични данни в страни извън ЕИП.
23.2. Прехвърлянето на лични данни в страна извън ЕИП се извършва само ако се прилагат едно или повече от следните условия:
23.2.1. Прехвърлянето е към страна, територия или един или повече специфични сектори в тази страна (или международна организация), които Европейската комисия е определила, че гарантира адекватно ниво на защита на личните данни;
23.2.2. Прехвърлянето е към страна (или международна организация), която предоставя подходящи предпазни мерки под формата на правно обвързващо споразумение между публичните органи или структури; обвързващи корпоративни правила; стандартните клаузи за защита на данните, приети от Европейската комисия; спазването на одобрен от надзорния орган кодекс за поведение (например КЗЛД); сертифициране по одобрен механизъм за сертифициране (както е предвидено в Регламента); договорни клаузи, договорени и разрешени от компетентния надзорен орган; или разпоредби, въведени в административни договорености между публични органи или структури, упълномощени от компетентния надзорен орган;
23.2.3. Прехвърлянето се извършва с информирано съгласие на съответния (ите) субект (и) на данните;
23.2.4. Прехвърлянето е необходимо за изпълнението на договор между субекта на данни и Организацията (или за предприсъединителните мерки, предприети по искане на субекта на данни);
23.2.5. Прехвърлянето е необходимо поради важни причини от обществен интерес;
23.2.6. Прехвърлянето е необходимо за провеждане на съдебни искове;
23.2.7. Прехвърлянето е необходимо за защита на жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните физически или юридически не е в състояние да даде своето съгласие; или
23.2.8. Прехвърлянето се извършва от регистър, който съгласно законодателството на Обединеното кралство или ЕС има за цел да предоставя информация на обществеността и който е отворен за достъп от страна на обществеността като цяло или по друг начин на тези, които са в състояние да демонстрират законния си интерес от достъп регистъра.
24. УВЕДОМЯВАНЕ ЗА НАРУШАВАНЕ НА ДАННИТЕ
24.1. Всички нарушения на сигурността на лични данни трябва да бъдат докладвани незабавно на Длъжностното лице по защита на личните данни. Докладването се извършва според приетите канали за комуникация и докладване на инциденти в Организацията или директно.
24.2. Ако настъпи нарушение на лични данни и това нарушение е вероятно да доведе до риск за правата и свободите на субектите на данни (например финансови загуби, нарушаване на поверителността, дискриминация, вреди, причинени от влошена репутация или други значителни социални или икономически щети), Длъжностното лице по защита на личните данни трябва да гарантира, че КЗЛД е информирана за нарушението незабавно и при всички случаи в рамките на 72 часа след като Организацията е открила или в била уведомена за това.
24.3. В случай че нарушаването на личните данни е вероятно да доведе до висок риск (т.е. по-висок риск от този, описан в част 25.2) на правата и свободите на субектите на данни, Длъжностното лице по защита на личните данни трябва да гарантира, че всички субекти на засегнатите данни са информирани за нарушението директно и без неоправдано забавяне.
24.4. Известията за нарушаване на данни включват следната информация:
• категориите и приблизителния брой на засегнатите субекти на данни;
• категориите и приблизителния брой записи на лични данни;
• името и данните за контакт на Длъжностното лице по защита на личните данни (или друго лице/звено за контакт, където може да се получи повече информация);
• вероятните последици от нарушението;
• подробности за предприетите или предложени за предприемане мерки от страна на Организацията за справяне с нарушението, включително, когато е целесъобразно, мерки за смекчаване на евентуалните неблагоприятни последици.
Срокове, в които обработваме Вашите лични данни
25.1. Ние добросъвестно обработваме и съхраняваме Вашите лични данни за цялата продължителност на срока на Договора, който сте сключили с нас и ги съхраняваме за период от десет години след прекратяването му за да се съобразим с приложимото законодателство, с изтичане на определени давностни срокове за предявяване на претенции и задължения, за предоставяне на информация на съда, компетентни държавни органи и други основания, предвидени в действащото законодателство (10 години от началото на календарната година, следваща годината на прекратяването на отношенията).
25.2. След изтичането на гореопределените срокове, Дружеството ще изтрие или анонимизира Вашите лични данни, освен ако те са необходими за висящо съдебно, административно производство или производство по разглеждане на ваша жалба пред нас.
25.3. Звукозаписите се съхраняват за срок от 3 месеца. Те могат да се съхраняват за по-дълго време в случаите, когато: записите ще бъдат използвани като доказателство – за конкретни взаимоотношения или за извършено престъпление.
25.4. Когато данните се обработват за маркетингови цели на основание Ваше съгласие – 5 години.
ИЗПЪЛНЕНИЕ НА ПОЛИТИКАТА
Настоящата Политика се счита в сила от 25 май 2018 г. Нито една част от тази Политика няма да има обратно действие и следователно ще се прилага само за въпроси, настъпили на или след тази дата.
Тази политика е одобрена от Съвета на директорите на „И ЕЛ ДЖИ” АД с решение от 22 май 2018г.