Защита на личните данни (GDPR)
ДЕКЛАРАЦИЯ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ
Декларация за обработка на лични данни съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета за защита на физическите лица във връзка с обработката на лични данни и за свободното движение на такива данни (наричан още "GDPR")
I. Администратор на лични данни
Администратор на лични данни:
Име (фирма): RAVAK a.s.
Адрес: Obecnická 285, Příbram I, 261 01 Příbram
представляван от: Ing. Josefem Stiborem, генерален директор
Идентификационен номер: 25612492
Данъчен номер: CZ25612492
(наричан още "администратор“)
по този начин информира субектите на данни за обработката на техните лични данни и за техните права, съгласно чл. 12 от GDPR.
II. Обхват на обработката на лични данни
Личните данни се обработват в обхвата, в който съответният субект на данни ги е предоставил на администратора, във връзка със сключването на договор или друго правоотношение с администратора, или които администраторът е събрал по друг начин и ги обработва в съответствие със съществуващите правни разпоредби или за изпълнение на законови задължения на администратора.
III. Източници на лични данни
- директно от субектите на данни (напр. регистрация, имейли, телефон, чат, уебсайтове, контактни формуляри на уебсайта, социални мрежи, визитки, договори, съгласия, видеозаписи, направени чрез техническо оборудване на администратора и др.)
-
от публични регистри - публичен регистър за целите на този документ е:
- публичен регистър съгласно Закон № 304/2013 г., за публичните регистри на юридически и физически лица, в сила от последващите разпоредби, т.е. регистър на сдруженията, регистър на фондациите, регистър на институтите, регистър на собствениците на единици, търговски регистър и регистър на обществено полезните дружества;
- други регистри съгласно Закон № 111/2009 г., за основните регистри, в сила от последващите разпоредби
IV. Категории лични данни, които са предмет на обработка от администратора
Идентификационни данни, контактни данни, описателни данни, транзакционни данни, технически данни за продукта.
V. Категории субекти на данни
Субект на данни е физическо лице, на което се отнасят личните данни, конкретно:
- служител на администратора
- кандидат за работа при администратора
- договорен партньор на администратора (физическо лице - предприемач, непредприемач)
- субект в преддоговорни отношения с администратора (клиент преди приемане на поръчката, заявител и др.)
- участник в процедура
- страничен участник в процедура
- засегнато лице, участващо
- заявител
- въпрошаващ
- платец
- получател
- упълномощен
- задължен
- пострадал
VI. Категории обработващи и получатели на лични данни
- органи на държавната администрация
- органи на местната самоуправа
- обществени институции
- банкови институции
- застрахователни компании
- външни субекти, предоставящи услуги на администратора в различни области (ЗБУТ, счетоводство, обучение, образование)
VII. Цел и основания за обработка на лични данни
Обработката на лични данни се извършва от администратора:
- на основата на дадено съгласие от субекта на данни
- при изпълнение на договор със субекта на данни
- при изпълнение на мерки, приети преди сключване на договор по искане на субекта на данни
- поради изпълнение на правно задължение, което се отнася до администратора (включително архивиране на основание на закон)
- поради защита на жизненоважни интереси на субекта на данни или на друго физическо лице
- поради изпълнение на задача, извършвана в обществен интерес или при упражняване на публична власт, с която е упълномощен администратора
- поради законни интереси на администратора или на трета страна (включително архивиране на основание на законни интереси на администратора)
Причини за обработване на специални категории лични данни
- изрично съгласие на субекта,
- изпълнение на задължения в областта на трудовото право, правото на социално осигуряване и социална защита,
- защита на жизненоважни интереси на субекта на данните или на друго физическо лице, в случай че субектът на данните не е физически или правно способен да даде съгласие,
- Лични данни, явно публикувани от субекта на данните,
- определяне, упражняване или защита на правни претенции или при съдебни процедури,
- значителен обществен интерес,
- архивиране в обществен интерес, за целите на научни или исторически изследвания или за статистически цели
VIII. Метод на обработка и защита на личните данни
Обработката на лични данни се извършва от администратора. Обработката се извършва в неговите работни места, седалището на администратора от отделни упълномощени служители на администратора, или от обработващия. Обработката се извършва чрез компютърна техника, или ръчно за лични данни в писмен формат, като се спазват всички принципи за сигурност при управление и обработка на лични данни. За тази цел администраторът е приел технически и организационни мерки за защита на личните данни, по-специално мерки, за да не може да се допусне неразрешен или случаен достъп до лични данни, тяхната промяна, унищожаване или загуба, неразрешени трансфери, неразрешена обработка, както и друга злоупотреба с лични данни. Всички субекти, на които могат да бъдат предоставени лични данни, уважават правото на субектите на данни за защита на личния живот и са задължени да действат в съответствие с действащите законови разпоредби относно защитата на личните данни.
IX. Период на обработка на лични данни
В съответствие със сроковете, посочени в съответните договори, вътрешните правила на администратора или в съответните законови разпоредби, става въпрос за период, необходим за осигуряване на правата и задълженията, произтичащи както от договорите, така и от законовите разпоредби.
X. Права на субектите на данни
1. В съответствие с чл. 12 от GDPR администраторът информира субекта на данните за правото на достъп до лични данни и до следната информация:
- целта на обработката,
- категорията на засегнатите лични данни,<
- получателите или категориите получатели, на които личните данни са или ще бъдат разкрити,
- планираната продължителност, през която личните данни ще бъдат съхранявани,
- всяка налична информация относно източника на личните данни,
- ако не са получени от субекта на данните, факта, че се извършва автоматизирано вземане на решения, включително профилиране.
2. Всеки субект на данни, който установи или предполага, че администраторът или обработващият извършва обработка на неговите лични данни, която е в разрез със защитата на личния и частния живот на субекта на данните или е в разрез със закона, по-специално ако личните данни са неточни с оглед на целта на тяхната обработка, може:
- Да поиска от администратора обяснение.
- Да поиска от администратора да премахне това положение. Може да става въпрос за блокиране, коригиране, допълване или изтриване на лични данни.
- Ако искането на субекта на данните се счита за основателно, администраторът незабавно премахва проблема.
- Ако администраторът не отговори на искането на субекта на данните, субектът на данните има право да се обърне директно към надзорния орган, който е Комисията за защита на личните данни.
- Субектът на данните има право да се обърне със своята жалба към надзорния орган директно, без да предприема предварителни стъпки.
3. Администраторът предоставя на субектите на данни информация и съобщения по кратък, прозрачен, разбираем и лесно достъпен начин, като използва ясни и прости езикови средства. Информацията и съобщенията може да бъдат предоставени от АДМИНИСТРАТОРА на субектите на данни писмено, в подходящи случаи и електронно или устно, ако се увери в идентичността на съответния субект на данните.
4. Администраторът е длъжен да отговори на исканията на субектите на данни за информация без ненужно забавяне, но не по-късно от 1 месец след получаване на такова искане. В обосновани случаи администраторът може да удължи този срок, но не повече от 2 месеца. Администраторът информира субекта на данните за удължаване на срока, също така в рамките на 1 месец след получаване на искането на субекта на данните и съобщава на субекта на данните причините за това удължаване. В случай, че субектът на данните подаде искане за информация и съобщения електронно, АДМИНИСТРАТОРЪТ ги предоставя електронно, освен ако субектът на данните не поиска друг начин за предоставяне на информация и съобщения, например писмено.
5. Ако субектът на данни иска от администратора да предприеме определени мерки (корекция на личните му данни, тяхното изтриване и т.н.) и администраторът не приема такива мерки, той информира субекта на данни незабавно, най-късно в рамките на 1 месец от искането за приемане на съответната мярка, включително причините за неизпълнение на тези мерки, както и информация за възможността на субекта на данни да подаде жалба до Комисията за защита на личните данни, или да се обърне към съда.
6. Администраторът предоставя информация и съобщения на субекта на данни безплатно. В случай, че субектът на данни прави повторни искания или тези искания са неоснователни или непропорционални, администраторът може да откаже искането на субекта на данни или да наложи съответна такса, покриваща административните разходи, свързани с предоставянето на информация и съобщения или свързани с изпълнението на исканите мерки. Администраторът трябва да може да докаже неоснователността или непропорционалността на искането на субекта на данни.
7. В случай, че администраторът получава лични данни директно от субекта на данни, той информира субекта на данни при получаването им за следната информация:
a)
идентификационни и контактни данни на администратора и евентуалния представител на администратора;
b)
целите на обработката, за които са предназначени личните данни, и правното основание за обработката;
c)
законните интереси на администратора или на трета страна, ако обработката е необходима за целите на законните интереси на администратора или на трета страна;
d)
евентуалните получатели или категории получатели на личните данни;
e)
евентуалното намерение на администратора да предаде личните данни на трета страна или международна организация и съществуването или липсата на решение на Европейската комисия, че тази трета страна или международна организация осигурява подходяща защита на личните данни, както и препратка към подходящи гаранции и средства за получаване на копие на тези данни или информация за мястото, където тези данни са били предоставени.
8. Ако е необходимо за осигуряване на справедлива и прозрачна обработка, администраторът предоставя на субекта на данни и допълнителна информация, по-специално периода на обработка на личните данни, при необходимост критериите за определянето му, както и информация за правото на субекта на данни да коригира личните си данни, да ги изтрие и т.н.
9. В случай, че администраторът не получава лични данни директно от субекта на данни, той информира субекта на данни при получаването им за информацията, посочена в параграф 7 букви a), b), d) и e), при необходимост и допълнителна информация съгласно параграф 8.
10. Администраторът информира субекта на данни за промяна в целта на обработка на личните данни, всякога когато това се случи.
11. Администраторът е длъжен по искане да даде на субекта на данни потвърждение дали администраторът обработва лични данни, които го засягат, и ако е така, да осигури на субекта на данни достъп до тези данни и до следната информация:
a)
целите на обработката;
b)
категориите на засегнатите лични данни;
c)
получателите или категориите получатели, на които личните данни са били или ще бъдат разкрити, по-специално получателите в трети страни или в международни организации;
d)
планираната продължителност, през която ще бъдат съхранявани личните данни, или ако това не е възможно, критериите, използвани за определяне на този период;
e)
съществуването на правото да се иска от АДМИНИСТРАТОРА корекция или изтриване на личните данни, засягащи субекта на данни, или ограничаване на тяхната обработка, или да се възрази срещу тази обработка;
f)
правото да подаде жалба до Комисията за защита на личните данни;
g)
всички налични информации за източника на личните данни, ако не са получени от субекта на данни.
12. Съгласно задълженията, посочени в параграф 11, администраторът е длъжен да предостави на субекта на данни копие на обработваните лични данни. За предоставяне на копия съгласно предходното изречение администраторът може да таксува съответна административна такса.
13. Администраторът е длъжен без ненужно забавяне да коригира неточните лични данни, засягащи субекта на данни, да допълни непълните лични данни, включително чрез предоставяне на допълнително изявление.
14. Администраторът е длъжен да изтрие личните данни, които се отнасят до субекта на данните, без ненужно забавяне, ако е изпълнено едно от следните условия:
a)
личните данни вече не са необходими за целите, за които са били събрани или по друг начин обработени;
b)
субектът на данните оттегля съгласието си, ако личните данни са обработвани на основата на това съгласие, и няма друг законов основание за обработка;
c)
субектът на данните възразява срещу обработката и няма преобладаващи законови основания за обработка;
d)
личните данни са обработвани незаконосъобразно;
e)
личните данни трябва да бъдат изтрити, за да се изпълни законова задължение, установено от правото на Европейския съюз или от законодателството на Чешката република.
15. В случай, че администраторът е публикувал личните данни на субекта на данните и е длъжен да ги изтрие, администраторът трябва да предприеме (с оглед на наличната технология и разходи) подходящи мерки, за да информира други администратори на лични данни, които обработват тези лични данни, че субектът на данните иска да бъдат изтрити всички препратки към тези лични данни, техните копия и репликации.
16. Администраторът не е длъжен да изпълни задълженията по чл. 14 и 15, ако обработката на лични данни е необходима за него, например за изпълнение на законово задължение, което изисква обработка на лични данни от правото на Европейския съюз или от законодателството на Чешката република, което се прилага към администратора, или за определяне, упражняване или защита на неговите правни претенции и т.н.
17. Администраторът е длъжен да ограничи обработката на личните данни на субекта на данните, ако:
a)
субектът на данните отрича точността на личните данни, за период, необходим за администратора да провери точността на личните данни;
b)
обработката е незаконосъобразна и субектът на данните отказва да изтрие личните данни и вместо това иска ограничаване на тяхното използване;
c)
администраторът вече не се нуждае от личните данни за целите на обработката, но субектът на данните ги изисква за определяне, упражняване или защита на правни претенции;
d)
субектът на данните възразява срещу обработката съгласно чл. 19 от тази директива, докато не бъде проверено дали законовите основания на администратора за обработка преобладават над законовите основания на субекта на данните.
18. В случай, че администраторът е ограничил обработката на личните данни съгласно предходния параграф, тези лични данни могат да бъдат обработвани само със съгласието на субекта на данните, или заради определяне, упражняване или защита на правни претенции, заради защита на правата на друго физическо или юридическо лице или поради важни обществени интереси на Европейския съюз или на някоя от държавите-членки на Европейския съюз.
19. Администраторът предварително информира субекта на данните за отмяната на ограничението на обработката на личните данни съгласно чл. 17.
20. Администраторът е длъжен да уведоми отделните получатели за всички корекции или изтривания на лични данни, за ограничаване на обработката на лични данни, с изключение на случаите, когато това се окаже невъзможно или изисква несъразмерни усилия. Администраторът също така информира субекта на данните за тези получатели, ако субектът на данните го изисква.
21. В случай, че субектът на данните възразява срещу обработката на лични данни от Общността на собствениците, която администраторът обработва за целите на законовите интереси на администратора или на трета страна, администраторът на основание на тази възражение не обработва личните данни, освен ако не докаже сериозни законови основания за обработка, които преобладават над интересите или правата и свободите на субекта на данните, или за определяне, упражняване или защита на правни претенции. Администраторът трябва да информира субекта на данните за това право, като го направи най-късно при първата комуникация със субекта на данните.
XI. Проверка на идентичността на субекта на данните
-
В случай, че администраторът получи заявление от физическо лице - субект на данни, което в съответствие с Регламент на Европейския парламент и на Съвета (ЕС) 2016/679 от 27 април 2016 г. за защита на физическите лица във връзка с обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (наричан по-нататък "GDPR")
a) упражнява правото на достъп до своите лични данни, и/или,
b) иска да бъде обработена заявка за потвърждение, че администраторът в смисъла на GDPR обработва лични данни, отнасящи се до заявителя, и/или,
c) иска безплатно предоставяне на копия на обработваните лични данни и/или,
d) иска да бъде информиран за категориите лични данни, които се обработват, и/или,
e) иска да бъде информиран за целта, с която се обработват личните данни, и/или,
f) иска да бъде информиран за планираната продължителност, през която личните данни ще бъдат съхранявани, или ако не е възможно да се определи, какви са критериите, използвани за определяне на този период, и/или,
g) иска да бъде информиран дали (и при какви условия) може да поиска от администратора корекция или изтриване на лични данни, ограничаване на тяхната обработка, или дали и как може субектът на данни да възрази срещу обработването на моите лични данни, и/или,
h) иска да бъде информиран дали (и как) субектът на данни може да подаде жалба при надзорния орган и кой е този надзорен орган, и/или,
i) иска да бъде информиран за всички налични информации за източника на личните данни, които се отнасят до субекта на данни, ако не са били получени директно от него, и/или,
j) иска да бъде информиран дали във връзка с обработването на личните данни на субекта на данни се извършва също и автоматизирано вземане на решения, включително профилиране, посочено в чл. 22, параграфи 1 и 4 от GDPR, и поне в тези случаи иска да бъде предоставена значима информация относно използвания процес, както и значение и предполагаеми последствия от такова обработване за неговата личност, и/или,
k) иска да бъде информиран кой са получателите на личните данни на този субект на данни, или иска да бъдат посочени техните категории, на които са били или ще бъдат предоставени неговите лични данни, и/или,
l) иска да бъде информиран за получателите от трети страни и международни организации, които са имали или ще имат достъп до личните данни на субекта на данни, и/или,
m) иска да бъде предоставена информация относно гаранциите съгласно чл. 46 от GDPR, ако личните данни се предават на трета страна или международна организация,
администраторът винаги е длъжен да провери достатъчно идентичността на заявителя преди обработването на горепосочените заявки. Ако администраторът има съмнения относно идентичността на заявителя, има право да поиска от заявителя допълнителна информация, необходима за потвърждаване на неговата идентичност (чл. 12, параграф 6 от GDPR). -
Администраторът има право в случай на съмнения относно идентичността на заявителя да поиска от това лице:
a) изпращане на заявка с удостоверен подпис на заявителя, ако заявителят е подал заявката в писмена форма,
b) изпращане на заявка с електронен подпис, т.е. с данни в електронен формат, които са прикрепени към данните на съобщението или са логически свързани с него, и които служат като метод за еднозначно удостоверяване на идентичността на подписаното лице във връзка с данните на съобщението
c) изпращане на заявка чрез данъчна кутия, ако заявителят има такава -
Администраторът няма право да изисква допълнителна информация за удостоверяване на идентичността на заявителя, особено в случаите, когато:
a) администраторът обработва имейл контакт като лични данни на заявителя, от който е изпратена съответната заявка
b) администраторът обработва телефонния номер на заявителя, след което прави телефонен разговор на този телефонен номер с цел удостоверяване на идентичността на заявителя и според споразумение със заявителя след това изпраща поисканата информация или съобщава други факти, свързани с обработването на лични данни, електронно на имейл адреса, посочен от заявителя, или писмено на адреса, посочен от заявителя,
c) администраторът има възможност да удостовери идентичността на заявителя по друг начин (напр. чрез публични регистри, предишна комуникация)
d) заявителят е подал заявката лично пред съответния служител на администратора или друго лице, упълномощено от него.
XII. Заключителни разпоредби
Декларацията е достъпна публично на интернет страниците на администратора:
https://www.ravak.cz/
Последната актуализация на тази Декларация е извършена на 24.5.2018 г.