Декларация за поверителност

Кои сме ние ?

"БОБИ МХ" ООД е търговско дружество, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК 107564360, със седалище и адрес на управление: област Габрово, гр. Севлиево 5400, ул. "АСЕН ЗЛАТАРОВ" No. 11, тел: 088 2007002, e-mail: [email protected] и е администратор на лични данни, съобразно разпоредбите на Закона за защита на лични данни.

"БОБИ МХ" ООД обработва лични данни при стриктното спазване на изискванията на българското и европейското законодателство (чл. 6 и чл. 13. От Регламент (ЕС) 2016/679 на Европейския парламент и на Европейския съвет от 27.04.2016 г. относно защитата на личните данни (Регламент 2016/679),както и чл. 4, ал 1. т. 2 от Закона за защита на личните данни (ЗЗЛД). Като администратор на лични данни "БОБИ МХ" ООД контролира и определя целите за съхранението и използването на лични данни.

1. Цел на стратегията.

   С корпоративната стратегия за защита на данните изразяваме ангажиментът на "БОБИ МХ" ООД да третираме информацията на своите служители, клиенти, партньори и други заинтересовани страни с първостепенно внимание и конфиденциалност.

   Правилата и принципите, заложени в тази стратегия, показват как ние събираме, съхраняваме и обработваме информация по честен и открит начин, съответстващ с българското и европейско законодателства, както и международни стандарти за корпоративна сигурност и защита на информация. Тази стратегия се отнася до всички заинтересовани страни ( служители, кандидати за работа, клиенти, доставчици и др.),които ни предоставят информация.

   Гарантирането на защитата на данните е в основата на нашата социална отговорност, както и в създаването и поддържането на надеждни бизнес отношения.

2. Визия на "БОБИ МХ" ООД при защитата на данни.

   За нас в "БОБИ МХ" ООД е от първостепенна важност да гарантираме, че обработката на лични данни няма да доведе до нарушаване на правата или интересите на субектите на данни. За да постигнем тази цел, ние предприемаме проактивен подход за защитата на нашите системи и методи за съхраняване и обработка на лични данни. Това означава, че се стремим да предприемаме нужните технически и организационни мерки за информационна сигурност и зашита на лични данни преди започването на обработка. По този начин "БОБИ МХ" ООД цели да предотврати пробиви в системите и мрежите си, нарочно заличаване и/или загуба на лични данни, както и достъп до системите на неоторизирани лица. За нас е приоритетно въвеждането на утвърдени практики за защита на личните данни и изграждането на работни модел, спазващи действащите български и европейски закони.

   Подходът на "БОБИ МХ" ООД към защитата на лични данни е базиран на принципите; „privacy by design“ и “privacy by default”. В съответствие с тези принципи, всяка обработка на лични данни ще бъде съобразена с нуждите на защитата на лични данни и поверителността. Тези принципи са заложени при: изпълнението на вътрешни проекти, разработката на нови продукти и услуги, извършването на текущи бизнес операции и др. Наша цел е да интегрираме решения за защита на личните данни като неразделна част от предлаганите продукти и услуги.

   За да изпълним тези задължения ние въвеждаме следните мерки:

   1. Проактивен подход за защита на лични данни
      Чрез навременната интеграция на мерки за сигурност и предотвратяването на пробиви в сигурността, минимизираме рискът за поверителността на съхраняваните лични данни.
   2. Сигурност по подразбиране -
      Подобряваме нашите бизнес практики и методи за обработка на данни за да гарантираме, че обработваните лични данни са защитени през всички фази на обработка (от събирането на данни до тяхното заличаване) без това да налага допълнителни действия или въвеждането на допълнителни мерки за сигурност.
   3. Цялостна и последователна защита на личните данни.
      Упражняваме надзор и законосъобразност при управлението на данни през целият цикъл на обработка. Това означава, че всички лични данни са събрани по сигурен начин, обработени, съхранявани и след това унищожени, когато вече нямаме легитимна причина за тяхното съхранение.
   4. Откритост и прозрачност при работата с лични данни. Редовен одит на практиките за защита на обработваната информация.
      Това се отнася както към нашето задължение да прилагаме ясно определени и прозрачни практики относно това каква информация събираме и обработваме, така и към отговорността ни да проверяваме качеството, сигурността и точността на съхраняваните данни чрез вътрешен и външен одити.
   5. Прилежност при работата с лична информация
      Изискваме от нашите служители, обработващи лични данни като системни оператори, счетоводители, специалисти управление на човешки ресурси и други да зачитат правата и защитават интересите на субектите на данни. За да постигнем тези цели сме отговорни към подобряването на системите и практиките си за сигурност и работим в консултации с нашите служители, клиенти, доставчици и други заинтересовани страни. Taкa можем да осигурим прилежната обработка на лични данни и зачитане на правата на субектите на данни.

3. Цел, обхват и правила при обработката на лични данни.

   Във връзка с изпълнението на различни работни процеси "БОБИ МХ" ООД събира и обработва лични данни на своите служители, клиенти, доставчици и др., в съответствие с член 13 и 14 от РЕГЛАМЕНТ 2016/679.

   Обработваната от "БОБИ МХ" ООД информация включва лични данни на физически и юридически лица, с които съответните лица могат да бъдат идентифицирани. Такива лични данни са (без този списък да е изчерпателен): имена, настоящ и постоянен адрес, ЕГН/дата на раждане, телефонен номер, номер и дата на документ за самоличност, булстат, номер на банкова сметка, и всяка друга информация, чрез която могат да бъдат идентифициран/и пряко или непряко, посредством идентификационен номер и/или един или повече специфични признаци, които са предоставени с изричното съгласие на субектите на данни и/или в изпълнение на законово или договорно задължение, за които субектите на данни са запознати преди започването на обработката.

   "БОБИ МХ" ООД събира лични данни по законосъобразен начин като съхраняваните лични данни са предоставени доброволно и с изричното съгласие и знание на субектите на съответните данни. Личните данни се съхраняват за конкретно определен период, в който съществува основание за тяхната обработка, и след отпадането му – до изтичането на сроковете, установени в нормативен акт, които са не-по кратки от 5 години.

   Предоставените лични данни ще бъдат съхранявани от "БОБИ МХ" ООД при нормативно определените мерки за защита.

   На кого предоставяме вашите данни?

   Данните, които се споделят с "БОБИ МХ" ООД не се предоставят на други лица или компании.

   Можем да предоставим информация, съхранявана при нас по причини от правен характер, ако достъпът, употребата, запазването или разкриването й е правомерно изискано от държавни органи или длъжностни лица, оправомощени със закон да изискват и събират информация, съдържаща лични данни и при спазване на нормативно установения ред, или когато се представя пред компетентни органи, за да се защити правния интерес на "БОБИ МХ" ООД.

   Обработваните лични данни не се споделят с организации и другите трети страни извън Европейския Съюз.

4. Основни принципи и правила при обработката на лични данни.

   Долупосочените вътрешни правила за обработката на лични данни в "БОБИ МХ" ООД са съобразени и отговарят на изискванията на българското и европейското законодателства, и конкретно (чл.5, чл.6, чл. 13 от Регламент (ЕС) 2016/679 на Европейския парламент на съвета от 27.04.2017 г. относно защитата на личните данни, както и чл. 4, ал1. т. 2 от Закона за защита на личните данни (ЗЗЛД).

   1. Обработка на данни по справедлив и законосъобразен начин –
      Личните данни се събират и обработват чрез изрично определени процедури, които не нарушават личните права на субектите на данни, както и на действащи нормативни разпоредби в република България.
   2. Целесъобразност на обработваната информация -
      Данните, които се събират, съхраняват и обработват са ограничени и свързани с извършването на легитимна дейност. Личните данни могат да бъдат обработвани само за целите, които са определени преди събирането на данни. Последващите промени в целта са възможни само в ограничена степен и изискват обосновка и съгласие. Ако имаме нужда от обработката на лични данни за цели, които не са предварително упоменати, първо информираме субектите на данни и изискваме тяхното изрично съгласие. В тези случаи "БОБИ МХ" ООД следва процедура за получаване на допълнително съгласие, когато това е необходимо.
   3. Прозрачност и зачитане на правата на субектите на данни
      1. Субектите на лични данни трябва да бъдат информирани за начина, по който се обработват техните данни. Личните данни се събират с изричното съгласие на съответното лице, като субектът трябва да бъде информиран и запознат с:
         1. Идентичността на администратора на данни / "БОБИ МХ" ООД /.
         2. Целта на обработката на данни
         3. Категориите лични данни, които се обработват
         4. Трети страни, на които данните се предоставят или могат да бъдат предоставени
      2. Правата на субектите на данни включват:
         1. Право на достъп до предоставените лични данни, включително право на информация за източника на данните, целта на обработването и за третите лица, на които данните са предоставени.
         2. Правото на корекция, актуализация и заличаване на съхраняваните данни, в съответствие с предварително определена процедура. Навременно коригираме и обновяваме съхраняваните от нас данни, когато сме информиране от субекта на данни относно изменения и неточности или, когато открием такива посредством вътрешни и външни информационни одити.
         3. Право на оттегляне на съгласието за обработка на данни, по всяко време, включително и правото да бъде възразено обработването на лични данни. При наличието на подобно възражение или оттегляне на съгласието, обработката на лични данни трябва да бъде прекратено.
         4. Правото на преносимост на информация, както и правото да бъдат предоставени наличните лични данни. Когато субект на данни поиска информация относно обработваните от "БОБИ МХ" ООД лични данни, ние предоставяме тази информация в структуриран и удобен за машинно четене вид, които те могат да предоставят на друг администратор на данни. Получаването на информация относно обработваните от нас данни се извършва в съответствие с предварително изготвена процедура.
   4. Консервативност при работата с лични данни

      Преди да обработим лични данни, трябва да бъде определено дали и до каква степен обработката на съответните данни е необходима, за да се постигне конкретната легитимна и законна цел на предприятието.

      Обработката на лични данни е позволена само, когато целта, за която се събират, съхраняват, и обработват лични данни, е легитимна, оправдана и/или свързана с конкретен интерес и/или изпълнение на нормативен акт. Лични данни не могат да се събират предварително и да се съхраняват за потенциални бъдещи цели, освен ако това не е необходимо и/или изискано от националното законодателство. Безпредметното събиране на лична информация е напълно забранено.

   5. Заличаване на личните данни, които вече не са необходими.

      Личните данни, които вече не са необходими след изтичането на периода, свързан с правни или бизнес процеси, трябва да бъдат заличени. След изтичането на определеният срок за съхранение, в който съществува основание за тяхната обработка и съхранение, личните данни трябват да бъдат унищожени. Може да има индикация за интереси (правни, икономически, счетоводни, др.),които налагат по-дългото съхранение на данни в конкретни случаи. В тези случаи, данните трябва да останат в архив, до съществуването на легитимна причина за тяхното съхранение.

   6. Фактологично точност и актуалност на данните.

      Личните данни, съхранявани в досиета и/или бази данни, трябва да са правилни, пълни и ,при необходимост, да бъдат актуализирани. Трябва да се вземат подходящи мерки, за да се гарантира, че неточни или непълни данни се изтриват, коригират, допълват или актуализират.

   7. Конфиденциалност и сигурност

      Личните данни са конфиденциални и се съхраняват при висок стандарт на сигурност. Те се третират като поверителни и, поради тази причина, трябва да бъдат подсигурени посредством подходящи организационни и технически мерки за предотвратяването на неоторизиран достъп, неправомерна обработка, промяна или разпространение, както и случайна загуба, промяна или заличаване.

   8. Последователност, уведомление и процедури при загуба, компрометиране или неоторизиран достъп до лични данни.

      В случаите на загуба, компрометиране или неоторизиран достъп до лични данни, е нужно лицата, чиито данни са засегнати, да бъдат информирани и да им бъде предоставена конкретна информация относно причините за конкретния инцидент, засегнатата информация и предприетите мерки, доколкото това е възможно и не е в противоречие с правно или друго задължение. При наличието на пробив в сигурността, информация относно причините, засегнатата информация и предприетите мерки се съхраняват в регистър за пробиви в системата.

5. Задължения и отговорности за защитата на лични данни и информация

   1. Служители на "БОБИ МХ" ООД, обработващи лични данни имат задълженията да спазват разпоредбите, описани в „Правилата за защита на лични и фирмени устройства“, “Вътрешните правила на "БОБИ МХ" ООД при обработката на лични данни“ и „Основните принципи при обработката на лични данни“. В тези документи са описани правилата за работа осигуряват нужното ниво на безопасност, за да се гарантира сигурността на съхраняваната информация и по конкретно:

      • • Правилата за работа с фирмени устройства и системи
      • • Правила за осигуряването на безопасност на електронната поща
      • • Протокол за защита на паролите
      • • Правила за сигурност при пренос на лични данни
      • • Вътрешни мерки за сигурност
      • • Допълнителни мерки за подсигуряване на защитата на лични данни

   2. Роли при обработката на лични данни. Служителите в администрацията на "БОБИ МХ" ООД извършват следните процеси по обработката на данни:

      Събират, обработват, съхраняват, архивират, коригират и заличават документи при кандидатстване за работа, включително: молба, автобиография, актуална снимка, копие от диплома за завършено образование. Също така обработват на служителите: трите имена, ЕГН, актуален адрес, данните от лични карти, номер на документа, адрес, дата на раждане, телефонен номер, e-mail, банкови сметки, гражданство, ТЕЛК решения, болнични, документи за всички видове отпуски по КТ, трудова кариера, документи доказващи стаж, документи доказващи образование – дипломи, медицинско свидетелство, служебни бележки издадени от ГРАО за ползване на отпуск по чл. 157, ал1. Т3 КТ, и др.

   3. Служителите на "БОБИ МХ" ООД са преминали обучения и са запознати с изискванията на РЕГЛАМЕНТ 2016/679. При обработването на лични данни служителите винаги се стремят да:
      • • Обработват лични данни, които са събрани по законен, честен и открит начин
      • • Обработват лични данни само за конкретни и легитимни цели
      • • Минимизират съхраняваната информация, която винаги ще се свежда до минимум. Няма да бъдат събирани личните данни на субекти без наличието на конкретно основание, договор или легитимен интерес на компанията
      • • Съхраняваната информация ще бъде поддържана в точно и актуално състояние. Всички открити точност ще бъдат отстранявани при първа възможност.
      • • Обработваните лични данни ще се съхраняват за точно определени периоди, описани в политиката за съхранение и заличаване на лични данни, и след което ще бъдат унищожавани
      • • Служителите и ръководството ще предприемат всички възможни мерки за осигуряването на сигурността и конфиденциалността на обработваната информация
      • • Обработката на лични данни ще става само при наличието на съгласие. Нужно е наличието на законово основание преди започването на обработка на лични данни по един от следните начини, съгласно чл.6 на Регламент 2016/679:
        • o Писмено съгласие
        • o Изпълнение на договорни отношения
        • o Законово задължение на "БОБИ МХ" ООД
        • o Защитата на жизненоважен интерес на субекта на данни
        • o Изпълнението на задача от обществен интерес
        • o Легитимен интерес на предприятието

   4. Предприети мерки.

      За да упражняваме защита на данните, ние въведохме следните мерки:

      • • Разработваме и прилагаме прозрачни процедури за събирането на данни
      • • Ограничаваме и наблюдение на достъпа до лични данни
      • • Обучаваме на служителите в онлайн поверителността и мерките за сигурност
      • • Създаваме защитени мрежи за защита на онлайн данни от кибер-атаки
      • • Създаваме на ясни процедури за докладване на нарушения на неприкосновеността на поверителността на данни или злоупотреба с данни
      • • Включваме договорни клаузи или известяване на служители, партньори и клиенти за това как обработваме техните данни
      • • Създаваме на практики за защита на данни криптиране на данни, чести резервни копия (back-ups),разрешение за достъп и т.н.)
      • • Сключване на договор със служител по защитата на лични данни, който: изготвяне на годишен информационен одит и издаването на препоръки, консултира относно компютърната сигурност, провежда обучения на персонала, подпомага извършването на вътрешни и външни одити на практиките за обработка на информация

6. Дисциплинарни последствия

   Всички принципи, описани в тази политика, трябва стриктно да се спазват. Нарушаването на указанията за защита на данните ще доведе до дисциплинарни и при нужда съдебни мерки.

Последна редакция: 19 март 2019 г.