Политика за защита на личните данни
Политика за защита на личните данни
АКТИВМАЙНД ООД е основано през 2008 година, а Актив Майндс Консулт ООД е създадена през 2014 г. като съдружие между АктивМайнд ООД и Ренова Тийм ЕООД. И двете дружества са с основен предмет на дейност предоставяне на консултантски услуги по цялостно обслужване в областта на управление на човешки ресурси, включващо следните услуги: „Администриране на персонал и обработка на възнаграждения", консултиране в областта на трудовото и осигурително законодателство, външен отдел по Управление на човешките ресурси, разработване на проекти по обучение и развитие на персонала, провеждане на обучения, разработване и въвеждане на системи за оценка и градиране на длъжности, системи за възнаграждения, бонусни схеми за персонала, изготвяне на системи за оценяване на персонала и мотивация, организационно консултиране и др.
АКТИВМАЙНД ООД и Актив Майндс Консулт ООД (Администратора) са администратори на лични данни по смисъла и Закона за защита на личните данни. Ние зачитаме неприкосновеността на личния живот на клиентите и служителите си и гарантираме в максимална степен защитата на личните им данни. Като администратор на лични данни, събираме и обработваме определена информация за физически лица. Тази информация може да се отнася до служители, управители, клиенти, доставчици, контрагенти, бизнес контакти и други физически лица, с които Администраторът има договорни правоотношения или иска да установи бизнес контакт.
I. Общи положения.
Чл. 1. Настоящата политика за защита на личните данни урежда как да бъдат събирани, обработвани и съхранявани личните данни, за да отговарят на стандартите в организацията на Администратора и да са в съответствие с правните изисквания.
Чл. 2 . Настоящата Политика за защита на личните данни ("Политика") се издава и служи за привеждане на дейността на Администратора в съответствие с новите нормативни изисквания в областта на защитата на личните данни, произтичащи от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), приложим от 25 май 2018 г. (ОРЗД).
Чл. 3 . Администраторът декларира, че лични данни се събират, обработват и съхраняват законосъобразно, добросъвестно и по прозрачен начин по отношение на субектите на данни, в съответствие с правните изискванията.
II. Дефиниции
1. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2. „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
4. „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
5. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
6. „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
7. „Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
8. „Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
9. „Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
10. „Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.
III. Видове лични данни, цели и правни основания за обработването им
Чл. 4. В зависимост от конкретните цели и основания АДМИНИСТРАТОРА обработва посочените по-долу данни самостоятелно или в комбинация помежду им:
(1). Предоставени данни от физическото лице, необходими за идентификация при сключване на договор.
1. Физическа идентичност – три имена, ЕГН или Личен номер на чужденец, данни от документ за самоличност (номер, дата и място на издаване, валидност), постоянен и настоящ адрес, телефонен номер, адрес на електронна поща за връзка, пол.
2. Социална идентичност – гражданство, данни за завършена степен на образование и допълнителна квалификация (владеене на чужди езици, правоспособност, курсове и др.), свидетелство за съдимост, данни за трудова заетост – заемани длъжности, стаж, трудови функции.
3. Икономическа идентичност – размер на възнаграждение, участието и/или притежаването на дялове или ценни книжа на дружества и др., ограничена, специфична информация, свързана с банкови данни (номер на банкова сметка), лични финансови задължения (обработка на информация от институции, кредити, издръжки, запори от публични изпълнители, съдебни решения).
4. Лични данни относно гражданскоправния статус на лицата, необходими за длъжностите, свързани с материална отговорност (напр. свидетелства за съдимост).
5. Специфични/чувствителни данни – текущо здраве, информация от медицински свидетелства, болнични листове, хронични заболявания, диспансеризация, инвалидизация, трудоустрояване, бременност и раждания, други решения и становища на органи на медицинската експертиза.
6. Семейна идентичност (данни за трети лица) – данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството), личните данни на непълнолетни деца, предоставени от родител/осиновител за изпълнение изискванията на Кодекса на труда, Кодекса за социално осигуряване, Закон за данъците върху доходите на физическите лица.
(2). Предоставени данни от физическото лице, необходими за идентификация при кандидатстване за работа при Администратора или при клиент - възложител на Администратора:
1. Физическа идентичност – две имена, адрес, телефонен номер, адрес на електронна поща за връзка, пол.
2. Социална идентичност – гражданство, данни за завършена степен на образование и допълнителна квалификация (владеене на чужди езици, правоспособност, курсове и др., данни за трудова заетост – заемани длъжности, стаж, трудови функции.
3. Професионална компетентност и професионални умения – данни за знания и умения, свързани с изпълняваната длъжност или с длъжността, за която се кандидатства.
(3). Сведения и информация, изготвяни и генерирани в процеса на обработка на личните данни: ежемесечна данъчно-осигурителна информация за доходите и задълженията на физическото лице, здравословно състояние (болнични листове, решения и становища на органи на медицинската експертиза, трудоустрояване), лични финансови задължения (данъци и осигурителни вноски, запори, издръжки, кредити, данъчни облекчения), банкова сметка за превод на възнаграждения. Посочените лични данни се обработват както за служители на Администратора, така и за служители на клиенти на Дружеството
(4). Във връзка с предлаганите от “АКТИВМАЙНД” ООД с ЕИК: 200322989 семинари, обучения, консултантски услуги и сключването и изпълнението на договор за провеждането/извършването им, обработваме следната информация за Вас:
- Име, презиме и фамилия;
- ЕГН (за счетоводни нужди - необходим реквизит при издаване на фактура към физическо лице)
- Данни за контакт: електронна поща, адрес и телефон
- Месторабота и длъжност.
(5). Като Администратор, ние осигуряваме информация за обработването на лични данни, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, като:
1. При публикуване на обяви за подбор на персонал, публикуваме и кратка информация за следваната от нас политика за защита на лични данни, с линк към документ “Политика за защита на личните данни“, която предхожда самата обява;
2. При публикуване на обяви за семинари, курсове и обучения, публикуваме и кратка информация за следваната от негова страна политика за защита на лични данни, с линк към документ “Политиката за защита на лични данни“;
3. При изпращане на съобщение по имейл за целите на директния маркетинг, публикуваме и кратка информация за следваната от нас политика за защита на лични данни, с линк към документ “Политиката за защита на лични данни“;
2. При сключване на трудов/граждански договор, уведомяваме всеки свой служител за следваната от негова страна политика за защита на лични данни, посредством предоставяне срещу подпис на екземпляр от документ “Декларация за информирано съгласие за обработване на лични данни“;
3. В случай на промени, заварените служители получават срещу подпис екземпляр от ревизирания документ “Съобщение за поверителност на лични данни“.
Чл. 5. (1). Целта на обработката на личните данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи служители на дружеството, клиенти на дружеството и техните служители, и кандидати за работа, доставчици и контрагенти. Обработката на данни е в следствие на изпълнение на нормативно установени задължения на Администратора, произтичащи от спецификата на изискванията на законодателството, регламентиращо добрите практики в областта на предоставяне на услуги по цялостно обслужване и управление на човешките ресурси, и осъществяване на нашата дейност.
(2). Във връзка с изпълнение на нормативно установени задължения при осъществяване на своята дейност, ние обработваме лични данни на физически лица за следните цели:
1. Изпълнение на изискванията на Кодекса на труда, Кодекса за социално осигуряване, Закона за здравословни и безопасни условия на труд, Закон за данъците върху доходите на физическите лица, както и на подзаконовите нормативни актове за тяхното прилагане, произтичащи при сключване, изпълнение и прекратяване на трудовото правоотношение.
2. Изпълнение на задълженията за съдействие на органите на МВР и правораздавателните органи в изпълнение на техните правомощия и за установяване, упражняване или защита на правни претенции;
3. Изпълнение на задълженията за подаване на информация към Националната агенция за приходите, Националния осигурителен институт или друг държавен орган, който има нормативно основание за получаване на съответните данни за финансови, осигурителни, контролни и други законосъобразни цели.
(3). Във връзка осъществяване на своята дейност, ние, в качеството си на обработващ лични данни събираме и обработваме лични данни, предоставени от физически лица, включително от клиенти на Дружеството, по силата на заемана позиция при клиента и/или договор: име, автобиография, пощенски адрес, имейл адрес, телефон.
(4). Данни, които са необходими за целите на директния маркетинг и изпълнение на задължения по договор за услуга, ако е сключен такъв. Предоставените от Вас лични данни ще бъдат използвани, за да Ви съобщаваме за събитията (семинари, курсове, обучения, конференции), които организираме и провеждаме, както следва:
1. Периодично изпращане на съобщения по имейл за предстоящи събития;
2. Осъществяване на контакт по телефона с цел организиране на участието Ви в събитието;
3. Регистрация на участника за съответното събитие;
4. Издаване на сертификат за участие;
5. Издаване на фактура.
Чл. 6. (1). Обработване на лични данни е всяка операция или съвкупност от операции, извършвана чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, възстановяване, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, актуализиране, подреждане или комбиниране, ограничаване, блокиране, изтриване или унищожаване.
(2). Администраторът декларира, че спазва принципите законосъобразност, добросъвестност, прозрачност, целесъобразност, пропорционалност, точност, цялостност и поверителност.
(3). Основанията за обработка на личните данни от Администратора са:
1. Съгласие за обработване на личните данни - при обявено свободно място/конкурс за кандидатстване за работа.
2. Обработването е необходимо за сключване и изпълнение на договор, по който субектът на данните е страна.
3. Идентифициране и обмен на информация за целите на трудовото, социалното и данъчното законодателство в страната.
4. Обработването е необходимо за спазване на законово задължение, което се прилага спрямо Администратора.
5. Използване на формуляр за контакт: В случай, че се използва формуляра за контакт в нашия интернет сайт за запитвания, предоставената информация във формуляра, включително данните за контакти, се използват за обработка на запитването и се съхраняват за по-нататъшна употреба, ако възникнат въпроси за последващи действия.
6. Оценяване с лицензирани тестови инструменти: Вие доброволно се съгласявате да бъдете оценявани с лицензирани тестове, във връзка с конкретен конкурс за работа, програма за развитие и други ситуации, за които предварително сте информиран и е получено Вашето съгласие.
7. На основание легитимния интерес на “АКТИВМАЙНД” ООД за целите на директния маркетинг.
(4). Изричното съгласие на физическото лице за обработка на данните не се изисква, когато Администраторът разполага с правно основание за обработка на личните данни. В случай на отказ от доброволно предоставяне на изискани лични данни, Администраторът няма да бъде в състояние да изпълни свои нормативно установени задължения.
(5). Обработването на специални категории лични данни се извършва на основание чл. 9, пар. 2, т. б) и т. з) от ОРЗД (GDPR).
IV. Категории трети лица, които получават достъп и обработват лични данни на физическите лица, клиенти или служители на Администратора
Чл. 7. Обработващи лични данни, които въз основа на договор с Администратора обработват личните данни от негово име или имат пряк/косвен достъп до тях:
1. Лица, които по възлагане поддържат оборудване и софтуер, използвани за обработване на личните данни;
2. Лица, предоставящи услуги за управление на здравето и безопасност при работа;
3. Банките, обслужващи банковите сметки на физическото лице и на администратора;
4. Лица, предоставящи услуги по организиране, съхраняване, индексиране и унищожаване на архиви на хартиен и/или електронен носител;
5. Лица, предоставящи куриерски услуги – приемане, пренасяне и доставка и адресиране на пратките до физически лица от Администратора;
6. Публични изпълнители, събиращи неплатени задължения, след представяне на съответните документи по ДОПК и ГПК.
7. Други администратори на лични данни, на които АДМИНИСТРАТОРА предоставя лични данни, и които обработват данните на собствено основание и от свое име:
· Компетентни органи, които по силата на нормативен акт имат правомощия да изискват предоставянето на информация, сред която и лични данни, например Български съд или съд на друга държава;
· Различни надзорни/регулаторни органи;
· Държавни органи, които имат нормативно основание за получаване на съответните данни за финансови, осигурителни, контролни и други законосъобразни цели – МВР, НАП, НОИ, ГИТ, НСИ.
8. Доставчици на услуги (експерти по информационна сигурност, счетоводител, адвокати). Администраторът превъзлага на други лица някои спомагателни дейности, свързани със сключване и изпълнение на договори, техническа поддръжка на информационни системи и оперативна поддръжка на дейността. В тези случаи е възможно Администраторът да разкрие лични данни на тези лица само при наличие на основателна причина за това, въз основа на писмен договор с получателите и при достатъчно гаранции, че същите обработват данните законосъобразно и осигуряват достатъчно ниво на защита.
9. Лектори на семинари, в които участвате. Преди провеждане на семинара “АКТИВМАЙНД” ООД предоставя на лекторите информация за местоработата на участниците с цел лекторите да могат да съобразят предварително кои въпроси биха били от значение за Вас и да акцентират върху тях. По този начин повишаваме полезността и качеството на предоставяната обучителна услуга, като я адресираме до конкретните участници.
V. Срок на съхранение
Чл. 8. Продължителността на съхранение на личните данни зависи от целите на обработването, за които са събрани.
(1). Личните данни, получени в следствие на съгласие при обявено свободно място/конкурс за кандидатстване за работа, включително за тестово оценяване – за срок до три месеца след приключване приема на документи по обявата, освен ако е договорен друг срок
(2). Личните данни, получени в следствие на съгласие във връзка с директен имейл маркетинг или участие ва обучение, семинар, курс или друго събитие – до оттегляне на даденото съгласие.
(3). Личните данни, обработвани при сключване/изменение/изпълнение на договор за полагане на труд – за срок от 50 години.
(4). Личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно-осигурителния контрол, като, но не само – фактури, дебитни/кредитни известия, приемо-предавателни протоколи, договори за предоставяне на услуги – поне 5 години след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство предвижда по-дълъг срок.
(5). Като Администратор, съхраняваме лични данни толкова време, колкото е необходимо за предоставянето на услугите или дотогава, докато ни задължава законът.
Чл. 9. След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител – чрез заличаване и изтриване на съответните файлове от компютрите на Дружеството или използвани онлайн платформи.
VI. Права на физическите лица във връзка с обработването на личните им данни
Чл. 10. Право на информираност – физическото лице, чиито лични данни се обработват има право да получава вярна, точна и актуална информация относно данните, които идентифицират Администратора и неговия представител, целите на обработването, получателите, на които могат да бъдат разкрити данните, задължителния или доброволен характер на предоставяне на данните и последиците от отказ.
Чл. 11. Право на достъп до личните му данни, както и право да изисква от Администратора актуализиране, коригиране или изтриване на личните му данни или ограничаване на обработването им (като има предвид, че предоставянето на определени лични данни е законово изискване, необходимо за сключване и изпълнение на трудов договор, предвид нормативното му съдържание съгласно чл. 66 от Кодекса на труда).
Чл. 12. Право да направи възражение срещу обработването.
Чл. 13. Право на преносимост на данните.
Чл. 14. Право за оттегляне на дадено съгласие по всяко време (когато такова съгласие е приложимо), без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено.
Чл. 15. Право за подаване на жалба до надзорен орган – Комисията за защита на личните данни за Република България.
Чл. 16. (1). Администраторът предоставя информация на лицата в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Администраторът се стреми да гарантира, че лицата са запознати относно обработваните от него лични данни и са информирани във връзка с обработването в съответствие с изискванията на ОРЗД.
(2). Администраторът предоставя информацията на лицата писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Информацията може да бъде дадена устно, при положение че идентичността на лицето е доказана с други средства.
(3). Администраторът предоставя на лицата безплатно информация относно действията, предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.
Чл. 17. Физическите лица упражняват правата си като подават писмено заявление до Администратора, съдържащо минимум следната информация:
1. Данни на лицето – имена, адрес за кореспонденция, телефон за контакт, адрес на електронна поща и други данни за идентифициране на съответното физическо лице;
2. Описание на искането;
3. Предпочитана форма за предоставяне на информацията;
4. Подпис, дата на подаване на заявлението.
Чл. 18. Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато:
1. Личните данни повече не са необходими за целите, за които са били събрани или обработвани;
2. Лицето оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
3. Лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
4. Личните данни са били обработвани незаконосъобразно;
5. Личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора.
VII. Нарушения
Чл. 19. Нарушение на сигурността на данни възниква, когато личните данни, за които АДМИНИСТРАТОРА отговаря и обработва, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или се обработват по друг начин.
Чл. 20. Когато Администраторът получи информация за извършено нарушение на сигурността на личните данните, за което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява Комисията за защита на личните данни и субекта за нарушението.
Чл. 21. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
VIII. Заключителни разпоредби
Чл. 22. Настоящата политика е приета и влиза в сила от 25/05/2018 г. като относимите към защитата на личните данни дейности и мерки се изпълняват от Дружеството, съгласно нормативната уредба и са приведени в съответствие с разписаните тук правила.