ДИВА ПЛЮС ЕООД – ЕИК 175013870 гр. София, ж.к. Бъкстон, бл. 19, вх. А, ап. 6 https://divaplus.org/

1. Предназначение, обхват и ползватели

ДИВА ПЛЮС ЕООД, наричано по-долу „Дружеството“, се стреми да спазва приложимите закони и разпоредби, свързани със защитата на личните данни в държавите, в които Дружеството оперира.

Тази политика определя основните принципи, чрез които Дружеството обработва личните данни на потребители, клиенти, доставчици, бизнес партньори, служители и други лица, и посочва отговорностите на бизнес отделите и служителите по време на обработката на лични данни.

Политиката важи за всички служители, постоянни или временни, както и за всички изпълнители, които работят за или от името на Дружеството.

2. Референтни документи

Настоящата политика се основава на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. (GDPR), както и на съответното национално законодателство – Закона за защита на личните данни.

Политиката е свързана с: политиката за защита на личните данни на служителите, политиката за съхранение на данни, описанието на длъжността на служителя по защита на данните, насоките за опис и обработка на данни, процедурите за заявка за достъп на физически лица, оценката на въздействието върху защитата на данните, политиките за информационна сигурност и процедурата за уведомяване при нарушение.

3. Дефиниции

Лични данни – всяка информация, свързана с идентифицирано или идентифицируемо физическо лице чрез идентификатор като: име, идентификационен номер, данни за местонахождение, онлайн идентификатор или признаци за физическа, физиологична, генетична, психическа, икономическа, културна или социална самоличност.

Чувствителни лични данни – данни за расов или етнически произход, политически възгледи, религиозни убеждения, членство в синдикати, генетични и биометрични данни, данни за здраве, сексуален живот или сексуална ориентация.

Администратор на данни – физическо или юридическо лице, което определя целите и средствата за обработване на лични данни.

Обработващ данни – лице или структура, която обработва лични данни от името на администратора.

Обработване – всяка операция или съвкупност от операции с лични данни: събиране, записване, съхранение, използване, разкриване, изтриване или унищожаване.

Псевдонимизация – обработване на лични данни по начин, при който те не могат да бъдат свързани с конкретен субект без допълнителна информация, съхранявана отделно и защитена чрез технически и организационни мерки.

4. Основни принципи при обработката на лични данни

ДИВА ПЛЮС ЕООД се задължава да обработва личните данни в съответствие със следните принципи:

  • Законосъобразност, честност и прозрачност – данните се обработват само при наличие на законно основание.
  • Ограничение на целите – данните се събират за конкретни и определени цели.
  • Свеждане до минимум – събират се само необходимите данни.
  • Точност – данните се поддържат актуални и точни.
  • Ограничение на съхранението – данните се съхраняват не по-дълго от необходимото.
  • Цялост и поверителност – данните се обработват по начин, който гарантира тяхната сигурност срещу неразрешен достъп, загуба или унищожаване.

5. Изграждане на защита на данните в бизнес процесите

ДИВА ПЛЮС ЕООД интегрира защитата на данните във всички бизнес процеси чрез следните мерки:

  • Събира се възможно най-малко количество лични данни (минимизация).
  • Гарантира се законността и точността на събираните данни.
  • При използване на трети страни за обработка на данни се гарантира адекватно ниво на защита.
  • При трансгранично предаване на данни се прилагат подходящи предпазни мерки.
  • Субектите на данни имат право на достъп, корекция, изтриване, преносимост и право да бъдат забравени.

6. Насоки за добросъвестна обработка

Личните данни се обработват само при наличие на законно основание. Преди или по време на събирането им субектите трябва да бъдат надлежно информирани чрез известие за поверителност относно: целите на обработването, получателите на данните и евентуален трансфер към трети държави.

Когато обработването се основава на съгласие, Дружеството гарантира, че съгласието е документирано и може да бъде оттеглено по всяко време. Данните се обработват само за първоначално определените цели. При промяна на целта се иска ново съгласие.

7. Организация и отговорности

Отговорността за правилната обработка на личните данни се носи от всички лица, които работят за или с Дружеството. Основните роли са:

  • Администратор на данни – отговаря за сигурността на системите, одобряването на декларации за защита на данните и взаимодействието със служителя по защита на данните.
  • Служител по защита на данните (DPO) – отговаря за повишаване на информираността, обучението на служителите и управлението на отношенията с доставчици и трети страни.
  • Служители – всички служители са лично отговорни за обработването на лични данни в съответствие с настоящата политика.

8. Действия при инциденти с нарушаване на личните данни

При предполагаемо или действително нарушение на личните данни незабавно се извършва вътрешно разследване и се предприемат подходящи коригиращи мерки.

Когато съществува риск за правата и свободите на субектите на данни, компетентните органи се уведомяват без неоснователно забавяне и при възможност в рамките на 72 часа.

Компетентният надзорен орган е: Комисия за защита на личните данни (КЗЛД) гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2 | тел. 02 9153518 | www.cpdp.bg

9. Одит и отговорност

Спазването на тази политика се проверява периодично от администратора на данни. Нарушенията могат да доведат до дисциплинарни мерки и до гражданска или наказателна отговорност.

Настоящата политика е приета от ръководството на ДИВА ПЛЮС ЕООД и влиза в сила от датата на публикуването й на сайта https://divaplus.org/