Информация относно обработването на лични данни в съответствие с чл. 13 от Общия регламент за защита на личните данни
От 25-ти Май 2018 г. във всички държави-членки на Европейския съюз се прилагат нови правила за защита на личните данни. Те са уредени в т.нар. Общ регламент за защита на личните данни (ЕС) 2016/679 и регулират защитата на физическите лица във връзка с обработването на лични данни и свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
Новата правна рамка запазва редица основополагащи принципи и понятия от съществуващата към момента нормативна уредба, но в същото време въвежда по-високи стандарти за защита на данните, разширени права на физическите лица и нови задължения на администраторите на лични данни.
-
Данни за „Соитрон“ ЕООД като Администратор на лични данни
Администратор на Вашата информация е „Соитрон“ ЕООД, със седалище в гр. София 1766, район „Витоша“, „Екс Ес Тауър“, ет.1, ул. “Панорама София” №5, вписана в Търговския регистър при Агенцията по вписванията с ЕИК 202463853 (наричана по-долу „Соитрон“ или „Администратор“)
-
Данни за контакт с Длъжностното лице за защита на данните
За контакт с Длъжностното лице за защита на данните моля изпратете вашите въпроси на следния адрес: privacy_bg@soitron.com.
-
Цел и правно основание за обработка на лични данни
Администраторът обработва лични данни на субектите на данни както следва:
I. За целите на обработката на лични данни в областта на персонала и заплатите, подготовката и сключването на трудов договор, регистрацията на документи за работоспособност, изплащането на заплатите, изпълнението на задълженията към органите на държавната администрация, отчетите за посещаемостта, издаване на пълномощни и справки, регистрация на защитно оборудване или друго работно оборудване, сключване на споразумения за материална отговорност, предоставяне на обезщетения на работниците и служителите, вписване на щети, нанесени от служителите на собствеността на работодателя, копиране на документи, необходими за работа или сходни отношения и изпълнение на други законови и договорни задължения.
- Правно основание
Изпълнение на правни задължения.
- Целева група
Здравноосигурителни дружества, фондове за допълнително пенсионно осигуряване, пенсионноосигурителни дружества, дружества за статистически данни, охранителни услуги, обучаващи агенции и обучители, доставчици на здравни услуги, оценки на здравето на работното място и здравна оценка, пощенски услуги, архиви на документи, разработване, управление и поддръжка на информационни технологии, външни одиторски структури, доставчици на телекомуникационни услуги, компании, на чиито сървъри се съхраняват лични данни, клиенти на работодателя, доставчици на работодатели, публични органи, адвокати и в обосновани в закона случаи, съдилища, правоохранителни органи и изпълнители.
- Период на съхранение / задържане
Личните данни, свързани с наемането на работа, се съхраняват от Администратора по време на трудовия стаж и в рамките на срока, изискван по закон, за максимален период от 50 години (включително бивши служители).
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
II. За целите на обработката на лични данни в областта на социалните придобивки на работника или служителя
- Правно основание
Съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка в областта на информационни технологии, доставчик на платформа за обезщетения на служителите, хотели или други обекти за настаняване, спортни центрове, медицински центрове, доставчици на многоцелеви купони/ваучери, доставчици на кредитни карти и лектори по чужд език.
- Период на съхранение / задържане
За срока на трудовото правоотношение и съпътстващото предоставяне на допълнителните социални придобивки.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
III. За целите на обработката на лични данни в областта на счетоводството
- Правно основание
Изпълнение на правни задължения.
- Целева група
Дружество, предоставящо счетоводен софтуер, на чиито сървъри се съхраняват и лични данни, фирми, поддържащи вътрешни информационни системи на Администратора, дружества, извършващи външен одит, адвокати (правни консултанти), публични органи.
- Период на съхранение / задържане
Личните данни, свързани с наемането на работа, се съхраняват от Администратора по време на трудовия стаж и след това в рамките на срока, изискуем съгласно приложимото законодателство, например:· Трудов договор, анекси към него, справки НАП, документи за осигурителен доход, запорни съобщения – 12 години, считано от датата на получаването им;· Ведомости за заплати – 50 години;· Болнични листове – 5 години, считано от 1 Януари на отчетния период, следващ отчетния период, за който се отнасят;· CV, декларация за откриване на банкова сметка, служебна бележка за проведен инструктаж – 3 години след прекратяването на трудовия договор.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
IV. За целите на вътрешното популяризиране на служителя, посредством използването на профилна снимка, обработена в комуникационни приложения (като Skype за бизнес, Интранет, SharePoint и др.) и чрез използване на изображение, звук и аудиовизуални записи на лицето, използвани в контекста на вътрешна „издателска“ дейност (корпоративни събития, фирмено списание, бюлетин със списък на наскоро наети служители, поздрави към юбилея и т.н.)
- Правно основание
Законният интерес на „Соитрон“ като работодател; съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка в областта на информационни технологии, офисите на „Соитрон Груп“ в различни страни, ако са публикувани в бюлетин, ще бъдат на разположение за разглеждане от посетителите в помещенията на Администратора.
- Период на съхранение / задържане
За срока на трудовото правоотношение или до оттеглянето на съгласието, както и при необходимост, за известен период от време след датата на прекратяване на трудовото правоотношение, но за не по-дълго от 6 месеца.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
V. За целите на външно популяризиране на служителя чрез профилни изображения, снимки, аудио и аудиовизуални записи на лице/лица на корпоративни уеб сайтове и социални мрежи.
- Правно основание
Съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка на информационните технологии, офиси на Соитрон Груп в различни страни.
- Период на съхранение / задържане
За срока на трудовото правоотношение или до оттеглянето на съгласието и при необходимост, за известен период от време след датата на прекратяване на трудовото правоотношение, но за не по-дълго от 6 месеца.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
VI. За целите на предоставянето на възможност на служителите да подобрят и разширят квалификацията и професионалната си компетентност
- Правно основание
От правен интерес за Администратора на данни е да предостави възможност на служителя да се развие своите професионални качества.
- Целева група
Софтуерни платформи за външно обучение и атестиране.
- Период на съхранение / задържане
За срока на трудовото правоотношение или до оттеглянето на съгласието и при необходимост за известен период от време след датата на прекратяване на трудовото правоотношение, но за не по-дълго от 6 месеца.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
VII. За целите на изготвянето на оценка на пригодността на квалификацията на кандидата и включването на кандидата в регистъра на кандидатите за работа
- Правно основание
Съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка в областта на информационни технологии, офиси на Соитрон Груп, аутсорсинг на клиенти на Администратора, бъдещи потенциални работодатели на кандидата, в случай че компанията Соитрон изпълнява ролята на обработваща данни.
- Период на съхранение / задържане
Личните данни на участниците в процедура по подбор на персонал се съхраняват за срока на процедурата. С цел бъдещи подходящи за кандидата позиции, личните му данни се съхраняват и за определен срок след приключване на процедурата за подбор, по която е кандидатствал, но за не по-дълго от 3 години.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
VIII. За целите на обработката на лични данни в областта на бизнес комуникацията, свързани с подготовката и осъществяването на предприемаческите дейности на Администратора на личните данни.
- Правно основание
Законен интерес за Администратора на данни.
- Целева група
Организации, предоставящи развитие, управление и поддръжка на информационните технологии, офиси на Соитрон Груп.
- Период на съхранение / задържане
Периодът на съхранение се определя от подготовката и продължителността на деловите взаимоотношения, както и от петгодишния период след прекратяването на тези бизнес отношения, освен ако приложимото законодателство не предвижда по-дълъг срок за съхранение на документи, съдържащи лични данни.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
IX. За целите на участието в обществени договори и поръчки
- Правно основание
Съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка на информационните технологии, офиси на Соитрон Груп, компании за обществени поръчки.
- Период на съхранение / задържане
При подаване на заявление за възлагане на обществена поръчка, за срок от 3 години от предоставянето на съгласието или до оттеглянето на съгласието. Ако Администраторът на лични данни спечели тръжна процедура, личните данни на участниците се съхраняват от Администратора в продължение на пет години от датата на получаване на обявлението за резултата от обществената поръчка, съответно след сключването на договора.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
X. За целите на изпращане на оферти и новини до потенциални клиенти
- Правно основание
Съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка на информационните технологии, офиси на Соитрон Груп, маркетингови агенции.
- Период на съхранение / задържане
За периода на действие на даденото съгласие.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
XI. За целите на регистрацията и участието в корпоративни събития, организирани от Администратора на лични данни
- Правно основание
Съгласие на субекта на данните.
- Целева група
Организации, предоставящи развитие, управление и поддръжка на информационните технологии, офиси на Соитрон Груп, агенции за събития, маркетингови агенции.
- Период на съхранение / задържане
За период на действие на даденото съгласие.
- Трансфер към трети страни
Личните данни не се прехвърлят към трети държави извън Европейския съюз.
- Автоматизирано вземане на решения, включително профилиране на лични данни
Няма автоматизирано вземане на решения или профилиране.
-
Права на Субектите на данни
Право на достъп на субекта до данните (съгласно чл. 15 от Общия регламент за защита на личните данни)
1. Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:
a) целите на обработването;
б) съответните категории лични данни;
в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
е) правото на жалба до надзорен орган;
ж) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
з) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
- Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 във връзка с предаването.
- Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.
- Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица.
I. Право на коригиране (съгласно чл. 16 от Общия регламент за защита на личните данни)
Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
II. Право на изтриване (право „да бъдеш забравен“) (съгласно чл. 17 от Общия регламент за защита на личните данни)
- Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
- a) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
б) субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и няма друго правно основание за обработването;
в) субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;
г) личните данни са били обработвани незаконосъобразно;
д) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
е) личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8, параграф 1.
- Когато администраторът е направил личните данни обществено достояние и е задължен съгласно параграф 1 да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.
- Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:
- a) за упражняване на правото на свобода на изразяването и правото на информация;
б) за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
в) по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3;
г) за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, доколкото съществува вероятност правото, установено в параграф 1, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или
д) за установяването, упражняването или защитата на правни претенции.
III. Право на ограничаване на обработването (съгласно чл. 18 от Общия регламент за защита на личните данни)
- Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:
- a) точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
б) обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
в) администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
г) субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
- Когато обработването е ограничено съгласно параграф 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.
- Когато субект на данните е изискал ограничаване на обработването съгласно параграф 1, администраторът го информира преди отмяната на ограничаването на обработването.
IV. Право на преносимост на данните (съгласно чл. 20 от Общия регламент за защита на личните данни)
- Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:
- a) обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и
б) обработването се извършва по автоматизиран начин.
- Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
- Упражняването на правото, посочено в параграф 1 от настоящия член не засяга член 17. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
- Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.
V. Право на възражение (съгласно чл. 21 от Общия регламент за защита на личните данни)
- Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
- Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.
- Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
- Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по параграфи 1 и 2, което му се представя по ясен начин и отделно от всяка друга информация.
- В контекста на използването на услугите на информационното общество и независимо от Директива 2002/58/ЕО, субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.
- Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес.
VI. Автоматизирано вземане на индивидуални решения, включително профилиране (съгласно чл. 22 от Общия регламент за защита на личните данни)
- Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.
- Параграф 1 не се прилага, ако решението:
- a) е необходимо за сключването или изпълнението на договор между субект на данни и администратор;
б) е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или
в) се основава на изричното съгласие на субекта на данни.
- В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.
- Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.
VII. Право на подаване на жалба до надзорен орган (съгласно чл. 77 от Общия регламент за защита на личните данни)
- Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент.
- Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78.
VIII. Право на оттегляне на съгласие
Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни. Преди да даде съгласие, субектът на данни бива информиран за това.
Оттеглянето на съгласие е също толкова лесно, колкото и даването му. За да оттегли съгласие, субектът на данни би могъл да влезе в контакт с Администратора като използва един от посочените начини за връзка:
- Като изпрати имейл с описание на оттеглянето на съгласие на адрес privacy_bg@soitron.com;
- С телефонно обаждане на номер +359 2 41419 03;
- Като изпрати писмено заявление за оттегляне на съгласие до Администратора на адрес: София 1766, район „Витоша“, „Екс Ес Тауър“, ул. “Панорама София” №5, като изрично посочи на самия плик: „Оттегляне на съгласие съобразно Регламента за защита на личните данни“.
Всички съобщения и изявления относно приложимите права на субекта на данните се предоставят безплатно от Администратора. Ако обаче заявлението е явно неоснователно или неподходящо, по-специално поради това, че то се повтаря, Администраторът има право да начислява разумна такса, като взема предвид административните разходи, свързани с предоставянето на исканата информация. В случай на повторно заявление за копие на обработваните лични данни, Администраторът си запазва правото да начислява разумна такса за административни разходи.
Обратна връзка (отговор), както и, когато е уместно, информация за предприетите мерки, се осигурява от Администратора възможно най-бързо и не по-късно от един месец. На Администратора може да бъде разрешено да удължи срока за отговор с още два месеца, при определени възпрепядстващи обстоятелсва, предвид сложността и броя на получените заявления. Администраторът информира субекта на данни за удължаването на срока за отговор и посочва причините за забавянето.