Политика за поверителност

ВЪТРЕШНИ ПРАВИЛА ЗА  ЗАЩИТА И ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ



І. ПРАВНА РАМКА 

Настоящите Вътрешни правила се приемат от „Мол Варна“ ЕАД във връзка с необходимостта от актуализация съобразно изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (ОРЗД или Регламента).
Целта на ОРЗД е да се гарантира последователно и еднородно прилагане в рамките на Европейския Съюз (ЕС) на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. 

Приложим е и Закона за защита на личните данни.

Надзорен орган е Комисията за защита на личните данни.

ІІ. АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ

„Мол Варна“ ЕАД е администратор на лични данни като юридическо лице, което самостоятелно определя целите и средствата за обработването на лични данни, в съответствие с правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на България.  „РСР“ ЕООД е наричано по – долу Дружеството и/ или Администратор.

ІІІ. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

„Мол Варна“ ЕАД не е обвързано от задължението за определяне на длъжностно лице по защита на личните данни, но с оглед създаване на максимални гаранции за защита на правата и свободите на физическите лица – субекти на данни е определено длъжностно лице по защита на личните данни, със Заповед на управителя.

Данните за контакт с длъжностното лице по защита на личните данни са:

Адрес: гр. Варна 9009, бул. Владислав Варненчик 186, Мол Варна ЕАД, ет. 3, отдел „Администрация“
E-mail: popova@mallvarna.bg
Телефони: 0882 028 882


ІV. ОБЩИ ПОЛОЖЕНИЯ

4.1. Настоящите Вътрешни правила определят общите правила за обработване и защита на личните данни в Дружеството, като същите периодично ще бъдат преглеждани и при необходимост актуализирани за привеждане в съответствие с добрите практики и високите стандарти по приложение на Регламента.

Настоящите Вътрешни правила следва да се прилагат в съответствие със Заповедите за обработване на лични данни, Политиката за поверителност и други актове на ръководството на Дружеството във връзка с създаването на максимални гаранции за ефективна защита на  личните данни и тяхното обработване.

Тези Вътрешни правила се прилагат за всички служители в Дружеството. Всяко нарушение на тези Правила ще бъде разглеждано като нарушение на трудовата дисциплина, а в случай че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в най-кратък  възможен срок на съответните държавни органи.

Никоя трета страна не може да има достъп до лични данни, обработвани от Дружеството, без предварително да е сключила Споразумение за поверителност, което налага на третата страна идентични задължения и дава право за контрол относно обработването.

4.2. Информацията, съдържаща лични данни, предоставени от абонатите, регистрирани в кампании, игри и промоции организирани от Мол Варна ЕАД в сайтa: www.mallvarna.bg, а именно – име, телефон и e-mail адрес, е насочена само и единствено за вътрешна употреба и при никакви обстоятелства не може да бъде предоставяна на трети страни.


V. ПОНЯТИЯ

5.1. “Лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

5.2. „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

5.3. „Ограничаване на обработването" означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

5.4. „Регистър с лични данни" означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

5.5. „Получател" означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Регламентът предвижда изключение относно предаване на данни на публични органи в рамките на конкретно разследване, когато същите не се считат получатели на лични данни.

5.6. „Съгласие на субекта на данните" означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

5.7. „Нарушение на сигурността на лични данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
Посочването на дефинициите в тези Вътрешни правила не е изчерпателно и са приложими изцяло дефинициите съгласно член 4 от Регламента във връзка със Закона за защитата на личните данни.

VІ. ВИДОВЕ ЛИЧНИ ДАННИ

6. Личните данни са:

6.1. Обикновени лични данни

6.2. Специални лични данни  - лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

Регламентът принципно забранява обработването на специални лични данни, освен при наличието на изрично и изчерпателно описани предпоставки (член 9 от Регламента). За целите на дейността на Дружеството като администратор на лични данни е приложимо обработването на специални данни единствено при:

•    изрично съгласие за обработването на специални лични данни за една или повече конкретни цели, освен когато в правото на ЕС или РБ се предвижда, че посочената забрана не може да бъде отменена от субекта на данни;
•    обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от нормативен акт и при прилагане на подходящи  гаранции за основните права и интересите на субекта на данните;
•    обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
•    обработването е необходимо с цел установяване, упражняване или защита на правни претенции;
•    обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на нормативен акт или съгласно договор с медицинско лице и при следните условията и гаранции:
•   обработване от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на РБ, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на нормативен акт.

VІІ. ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Спазването на въведените от Регламента принципи на обработване е водещо и задължително при всички и всякакви действия по обработване на лични данни (член 5 от Регламента).

Принципите са:

7.1. Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;

7.2. Ограничение на целите – лични данни може да се събират и обработват само за конкретни, изрично указани и легитимни цели, като е въведена изрична забрана за последващо обработване по начин, несъвместим с първоначалните цели;

7.3. Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото за целите на обработването;

7.4. Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременното изтриване или коригиране на неточни данни, при отчитане целите на обработването;

7.5. Ограничение на съхранението – данните да се обработват за период с минимална продължителност съобразно целите на обработването.

7.6. Цялостност и поверителност – да се създадат гаранции за  подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

7.7. ОТЧЕТНОСТ – администраторът носи отговорност и трябва да е в състояние да докаже пред Надзорния орган и пред субектите на данни, че обработването се извършва при спазването на всички принципи, включително и не само поддържане на регистър по дейностите по обработване на лични данни, дневник на исканията на субекти на данни, приемане на вътрешни инструкции, правила, процедури, политика за защита на личните данни, договори с обработващите лични данни, създаване на формуляри за съгласие, оттегляне на съгласие и други документи, както  и тяхното периодично преглеждане и актуализиране при необходимост.

VІІІ. УСЛОВИЯ ЗА ЗАКОНОСЪОБРАЗНОСТ НА  ОБРАБОТВАНЕ НА ДАННИ

Обработването на данни е законосъобразно само при наличието на поне едно от посочените по – долу условия. Посочването на предпоставките в тези Правила не е изчерпателно и включва само приложимите спрямо дейността на Дружеството условия.

При обработването на данни следва да се извършва преценка във всеки случай, като не е необходимо наличието на повече от една от предпоставките. Съгласие от субекта следва да се изисква единствено и само при липсата на друго от предвидените от Регламента условия.

8.1. Съгласие на субекта на данни
Съгласие на субекта на данни означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изрично писмено изявление. Образец на Формуляр за съгласие е одобрен от ръководството на Дружеството и е част от относимите се документи към тези Правила.

При обработване на данни въз основа на съгласие, Администраторът следва да може да установи по безспорен начин кумулативно, че:

•    съгласието е свободно изразено – не е под натиск или заплаха от неблагоприятни последици;
•    конкретно – необходимо е изрично и отделно съгласие за всяка конкретно посочена цел на обработването;
•    информирано – предоставено от субекта въз основа на пълна, точна и лесно разбираема информация;
•    недвусмислено – безспорно и не трябва да се извлича или предполага въз основа на други изявления или действия на субекта на данни;
•    предоставено с активно действие – не е приемливо мълчаливо съгласие, следва да е с изрично изявление.
Недопустимо е съгласието да бъде обвързано с предварителни условия или да води до неблагоприятни последици за лицето при отказ да го предостави или при последващо оттегляне от субекта на данни.
Възможно е съгласието да бъде прието за невалидно при наличие на неравнопоставеност между администратора и субекта на данни (примерно работодател – работник).

Съгласието може да бъде оттеглено по всяко време от субекта на данни и следва да е осигурен лесен и достъпен начин. Формуляр за оттегляне на съгласие е одобрен от ръководството е част от документите, относими се към тези Правила.

При необходимост от обработване на лични данни на лице на възраст под 14 години, съответният служител следва предварително да се консултира с длъжностното лице по защита на личните данни.
 
8.2. Договор, по който субектът на данни е страна и обработването е необходимо за изпълнението на договора. Обработването е допустимо и преди сключването на договор, ако това е по инициатива на субекта на данни.

8.3.  Законово задължение на администратора, на основание правото на ЕС или РБ.

8.4. Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива легитимни интереси имат преимущество интересите или основните права и свободи на субекта на данните.

ІХ. РЕГИСТРИ ЛИЧНИ ДАННИ

Регистър с лични данни означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

9.1. Администраторът поддържа следните Регистри:
•    Регистър ПЕРСОНАЛ
•    Регистър КЛИЕНТИ
•    Регистър ВИДЕОНАБЛЮДЕНИЕ

Специфичните изисквания за базата данни във всеки регистър, отговорните лица и предприетите мерки за прилагането на подходящите технически и организационни мерки за спазването на Регламента и осигуряването на защитата на правата на субектите на данни са регламентирани в Инструкции/ Политики, одобрени от ръководството на Дружеството и задължителни за лицата, ангажирани с обработването на данните от съответните регистри. 

9.2. Регистрите се водят на електронен и на хартиен носител.

9.3. Отговорните лица за всеки от регистрите се определят със заповед на ръководството на Дружеството. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този Правилник във връзка с Регламента и Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни административно наказание – глоба. Ако в резултат действията на съответен служител ангажиран с обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

9.4. Материалните носители на лични данни (досиета, договори, оферти, фактури и други подобни) касаещи лични данни на физически лица се съхраняват в нарочно помещение, в метални шкафове със заключване.

9.5. Регистрите лични данни в електронен вид се въвеждат и съхраняват на компютър / компютри в локална мрежа, със защитен достъп до личните данни.  Изискванията относно адекватните софтуерни продукти за обработването, съхранението, достъпа, криптирането и другите мерки за сигурност са определени в нарочна Инструкция/ Политика, одобрена от ръководството. Периодично и не по – рядко от всеки три месеца се извършва проверка от системния администратор на сигурността на системата и коректната работа от персонала с базата данни.
 Достъп до базите данни се осъществява с индивидуални пароли с висока степен на сигурност. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните в отделни директории/ компютри.
Техническите и организационните мерки за защита се актуализират периодично, на всеки три месеца.

Х. РЕГИСТЪР НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

10.1. Администраторът поддържа Регистър на дейностите по обработване на лични данни с цел създаване на максимални гаранции за защита правата и свободите на физическите лица и създаване на гаранции за защита при обработването.

ХІ. КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

11.1. Лични данни от администратора се предават при спазване изискванията на Регламента, на следните категории получатели и при следните условия:
•    публични органи и институции, като например НАП, НОИ, Инспекция по труда, НСИ и други подобни, в изпълнение на законовите задължения на администратора;
•    трети лица, във връзка с изпълнението на  законови задължения и права и задължения по договори, като например счетоводна къща, служба по трудова медицина, данъчни консултанти, одитори, агенция „Човешки ресурси“;  
•    адвокати и правни консултанти във връзка с  легитимния интерес на Дружеството, включително евентуални правни претенции;
•    на системен администратор във връзка с изпълнението на законовите ни задължения за осигуряване защита на данните и легитимните ни интереси за оперативно управление на бизнеса (създаване и администриране на имейли, предоставяне и контрол на достъпа до системи и бази данни и други сходни);
•    застрахователни компании, при сключване на застраховки или евентуално настъпване на застрахователно събитие с участие на субекта на лични данни;
•    банки, обслужващи плащанията на договори със субекти на данни;
Във всички случаи на предаване на данни на трето лице са приложени подходящи политики за защита на данните и гаранции, че обработването ще се извършва в съответствие с изискванията на действащото законодателство.

ХІІ. СРОКОВЕ НА СЪХРАНЕНИЕ

Сроковете за съхранение се определят при спазване на принципа за „ограничение на съхранението“:

12.1. Данните от РЕГИСТЪР ПЕРСОНАЛ се съхраняват:
•    Трудовите досието се съхраняват за срок от 6 години, след прекратяването на договора;
•    Ведомостите се съхраняват за срок от 50 години, считано от годината, следваща датата на прекратяването на трудовия договор.

12.2. Данните от РЕГИСТЪР КЛИЕНТИ се съхраняват за период от 6 години, след прекратяването на договора, във връзка с евентуални правни претенции.

12.3. Данните от РЕГИСТЪР ВИДЕОНАБЛЮДЕНИЕ се съхраняват за период от 30 дни, считано от датата на съответния видеозапис.

12.4. Данните се унищожават след изтичане на определените срокове или при други основания, предвидени в Регламента и местното законодателство, като за унищожението се съставя протокол с цел спазване принципа на „отчетност“.

ХІІІ. ПРАВА НА СУБЕКТИТЕ НА ДАННИ И РЕД ЗА УПРАЖНЯВАНЕТО ИМ

13.1. Субектите на данни имат следните права:
•    право на достъп до отнасящи се за субекта данни;
•    право на коригиране (и допълване) на неточни (непълни) лични данни;
•    право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
•    право на ограничаване на обработването – при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;
•    право на преносимост на данните – ако се обработват по автоматизиран начин, на основание съгласие или договор. Данните се предават в структуриран, широко използван и пригоден за машинно четене формат. Ако е технически осъществимо, прехвърлянето на данните може да стане пряко от един администратор към друг. Правото на преносимост обхваща само данни, предоставени лично от субекта на данни, както и лични данни, генерирани и събрани от неговата дейност;
•    право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, то може да възрази при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес
•    право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен

13.2. Условия за упражняване на правата на субектите на данни
•    идентифициране на субекта на данните - когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане за упражняване на права, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните;
•    произнасяне в срок - администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане за упражняване на правата, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При забава по основателни причини, срокът може да бъде продължен до 3 месеца, но субекта на данни следва да бъде надлежно информиран в писмен вид за причините и за срока, в който искането му ще бъде удовлетворено;
•    субектът на данни има право да получи исканите данни безплатно;
•    когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.
13.3.  Формуляри за упражняване правата на субекта на данни са одобрени от ръководството на Дружеството и на разположение на субектите при поискване. Формулярите не са задължителни за субекта и са единствено с цел създаване на гаранции за упражняването на правата му без затруднение.

ХІV. НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

14.1. В случай, че служител узнае за нарушение на сигурността на личните данни следва незабавно да уведоми длъжностното лице по защита на личните данни и ръководството на Дружеството, без ненужно забавяне и съобразно Инструкцията/ Политиката за сигурността. Същевременно с уведомяването, всеки служител е длъжен да предприеме мерки за ограничаване на неблагоприятните последици.

14.2. Всяко нарушение на сигурността на личните данни се документира в регистър, включващ фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация се предоставя при поискване на Надзорния орган.

ХV. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

15.1. Настоящите Вътрешни правила са приети от управителя на 25.05.2018 година и може да бъдат изменяни или допълвани периодично.
15.2. Разяснения и съдействие по прилагането на тези Правила, Инструкции и Заповеди на администратора, заинтересованите служители могат да получават от длъжностното лице по защита на личните данни.


Управители на Мол Варна ЕАД:

Десислава Ковачева, CMD
Калоян Костадинов, CSM