ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ НА ЛИЧНИТЕ ДАННИ НА ЛЕА 2006 ЕООД

Леа 2006 ЕООД („Дружеството“), в качеството си на администратор на лични данни спазва

стриктно законовите изисквания, свързани с обработката на лични данни. Настоящата политика за

поверителност представлява извадка от вътрешните правила за защита на личните данни на

Дружеството и съдържа основната информация относно защитата на физическите лица във връзка

с обработването на лични данни и прилаганите от обработването на личните данни

I. Общи положения

1.1 Данни за администратора:

Леа 2006 ЕООД,

ЕИК 175039300

Адрес: град София 1000, улица Хан Крум No 9Б, етаж 1, апартамент 1.

Телефон: +359 878 699 299

Управител: Валентин Иванов Терзиев

Е-мейл адрес: sales@azurropark.com

1.2 Като администратор на лични данни Дружеството спазва всички европейски и национални

правила за защита на личните данни. Правилата са изготвени на основание Закона за защита на

личните данни („ЗЗЛД“) и Регламент ЕС 2016/679 на Европейския парламент и Съвета от

27.04.2016 година относно защитата на физическите лица във връзка с обработването на лични

данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО

(„Регламента“) и цели защита на клиенти, служители и партньорите на Дружеството от

незаконосъобразно и недобросъвестно обработване на личните им данни.

1.3 За целите на настоящите вътрешни правила:

1.3.1 „Администратор на лични данни“ означава физическо или юридическо лице, публичен

орган, агенция или друга структура, която сама или съвместно с други определя целите и

средствата за обработването на лични данни; когато целите и средствата за това обработване се

определят от правото на ЕС или правото на държава членка, администраторът или специалните

критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на

държава членка. Администратор на лични данни е Дружеството.

1.3.2 „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице

или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице,

което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или

непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за

местонахождение, онлайн идентификатор или по един или повече признаци, специфични за

физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната

или социална идентичност на това физическо лице.

1.3.3 „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични

данни или набор от лични данни чрез автоматични или други средства като събиране, записване,

организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране,

употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават

достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

1.3.4 „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган,

агенция или друга структура, която обработва лични данни от името на администратора.

II. Основания за обработка на лични данни и основни принципи

2.1 Дружеството обработва лични данни единствено при наличие на законово основание за

съответната обработката, а именно:

(i) при наличие на законово задължение за обработката в тежест на Дружеството;

(ii) за целите на изпълнението на договор, по който субектът на данните е страна;

(iii) когато субектът на данните е дал съгласие за конкретната обработка на данните;

(iv) когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на

субекта на данните или на друго физическо лице;

(v) когато обработването е необходимо за изпълнение на задача от обществен интерес;

(vi) обработването е необходимо за целите на легитимните интереси на Дружеството или на

трета страна, освен когато пред такива интереси преимущество имат интересите или основните

права и свободи на субекта на данните, които изискват защита на личните данни, по-специално

когато субектът на данните е дете.

2.2 Когато личните данни се обработват на база предоставено от субекта съгласие, същото

следва да бъде изрично, свободно дадено и изразено в писмена форма. Съгласието следва да се

отнася до конкретните данни, подлежащи на обработка, и да покрива всяка конкретна цел на

обработката. Субектът на данните има правото да оттегли съгласието си по всяко време

посредством писмено уведомление, получено в на имейла на Дружеството.

2.3 Дружеството обработва лични данни за следните цели:

(i) За подбор на персонал и управление на човешките ресурси;

(ii) За сключване и изпълнение на договори с партньори и доставчици;

(iii) За сключване и изпълнение на договори с клиенти.

2.4 Личните данни, които Дружеството събира и обработва са в минимално необходимия за

конкретната цел на обработката обем. Личните данни, които Дружеството обработва, следва да

бъдат точни и при необходимост или по искане на субекта на данните да се актуализират или

коригират.

2.5 Като администратор на лични данни Дружеството спазва принципа за забрана на

обработване на специални категории данни, отнасящи се до расов или етнически произход,

политически възгледи, религиозни или философски убеждения или членство в синдикални

организации, както и обработването на генетични данни, биометрични данни за целите единствено

на идентифицирането на физическо лице, данни за здравословното състояние или данни за

сексуалния живот или сексуалната ориентация на физическото лице. Изключения от този принцип

се допускат с оглед изпълнение на задълженията на Дружеството като работодател във връзка с

трудовото правоотношение със служителите, които произтичат от трудовото и осигурително

законодателство и касаят обработка на данни за членство в синдикални организации, както и

данни, съдържащи се в болнични листове или медицински свидетелства, свидетелства за съдимост,

изисквани от работодателя при започване на работа.

III. Срок на обработката

3.1 Дружеството обработва и съхранява личните данни за срок не по-дълъг от необходимия за

изпълнение на целите, за които личните данни се обработват, като съблюдава сроковете за

съхранение, предвидени в чл. чл. 12 от Закона за счетоводството.

3.2 При подбор на персонал данните се съхраняват за период от 6 месеца след приключване на

процедурата по подбор.

3.2 След изтичане на срока за съхранение на личните данни Дружеството осигурява

безопасното им заличаване и унищожаване. Физическото унищожаване на данните се осъществява

чрез машинно нарязване. За унищожаването се съставя протокол.

IV. Носители на данни и мерки за защита

4.1 Регистрите се водят и съхраняват на хартиен и електронен носител.

4.2 Дружеството организира и предприема мерки, съобразени със съвременните технологични

постижения и рисковете, свързани с естеството на данните, за защита на личните данни от

случайно или незаконно унищожаване, от неправомерен достъп, от изменение или

разпространение, както и от други незаконни форми на обработка.

4.3 Дружеството предприема следните мерки за защита на личните данни:

(i) програмно-технически – за надеждна и защитена идентификация и автентификация на

изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на

пренасяната информация, поддържане на електронен архив и редовно архивиране на

информационните бази, поддържане на операционните и антивирусни системи в актуално

състояние, криптографски методи на защита при пренасяне на информацията,

(ii) физически – използва система от мерки за защита данни и контрола върху достъпа за

сградите, помещенията и съоръженията, в които се обработват и съхраняват лични данни,

архивиране на данните на хартиен носител и ограничаване на достъпа до тях.

(iii) нормативни – спазва всички правила, предвидени в законови и подзаконови нормативни

актове.

V. Предоставяне на информация на трети лица

5.1 Дружеството няма правото да предоставя личните данни на трети лица без да е получило

изрично писмено съгласие от субекта на данните, с изключение на компетентните държавни

органи, в съответствие с трудовото, данъчно и осигурително законодателство, както и в случаите,

когато съществува задължение за предоставяне на данните, произтичащо от действащ нормативен

акт.

5.2 Съгласието трябва да е дадено свободно, изрично, информирано и в писмена форма.

5.3 Съгласие не се изисква, ако личните данни са изискани по надлежен път от компетентните

държавни органи и за Дружеството съществува задължение да предостави данните, произтичащо

от действащ нормативен акт.

5.4 Предоставянето на лични данни на обработващи, действащи под ръководството на

Дружеството, се извършва само след споразумение, ще бъдат положени необходимите усилия и

мерки за защита на данните и ще бъде спазено законодателството в областта на защита на личните

данни.

VI. Процедура по първоначално предоставяне на информация

6.1 Когато лични данни се събират за първи път от субекта на данните, в момента на

получаване на личните Дружеството предоставя на субекта на данните цялата посочена по-долу

информация, съдържаща се в Приложение 1 към вътрешните правила, а именно:

(i) данните, които идентифицират администратора и координатите за връзка с него;

(ii) целите на обработването, за което личните данни са предназначени, както и правното

основание за обработването;

(iii) когато обработването се извършва въз основа на законни интереси, конкретните интереси,

преследвани от администратора или от трета страна;

(iv) получателите или категориите получатели на личните данни, ако има такива;

(v) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите,

използвани за определяне на този срок;

(vi) съществуването на право да се изиска от администратора достъп, коригиране или изтриване

на лични данни или ограничаване на обработването на лични данни, свързани със субекта на

данните, или право да се направи възражение срещу обработването, както и правото на

преносимост на данните;

(vii) когато обработването се извършва въз основа на съгласие, субектът на данните има правото

да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността

на обработването, основано на дадено съгласие, преди неговото оттегляне.

(viii) правото на жалба до надзорен орган;

(ix) дали предоставянето на лични данни е задължително или договорно изискване, или

изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да

предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени.

VII. Процедура по осигуряване на достъп на лицата до личните им данни

7.1 Всеки субект на данните има право да получи потвърждение дали се обработват лични

данни, свързани с него, и ако това е така, да получи достъп до свързаните с него данни, както и

информация за целите и сроковете за обработка.

7.2 За да получат достъп до личните си данни лицата подават писмено заявление на имейла или

в офиса на Дружеството, лично или чрез упълномощено лице.

7.3 Заявлението трябва да съдържа задължително име на лицето и други данни, които го

идентифицират, описание на искането, подпис, дата и адрес на кореспонденцията, както и

пълномощно, когато заявлението се подава от упълномощено лице.

7.4 Заявлението предава на управителя, който. разглежда заявлението за достъп и ако прецени,

че са налице законните основания, осигурява исканата от лицето информация.

7.5 Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на

подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране на

личните данни на лицето.

7.6 Когато данните не съществуват или не могат да бъдат предоставени на определено правно

основание, на заявителя се отказва достъп до тях с мотивирано решение на управителя.

7.7 Исканата от субекта информация или отказът се предоставят на лицето в предпочитаната от

него форма за комуникация, включително по електронен път, след надлежна идентификация.

VIII. Процедура по коригиране, ограничаване на обработването и изтриване на данните по

искане на лицето, за което се отнасят

8.1 Субектът на данни има право да поиска от администратора коригиране на неточните лични

данни, както и попълване на непълните лични данни чрез подаване на писмено заявление до

Дружеството.

8.2 Субектът на данни има правото да поиска от Дружеството изтриване на свързаните с него

лични данни, които то има задължението да изтрие, когато е приложимо някое от посочените по-

долу основания: (i) личните данни повече не са необходими за целите, за които са били събрани

или обработвани по друг начин; (ii) субектът на данните оттегля своето съгласие, върху което се

основава обработването на данните и няма друго правно основание за обработването, (iii) субектът

на данните възразява срещу обработването и няма законни основания за обработването, които да

имат преимущество, или (iv) субектът на данните възразява срещу обработване за целите на

директния маркетинг, (v) личните данни са били обработвани незаконосъобразно, (vi) личните

данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или

българското право или правото на държава членка, което се прилага спрямо администратора.

8.3 Субектът на данните има право да изиска от Дружеството ограничаване на обработването,

когато: (i) точността на личните данни се оспорва от субекта на данните, за срока на тяхната

проверка, (ii) обработването е неправомерно, но субектът на данните не желае личните данни да

бъдат изтрити, а изисква вместо това ограничаване на използването им, (iii) администраторът не се

нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за

установяването, упражняването или защитата на правни претенции; (iv) субектът на данните е

възразил срещу обработването на база защита на законни интереси и е в очакване на проверка дали

законните основания на администратора имат преимущество пред интересите на субекта на

данните.

8.4 Субектът на данните има право на възражение срещу обработване на лични данни,

отнасящи се до него, което се основава на легитимен интерес на администратора или на трето

лице. Администраторът прекратява обработването на личните данни, освен ако не докаже, че

съществуват убедителни законови основания за обработването, които имат предимство пред

интересите, правата и свободите на субекта на данни, или за установяването, упражняването или

защитата на правни претенции.

8.5 Исканията се подават в писмена форма в офиса на Дружеството или на посочения имейл

адрес. Отговорните лица са длъжни да предприемат действията по исканията в срок до 30 дни от

подаване на искането, ако са налице основанията за това и да информират лицето за предприетите

от Дружеството действия.

IX. Право на преносимост на личните данни

9.1 По искане на субекта личните данни, отнасящи се до него, могат да бъдат предоставени

директно на друг администратор, стига това да е технически постижимо. В противен случай

данните се предават на лицето и то само ги прехвърля на новия администратор.

X. Процедура по унищожаване и заличаване

10.1 В случаите когато лицето е оттеглило съгласието си за обработване на личните му данни,

дори да не е подало искане за изтриването им, администраторът се задължава да ги унищожи и/или

заличи в срок до 30 дни от оттегляне на съгласието по реда на настоящите вътрешни правила.