ЗАДЪЛЖИТЕЛНА ИНФОРМАЦИЯ ЗА ПРАВАТА НА ЛИЦАТА ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В МЕТАРЕКС ООД
ПОЛИТИКА ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В МЕТАРЕКС ООД (ПОЛИТИКА)
„Метарекс“ ООД, ЕИК 040427202, ДДС № BG040427202, със седалище и адрес на управление: България, гр. София, ул. „Тричкова могила“ № 58 и административен офис в гр. Шумен, ул. „Иван Вазов“ № 5, тел.: +359 54 800191, имейл адрес: office@metarex.net и уебсайт: www.metarex.net e дружество, което обработва лични данни („Администраторът“ или „Метарекс“).
Метарекс, като администратор на лични данни, събира и обработва определена информация за физически лица, която се отнася до служители, управители, клиенти, доставчици, контрагенти и други, с които Администраторът има или иска да установи връзка.
Настоящата политика за защита на личните данни урежда как да бъдат събирани, обработвани и съхранявани личните данни, за да отговарят на стандартите в организацията на Администратора и да са в съответствие с правните изисквания.
Чл. 1. Правно основание за събиране, обработване и съхраняване
Администраторът събира и обработва лични данни на основание чл. 6, ал. 1 от Общия регламент относно защитата на данните (ЕС) 2016/679 („GDPR”) и Закона за защита на личните данни и подзаконовите му актове, така както се променят.
Администраторът събира и обработва лични данни и по-конкретно въз основа на следното основание:
-изрично получено съгласие;
-изпълнение на задълженията на Администратора по договор;
-спазване на законово задължение, което се прилага спрямо Администратора;
-за целите на легитимните интереси на Администратора или на трета страна.
За да бъде обработването на лични данни в съответствие с правните изисквания, личните данни се събират и използват основателно, съхраняват се сигурно и Администраторът предприема необходимите мерки, за да не бъдат обработваните лични данни обект на незакономерно разкриване.
Чл. 2. Цели и принципи
(1) Настоящата Политика цели Администраторът да:
-бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установените добри практики;
-установи механизмите за водене, поддържане и защита на отчетните регистри;
-установи задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения;
-защитава правата на персонала, клиентите и партньорите;
-бъде открит как съхранява и защитава личните данни на физическите лица;
-установи необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);
-бъде защитен при риск от нарушения.
(2) Администраторът спазва следните принципи при обработката на лични данни:
-законосъобразност, добросъвестност и прозрачност;
-ограничение на целите на обработване;
-съотносимост с целите на обработката и свеждане до минимум на събраните данни;
-точност и актуалност на данните;
-ограничение на съхранението с оглед постигане на целите;
-цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.
Чл. 3. Обхват
Настоящата Политика се прилага по отношение на обработването на лични данни на контрагенти, доставчици, клиенти, партньори и персонал, така както са описани в електронните отчетни регистри, установени в съответствие с тази Политика, българското законодателство и чл. 30 от GDPR (“Регистри на дейностите по обработване“).
Чл. 4. Събиране на лични данни
(1) Категории данни и субекти
„Лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („Субект на данни“), а именно:
Администраторът събира лични данни по отношение на следните категории лица:
-лица, които предават отпадъци на базите на Метарекс;
-лица, които получават материали (отпадъци годни за повторна употреба) от базите на Метарекс;
-лица, представляващи дружествата, с които Администраторът има бизнес взаимоотношения;
-лица за контакт в дружествата, с които Администраторът има бизнес взаимоотношения;
-лица, които са заинтересовани от получаването на информационни услуги;
-лица, служители и работници на Администратора.
(2) Цели на събирането на данните
Администраторът събира личните данни във връзка с изпълнението на следните цели:
1. За изпълнение на дейности, свързани със сключване, съществуване, изменение и прекратяване на договорни правоотношения, вкл. за:
-за установяване на връзка с лицето за контакт по телефон, факс или по всякакъв друг законосъобразен начин;
-за доставка и/или приемане на стоки/услуги, за комуникация във връзка с предоставяне и/или получаване на стоки/услуги и за предоставяне на свързаното с тях клиентско обслужване;
-за водене на счетоводна отчетност във връзка с изпълненията по договори, по които Администраторът е страна;
-за обработка на плащания във връзка със сключените договори от Администратора;
-за изпращане на важна информация до субектите във връзка с промени в правилата, условията и политиките на Администратора и/или друга административна информация
-за извършване на видеонаблюдение на обектите на Администратора.
2. За статистически цели.
(3)Събиране на данните
Данни на контрагенти (управители, представители и/или лица за контакт на юридическото лице по търговски договор и др.)
Личните данни за всяко лице се предоставят доброволно от самите лица и се събират от Администратора в изпълнение на нормативно задължение, във връзка със сключването на договор съгласно разпоредбите на Търговския закон, Закона за счетоводството, Закона за задълженията и договорите, Закона за данъка добавена стойност, Закон за Търговския регистър и др. и условията посочени в търговски договори със съответния клиент чрез: хартиен носител – писмени документи (вкл. пълномощни, договори, банкова информация и др.), по електронна поща – предоставени във връзка с изпълнението на търговски договор и/или чрез попълване на регистрационна форма, чрез видеонаблюдение – извършвано с цел наблюдение на обектите на Администратора във връзка с разпоредбите на Закона за управление на отпадъците (всеки обект е маркиран с информационни табели с надпис „Обектът е под постоянно видеонаблюдение“). Лицата се уведомяват за разпоредбите на тази Политика предварително или в момента на получаване на данните им.
(4) Дружеството не събира и не обработва данни за лица под 16 години, освен с изричното съгласие на техните родители или законни представители.
Чл. 5. Законни интереси, преследвани от Администратора
Във връзка с обработване на данните на управителите и контрагенти:
Обработването на данните се извършва на основание законен интерес и във връзка със сключването, съществуването, изменението и прекратяването на търговски и граждански договори при прилагане и изпълнение на нормативните изисквания на Търговския закон, Кодекса за социално осигуряване, Данъчно-осигурителен процесуален кодекс, Кодекса на застраховането, Закон за данъците върху доходите на физическите лица, Закона за счетоводството, Закон за задълженията и договорите и др.
Чл. 6. Прозрачност. Права на лицата, чиито данни се обработват от Администратора
(1) Прозрачност и условия за упражняване на правата на лицата
Администраторът предоставя информация на лицата в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.
Администраторът се стреми да гарантира, че лицата са запознати относно обработваните от него лични данни, че лицата изцяло и напълно разбират и са информирани във връзка с обработването в съответствие с изискванията на GDPR и българското законодателство.
Администраторът предоставя на лицата безплатно информация относно действията предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането, стига това да не противоречи на друг нормативен акт.
При необходимост този срок може да бъде удължен с още два месеца като се взема предвид сложността и броя на исканията. Администраторът информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато съответното лице подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако лицето не е поискало друго.
Ако Администраторът не предприеме действия по искането, Администраторът уведомява лицето без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.
Когато исканията на лицето са явно неоснователни или прекомерни, по специално поради своята повторяемост, Администраторът може или:
-да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или
-да откаже да предприеме действия по искането.
(2) Право на достъп на лицата
Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:
-целите на обработването;
-съответните категории лични данни;
-получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации);
-когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;
-съществуването на право да се изисква от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със засегнатите лица, или да се направи възражение срещу такова обработване;
-правото на жалба до Комисия за защита на личните данни;
-когато личните данни не се събират от самите лица, всякаква налична информация за техния източник;
-съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата.
Когато личните данни се предават на трета държава или на международна организация, лицата имат право да бъдат информирани относно подходящите гаранции във връзка с предаването.
Администраторът предоставя на лицето копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от лицата, Администраторът може да наложи разумна такса въз основа на административните разходи. Когато лицето подава искане с електронни средства, по възможност информацията се предоставя в електронна форма, освен ако лицето не е поискало друго.
(3) Право на коригиране
Всяко лице, чиито данни се обработват от Администратора, има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него.
Като се имат предвид целите на обработването лицето има право непълните лични данни да бъдат допълнени.
(4) Право на изтриване (право „да бъдеш забравен“)
Всяко лице, чиито данни се обработват от Администратора, има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни /ако това не противоречи на друг нормативен акт/, когато:
-личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
-лицето оттегли своето съгласиe, върху което се основава обработването на данните, и няма друго правно основание за обработването;
-лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
-личните данни са били обработвани незаконосъобразно;
-личните данни трябва да бъдат изтрити с цели спазването на правно задължение, което се прилага спрямо администратора;
-личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
Когато Администраторът е направил личните данни обществено достояние и е задължен съгласно предходния параграф да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че засегнатото лице е поискало изтриване от тези администратори на всички връзки, копия или реплики на неговите лични данни.
Администраторът не е длъжен да изтрие личните данни, ако ги съхранява и обработва:
-за упражняване на правото на свобода на изразяването и правото на информация;
-за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
-по причини от обществен интерес в областта на общественото здраве;
-за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
-за установяването, упражняването или защитата на правни претенции.
(5) Право на ограничаване на обработването
Всяко лице, чиито данни се обработват от Администратора, има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следното:
-точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни;
-обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
-Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
-субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.
Когато обработването е ограничено, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.
Когато субект на данните е изискал ограничаване на обработването, Администраторът го информира преди отмяната на ограничаването на обработването.
(6) Право на получаване на информация
Администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
(7) Право на преносимост на данните
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, когато обработването е основано на съгласие във връзка с определени цели или на договорно задължение на субекта или предприемане на стъпки преди сключване на договор и обработването се извършва по автоматизиран начин.
Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
(8) Право на възражение
Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него (когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия на Администратора, или обработването е за целите на
легитимните интереси на Администратора или на трета страна), включително профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходните параграфи, което му се представя по ясен начин и отделно от всяка друга информация.
Чл. 7. Технически и организационни мерки за защита на данните
Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки.
Чл. 8. Трансфер на лични данни
Администраторът не осъществява и няма да осъществява трансфер на лични данни в страни, извън Европейския съюз.
Чл. 9. Нарушения. Уведомяване за нарушения
(1) Нарушения
Нарушение на сигурността на данни възниква, когато личните данни, за които Метарекс отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват.
В случай на нарушение на сигурността на личните данни незабавно следва да се уведоми Длъжностно лице по защита на данните на имейл dpo@metarex.net или на телефон 054 800 191.
(2) Оценка на нарушенията
След като съответния служител на Метарекс получи информация за извършено нарушение, то трябва да определи дали конкретното събитие представлява
нарушение на лични данни и да уведоми управителите на Администратора за събитието (в случай, че те не знаят).
В случай на нарушение на сигурността на личните данни, което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът (чрез съответния служител), без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след като е разбрал за него, уведомява Комисията за защита на личните данни.
Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, съобщава на субекта за нарушението.
Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
Чл. 10. Унищожаване
Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от Администратора в следните срокове:
-ведомости за заплати – 50 години;
-счетоводни регистри и финансови отчети – 10 години;
-документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
-лични данни на участници в процедури по подбор на персонал – 6 месеца;
-всички останали носители – 5 години.
След изтичане на срока за съхранението им носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.
След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител – чрез заличаване и изтриване на съответните файлове от компютрите на дружеството.
Чл. 11. Лица, на които се предоставят лични данни
За целите на обработване на личните данни и предоставяне на услуга в пълната й функционалност и с оглед интересите на субекта на лични данни, Администраторът може да предостави данните на следните лица, които са обработващи данни – виж списъка на обработващите данни. Посочените обработващи лични данни спазват всички изисквания на законност и сигурност при обработването и съхраняването на личните данни.
Допълнителни разпоредби
По смисъла на настоящата политика:
1. „Администратор на лични данни“ е Метарекс ООД, ЕИК 040427202, като действия от името на администратора осъществява длъжностно лице, имейл адрес: dpo@metarex.net.
2. “Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
3. Настоящата Политика подлежи на утвърждаване и довеждане до знанието на лицата, които касаe, със заповед на управителя на Администратора.
Политиката е одобрена от управителите на: 14.07.2022г.
Следваща дата за актуализиране: 31.07.2023г.