Политика за защита на личните данни на ОПТИКС

 

Информация за нас:

„ОПТИКС" АД е дружество, регистрирано в Търговския регистър на Агенцията по вписванията с ЕИК 121722373, със седалище и адрес на управление: гр. София 1756 район Студентски ж.к. ДЪРВЕНИЦА, бул. КЛИМЕНТ ОХРИДСКИ, бл.19, вх.В, ет.1, офис 3

Тел.: 35 935 764 125, факс: 35 935 763 097
Електронна поща: optix@optixco.com

 

Съдържание

 

1. Предназначение

2. Обхват

3. Термини, определения, съкращения

4. Общи положения

4.1 Принципи за работа с лични данни

4.2 Права на субектите на данни

4.2.1 Право на информираност

4.2.2 Право на достъп

4.2.3 Право на коригиране

4.2.4 Право на изтриване

4.2.5 Право на преносимост на данните

4.2.6 Право на възражение

4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране

5. Регистри на дейности по обработване

5.1 Списък регистри

5.2 Съдържание на регистър

6. Изисквания към персонала работещ с лични данни.

6.1 Общи изисквания

6.2 Длъжностното лице по защита на данни

6.2.1 Общи положения

6.2.1 Права и задължения

7. Комисия за жалби, запитвания и искания за лични данни

8. Оценка на въздействие върху защитата на личните данни

8.1 Общи положения

8.2 Изпълнение

9. Осигуряване сигурност за личните данни

9.1 Общи положения

9.2 Действия при нарушения на сигурността

1.Предназначение

Настоящата политика съдържа основните принципи, правила и подходи за организиране и осъществяване на дейностите, свързани със събиране, преработка, съхранение, комуникиране, използване и защита на лични данни на физически лица в ОПТИКС АД.

Тази политика има за цел да осигури изпълнението на Закона за защита на лични данни и изискванията на Регламент № 2016/679 на ЕП в рамките на бизнес процесите на дружеството.

2.Обхват

Всички служители на ОПТИКС АД трябва да прилагат в ежедневната си работа указанията на настоящата политика. Това се отнася с особена важност за служителите, работещи с лични данни.

Настоящата политика се прилага за личните данни на служителите на дружеството и за личните данни на други физически лица, спрямо които ОПТИКС АД се явява в ролята на администратор или обработващ.

3. Термини, определения, съкращения

В текста на тази политика са използвани термини и определения в смисъла, в който те са използвани в Закона за защита на личните данни и Регламент № 2016/679 на ЕП (Член 4)

За краткост в политиката са използвани следните съкращения:

Закона за защита на личните данни

Регламент № 2016/679 на ЕП, известен като GDPR (General Data Protection Regulation)

Дружество – ФИРМА ЕООД

Изпълнителен Директор

Длъжностно лице па защита на данни

Комисия за защита на лични данни

ОВЗД – Оценката на въздействието върху защитата на данните

Субект на лични данни - е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.

4. Общи положения

4.1 Принципи за работа с лични данни

При работа с лични данни ОПТИКС АД се придържа към следните принципи:

Законосъобразност, добросъвестност и прозрачност

Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

Ограничение на целите

Лични данни се събират и/или обработват само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

Свеждане на данните до минимум

Събират се и се обработват само подходящи лични данни, свързани със целите и ограничени до необходимото във връзка с целите, за които се обработват.

Личните данни се поддържат точни и актуални, за да са пригодни за постигане целите, за които те се обработват.

Ограничение на съхранението

Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за съответните цели.

Цялостност и поверителност

Личните данни се събират, съхраняват и обработват при подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.

Дружеството прилага в своята работа изброените до тук принципи и поддържа необходимите документи и записи като доказателство за това.

4.2 Права на субектите на данни

ОПТИКС АД осигурява правата на субектите на данните при изпълнение задълженията си като администратор или обработващ на тези данни. Тези права са слените:

 

4.2.1 Право на информираност

ОПТИКС АД, в ролята на администратор на лични данни изпълнява следните действия по информиране на субектите на лични данни относно:

Техните права по отношение на данните, като прави това преди или в момента на събиране на данните или при последваща промяна в целите на обработката;

Целите на обработването и правното им основание;

Получателите или категориите получатели на личните данни, ако има такива;

Срока за съхранение или критериите за определяне на този срок;

Данни и координати за връзка по въпросите на личните данни.

4.2.2 Право на достъп

ОПТИКС АД, в ролята на администратор, осигурява на субекта потвърждение дали се обработват негови лични данни и ако това е така, му осигурява достъп до данните и следната информация:

Целите на обработването и правното им основание;

Категориите лични данни;

Срока за съхранение или критериите за определяне на този срок;

Получателите или категориите получатели на личните данни, ако има такива;

Съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

Правото на жалба до надзорен орган;

Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

Съществуването на автоматизирано вземане на решения, включително профилирането, ако се прилага такова.

Посочената информация не се предоставя, ако субектът на данни вече разполага с нея.

4.2.3 Право на коригиране

ОПТИКС АД, в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска корекция на неточните лични данни свързани с него, без ненужно забавяне.

Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

4.2.4 Право на изтриване

ОПТИКС АД, в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска изтриване на свързаните с него лични данни без ненужно забавяне.

ОПТИКС АД има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

Не са необходими повече за целите, за които са събрани;

Субектът оттегли съгласието си (ако е давал такова);

При възражение за обработване и доказване за липса на законно основание;

При незаконосъобразно обработване.

При извършване на изтриване, ОПТИКС АД, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

4.2.5 Право на преносимост на данните

ОПТИКС АД в ролята на администратор на лични данни, осигурява преносимост на данните, ако са изпълнени условията, предвидени за това (Чл.20, ал.1 на Регламента), като предава без възпрепятстване на субекта неговите лични данни в структуриран, широко използван и пригоден за машинно четене формат.

ОПТИКС АД може пряко да прехвърли личните данни на друг администратор, когато това е технически осъществимо.

4.2.6 Право на възражение

ОПТИКС АД, в ролята на администратор осигурява възможност на субектът на данните по всяко време и на основания, свързани с неговата конкретна ситуация, да представи възражение срещу обработване на лични данни, отнасящи се до него, включително профилиране.

ОПТИКС АД се задължава да прекратява обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране

ОПТИКС АД, в ролята на администратор, уведомява субекта (ако това реално се извършва) за съществуването на автоматизирано вземане на решения, включително профилирането (Чл. 22 на Регламента), както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг

5. Регистри на дейности по обработване

5.1 Списък регистри

ОПТИКС АД, в ролята на администратор, създава и поддържа следните вътрешни регистри на дейности по обработване:

Регистър Персонал

Регистър Кандидати за работа

Регистър Видеонаблюдение

Регистър Посетители

Регистър Клиенти

Регистър Клиенти Доставчици

Регистър ЗБУТ

ОПТИКС АД, в ролята на обработващ, създава и поддържа следните вътрешни регистри на дейности по обработване:

Регистър Персонал

Регистър Кандидати за работа

Регистър Клиенти

Регистър Доставчици

Регистър ЗБУТ

5.2 Съдържание на регистър

Вътрешните регистри на дейностите по обработване на лични данни в дружеството съдържат следната информация:

Името и координатите за връзка на администратора / обработващия и, когато това е приложимо, на всички съвместни администратори / обработващи на представителя на администратора и на Длъжностното лице по защита на данните, ако има такива;

Целите на обработването;

Описание на категориите субекти на данни и на категориите лични данни;

Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

Когато е приложимо - предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции;

Предвидените срокове за изтриване на различните категории данни;

Общо описание на техническите и организационни мерки за сигурност.

6. Изисквания към персонала работещ с лични данни

6.1 Общи изисквания

Всеки служител на ОПТИКС АД, който е ангажиран с обработка на лични данни е задължен:

Да обработва лични данни законосъобразно и добросъвестно;

Да използва личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

Да изпълнява точно и навременно своите задължения (ако има такива) по актуализация или изтриване на личните данни;

Да прилага всички необходими мерки за защита на личните данни, с кои то се осигурява тяхната постоянна поверителност, цялостност, наличност както и устойчивост на системите и услугите за обработване;

Да докладва незабавно, съобразно установения ред, за слабости и събития, свързани със сигурността на личните данни;

При възникване на спорни въпроси по отношение на личните данни, преди да предприеме каквито и да е действия, да потърси съдействие от компетентните служители на дружеството, в т.ч. от ДЛЗД, ако има такова.

Да познава и спазва актуалните външни нормативни документи, регламентиращи работата с лични данни;

Да познава и спазва вътрешните за дружеството документи, свързани с управлението на лични данни;

Да участва във всички мероприятия, свързани с обучение, повишаване на квалификация или поддържане нивото на осведоменост и компетентност по отношение на личните данни.

6.2 Длъжностното лице по защита на данни

6.2.1 Общи положения

ОПТИКС АД определя Длъжностното лице по защита на (лични) данни (ДЛЗД)

ДЛЗД може да изпълнява и други задачи и да има други служебни задължения, които задължително не водят до конфликт на интереси.

Дружеството гарантира, че ДЛЗД участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване.

Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи като поддържат неговите експертни знания.

Дружеството прави необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи с оглед неговата независимост и безпристрастност.

Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от ръководството на ОПТИКС АД за изпълнението на своите задачи.

Длъжностното лице по защита на данните се отчита пряко пред Изпълнителен Директор.

Субектите на данни могат да се обръщат към ДЛЗД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

6.2.2 Права и задължения

Длъжностното лице за защита на данни има следните правомощия:

Да информира и съветва служителите, които извършват обработване, за техните задължения съгласно актуалните законови изисквания и Регламента;

Да наблюдава спазването на Регламента, на други разпоредби за защитата на данни в България и ЕС и вътрешните документи ОПТИКС АД отношение на защитата на личните данни;

Да наблюдава и контролира възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване и съответните одити;

При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;

Да сътрудничи с надзорния орган – КЗЛД;

Да действа като точка за контакт за КЗЛД по въпроси, свързани с обработването, включително предварителната консултация, и когато е целесъобразно да се консултира по всякакви други въпроси;

Да отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката;

Да спазва секретността или поверителността на изпълняваните от него задачи.

7. Комисия за жалби, запитвания и искания за лични данни

Комисията е помощен орган, който има задачата да управлява процеса по обработка на жалби от клиенти, запитвания от държавни органи и искания по лични данни, свързани с предлаганите от дружеството услуги.

Комисията се назначава със заповед на ИД и има примерен състав, който може да се разширява и уточнява допълнително:

Председател - Директор „…………………...“

Член - Зам. Директор ………………

Член - Р-л отдел „…………….“

Член - Специалист „…………….“

Комисията се събира, поне веднъж месечно и при необходимост. Комисията кани на заседанията и ангажира с действия специалисти, когато това се налага.

Комисията има следните задължения:

Разглежда постъпилите искания, жалби, запитвания и взема решения за тяхното изпълнение;

Контролира сроковете за изпълнение;

Преглежда и предлага за утвърждаване отговори на постъпили искания, жалби, запитвания

Поддържа регистър с постъпили жалби, запитвани и искания

Изясняван спорни въпроси;

Търси съдействие от юридически консултанти или КЗЛД;

Търси съдействие от ДЛЗД (ако има такова);

Предприема мерки за подобряване на процеса

8. Оценка на въздействие върху защитата на личните данни (ОВЗД)

8.1 Общи положения

ОВЗД се извършва задължително, когато:

Обработването попада в Списък на видовете операции по обработване, за които се изисква ОВЗД, изготвен и оповестен от КЗЛД;

Обработването е с цел профилиране;

Съществува висок риск за правата и свободите на физическите лица, породен от:

Използване на нови технологии;

Естеството, обхвата и контекста на обработването;

Целите на обработването

При извършването на ОВЗД се изисква становището на ДЛЗД, когато такова е определено.

При ОВЗД се ползват указанията на стандарт ISO/IEC 29134 Information technology. Security techniques. Guidelines for privacy impact assessment.

Когато резултатът от ОВЗД показва, че обработването ще породи висок риск за правата и свободите на физическите лица, ОПТИКС АД задължително извършва:

Консултация с КЗЛД преди обработването;

Предприеме мерки за ограничаване на риска.

ОВЗД се прилага в дружеството и като:

Форма на ранно предупреждение за идентифициране на скрити до момента слабости в обработката на лични данни ;

Метод за идентифицираме проблемите преди контролните органи или конкуренцията

8.2 Изпълнение

ОВЗД включва следните действия:

Изготвяне системен опис на предвидените операции по обработване;

Изготвяне опис на целите на обработването;

Установяване основанията за законност на обработването;

Оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

Оценка на рисковете за правата и свободите на субектите на данни;

Установяване на мерките за справяне с рисковете и постигане съответствие с изискванията на Регламента.

При ОВЗД се отчита спазването на одобрените Кодекси за поведение (Член 40 на Регламента), ако такива са приети от ОПТИКС АД.

Ако е целесъобразно и приложимо, ОПТИКС АД може да се обърне към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

ОПТИКС АД извършва преглед, за да прецени дали обработването е в съответствие с ОВЗД, когато има промяна на риска, свързан с операциите по обработване.

9. Осигуряване сигурност за личните данни

9.1 Общи положения

ОПТИКС АД прилага технически и организационни мерки за осигуряване необходимото ниво на сигурност за личните данни, които обработва.

Дружеството осигурява доказано висока степен на защита и гаранции за:

Основните свойства на информацията - поверителност, цялостност, наличност;

Устойчивост на системите и услугите за обработване – непрекъсваемост, наличност, надеждност;

Поддържане нивото на сигурност чрез редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;

Предотвратяване неправомерен достъп до лични данни с прилагане на адекватни мерки, където е необходимо – псевдонимизация, криптиране, анонимност, рандомизация.

ОПТИКС АД поддържа сертификати за съответствие към стандарти по информационна сигурност - ISO 27001.

ОПТИКС АД прилага ефективен метод за оценка на рисковете за правата и свободите на субектите на данни при обработването на личните им данни.

Основни рискове са насочени към:

Случайно или неправомерно унищожаване на данни;

Загуба на данни без възможност за възстановяване;

Неразрешена или грешна промяна на данни;

Неразрешено разкриване или достъп до данни.

Дружеството гарантира, че неговите служители, обработващи лични данни, има необходимата квалификация и опит както за да извършават тази обработка по сигурен начин и според законовите изисквания и вътрешните правила на дружеството.

Дружеството поддържа документи и записи, осигуряващи и доказващи съответствие с изискванията на Регламента.

9.2 Действия при нарушения на сигурността

Дружеството използва автоматизирани средства за наблюдение на дейностите по обработка на данни и навременно идентифициране на слабости, събития и инциденти по тяхната сигурност. Тези средства осигуряват документиране на всяко нарушение на сигурността на личните данни, включително специфичните за него данни, последиците, предприетите действия за справяне с него.

В случай на нарушение на сигурността на личните данни, което може да доведе до нарушаване правата и свободите на субектите на данни, ОПТИКС АД уведомява КЗЛД в рамките на 72 часа след установяването на това нарушение.

В случай на нарушение на сигурността на личните данни ОПТИКС АД уведомява съответния администратор (ако има такъв) незабавно след установяването на това нарушение.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, ОПТИКС АД незабавно извършва:

Обективна преценка дали предварително предприетите мерки за защита на данните гарантират, че тяхната поверителност ще се запази;

Предприемане последващи мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;

Оценка на усилията, необходими за уведомяване на всеки един субект на данни, засегнат от нарушението.;

В зависимост от резултатите на описаните по-горе действия и спазвайки изискванията на Регламента, предприема едно от следните действия:

Не предприема действия за уведомяване субектите на данни;

Незабавно уведомява субектите на данни за нарушението;

Прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

 

Информация за "бисквитки"

Какво са бисквитки?

Бисквитките са малки текстови файлове, които уебсайтът може да запише на вашия компютър или мобилно устройство, когато посещавате страница или сайт. Бисквитката ще помогне на сайта или на други сайтове да разпознаят вашето устройство следващия път, когато го посетите. Web beacons или други подобни файлове могат да правят същото. Използваме термина бисквитки в тази политика, за да назоваваме всички файлове, които събират информация по този начин.

Бисквитките изпълняват множество различни функции. Например, те ни помагат да запомним вашето потребителско име или предпочитания, да анализираме колко добре се представят нашите сайтове или дори ни позволяват да ви препоръчаме съдържание, което смятаме, че ще бъде интересно за вас.

Някои бисквитки съдържат лична информация – например, ако сте кликнали на "Запомни ме", когато сте влизали в профила си, бисквитката ще запомни потребителското ви име. Повечето бисквитки не събират информация, която може да ви идентифицира, а по-скоро събират обща информация за това как потребителите достигат до нашите сайтове и ги използват или какво е тяхното местоположение.

Как да изключите бисквитките?

Всички съвременни браузъри ви позволяват да променяте настройките за бисквитки. Обикновено можете да намерите тези настройки в меню "опции" или "предпочитания" на вашия браузър. За да сте наясно с тези настройки, следните линкове могат да Ви помогнат или можете да използвате бутона "Помощ" от менютата на Вашия браузър за повече детайли:

Cookie settings in Internet Explorer
Cookie settings in Firefox
Cookie settings in Chrome
Cookie settings in Safari web and iOS.

Ако се притеснявате най-много за рекламните бисквитки към трети страни генерирани от рекламодатели, можете да ги изключите от тук: Your Online Choices site.
Моля да запомните, че ако решите да спрете бисквитките, някои секции от нашия сайт може да не работят правилно.

Използва ли ОПТИКС бисквитки, които съдържат личните ми данни?
Не, бисквитките, които използваме са анонимни и не съдържат никакви лични данни.


Повече информация
Повече информация за това как бизнесът използва бисквитките е налична на: www.allaboutcookies.org.
Този докумен е обновяван за последно на 28.08.2018 г.

© 2018 Optix All Rights Reserved.

Уеб дизайн: webbuild.bg