Защита на лични данни

ПРАВИЛА


ЗА СЪБИРАНЕ, СЪХРАНЯВАНЕ, ОБРАБОТКА И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ,

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ И ДОПУСТИМИЯ ВИД НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В ДИ СИ 2008 ООД


Глава първа

Общи положения


Чл. 1. Настоящите вътрешни правила за технически и организационни мерки и допустимия вид на защита на личните данни, наричани за краткост „Правилата“, уреждат организацията на обработване на лични данни и тяхната защита на служителите, работниците и клиентите на "ДИ СИ 2008" ООД
Чл. 2. Обработването на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространяване, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните. Обработването на лични данни се състои и в осигуряване на достъп до определена информация само за лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.
Чл. 3. "ДИ СИ 2008" ООД е администратор на лични данни по смисъла на Регламент ЕС 2016/679. Обработването на личните данни се извършва в съответствие с Регламент ЕС 2016/679, Закона за защита на личните данни и подзаконовите актове за неговото прилагане, както и при спазване на настоящите правила:

Чл.4. За целите на тези Правила ще бъдат използвани следните термини: 

1) Лични данни - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци;

 2)    Ограничаване на обработването - маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

 3)  Администратор - юридическо лице „ДИ СИ 2008“ ООД, което само или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правна норма;

4) Профилиране - всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на договорните му отношения и предпочитания;

5) Псевдонимизация - обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6) Регистър с лични данни - всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

 7) Обработващ лични данни - физическо или юридическо лице, което обработва лични данни от името на администратора;

 8) Получател - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

 9) Трета страна - физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

10)  Съгласие на субекта на данните - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

11)   Нарушение на сигурността на лични данни - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

12)  Надзорен орган във връзка с лични данни – Комисия за защита на личните данни;


Чл. 5 (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

(2)               Принципите за защита на лични данни са:

-                     Принцип на ограниченото събиране - събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;

-                     Принцип на ограниченото използване, разкриване и съхранение - личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели;

-                     Принцип на прецизност - личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се използват;

-                     Принцип на сигурността и опазването - личните данни трябва да са защитени с мерки за сигурност, съответстващи на чувствителността на информацията.

Чл. 6. Личните данни се събират за конкретни, точно определени от закон или договор цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.

Чл. 7. При обработване на личните данни от "ДИ СИ 2008" ООД, на основание различно от договор или закон, служителите и контрагентите подписват декларация за съгласие по образец.

Глава втора


Регистър „ПЕРСОНАЛ“


Чл. 8.  В регистър „Персонал“ се събират и съхраняват личните данни на служителите, заети по трудови или граждански правоотношения по време на дейността им по изпълнение на тези договори, с оглед:

(1) Индивидуализиране на трудовите и граждански правоотношения.

(2) Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.

(3) Използване на събраните данни за съответните лица за служебни цели.

(4) За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения - за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).

(5) За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.

(6) За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.

Чл. 9. Регистърът се води на хартиен и на електронен носител.

Чл. 10. (1) Хартиените носители на лични данни се съхраняват в папки (кадрови дела) за всеки управител, служител, работник или наето по граждански договор лице. Кадровите дела се подреждат в специален шкаф.

    (2) Шкафът се помещава в помещение, предназначено за самостоятелна работа на служителя от отдел "Счетоводство", на който с тези правила е възложено да бъде обработващ на лични данни.

 (3)    Достъп до кадровите досиета имат само обработващият на лични данни и управителите на фирмата. Възможността за предоставяне на друго лице на достъп до личните данни при обработката им е ограничена и изрично регламентирана в тази инструкция.

Чл. 11. (1) При водене на регистъра на технически носител личните данни се въвеждат на твърд диск, на изолиран компютър.

(2)               Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните, относно възнагражденията на персонала, в това число основни и допълнителни възнаграждения, данъчни и други (вноски по заеми, запори и пр.) задължения, трудов стаж, присъствени и неприсъствени дни и други подобни. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.

(3)               Компютрите се помещават в изолирано помещение за самостоятелна работа.

(4)               Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните, както и чрез поддържане на информацията на хартиен носител.

Чл. 12. В регистъра се поддържат следните видове данни:

(1)               Физическа идентичност - имена, ЕГН, номер на лична карта, дата и място на издаване, месторождение, адрес, телефони за връзка.

(2)               Образование - документ за придобито образование, квалификация правоспосбност, когато такива се изискват за длъжността, за която лицето заема, и др.

(3)               Трудова дейност - съгласно приложените документи за трудов стаж и професионална биография.

(5)               Свидетелство за съдимост, когато се изисква за заемане на длъжността.

(6)               Личен формуляр по образец.

Чл. 13. Личните данни в регистър „Персонал“ се набират при постъпване/възлагане на работа по трудово или гражданско правоотношение на дадено лице в изпълнение на нормативно задължение - разпоредбите на Кодекса на труда и подзаконовите нормативни актове за прилагането му, Кодекса за социално осигуряване, Закона за образованието, и други, по един от следните начини:

    Устно интервю с лицето (при постъпване или в процеса на работа).

    На хартиен носител - писмени документи - молби, заявления за постъпване/извършване на работа по трудово или гражданско правоотношение, за изменение или прекратяване на тези отношения, по текущи въпроси в процеса на работа, подадени от лицето.

Чл. 14. Във всички случаи, когато е необходимо на основание нормативно задължение, лицата, чиито данни задължително подлежат на обработка в регистъра, подават необходимите лични данни на администратора и на длъжностното лице, назначено за обработването им - обработващ на лични данни. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, длъжностното лице/обработващ на личните данни информира лицето.

Чл. 15. Освен посочените лица и при посочените случаи, ограничен достъп до лични данни имат касиерите, счетоводителите и юристите при обработване лични данни на лицата, относно изготвяне на разплащателни документи, свързани с преводи на възнагражденията на лицата, наети по трудови и граждански правоотношения в дружеството, по касов и банков път, изготвяне на съдебни книжа и документи в случай на трудови спорове.

Чл. 16. При необходимост от поправка на личните данни, лицата предоставят такива на длъжностното лице/обработващ на лични данни по негово искане на основание нормативно задължение.

Чл. 17. Освен на длъжностните лица, обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата - управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите, свързани с възнагражденията на персонала - счетоводител, касиер. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.

Чл. 18. Кадровото дело на лицето не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до кадровите досиета на персонала, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.

Чл. 19. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.

(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.

Чл. 20. (1)Администраторът води отчетност и осигурява достъп до лични данни на лицата, които са ги предоставили. Решението си за предоставяне или отказване достъп до лични данни за съответното лице, администраторът съобщава в 30-дневен срок от подаване на молбата, респ. искането.

(2) Данните се съхраняват и обработват за срок от 50 години, съгласно нормативните изисквания в страната, освен ако в закон не е предвиден друг срок за съхраняване на данните. Данните на неодобрените кандидати за дадена позиция се унищожават незабавно след заемане на обявената позиция.

(3) След изтичане на нормативно определените срокове, изискуемите личните данни се предават в държавен архив на НОИ, а събраните на отпаднало основание се унищожават от нарочно назначена комисия.

Чл. 21. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Регламент ЕС 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Чл. 22. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Регламент ЕС 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган - предвиденото в Закона за защита на личните данни и Регламент ЕС 2016/679 - административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл. 23. Архивиране на личните данни на технически носител се извършва периодично от обработващия на лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на дискове, достъп до които има само обработващият на лични данни.


Глава трета

Регистър „КОНТРАГЕНТИ“


Чл. 24. Регистърът набира и съхранява лични данни на контрагенти, с оглед:

(1)               финансово-счетоводна дейност;

(2)               изпълнение на нормативните изисквания на Закона за защита на потребителя, Закон за счетоводството, Търговски закон и др.;

(3)               интернет търговия;

(4)               за всички дейности, свързани с изготвяне на всякакви документи и справки за лицата (служeбни бележки, гаранционни карти и др. подобни);

(5)               информационни и промоционални кампании на администратора – в случай на изрично дадено за това съгласие, съгласно настоящите вътрешни правила и общите условия на интернет магазина – www.dice.bg;

(6)               за установяване на връзка с лицето по телефон и имейл, за изпращане на кореспонденция, отнасяща се до изпълнение на договорния процеси/или разгласяване на информационни и промоционални кампании на администратора – в случай на изрично дадено за това съгласие, съгласно настоящите вътрешни правила и общите условия на интернет магазина – www.dice.bg;.

Чл. 25. Регистърът се води на електронен носител.

Чл. 26. (1) При водене на регистъра на технически носител, личните данни се въвеждат на твърд диск, на изолиран компютър.

(2)               Компютърът е свързан в локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните.

(3)               Компютрите се помещават в помещения за работа на обработващите на лични данни по регистъра.

(4)               Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове, при законов или преобладаващ интерес, данните могат да се предоставят и на - управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни харддискове, както и чрез поддържане на информацията на хартиен носител.

Чл. 27. В регистъра се поддържат следните видове данни:

-   Физическа идентичност - имена, адрес, телефони и имейл за връзка, по изключение ЕГН единствено с цел издаване на данъчна фактура, съгласно изискванията на ЗСч и ЗДДС или в други позволени от закона случаи, в които ЕГН - то е необходимо за пълна идентификация на лицето.

Чл. 28. При необходимост от поправка на личните данни лицата предоставят такива на длъжностното лице (обработващ на лични данни) по негово искане на основание нормативно задължение.

Чл. 29. (1) Администраторът води отчетност и осигурява достъп до лични данни на лицата, които са ги предоставили. Решението си за предоставяне или отказване достъп до лични данни за съответното лице, администраторът съобщава в 30-дневен срок от подаване на молбата, респ. искането.

(2) Данните се съхраняват и обработват в срок от 5 години, съгласно нормативните изисквания в страната – чл. 110 и сл. от ЗЗД, съответно 2 години при предоставяне на законова гаранция на продуктите или за срока, за който е дадено съгласието, освен ако в закон не е предвиден друг срок за съхраняване на данните;

(3) След изтичане на определените срокове събраните данни се унищожават от нарочно назначена комисия.

Чл.30. За целите на извършване на дейността на "ДИ СИ 2008" ООД чрез онлайн магазин www.dice.bg дружеството приема и публикува на посочената интернет страница Политика за поверителност. 

Глава четвърта

Регистър видеонаблюдение

Чл. 31. В регистъра се поддържат следните видове данни:

Видеобрази на заснетите лица

Глава пета

Съгласие за обработка на лични данни. Начини на събиране на личните данни


Чл. 32. Дружеството обработва лични данни и в следните случаи:

(1) когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или 

(2) за предприемане на стъпки по искане на субекта на данните преди сключването на договор; 

(3) когато обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора

(4) съгласието на субектите на лични данни

(5) всички други случаи, които съгласно Общия регламент за защита на  данните са признати за законосъобразни.

Чл.33. (1) Съгласието за обработка на лични данни на субектите на лични данни следва да е свободно изразено (да не е дадено под натиск или заплаха от неблагоприятни последици), конкретно (отделно съгласие за всяка конкретно определена цел),  информирано (дадено на основата на пълна, точна и лесно разбираема информация),  недвусмислено (не се извлича или предполага въз основа на други изявления или действия на лицето, чиито лични данни се обработват);  дадено с активно действие: чрез изрично изявление или ясно потвърждаващо действие, вкл. онлайн. 

(2) Съгласието за обработка на лични данни от страна на Администратора не е обвързано с предварителни условия и не води до неблагоприятни последици за лицето при отказ да го предостави или ако впоследствие го оттегли. В тези случаи е възможно обаче субектите на лични данни да не могат да ползват в пълен обем предоставяните от Дружеството услуги, за което Дружеството ги уведомява (в зависимост от конкретния случай).

(3) С оглед спазване на принципа за отчетност на администраторите на лични данни, съгласието на субектите на лични данни се документира с цел доказване на неговото наличие.

(4) Всяко лице, чиито лични данни се обработват от Администратора въз основа на неговото съгласие има право да оттегли своето съгласие по всяко време. 

(5) Личните данни, които се обработват от Администратора се получават директно от субектите на лични данни, въз основа на тяхното документирано съгласие, отговарящо на изискванията на ал. 1 по – горе, или индиректно – чрез публични регистри, публична информация, информация от държавни и др. органи и всякакви други законосъобразни способи за събиране на информация. 

Чл. 34. (1) Най – късно в момента на предоставяне на личните данни Администраторът предоставя на субектите на лични данни следната минимална информация: 

(1) данните, които идентифицират Администратора и координатите за връзка с него;

(2) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването; 

(3) законните интереси, преследвани от Администратора или от трета страна; 

(4) получателите или категориите получатели на личните данни, ако има такива, трансферирането на лични данни; 

(5) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок; 

(6) съществуването на право да се изиска от администратора достъп до лични данни, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните; 

(7) съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено; 

(8) правото на жалба до надзорен орган; 

(9) дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени; 

(10) съществуването на автоматизирано вземане на решения, включително профилирането, както и значението и предвидените последствия от това обработване за субекта на данните.

(2) Администраторът предоставя на субектите на лични данни информацията по ал.1 по подходящ начин, в зависимост от конкретния случай:  на уеб сайта на Дружеството, като им предоставя екземпляр от тези правила, в писмен вид, при сключване на договор с Дружеството или като част от договорните клаузи на съответния договор, който се сключва с Дружеството.

Глава шеста

Цели, за които се използват лични данни


Чл.35. Дружеството обработва лични данни единствено и само във връзка с осъществяваната от Дружеството търговска дейност. Без изброяването да е изрично, личните данни се обработват за следните цели: 

(1) Извършване на продажби и следпродажбено обслужване на клиенти на дружеството (гаранционно и следгаранционно обслужване);

(2) Маркетинг и реклама на дейността на дружеството, изпращане на онлайн бюлетин; 

(3) Сключване и управление на трудови договори и граждански договори за предоставяне на услуги от физически лица;

(4) Сключване на договори за предоставяне на стоки и/или услуги, по които страна е Дружеството;

(5) Извършване на всякакви други действия, които са в предмета на дейност на Дружеството, с или без сключване на писмен договор.

Глава седма

Предоставяне на лични данни

Чл.36. (1) Администраторът предоставя лични данни в изпълнение на нормативно установени задължения.

(2) Лични данни се предоставят служебно след обосновано искане и разрешение от отговорните служители, обработващи личните данни чрез попълване на контролен лист, в който се посочва лицето получило личните данни и целта, а за данни съхранявани на електронен носител чрез осигурена софтуеърна проследимост.

Чл. 37. Лицата имат право на достъп до личните си данни, включително да бъдат „забравени“, за което подават писмено заявление до „специалист – информационна обработка на данни“, на който с тези правила е възложено от администратора да бъде обработващ личните данни, в това число и по електронен път, лично или чрез упълномощено лице. Подаването на заявлението е безплатно.

Чл. 38. (1) Заявлението съдържа име на лицето и други данни, които го идентифицират, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно - когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.

(2) Заявления се приемат на електронен адрес: [email protected] и тел. 0879 437744.

Чл. 39. Достъп до данните на лицето се осигурява под формата на:

(1)               устна справка;

(2)               писмена справка;

(3)               преглед на данните от самото лице или упълномощено от него такова;

(4)               предоставяне на копие от исканата информация на електронен или хартиен носител.


Чл. 40. При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя, лично срещу подпис или по пощата с обратна разписка, а когато искането е подадено по имейл – на посочения електронен адрес. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.

Чл. 41. Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите на лични данни със съответната парола за достъп.

Чл. 42. Освен на длъжностните лица обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата - управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна, за което се води отчетност чрез осигурена софтуеърна проследимост.

Чл. 43. Информация за клиенти и контрагенти не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до клиентските профили и информация, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи, МВР, НОИ). Достъпът на тези органи до личните данни на лицата е правомерен.

Чл. 44. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.

(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.

Чл. 45. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

Чл. 46. При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Регламент ЕС 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Чл. 47. За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Регламент ЕС 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган - предвиденото в Закона за защита на личните данни и Регламент ЕС 2016/679 - административно наказание - глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Глава осма

Видеонаблюдение


Чл. 48. Всички търговски обекти на администратора са под постоянно видеонаблюдение. Информацията се съхранява за срок от 120 часа, след което автоматично се изтрива. Лицата, които са обект на видеонаблюдение се уведомяват по реда на Закона за частната охранителна дейност. Видеонаблюдение на служители на дружеството се извършва с тяхно изрично писмено съгласие, предоставено в писмена декларация. Получената информация се обработва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност, на основание преобладаващ интерес на администратора, съгласно Регламент ЕС2016/679, единствено с цел осигуряване на сигурност и безопастност на обекта и предотвратяване на кражби и злоумишлени дейности от трети лица.

Чл. 49. Получената при видеонаблюдението информация се предоставя единствено на провораздавателните органи – прокуратура, следствени органи и МВР, единствено в случай на обосновано съмнение за извършено престъпление.

Чл. 50. Администраторът предоставя  информация и достъп до събраните лични данни, включително при изрично искане от страна на засегнатите лица да бъдат „забравени“,  чрез връзка с длъжностното лице на имейл: [email protected] и тел. 0879 437 744

Глава девета

Уведомяване за нарушение на сигурността на личните данни

Чл. 51. Всеки обработващ лични данни служител е длъжен да следи за сигурността на поверените му лични данни.


Чл. 52. При констатирано нарушение на сигурността на личните данни, обработващият служител уведомява незабавно управителя на дружеството, а при негово отсъствие „специалиста – информационна обработка на данни“.


Чл. 53. Управителят и/или „специалиста – информационна обработка на данни“ незабавно сформират комисия в състав - „специалист – информационна обработка на данни“ при администратора, компютърен специалист и правоспособен юрист, които да предприемат всички необходими правни и фактически действия за преустановяване на нарушението, съответно минимализиране щетите на нарушението.


Чл. 54. До 72 часа от установяване на нарушението, назначената от администратора комисия уведомява Комисията за защита на личните данни и изготвя писмен доклад до управителя за характера и размера на нарушението, както и за евентуално нанесените щети. Уведомяване не се извършва, ако не съществува вероятност нарушението на сигурността на личните данни да породи иск за правата на физическите лица. Уведомлението се извършва в срок до 72 часа от узнаване на нарушението и съдържа информацията съгласно Регламент ЕС 2016/679 .


Чл.55. Отговорното лице за извършване на всички действия и предприемане на всички необходими мерки при нарушаване на сигурността на личните данни е Управителят на Дружеството. В зависимост от конкретния случай на нарушаване на сигурността на личните данни Управителят взима подходящи мерки за ограничаване на вредите и предотвратяване на следващо нарушаване на сигурността на данни. Без изброяването да  е изчерпателно, такива мерки могат да бъдат: осигуряване на допълнителни мерки за физическа и друга охрана на помещенията, в които се съхраняват личните данни, ограничаване на достъпа до лични данни на служители на Дружеството, имплементиране на електронни средства за защита на електронно съхраняваната информация – пароли за достъп, антивирусни програми, криптографски програми, др. мерки за сигурност на електронните пространства и системи. 


Чл.56. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Документирането се извършва в електронна форма и се съхранява безсрочно, като при поискване, се предоставя на надзорния орган.


Чл.57. (1) При нарушение на сигурността на личните данни, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Дружеството уведомява засегнатите субекти на данните по възможно най – бързия начин. Съобщението се изготвя в съответствие с изискванията на Общия регламент за защита на данните. 
(2) Съобщение до засегнатите субекти на лични данни не се изпраща, ако някое от следните условия е изпълнено: 
(1) Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по - специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране; 
(2)  Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни; и
(3)   то би довело до непропорционални усилия за Администратора. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани


Глава десета

Вашите права

Чл.58 При определени обстоятелства Вие имате право по закон да:


(1)   Поискате информация за това дали притежаваме Ваши лични данни, и, ако това е така, какви са тези данни и защо ги притежаваме/използваме.        
(2)    Поискате достъп до Вашите лични данни (познато по принцип като "заявка за достъп до данни"). Това Ви позволява да получите копие от притежаваните от нас Ваши лични данни и да проверите дали ги обработваме по установения по закон начин.
(3)   Поискате коригиране на притежаваните от нас Ваши лични данни. Това Ви дава възможност да коригирате всяка непълна или неточна информация, която притежаваме за Вас.
(4)    Поискате изтриване на Вашите лични данни. Това Ви позволява да поискате от нас да изтрием или премахнем лични данни, ако не съществува основателна причина за това да продължим да ги обработваме. Имате също така правото да поискате от нас да изтрием или премахнем Ваши лични данни, ако сте упражнили правото си да възразите срещу обработването им (вижте по-долу).
(5)    Възразите срещу обработването на Вашите лични данни, в случай че се позоваваме на легитимен интерес (или интересите на трета страна) и нещо във Вашата конкретна ситуация Ви кара да възразите срещу обработването поради тази причина. Имате също така право да възразите, ако обработваме Вашите лични данни за директни маркетингови цели.
(6)    Възразите срещу автоматичното вземане на решения, включително профилиране, тоест да не бъдете обект на никакво автоматизирано вземане на решения от нас посредством личните Ви данни или профилиране.
(7)    Поискате ограничаване на обработването на Вашите лични данни. Това Ви позволява да поискате от нас да преустановим обработването на Вашата личната информация, ако например желаете да установим верността й или причината за обработването й.
(8)    Поискате прехвърляне на личните Ви данни в електронен и структуриран вид до Вас или друго лице (познато по принцип като право на “преносимост на данните”). Това Ви позволява да вземете данните си от нас в подходящ за употреба електронен формат и да ги прехвърлите на друго лице в подходящ за употреба електронен формат.
(9)   Оттегляне на съгласие. В случаи, в които може да сте дали съгласие за събиране, обработване и прехвърляне на личните Ви данни за определена цел, имате право по всяко време да оттеглите Вашето съгласие относно този конкретен вид обработване. След като получим уведомление, че сте оттеглили Вашето съгласие, ние ще престанем да обработваме Вашата информация за целта или целите, с които първоначално сте се съгласили, освен ако не съществува друга основателна причина да извършваме това по закон.


Чл.59. (1) Ако желаете да упражните някое от тези права, можете да го направите, като отправите искането си до длъжностното лице по защита на личните данни на "ДИ СИ 2008" ООД. За да имаме възможност да Ви предоставим пълно съдействие, моля да ни предоставите точна информация за Вас и да конкретизирате искането си
(2) Няма да е нужно да заплащате такса за достъп до Вашите лични данни (или за да упражните някое от останалите права). Независимо от това обаче моля да имате предвид, че когато исканията Ви са явно неоснователни или прекомерни, по-специално поради своята повторяемост, можем:
да наложим такса, като вземем предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или
да откажем да предприеме действия по искането.
(3) Ще положим разумни усилия, за да уважим искането Ви в рамките на 30 дни от получаване на Вашата молба. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията.
(4) Можем да поискаме от Вас конкретна информация, която да ни помогне да потвърдим самоличността Ви и да уважим правото Ви за достъп до информация (или някое от останалите Ви права). Това е подходяща допълнителна мярка за сигурност, гарантираща, че личните Ви данни няма да бъдат разкрити пред лица, които нямат право да ги получават

Глава единадесета

Предоставяне на лични данни на трети страни. Трансфериране на лични данни

Чл. 60. Дружеството предоставя получените лични данни на трети страни, когато това е необходимо за изпълнение на задълженията му спрямо субектите на лични данни. Дружеството не трансферира лични данни в други страни от Европейския съюз или в трети страни, извън Европейския съюз.

Глава дванадесета

Мерки за защита на личните данни

Чл.61.  Администраторът предприема подходящи технически и организационни мерки за осигуряване на сигурността на обработваните от него лични данни, а именно: 

Физическа защита;

Персонална защита;

Документална защита;

Защита на автоматизирани информационни системи и мрежи;

Криптографска защита.

Чл. 62. (1)  Физическата защита на личните данни се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се извършват дейности по обработване на  лични данни. 

(2)  Основните организационни мерки за физическа защита включват:

определяне на помещенията, в които ще се обработват лични данни;

определяне на организацията на физическия достъп.

(3)  Като помещения, в които ще се обработват лични данни, се определят всички помещения, в които с оглед нормалното протичане на работния процес в Дружеството, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен и контролиран - само за служители с оглед изпълнение на служебните им задължения и ако мястото им на работа или длъжностната им характеристика позволява достъп до съответния регистър с лични данни. 

Чл. 63. (1)  Използваните технически средства за физическа защита на личните данни са съобразени с действащото законодателство и нивото на въздействие на тези данни. Всички физически зони с хартиени и електронни записи са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае” с оглед изпълнението на работните им задължения. 

(2)  Всички записи и документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове, като достъп се позволява само на упълномощен персонал. 

(3)  Достъпът до системите, обработващи по електронен способ лични данни, е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, включително сървъри, са защитени по адекватен начин, в зони с контрол на достъпа. 

(4)  Основните технически мерки за физическа защита  включват:

използване на сигнално-охранителна техника;

използване на ключалки и заключващи механизми;

шкафове, метални каси;

оборудване на помещенията с пожароизвестителни и пожарогасителни средства.

(5)  Документите, съдържащи лични данни, се съхраняват в шкафове, които задължително се заключват. Ключ за шкафовете притежават единствено изрично натоварените лица (с изрична заповед или по силата на служебните им задължения и длъжностната характеристика).

(6)  Оборудването на помещенията, където се събират, обработват и съхраняват лични данни, включва: сигнално-охранителна техника, ключалки за ограничаване на достъпа единствено до оторизираните лица; заключващи се шкафове и пожарогасителни средства.

Чл.64. (1)  Основните мерки за персонална защита на личните данни са:

Задължение на служителите да преминат обучение и да се запознаят с нормативната уредба в областта на защитата на лични данни и настоящите вътрешни правила, като преминатото обучение и инструктаж с правилата за защита на личните данни се удостоверява с подпис върху протокол за извършен инструктаж за защита на личните данни по образец;

Запознаване и осъзнаване за опасностите за личните данни, обработвани от Администратора;

Забрана за споделяне на критична информация (идентификатори, пароли за достъп и др.) между персонала и всякакви други лица, които са неоторизирани;

Деклариране на съгласие за поемане на задължение за неразпространение на личните данни.

 (2)  За лични данни, оценени с по-висока степен на риск, като чувствителни лични данни, се прилагат и следните допълнителни мерки::

Провеждане на специализирани обучения за работа и опазване на лични данни, в случай че спецификата на служебните задължения изисква подобно;

Тренировка на персонала за реакция при събития, застрашаващи сигурността на данните, в случай че спецификата на служебните задължения изисква подобно.

Чл. 65. (1) Основните мерки за документална защита на личните данни са:

Определяне на регистрите, които ще се поддържат на хартиен носител;

Определяне на условията за обработване на лични данни - личните данни се събират и обработват само с конкретна цел, пряко свързана с изпълнение на законовите задължения и/или нормалната бизнес дейност на Администратора, а начинът на тяхното съхранение се съобразява със специфичните нужди за обработка и физическия носител на данните;

Регламентиране на достъпа до регистрите с лични данни – достъпът до регистрите с лични данни е ограничен и се предоставя само на упълномощените служители, в съответствие с принципа на „Необходимост да знае”;

Определяне на срокове за съхранение -  личните данни се съхраняват не по-дълго от колкото е необходимо, за да се осъществи целта, за която са били събрани или до изтичане на определения в действащото законодателство срок.

Процедури за унищожаване: Документите, съдържащи лични данни, сроковете за съхранение на които са изтекли и не са необходими за  установяването, упражняването или защитата на правни претенции, се унищожават по подходящ и сигурен начин (напр. изгаряне, нарязване, електронно изтриване и други подходящи за целта методи, съобразени с физическия носител на данните).

(2) За лични данни, оценени с по-висока степен на риск се прилагат и следните допълнителни мерки:

Контрол на достъпа до регистрите, ограничаващ достъп на персонала или в ограничени случаи на други специално упълномощени лица, в съответствие с принципа на „Необходимост да знае”, за да изпълняват техните задължения;

Правила за размножаване и разпространение, които разрешават копиране и разпространяване на лични данни единствено в случаите, когато това е необходимо за юридически нужди, възниква по изискване на закон и/или държавен орган, както и да бъдат предоставяни само на лица, на които са необходими във връзка с извършване на възложена работа. Неразрешеното копиране и разпространение е обект на дисциплинарни санкции и други мерки, ако представлява и друг вид нарушение, освен нарушение на трудовата дисциплина.

Чл. 66.  Защитата на автоматизираните информационни системи и/или мрежи включва набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп до системите и/или мрежите, в които се създават, обработват и съхраняват лични данни. Основните мерки за защита на автоматизираните информационни системи и/или мрежи, обработващи лични данни, включват:

Идентификация и автентификация чрез използване на уникални потребителски акаунти и пароли за всяко лице, осъществяващо достъп до мрежата и ресурсите на Администратора. Прилагането на тази мярка е с цел да се регламентират нива на достъп и да се въведе достъп, съобразен с принципа „Необходимост да знае”;

Управление на регистрите, съобразено с ограничаване на достъпа до съответния регистър единствено до лица, които са пряко натоварени и/или служебно ангажирани с неговото водене, поддръжка и обработка;

Управление на външни връзки и/или свързване, включващо:

Дефиниране на обхвата на вътрешните мрежи: Като вътрешни мрежи се разглеждат всички локални жични мрежи и/или телекомуникационни връзки тип „точка – точка“, които се намират под контрола и администрацията на Администратора. Като външни мрежи се разглеждат всички мрежи, вкл. и безжични мрежи, интернет, интернет връзки, мрежови връзки с трети страни, мрежови сегменти на хостинг системи на трети страни, които не са под административния контрол на Администратора.

Регламентиране на достъпа до вътрешната мрежа: Достъп до вътрешната мрежа имат единствено служителите и/или специално упълномощени от Управителя лица. Достъпът до мрежата и обработваните лични данни се предоставя с оглед изпълнение на техните преки служебни задължения и е съобразен с принципа „Необходимо да знае“. Минимално изискваното ниво на сигурност за достъп до вътрешните мрежи изисква идентифициране с уникално потребителско име и парола.

Администриране на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на администрация на достъпа, са възложени на лица с необходимата квалификация. В отговорностите са включени и дейности, свързани с одобряване на инсталирането на всички устройства, технологии и софтуер за достъп до мрежата, включително суичове, рутери, безжични точки за достъп, точки за достъп до мрежата, интернет връзки, връзки към външни мрежи и други устройства, технологии и софтуер, които могат да позволят достъп до вътрешните мрежи на Администратора. 


Контрол на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на контрола на достъпа са възложени на лица с необходимата квалификация. Те са задължени да предприемат адекватни мерки за минимализиране на риска от неоторизиран (физически и/или отдалечен) достъп до мрежите на Администратора.

Защитата от зловреден софтуер включва:

използването на стандартни конфигурации за всяка компютърна и/или мрежова платформа, като системният, а при възможност и приложният, софтуер се контролира, инсталира и поддържа от оторизирани Управителя лица. 

използване на вградената функционалност на операционната система и/или хардуера, които се настройват единствено от оторизирани от Управителя лица. Всяка промяна и/или деактивация на системите за защита от неоторизирани лица е забранена.

активиране на автоматична защита и сканиране за зловреден софтуер и обновяване на антивирусни дефиниции. Забранено е потребителите да отказват автоматични софтуерни процеси, които актуализират вирусните дефиниции.

забрана за пренос на данни от заразени компютри. При съмнение или установяване на заразяване на компютърна система работещият с нея е задължен да уведоми Управителя и да преустанови всякакви действия за работа и/или изпращане на информация от заразения компютър (чрез външни носители, електронна поща и/или други способи за електронна обмяна на информация). До премахване на зловредния софтуер заразеният компютър следва да бъде незабавно изолиран от вътрешните мрежи.

Политика по създаване и поддържане на резервни копия за възстановяване, която регламентира:

Основната цел на архивирането е свързана с предотвратяване на загуба на информация, свързана с лични данни, която би затруднила нормалното функциониране на дейността на Администратора. 

Начина на архивиране: информацията следва да бъде архивирана по подходящ способ и на носител, извън конкретния физически компютър, и да позволява пълното възстановяване на данните, в случай на погиване на техния основен носител. 

Отговорност за архивиране има лицето, обработващо личните данни. 

Срокът на архивиране следва да е съобразен с действащото законодателство.

Съхраняването на архива следва да бъде в друго физическо помещение. Всички архиви, съдържащи поверителна и/или служебна информация, трябва да се съхраняват с физически контрол на достъпа.

Основни електронни носители на информация са: вътрешни твърди дискове , еднократно и/или многократно презаписваеми външни носители (външни твърди дискове, многократно презаписваеми карти, памети ленти и други носители на информация, еднократно записваеми носители и др.)

Личните данни в електронен вид се съхраняват съгласно нормативно определените срокове.

Данните, които вече не са необходими за целите на Администратора и чийто срок за съхранение е изтекъл, се унищожават (напр. чрез нарязване, шредиране, изгаряне или постоянно заличаване от електронните средства).

Отдалечен достъп до вътрешни мрежи на Администратора не е предвиден. На персонала не се предоставя отдалечен Интернет достъп за изпълнение на служебните им задължения до електронните регистри с лични данни. 

Забрана за притежание и ползване на хардуерни или софтуерни инструменти от персонала, които биха могли да бъдат използвани, за да се компрометира сигурността на информационните системи. Към тази група се отнасят и инструменти, способстващи за нарушаване на авторските права, разкриване на тайни пароли, идентифициране на уязвимост в сигурността или дешифриране на криптирани файлове. Забранено е използването и на хардуер или софтуер, който отдалечено наблюдава трафика в мрежа или опериращ компютър. За неоторизирано използване на подобни инструменти служителят се наказва дисциплинарно, а ако нарушението е не само дисциплинарно или представлява престъпление – и по предвидения за санкциониране на това нарушение/престъпление ред.

Мерките, свързани със създаване на физическа среда (обкръжение), включват физически контрол на достъпа (сигнално-охранителна техника, ключалки, метални решетки и други приложими способи), създаване на подходяща работна среда, вкл. чрез поддържане на подходяща температура и нива на влажност, както и пожароизвестителна система. Те са насочени към осигуряване на среда за нормално функциониране, за защита на ИТ оборудването от неоторизиран достъп и контрол на риска от повреда и унищожаване.

Чл. 67.  По отношение на личните данни се прилагат и мерки, свързани с криптографска защита на данните чрез стандартните криптографски възможности на операционните системи, на системите за управление на бази данни и на комуникационното оборудване. 

Чл. 68. (1) Администраторът прилага адекватни мерки за технически и административен контрол (ограничаване на IP,, физическа локация, уникално потребителско име и парола, настройка на всички работни станции в режим „автоматично заключване на екрана“ при липса на активност повече от 30 секунди и др.), като по този начин гарантира, че само упълномощени служители получават достъп до данните за изпълнение на възложените им функции. 

(2) Идентификацията на оторизираните лица за работа с лични данни задължително включва и идентификация чрез уникален потребителски акаунт, който съдържа име и парола на потребителя, права за достъп до системата и ползване на нейните ресурси. 

(3) С цел повишаване сигурността на достъпа до информация служителите задължително променят използваните от тях пароли на определен период, не по-дълъг от 3 месеца. В случай на отпадане на основанието за достъп до лични данни правата на съответните лица се преустановяват (вкл. и чрез изтриване на акаунта).

(4) Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява гарантиране на разумна степен на отказоустойчивост, възможности за архивиране и възстановяване на данните и работното състояние на средата.

(5) При необходимост от ремонт на компютърната техника, предоставянето ѝ на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

(6) Администраторът използва единствено софтуер с уредени авторски права. Инсталирането и/или използването на всякакъв друг тип софтуер с неуредени авторски права е  забранено.

(7) Служителите, на които е възложено да подписват служебна кореспонденция с квалифициран електронен подпис (КЕП), нямат право да предоставят издадения им КЕП на трети лица, респ. да споделят своя PIN с трети лица.

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

За целите на настоящите правила:

Чл. 69. „Администратор на лични данни“ е "ДИ СИ 2008" ООД, дружество регистрирано съгласно законите на Република България, със седалище и адрес на управление в гр. 4230 Асеновград, ул. Драгоман 13, идент. номер по ДДС BG200110465, ЕИК 200110465 представлявано от управителите на дружеството Антон Божанов и Любомир Аргиров.

Чл. 70. „Обработващите лични данни“ са длъжностни лица от администрацията на "ДИ СИ 2008" ООД, заемащи следните длъжности:

(1)               Счетоводители;

(2)               Управители;

(3)               Продавач-консултанти;

(4)               Консултанти от отдел "Интернет продажби";

Чл. 71. Контролът по изпълнението на настоящите вътрешни правила се възлага на управителя по търговски въпроси.

Чл.72. Дружеството води отчетност на дейностите си по обработка на личните данни в съответствие с чл.30 от Регламент ЕС 2016/679.

Чл.73. Дружеството не обработва лични данни, които пораждат висок риск по смисъла на Регламент ЕС 2016/679, поради което не извършва оценка на въздействието, съгласно изискванията на Регламента. 

Чл.74. Дружеството не извършва профилиране по смисъла на Общия регламент за защита на данните.

Чл. 75. Настоящите правила се издават на основание Регламент ЕС2016/679 за извършена проверка по спазване на правилата за защита на личните данни и оценка на въздействие на Регламент ЕС 2016/679 върху дейността на "ДИ СИ 2008" ООД.

Чл. 76. Правилата са приети с решение на управителя на дружеството от 27.05.2018г. и влизат в сила от датата на приемането им.

Чл. 77. Изменения и допълнения на тези правила се правят от управителя на дружеството.

Чл. 78. Копие от Правилата са на разположение на служителите и клиентите в административната сграда на дружеството.

Чл. 79. Копие от Правилата да се публикува в интернет страницата на дружеството.

Настоящите Вътрешни правила са в сила от 27.05.2018 г.