Общ регламент за защита на данните (GDPR)

Дата на последното изменение на директивата: Четвъртък, 5 април 2018 г.

I.

Встъпителни разпоредби

В настоящата директива се определят принципите за защита на събраните лични данни.

С настоящото Денис Чишич се задължава да спазва общите правила за защита на данните, приложими от 25 май 2018 г., в съответствие с Регламент 679 / 2016 на Европейската комисия, т.нар. общ регламент за защита на данните (наричан по-долу "ОРЗД") и свързаното с него национално законодателство.

Освен това Денис Чишич се задължава да предприеме такива стъпки, че да спазва GDPR и свързаното с него национално законодателство по всяко време.

 

II.

Определяне на термините

Субект на данните - физическо лице, за което се отнасят личните данни. това лице е идентифицирано или може да бъде идентифицирано чрез данни (напр. име, идентификационен номер, данни за местоположението, мрежов идентификатор или един или повече конкретни елементи на физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице).

Лични данни - това са всички данни, използвани за уникално идентифициране на конкретно физическо лице.

Чувствителни данни - са специална категория лични данни, разкриващи национален, расов или етнически произход, политически възгледи, членство в синдикати, религиозни или философски убеждения, биометрична и генетична информация, здравословно състояние и сексуален живот на субекта на данните.

Администратор - е субектът (физическо или юридическо лице, публичен орган или друга структура), който определя целите и средствата за обработване на лични данни, получава и обработва личните данни на физическите лица и носи отговорност за обработването. Той може да възложи обработването на обработващ лични данни, ако законът предвижда това.

Обработващ лични данни - е друг субект, различен от Администратора, който обработва лични данни на физически лица за Администратора въз основа на предварително договорена цел, прави това въз основа на закона или въз основа на мандат от Администратора.

Получател - е физическо или юридическо лице или друг субект, който получава предоставените лични данни за предварително договорена цел и не обработва данните по-нататък. Публичен орган, който получава лични данни в контекста на своите разследващи правомощия, не се счита за получател, но неговите практики за обработване на данни трябва да са в съответствие с приложимите правила за защита на данните в зависимост от целта на обработването.

Местонахождение - е физическото място на съхранение, където се съхраняват личните данни (напр. шкаф за документи, шкаф, стелаж)

Правно основание - е правното основание, изброено в ОРЗД, на което физическо или юридическо лице, публичен орган или друг орган записва лични данни.

Цел на обработката - е обосновката защо личните данни са необходими и че те ще бъдат използвани за така определената цел и само за тази цел.

Период на обработване - е периодът от време, за който записваме конкретни лични данни, като този период трябва да бъде разумен, освен ако не е определен от закона.

Минимизиране на данните - е процес, който води до това, че администраторът изисква само личните данни, които са необходими за изпълнението на неговите дейности.

Ограничаване на обработването - е създаването на ситуация, при която личните данни са недостъпни за определен период от време и не могат да бъдат обработвани по друг начин.

Унищожаване на лични данни - представлява безвъзвратно унищожаване на лични данни.

 

III.

Права и задължения

1. 1. Нашата организация не е назначила длъжностно лице по защита на данните.

1. 2.  Само упълномощени служители от Денис Чишич имат право да работят с лични данни 

1. 3. Упълномощените служители са: Jan Sklenička, Gabriela Pohlotová, Petra Škutová, Denis Čišič

1. 4. Упълномощеният персонал се задължава да спазва принципите за защита на данните, които са:
   1. да информират субекта на данните за неговите права и задължения като администратор на данни
   2. да информират субекта на данните за правното основание, целта на обработката и продължителността на обработката на личните му данни
   3. да изискват само такива лични данни, които са необходими за изпълнението на техните дейности
   4. да записват лични данни само в определени документи и в определени системи
   5. да не предават никакви лични данни на неупълномощени лица

1. 5. Дружеството се задължава да обработва лични данни само в подходящо обезопасени сгради и помещения.

Подходящо обезопасени сгради и помещения са:

- CDRmarket склад+офиси със стаи Коридор, Офис 1

1. 6. При напускане на помещение, в което се намират лични данни, упълномощеният служител трябва да обезопаси отделните места и помещението от неоторизирано влизане.

1. 7. Печатните документи и ИТ оборудването, съдържащи лични данни, с които в момента не се работи, трябва да се съхраняват в определени за целта места за съхранение от оторизирани служители.
   Тези зони за съхранение са: 1: Архиви

1. 8. Всяко ИТ оборудване, на което се обработват лични данни, трябва да бъде подходящо обезопасено, като минимум, с достатъчна сигурност или физическа и електронна защита, за да се предотврати изтичане на данни.

Подходящо обезопасени ИТ устройства са: сървър SERVER-POHODA, хранилище за данни Binargon, хранилище за данни Ecomail, хранилище за данни Camera system с HDD.

 

1. 9. При напускане на работното място упълномощеният служител е длъжен да обезопаси ИТ устройството чрез заключване на екрана с последващо искане на парола или чрез изключване на устройството.

1. 10. Денис Чишич се задължава редовно да прави резервно копие на данните с лични данни. Денис Чишич редовно прави резервни копия на данните на следните устройства за архивиране.

1. 11. Денис Чишич управлява уебсайтовете www.CDRmarket.cz, www.CDRmarket.sk, www.CDRmarket.hu, www.CDRmarket.eu, www.CDRmarket.pl, www.CDRmarket.ro, www.CDRmarket.it, www.CDRmarket.bg на които се задължава да вмъкне информация за обработката на "бисквитки", принципите на обработване на лични данни на уебсайта и правата на субекта на данните или да предостави тези места, където се събират лични данни, с информационно задължение.

1. 12. Денис Чишич се задължава да предоставя на всеки документ и формуляр, на който инициира обработването на лични данни на физически лица, информационно допълнение за обработването на лични данни с препратка към пълния текст на Политиката за обработване на лични данни.

1. 13. Денис Чишич оперира със следните информационни системи, в които записва лични данни. Stormware Pohoda, MailChimp. Всички тези информационни системи трябва да бъдат обезпечени с права за достъп и подходящо защитени срещу неразрешена злоупотреба и достъп.

1. 14. Всички информационни системи трябва да се архивират и резервните копия да се съхраняват на сигурни места.

1. 15. Всеки документ, съдържащ лични данни, трябва да има определено правно наименование, цел на обработката и период на обработката. Денис Чишич записва лични данни въз основа на следните правни титули: Изпълнение на договор, Правно задължение, Легитимен интерес, Служебно право, Жизнен интерес, Съгласие, Изрично съгласие.

1. 16. Денис Чишич работи със следните лични данни за своята дейност: Име, Адрес, Фамилия, Рожден номер, Телефонен номер, Данъчен идентификационен номер на физическото лице, Номер на банкова сметка, Служебен номер, Адрес за доставка, Електронна поща, Дата на раждане, Записи от видеонаблюдение - аудио, видео, снимка.

1. 17. Денис Чишич може да предава лични данни на своите договорни партньори (обработващи лични данни). Тези обработващи лични данни са: Pavla Krausová, FEO digital agency s.r.o., BINARGON s.r.o.. Предаваните по този начин лични данни са определени в обхвата на записите за обработване на лични данни.

1. 18. Организацията е длъжна да договори с тези обработващи лични данни партньори допълнение към договора или договор за обработване на предадените лични данни в смисъла на защитата на личните данни и да извърши евентуален контрол за спазване на принципите на защита на личните данни от тези обработващи лични данни.

1. 19. Денис Чишич може също така да предава лични данни на получатели. Тези получатели са: PPL CZ s.r.o., филиал Западна Чехия, ČESKÁ POŠTA s.p., Zásilkovna s.r.o. Предаваните по този начин лични данни са определени в обхвата на записите за обработване на лични данни.

1. 20. Денис Чишич е избрал следните варианти като сигурна форма на предаване на лични данни.

1. 21. Денис Чишич се задължава да извърши унищожаване на личните данни след изтичане на срока на обработване.

1. 22. Денис Чишич се задължава да извършва редовно обучение на упълномощения персонал, поне веднъж годишно.

1. 23. Денис Чишич се задължава да извършва проверка на съответствието със защитата на данните поне веднъж годишно, да реагира на констатациите и заплахите, да оптимизира обработката, съхранението и сигурността на личните данни и да регистрира промените.

1. 24. Денис Чишич се задължава да съхранява записи на исканията за изтриване, коригиране и възраженията срещу обработването. Той също така се задължава да води регистър на документите, свързани с реакциите и отговорите на обработката на лични данни на физически лица.

1. 25. Денис Чишич се задължава да води регистър на инцидентите със сигурността и коригиращите мерки. В случай, че възникне или се случи сериозен инцидент със сигурността, всеки служител, на когото стане известен такъв факт, информира лицето, отговарящо за защитата на личните данни в организацията.

1. 26. В случай на установяване на сериозен инцидент със сигурността организацията докладва за всеки такъв инцидент със сигурността на надзорния орган в рамките на 72 часа от установяването му.

1. 27. Всеки субект на данни, физическо лице, има право на информация за записаните лични данни, отнасящи се до неговата личност. Ако такова лице упражни правото си, това искане се препраща на отговорното лице, което осигурява изпълнението на задължението за предоставяне на информация най-късно в срок от 30 дни. Денис Чишич ще вземе предвид основателността и честотата на такива искания от един и същ заявител. За този факт ще бъде направен запис, в който ще се посочат датата на искането, името на заявителя, описанието на решението и ще се запази последващо приложение на копие от писмото-отговор до заявителя за допълнителни доказателства.

1. 28. Субектът на данните има право на коригиране на записаните лични данни, отнасящи се до него. Ако бъде подадено искане за коригиране, това коригиране се извършва, като се вземат предвид други обстоятелства и възможности. Този факт се записва в констативен протокол.

1. 29. Субектът на данните има право на изтриване на записаните лични данни, които са били дадени чрез съгласие или изрично съгласие, или тези, за които е изтекъл срокът за обработване, или когато организацията счита, че вече няма нужда да ги обработва. За това искане и всяко изтриване на лични данни ще бъде направен констативен протокол, в който ще бъдат посочени датата на искането, името на подателя на искането, описание на решението и ще се гарантира, че исканите данни действително са изтрити за бъдеща обработка от всички активни системи.

1. 30. Субектът на данните има право да възрази срещу обработването на лични данни. Ако той или тя възрази, Денис Чишич прилага мерки или прилага мерки за ограничаване на обработването на тези лични данни. За този факт ще бъде направен констативен протокол с датата на искането, името на заявителя и описание на решението за евентуален контрол.

 

IV.

Санкции

 

1. 1. На всеки договорен партньор или субект в подобно правоотношение, който нарушава настоящата директива, се налага еднократна санкция в размер на 778,14 BGL.
2. 2. Всеки договорен партньор или субект в сходни правоотношения, който многократно или по особено значителен начин нарушава настоящата директива, подлежи на глоба в размер до 3 890,72 BGL.
3. 3. Всеки работник или служител, който нарушава настоящата директива, подлежи на обезщетение от работодателя за причинените му вреди във всеки отделен случай в размер до 4,5 пъти средната работна заплата.