ПРАВИЛНИК
ЗА НАБИРАНЕ, ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ
НА „АЖМ-ГРУП” ЕООД
- Правно основание
Чл. 1. Настоящият правилник се издава на основание Закона за защита на личните данни (ЗЗЛД) и Регламент (ЕС) 2016/679. С Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. С Регламент (ЕС) 2016/679 се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни. Свободното движение на лични данни в рамките на Съюза не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни. Настоящите Вътрешни правила уреждат организацията на защита на личните данни в съответствие с изискванията на Регламента и се прилагат за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването им с други средства, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.
- Цели и обхват на правилника
Цели
Чл. 2. Настоящият правилник има за цел да регламентира:
(1) механизмите на водене, поддържане и защита на лични данни на служители и клиенти на „АЖМ-ГРУП” ЕООД (наричано по нататък „Дружеството”), като администратор на лични данни по Закона за защита на личните данни, както и нивото на технически и организационни мерки при обработване на лични данни и допустимия вид защита.
(2) Правилникът за защита на личните данни се прилага за хотелския комплекс „Оазис” на „АЖМ-ГРУП” ЕООД и за официалният му уеб сайт https://oasisresort.bg
(3) задълженията на оправомощените лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения;
(4) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
Обхват
Чл. 3. Правилникът е задължителен за Обработващи лични данни определени от Администратора на лични данни.
- Технически и организационни мерки и предназначение на регистрите
- Помещенията, в които се събират, съхраняват и обработват лични данни са предварително определени и се заключват.
- Достъп до помещения, където се намират информационни системи с лични данни, имат само надлежно оторизираните служители.
- Регистри с лични данни на хартиен носител се съхраняват в шкафове /каси със заключващи устройства.
- Помещенията, където се събират, съхраняват и обработват лични данни се поддържат в добро противопожарно състояние. Осигурени са необходимите пожарогасители, определени от проекта на даденото помещение.
- При отпадане на необходимостта от достъп до съответната база данни същият се отнема.
- Предоставянето, промяната или прекратяването на оторизиран достъп до бази данни се извършва единствено от оторизираните служители.
- Всички служители с достъп до база лични данни подписват декларация за спазване на правилата за защита на личните данни в Дружеството и поемане на отговорностите, свързани с работата с лични данни, както и съгласие за поемане на задължение за неразпространение на личните данни. Декларациите се регистрират и съхраняват в предварително регламентирано място.
- Всеки обработващ лични данни (потребител) има собствен акаунт и парола за директорията, до която има достъп в информационните системи и програмни продукти.
- При подаден сигнал за узнаване на паролата за информационната система от трето лице, същата незабавно се променя.
- След приключване на работа със съответния програмен продукт, същия се затваря за използване, без да се минимизира на десктопа.
- Не е допустимо използването на преносими лични носители на данни.
- Създават се архивни копия, които гарантират възстановяването на данните.
- На всички работни станции, използвани за работа с автоматизирани информационни системи има инсталиран антивирусен софтуер и защитна стена които се обновяват автоматично.
- При нарушение на сигурността на личните данни се уведомява длъжностното лице по защита на личните данни (ако има такова) до 72 часа от узнаването за нарушението и съответно то осъществява връзка КЗЛД.
Набиране и съхраняване на лични данни
Чл. 4. (1) Регистърът набира и съхранява лични данни на хартиен носител, електронен носител видео записващо устройство (DVR,NVR) и на уеб базирана платформа с оглед:
- Трудови правоотношения;
- Спазване на трудовото законодателство;
- Спазване изискванията на Закона за задълженията и договорите;
- Спазване на законови изисквания за предоставяне на информация на НАП и НОИ за физическите лица, работещи в Дружеството;
- На основание контрол на работния процес и спазване на работното време и самоохрана за непрекъснато видеонаблюдение, предотвратяване на измами, кражби и други нарушения на и от персонала, контрагенти, клиенти или други лица на територията на Дружеството;
- Резервации и настаняване в Хотелския комплекс;
- Договорни и търговски отношения с клиенти;
Форми на водене на регистъра
Чл. 5. (1) На хартиен носител:
- Форма на организация и съхраняване на личните данни – писмена (документална);
- Местонахождение на картотечния шкаф/каса – Помещение с ограничен достъп посредством заключващ се механизъм на входната врата на помещението до който имат достъп само Представляващите Дружеството и обработващите лични данни служители определени от администраторите на лични данни в случая Представляващите Дружеството;
- Носител (форма) за предоставяне на данните от физическите лица –фактури и договори с и на клиенти. Личните данни от лицата се подават на администратора на лични данни и оправомощените лица, назначени за обработването им – обработващ лични данни, на основание нормативно задължение във всички случаи, когато е необходимо;
- Достъп до личните данни – такъв имат само обработващите лични данни определени от администраторът на лични данни.
(2) На технически носител:
- Форма на организация и съхраняване на личните данни – личните данни се съхраняват на твърд диск, на изолирани (с ограничен достъп) компютри;
- Местонахождение на компютрите – Помещение с ограничен достъп, посредством заключващ се механизъм на входната врата на помещението, до който имат достъп само обработващите лични данни в случая счетоводителя и администраторите в хотела определени от Администратора. Компютърът в рецепцията на хoтела е позициониран в бюрото по начин, непозволяващ свободния достъп до него;
- Достъп до личните данни и защита – достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите лични данни, чрез акаунт и парола за отваряне на тези файлове;
- Периодично архивиране – Архивиране на личните данни на технически носител се извършва периодично на всеки пет дни от обработващия лични данни с оглед запазване на информацията за съответните лица в актуален вид.
(3) На видео записващо устройство (DVR,NVR):
- Форма на организация и съхраняване на личните данни: личните данни под формата на видео запис за движение на служителите и посетителите към подходите на прилежащото дворно място, помещенията и в самите тях ползвани от Дружеството се съхраняват на записващо устройство в продължение на не повече от 60 дни, предвидено в Закона за чатната охранителна дейност, след което автоматично се изтриват от устройството;
- Местонахождение на записващото устройство – Помещение с ограничен достъп посредством заключващ се механизъм на входната врата на помещението до който имат достъп само обработващите лични данни в случая служителите изпълняващи охранителна дейност на територията на хотелския комплекс и Представляващите Дружеството;
- Достъп до лични данни и защита – достъп до записващото устройство, съдържащо видеозаписи имат само Представляващите Дружеството и определените от тях служители, извършващи денонощна охрана на територията на хотелски комплекс „КРЕДО” чрез акаунт и парола за достъп до записите;
- Данните в регистъра се предоставят доброволно от лицата при влизането им в сградата на Дружеството. На входовете на сградата са поставени предупредителни табели, че обектът се намира под постоянно видеонаблюдение;
Групи данни в регистъра
Чл. 6.
(1) Относно физическата идентичност на лицата – имена, ЕГН, адрес, телефон, паспортни данни;
(3) Образование – документ за придобито образование, квалификация, правоспособност, когато се изисква;
(4) Трудова дейност – съгласно приложените документи за трудов стаж и професионална биография;
(5) Медицински данни – карта за предварителен медицински преглед, когато се изисква по закон;
(6) Свидетелство за съдимост, когато се изисква;
(7) Заплати и хонорари;
(8) Други лични данни, формуляри по образец;
Чл. 7. Видовете лични данни, които администраторът събира и обработва са различни, съобразно целите за които се събират и основанията за обработването им:
(1) За реализиране на заявяване и потвърждаване на резервация, „АЖМ-ГРУП” ЕООД събира и обработва следните видове данни:
а/ При резервация, чрез уеб сайт или туристически оператор:
– Трите имена на лицето за контакт;
– e-mail адрес и телефон на лицето за контакт;
б/ При резервация по телефон:
– телефон за обратна връзка и e-mail адрес за потвърждение на резервацията
– Трите имена на лицето за контакт;
Тези данни се съхраняват до реализиране на резервацията. След това данните се унищожават и тяхното последващо обработване е невъзможно.
(2) За целите на настаняването на гости в Хотелски комплекс „Оазис” Администраторът обработва и съхранява следните данни:
– Име на лицето (за български граждани – на кирилица, за чужденци – на латиница, съгласно националния документ);
– Дата на раждане;
– Пол;
– Гражданство;
– Номер на лична карта/ валиден национален документ за самоличност;
– Държава, издала националния документ.
Данните, които се събират за целите на регистрацията в хотела, се събират на основание Чл. 116, ал.2 от Закона за туризма и са нужни за воденето на регистър за настанените туристи. Данните се съхраняват за период от 5 /пет/ календарни години.
(3) За целите на реализирането на корпоративни или лични събития в Хотелски комплекс „Оазис” се обработват и съхраняват следните данни:
-Име на лицето организатор на събитието. При корпоративни събития лице за контакт, посочено от юридическото лице, организатор на събитието;
– e-mail адрес и телефон на лицето за контакт;
Тези данни се съхраняват до 3 /три/ календарни години след реализиране на събитието.
(4) За целите на директния маркетинг, включително анализиране и профилиране на целевите аудитории и за проследяване удовлетвореността на нашите клиенти, се обработват следните данни:
– e-mail адрес
– IP адрес
– Местоположение
– Език
– Години
– Пол
– Интереси
– Поведение потребителите на сайта https://oasisresort.bg
Целта на събирането на тези данни е да предостави персонални предложения и услуги, отговарящи на нуждите и очакванията на клиентите.
Декларация за съгласие за използване на предоставени от субектите на данни за маркетингови цели на Хотелски комплекс „Оазис”.
(5) Индивидуализиране и cookies
Новите технологии ни дават възможност да се персонализира уеб сайта за всеки отделен клиент. Cookies представляват текстови файлове, съдържащи информация, която позволява идентификацията на завръщащи се потребители. Cookies се съхраняват локално на използваното от клиентите устройства за достъп до уеб сайта на Дружеството https://oasisresort.bg и не причиняват вреди на тяхната система.
Cookies освобождава от нуждата да се въвеждат данни повече от веднъж, улесняват предаването на специфично съдържание и помагат да се идентифицира предпочитанията на клиентите. Натрупването и анализирането на тази информация позволява и подобрява електронните услуги и цялостното потребителско изживяване, така че те да отговарят максимално близо на нужди на клиентите.
Задължения на лицата, отговарящи за водене и съхраняване на данните в регистъра
Чл. 8. Задълженията на лицата, отговарящи за водене и съхраняване на данните в регистъра (оправомощените лица) включват набиране, обработване, актуализация и съхраняване и изтриване на лични данни.
Актуализация на лични данни
Чл. 9. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в дружеството. Актуализация на лични данни се извършва:
- по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
- по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация;
- при установена грешка при обработката на личните данни от страна на обработващия лични данни;
(2) При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.
Мерки за защита при обработване на личните данни
Чл. 10.
(1) Правилата за защита при обработване на лични данни регламентират технически мерки, които:
- отхвърлят достъпа на неоторизирани лица до оборудването за обработка на данни – контрол на достъпа до оборудване;
- предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители – контрол на информационните носители;
- предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или заличаване на съхранени лични данни – контрол по съхраняването;
- предотвратяват използването му от неоторизирани лица, използващи комуникационно оборудване за данни – контрол на потребителите;
- гарантират, че лицата, които са оторизирани да ползват система за автоматизирана обработка на данни имат достъп само до данните, включени в обхвата на техния достъп – контрол на достъпа до данни;
- осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни – контрол на комуникациите;
- осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирана обработка на данни, кога и от кого са въведени данните – контрол на въвеждане;
- предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни – контрол при транспортиране;
- осигуряване на възможност инсталираните системи да могат да се възстановят в случаи на прекъсване на функционирането – възстановяване;
- осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата – интегритет.
Служителите, обработващи лични данни, вземат мерки за гарантиране на надеждност при обработването, като осъществяват технически и организационни мерки за защита на личните данни.
(2) При автоматичната обработка на лични данни се осъществяват технически мерки за защита срещу:
- неоторизирано четене, възпроизвеждане, промяна или премахване на носителя на данните;
- неоторизирано въвеждане, промяна или заличаване на съхранени лични данни;
- неоторизирано използване на системите за лични данни чрез средства за пренос на данни;
- неоторизиран достъп до лични данни.
Осигуряване на достъп на лицата до личните им данни
Чл. 11.
(1) Заетите по трудови и граждански правоотношения, както и клиентите имат право на достъп до личните си данни, за което подават писмено заявление до администратора и обработващия лични данни, в това число и по електронен път лично или чрез упълномощено лице.
(2) Заявлението съдържа име на лицето и други данни, които го идентифицират – ЕГН, длъжност, месторабота, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.
(3) Достъп до данните на лицето се осигурява под формата на:
- устна справка;
- писмена справка;
- преглед на данните от самото лице или упълномощено от него такова;
- предоставяне на копие от исканата информация.
(4) При подаване на искане за осигуряване на достъп представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя лично срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.
(5) Достъп до личните данни на лицата, съдържащи се на технически носител има само обработващият лични данни, а в негово отсъствие и когато тези данни се отнасят до възнагражденията на лицата, достъп до тях има временно упълномощено от обработващият лични данни лице, комуто е известна паролата за достъп до файловете.
Правомерен достъп на оправомощените лица до досиета на персонала и клиентите
Чл. 12. Освен на обработващия лични данни, правомерен е достъпът и на Длъжностното лице по защита на личните данни в Дружеството, определено от Представляващите Дружеството. Обработващият лични данни им осигурява достъп при поискване от тяхна страна.
Правомерен достъп на трети лица до досиета на персонала и клиентите
Чл. 13. (1) Никое оправомощено или трето лице няма право на достъп до регистъра с личните данни на лицата, освен ако е изисквано по надлежен път от органи на надзора или на съдебната власт (Комисия за финансов надзор, съд, прокуратура, следствени органи и др.). Достъпът на тези органи до личните данни на лицата е правомерен.
(2) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.
(3) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала или клиентите.
(4) При промени в статута на дружеството (преобразуване, ликвидация и други), налагащи прехвърляне на регистрите за лични данни от дружеството на друг администратор на лични данни, предаването на регистъра се извършва след разрешение на Комисията за защита на лични данни.
(5) Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.
(6) При внедряване на нов програмен продукт за обработване на лични данни се извършва предварителна проверка на възможностите на продукта с оглед спазване изискванията на ЗЗЛД и Регламент (ЕС) 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.
Чл. 13. Адресът, на който се приемат молби за достъп и предоставяне на лични данни от регистрите на „АЖМ-ГРУП” ЕООД, ЕИК: 106621253, представлявано от АНГЕЛ ГЕОРГИЕВ ПЕТРОВ е: обл. Враца, Мездра, с. Зверино, хотелски комплекс „Оазис” .
Унищожаване на лични данни
Чл. 14. Администраторът периодично, но не по-малко от веднъж годишно прави инвентаризация на съхраняваните от него лични данни с цел да установи наличието на лични данни подлежащи на унищожаване/изтриване. При установяване на наличието на такива данни, администраторът ги унищожава/изтрива. Действията се протоколират.
- Понятия
За целите на настоящият правилник понятията по-долу имат следното значение:
– „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
– „Специфични признаци“ – признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
– „Регистър с лични данни“ – всяка структурирана съвкупност от лични данни, достъпна по определени критерии, съобразно вътрешни документи на Дружеството, която може да бъде централизирана, децентрализирана или разпределена на функционален или географски принцип.
– „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
– „Обработващ лични данни“ – физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.
– „Предоставяне на лични данни“ – означава действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
– „Трето лице“ – физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.
– „Получател“ – физическо или юридическо лице, орган на държавна власт или на местно самоуправление, на когото се разкриват лични данни, независимо дали е трето лице или не. Органите, които могат да получават данни в рамките на конкретно проучване, не се смятат за получатели.
– „Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
– „Псевдонимизация“ – обработване на лични данни по такъв начин, че те да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие, че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с физическо лице, което може да бъде идентифицирано.