Privacy policy
ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ПУБЛИЧНО ДРУЖЕСТВО „АЛБЕНА“ АД, К.К. АЛБЕНА
Раздел I.
ПРЕДМЕТ, ЦЕЛ и обхват
1.1. Публично акционерно дружество „Албена“ АД (Албена) е доставчик на туристически услуги и като такъв е администратор на лични данни. Дружеството обработва личните данни самостоятелно или чрез възлагане на обработващ данните, като осигурява спазването на изискванията на Закона за защита на личните данни (ЗЗЛД), приложимото европейско законодателство (Регламент 2016/679 на Европейския парламент и на Съвета и свързани с него документи), подзаконовите нормативни актове относно защитата на личните данни, нормативната уредба в областта на туристическия отрасъл и на създадената вътрешна нормативна уредба за работа с лични данни.
1.2. Настоящата Политика за защита на личните данни на Албена (Политиката) определя основните принципи и правила, свързани с обработването на лични данни, правата на субектите на данни, задълженията и отговорността на Албена, като администратор на данни, съответно на служителите му, като оператори на данни, функциите на длъжностното лице по защита на личните данни и поддържаните от Албена регистри на лични данни.
1.3. Политиката е част от цялостна система от вътрешни документи, технически и организационни мерки, които Албена прилага, с цел да гарантира, че неговите служители, консултанти и всички други физически и юридически лица, които чрез възлагане, обработват лични данни, от името на Албена, стриктно ще спазват изискванията на приложимото европейско и национално законодателство и на вътрешните правила, като по този начин ще гарантират правото на физическите лица на защита на личните им данни.
1.4. Принципът за защитата на личните данни е един от принципите на етично и бизнес поведение, към които Албена се придържа. Този принцип е възприет в Етичния кодекс на дружеството, приет с Решение на Съвета на директорите, обективирано в протокол № 14 от 17.05.2013 година. Спазването на принципа за защита на личните данни е задължение и отговорност на всеки служител и се споделя от всички структурни звена и йерархични нива в Албена. Настоящата политиката развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.
1.5. Нарушението на сигурността на личните данни може да доведе до висок риск за правата на засегнатите физическите лица и да има значителни негативни последици, както за Албена и нейните акционери, така и за нейните служители, нарушили изискванията на приложимата вътрешна и външна нормативна уредба. Поради това всяко неспазване на тази Политика се третира като сериозно нарушение и действие, което уронва престижа на Албена и подкопава доверието в нея.
Раздел II.
определения
2.1. „Лични данни” са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“).
Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2.2. „Обработване на лични данни" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни, чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване, чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
2.3. „Регистър на лични данни" e всеки структуриран набор от лични данни, достъпът до които се осъществява, съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен, съгласно функционален или географски принцип;
2.4. „Съгласие на субекта на данните" е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
2.5. „Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
2.6. „Администратор на лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която, сама или съвместно с други, определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз (ЕС) или в правото на държава членка;
2.7. „Обработващ лични данни" е физическо или юридическо лице, което обработва лични данни, от името на администратора на лични данни;
2.8. „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни, в рамките на конкретно разследване, в съответствие с правото на ЕС или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните, съобразно целите на обработването.
Раздел III.
ПРИНЦИПИ, СВЪРЗАНИ с ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
3. Албена обработва личните данни при спазване на следните принципи:
3.1. Законосъобразност, добросъвестност и прозрачност
Дружеството обработва личните данни законосъобразно, добросъвестно и по прозрачен начин, по отношение на субектите на данните.
3.1.1. Законосъобразност
Всяко обработване на лични данни от Албена (от нейните служители, консултанти и други оператори от името на Албена) се основава на валидно правно основание и се осъществява при спазване на външната и вътрешна нормативната уредба. Спрямо правните основания се прилага принципа на алтернативност.
Законосъобразно е обработването на данните, ако:
3.1.1.1. е необходимо за спазването на законово задължение, което се прилага спрямо дейността на Албена;
3.1.1.2. субектът на данните е дал съгласие за обработване на личните му данни, за една или повече конкретни цели, по смисъла на Раздел II, т. 2.4, чрез предоставяне, на Дружеството, на съответните писмени документи и/или чрез други действия и технически способи (включително по електронен път);
3.1.1.3. е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки, по искане на субекта на данните, преди сключването на договор (такива са - договора за предоставяне на туристическа /хотелиерска/ услуга, договора с туроператор, трудов договор и др.);
3.1.1.4. за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
3.1.1.5. за изпълнението на задача от обществен интерес или при изпълнението на действия по силата на законов или подзаконов нормативен акт (включително обработване, свързано с предоставяне на информация на орган на власт);
3.1.1.6. за целите на легитимните интереси на Албена или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
3.1.2. Законосъобразност на обработването на данни по отношение на лицата, ползващи туристически услуги, като субекти на данни:
Албена обработва лични данни на лицата, ползващи туристически услуги в изпълнение на законовите си задължения, на основание на:
3.1.2.1.Закона за туризма и всички други законови и подзаконови нормативни актове, приложими за дейността, като за целта сключва:
3.1.2.1.1.Договор с туроператор;
3.1.2.1.2.Договор за директно продажба на туристическа услуга и съпътстващите ги допълнителни услуги.
3.1.2.2.Документи, информация и данни за лица, потребители на туристически услуги от други доставчици на туристически услуги, във връзка с дейността на Албена и в изпълнение на нормативни изисквания;
3.1.2.3.Искане от орган на власт за предоставяне на лични данни на лица, ползващи туристически услуги, по силата на задължение, регламентирано в законов или подзаконов нормативен акт.
3.1.3.Законосъобразност на обработването на данни по отношение на служителите, като субекти на данни:
Албена обработва лични данни на своите служители на основание приложимото трудово, осигурително и данъчно законодателство, в качеството й на работодател (осигурител) и във връзка с дейността по сключването и изпълнението на трудовите договори.
3.1.4.Законосъобразност на обработването на данни по отношение на контрагентите на дружеството, като субекти на данни:
Албена обработва лични данни на своите контрагенти – физически лица и на представители на юридически лица на основание приложимото гражданско и търговско законодателство, както и данъчно и осигурително такова, в качеството й на възложител (осигурител) и във връзка с дейността по сключването и изпълнението на договорите и възникнали други граждански правоотношения.
3.1.5.Законосъобразност на обработването на данни по отношение на акционерите на дружеството и неговите органи на управление, като субекти на данни:
Албена обработва лични данни на своите акционери – физически лица и на представители на органите на управление на дружеството на основание приложимото гражданско и търговско законодателство, както и данъчно и осигурително такова, в качеството й на емитент на ценни книжа.
3.1.6.Законосъобразност на обработването на данни по отношение на физически лица, намиращи се в правноотношение с юридически лица от групата Албена, като субекти на данни:
Албена обработва лични данни на лица, които се намират в правоотношение с юридически лица, по отношение на които Албена осъществява контрол по смисъла на пар. 14 от ДР към ЗППЦК, в качеството й на дружество майка.
3.1.7.Законосъобразност на обработването на данни по отношение на лица, попадащи в обсега на видеонаблюдението, извършвано от Албена, като субекти на данни:
Албена обработва лични данни на лица чрез видеонаблюдение и видеозаснемане. Албена притежава Лиценз от 2007 година за осъществяване на дейност в съответствие със Закона за частната охранителна дейност (ЗЧОД). Видеонаблюдението се извършва на основание легитимните интереси на дружеството – с цел охрана на имуществото на дружеството и с цел проследимост на работния процес и фискалната дисциплина за регистриране и отчитане на продажбите в търговските обекти чрез фискални устройства в дружеството.
При осъществяване на видеонаблюдението Дружеството информира субектите на данни, като за целта се поставят информационни табели на местата, в които се извършва видеонаблюдение.
3.1.8.Добросъвестност и прозрачност
В изпълнение на принципа на прозрачност при обработването на лични данни, Албена информира потребителите на туристически услуги, служителите си, контрагентите си и другите лица, субекти на данни, по подходящ, ясен и разбираем начин, за дейността по събиране и обработване на личните им данни, от страна на Албена и за техните права във връзка със защитата на личните им данни, включително чрез информация на интернет страницата си – www.albena.bg.
Албена оказва съдействие на субектите на данни за упражняване на техните права. Служителите и други лица от името на Албена, в качеството им на обработващи лични данни, са информирани за правата на лицата, като субекти на лични данни и се задължават да им предоставят информация, и да им оказват съдействие по реда на раздел VI.
3.2. Ограничение на целите
Албена събира лични данни за конкретни, изрично указани в съответните нормативни актове, и/или договори и/или други документи и формуляри, легитимни цели и не ги обработва по-нататък по начин, несъвместим с тези цели.
3.3. Свеждане на данните до минимум
Албена обработва лични данни, които са подходящи, свързани със и ограничени до необходимото с оглед целите, за които се обработват.
3.4. Точност
Албена събира и обработва точни лични данни и предприема всички разумни мерки, за да се гарантира своевременното коригиране или изтриване на неточни такива, като се имат предвид целите, за които те се обработват.
Албена полага усилия да поддържа личните данни в актуален вид. В изпълнение на принципа за точност на събраните данни и с цел да изпълни коректно задълженията си към лицата, Албена ги насърчава да я информират за промяна на техни лични данни и им оказва съдействие за актуализирането на данните им.
3.5. Ограничение на съхранението
Албена съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните, за период, не по-дълъг от определения с нормативен акт, а ако такъв няма, за период не по-дълъг от необходимото за целите, за които се обработват личните данни.
След постигане целта на обработване на личните данни или след изтичане на определен в нормативен акт срок на съхранение Албена в качеството си на администратор, е длъжно да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това Комисията за защита на личните данни (КЗЛД), ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
3.5.1. Съхранение на лични данни на потребители на туристически услуги
Съгласно общото гражданско и търговско законодателство Албена съхранява за целия срок не по-кратък от 5 години, считано от прекратяването на съответното правоотношение, касаещо потребителя, оригиналните документи, на хартиен носител и електронните документи.
3.5.2 Съхранение на лични данни на служителите
Съгласно изискванията на Кодекса на труда, ДОПК, Закона за счетоводството и Наредбата за трудовата книжка и трудовия стаж, Албена съхранява, за срок не по-кратък от 3 години, считано от прекратяването на съответното трудово правоотношение, на хартиен и/или електронен носител, трудовите досиета, а за документите, удостоверяващи изплатените възнаграждения на служителите /ведомости/ - за срок не по-кратък от 50 години.
3.5.3 Съхранение на лични данни на контрагенти
Съгласно изискванията на общото гражданско и търговско законодателство Албена съхранява, за целия срок на действието им, договорите с контрагентите и свързаните с тях документи, на хартиен и/или електронен носител - за целия срок не по-кратък от 5 години, считано от прекратяването на съответното правоотношение.
3.5.4 Съхранение на лични данни на акционери и ръководителите от органите на управление на дружеството
Съгласно изискванията на общото гражданско и търговско законодателство Албена съхранява, за целия срок на действието им, издадените книги на акционерите, респективно информацията на ръководителите и кандидатите за членове на органите на управлението на дружеството и свързаните с тях документи, на хартиен и/или електронен носител - за целия срок не по-кратък от 5 години, считано от провеждането на съответното общо събрание, респективно от заличаване на избора от Търговския регистър.
3.5.5 Съхранение на лични данни на лица в правоотношение с дъщерни дружества на Албена
Съгласно изискванията на общото гражданско и търговско законодателство Албена съхранява, за целия срок на действието им, договори и свързани с тях документи, на хартиен и/или електронен носител - за целия срок не по-кратък от 5 години, считано от прекратяването на съответното правоотношение.
3.5.6 Съхранение на лични данни от видеонаблюдение
Записите от камерите се поддържат в регистър на записите и се съхраняват за срок от 30 (тридесет) дни, след което се унищожават в съответствие с изискванията на ЗЧОД и процедурата за Унищожаване на лични данни.
3.6. Цялостност и поверителност
Албена обработва личните данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.
3.7. Отчетност
Албена носи отговорност за спазването на принципите, изложени в този раздел и изисква тяхното спазване от своите служители и всички физически и юридически лица, които обработват лични данни, от името на Албена и по нейно възлагане.
Раздел IV.
ЛИЧНИ ДАННИ, КОИТО АЛБЕНА ОБРАБОТВА
4. Лични данни в зависимост от източника на данните:
4.1. Лични данни, които са предоставени от субектите на данни
Албена обработва лични данни, които са предоставени от субекта на данните чрез заявление, договор, чрез друг документ по инициатива на лицето, с цел изпълнение на дейност, поискана от субекта на данни, или във връзка с упражняване на права.
4.2. Лични данни, които не са предоставени от субектите на данни
В предвидените от закона случаи и когато това е свързано със законови задължения на Албена, в качеството му на субект на гражданското и търговското законодателство, то обработва лични данни на лица, които получава от съответните компетентни държавни органи или от други дружества.
4.3.Лични данни, в зависимост от вида на данните (специални категории лични данни)
4.3.1. Албена не обработва специални категории лични данни, с изключение на:
4.3.1.1.данни за здравословното състояние на своите служители:
4.3.1.1.1.във връзка с изпълнение на законови изисквания, при тяхното назначаване;
4.3.1.1.2.за целите на трудовата медицина и здравословните и безопасни условия на труд;
4.3.1.1.3.във връзка с упражняване на правата им при временна неработоспособност;
4.3.1.1.4.във връзка с упражняване на правата им при трайно намалена работоспособност.
4.3.1.2.данни за здравословното състояние на потребители на туристически услуги, предоставени от тях в изпълнение на договорни изисквания за упражняване на права, предпочитания и интереси.
Раздел V.
ИНФОРМАЦИЯ, ПРЕДОСТАВЯНА ОТ СТРАНА НА АЛБЕНА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
5.1. В случаите, когато Албена получи лични данни от субект на данни му предоставя информация за:
5.1.1. Данните, които идентифицират Албена и нейните представляващи;
5.1.2. Координати за връзка с длъжностното лице по защита на данните;
5.1.3. Целите на обработването на личните данни и правното основание за обработване, когато това е приложимо;
5.1.4. Получателите или категориите получатели, на които могат да бъдат разкрити данните;
5.1.5. Информация, дали предоставянето на лични данни е задължително, или договорно изискване, или е необходимо, с цел сключване на договор или с цел изпълнение на дейност, поискана от субекта на данни, (т.е. има доброволен характер) и последиците от отказ за предоставянето им;
5.1.6. Информация за правото на достъп и правото на коригиране на събраните данни;
5.1.7 Срока, за който се съхраняват данните или критериите, които определят периода на съхранение;
5.1.8. Правото на жалба до компетентен орган.
5.2. Данните, посочени в т. 5.1. се предоставят и когато личните данни не са получени от физическото лице, за което се отнасят, освен ако физическото лице, за което се отнасят данните вече разполага с тази информация.
5.3. Когато личните данни не са получени от субекта на данните, Албена е длъжна да предостави на субекта на данни при поискване всякаква налична информация за техния източник.
5.4. Точки 5.1 до 5.3 от настоящия раздел не се прилагат, в случаите, когато личните данни не идват от субекта на данните, но получаването или разкриването им е изрично разрешено от правото на ЕС или българското законодателство и в което се предвиждат подходящи мерки за защита на легитимните интереси на субекта на данните.
Раздел VI.
ЗАДЪЛЖЕНИЕ НА АЛБЕНА ЗА СЪДЕЙСТВИЕ НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ ПРИ ОСЪЩЕСТВЯВАНЕ НА ПРАВАТА ИМ
6.1. Албена е длъжна да предоставя прозрачно и достъпно на субектите, чиито лични данни обработва, информация за правата им, писмено, устно или по друг начин, при поискване от тяхна страна и след като се идентифицират.
6.2. Албена съдейства за упражняване на правата на субекта, чиито лични данни обработва, посочени в раздел VII и не може да откаже да предприеме действия по негово искане за упражняване на правата му, освен ако не е в състояние да го идентифицира;
6.3. Албена предоставя на субекта на данни информация относно действията, предприети по негово искане относно упражняване на правата му, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Албена информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.
6.4. Когато субектът на данни подава искане чрез електронни средства по възможност, информацията се предоставя по идентичен начин, освен ако субектът на данни не е поискал друго. Правото му да получи копие от информация или достъп до личните си данни чрез отдалечена достъпна защитена система не трябва да засяга, неблагоприятно, правата и свободите на другите субекти, чиито данни се обработват.
6.5. Ако Албена не предприеме действия по искането на субекта на данни, тя го уведомява, без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до Комисията за защита на личните данни (КЗЛД) и търсене на защита.
6.6. Информацията, предоставяна на субекта на данни, по негово искане и всяка комуникация и действия, свързани с упражняване на правата му, се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, Албена може:
а) да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията, или предприемането на исканите действия, или
б) да откаже да предприеме действия по искането.
6.7. Когато Албена има основателни съмнения във връзка със самоличността на физическото лице, което подава искане, с цел упражняване на правата си, може да поиска предоставянето на допълнителна информация и/или документи, необходима за потвърждаване на самоличността на субекта на данните.
Раздел VII.
ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Съгласно Регламент 2016/679 и приложимото българско законодателство, субектите на лични данни имат:
7.1. Право на достъп
Субектът на данните има право да получи от Албена информация дали Албена обработва негови лични данни и ако ги обработва, той има право да получи достъп до тях и информация за:
a) целите на обработването;
б) съответните категории лични данни, които се обработват;
в) получателите или категориите получатели, пред които са или могат да бъдат разкрити неговите лични данни, по-специално получателите в трети държави или международни организации;
г) предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
д) съществуването на право да се изиска от Албена коригиране или изтриване на негови лични данни или ограничаване на обработването им, или да се направи възражение срещу такова обработване;
е) правото на жалба до КЗЛД;
ж) източника на личните данни, която е налична в Албена, когато те не са събрани от субекта на данните;
з) съществуването на автоматизирано вземане на решения, включително профилирането, както и значението и предвидените последствия, от това обработване, за субекта на данните.
7.2. Право на коригиране – субектът на данни има право да поиска от Албена да коригира, без ненужно забавяне негови лични данни, които са неточни, както и да ги допълни, когато те са непълни.
7.3. Право на изтриване (право да „бъдеш забравен“) – Субектът на данни има правото да поиска от Албена изтриване на негови лични данни, а Албена има задължението да ги изтрие, без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:
a) личните данни повече не са необходими за целите, за които са били събрани или обработвани;
б) субектът на данните оттегля своето съгласие, въз основа на което се обработват неговите данни и няма друго правно основание за обработването им;
в) субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регламент 2016/679 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2 от Регламент 2016/679;
г) личните данни са били обработвани незаконосъобразно.
7.3.1. Албена прекратява обработването на личните данни, в случаите на чл. 7.3, б. „в“:
- винаги, когато получи възражение по чл. 7.7.2, за целите на директния маркетинг;
- при получено възражение по чл. 7.7.1, ако не докаже, че съществуват законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
7.3.2. Член 7.3, букви „а“, „б“ и „г“ не се прилагат, когато:
- не е изтекъл нормативно определен срок за задължително съхранение на данните;
- обработването е основано на задължение по договор между Албена и субекта на данните и договора не е прекратен;
- обработването е необходимо за установяването, упражняването или защитата на правни претенции;
- обработването е необходимо за спазване на задължение, което го изисква, предвидено в нормативен акт.
7.4. Право на ограничаване на обработването – субектът на данните има право да изиска от Албена ограничаване на обработването им, ако:
а) обработването е неправомерно, но той не желае личните му данни да бъдат изтрити, а изисква, вместо това, ограничаване на използването им;
б) Албена не се нуждае повече от неговите лични данни за целите на обработването им, но той ги изисква за установяването, упражняването или защитата на правни претенции;
7.4.1. Данните, чието обработване е ограничено, съгласно чл. 7.4, се обработват, само със съгласието на техния субект, с изключение на съхранението им, или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо лице, или поради важни основания от обществен интерес, за ЕС или Република България.
7.4.2. Когато субект на данните е изискал ограничаване на обработването съгласно чл. 7.4 Албена го информира преди отмяната на ограничаването на обработването.
При извършване на коригиране, изтриване или ограничаване на обработването на лични данни Албена съобщава за всяко извършено действие на всеки получател, на когото личните данни са били предоставени, освен ако това е невъзможно или изисква несъразмерно големи усилия. Албена информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
7.5. Право на възражение
7.5.1. Субектът на лични данни има право на възражение срещу обработването на лични данни, отнасящи се до него, ако обработването е на основание изпълнение на задача от обществен интерес или на основание упражняване на официални правомощия, които са предоставени на Албена или обработването е било необходимо за целите на легитимните интереси на Албена или на трета страна. Албена прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
7.7.2. Когато Албена обработва лични данни за целите на директния маркетинг техният субект има право по всяко време да направи възражение срещу обработването им, за този вид маркетинг, включително профилиране, доколкото то е свързано с директния маркетинг. В случай на постъпило възражение Албена прекратява обработването на личните данни за целите на директния маркетинг.
В момента на първото осъществяване на контакт със субекта на данните, Албена изрично го уведомява за правото му на възражение по чл. 7.7.1 и 7.7.2 като уведомлението му се представя, по ясен начин и отделно от всяка друга информация.
7.8. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на тяхното автоматизирано обработване, включващо профилиране, което поражда правни последствия за него или го засяга, в значителна степен.
7.9. Албена прилага вътрешни правила и процедури, които регламентират реда и условията за приемане, разглеждане и отговор, в едномесечен срок, на искания от физически лица за упражняване на правата им по този раздел, като субекти на лични данни.
Раздел VIII.
администратор и обработващ лични данни
8.1. Отговорност на Албена.
В качеството си на администратор на лични данни Албена въвежда подходящи технически и организационни мерки, част от които е и настоящата Политика, за да гарантира и да е в състояние да докаже, че обработва лични данни, в съответствие с Регламент 2016/679 и приложимото национално законодателство, имайки предвид естеството, обхвата, контекста и целите на обработването, както и рисковете, с различна вероятност и тежест, за правата и свободите на физическите лица. Мерките се преразглеждат и при необходимост се актуализират.
8.2. Обработващ лични данни
8.2.1. Обработващи лични данни от името на Албена са всички служители и договорни представители на Албена, когато обработват лични данни, при или по повод изпълнение на служебните си или договорни задължения;
8.2.2. По смисъла на тази Политика обработващи лични данни са и всички физически и юридически лица, които въз основа на сключени с Албена договори извършват някоя от дейностите, посочени в дефиницията за обработка на лични данни, съгласно раздел II, т. 2.2, като доставчици на следните, неизчерпателно изброени услуги, свързани с:
- информационни технологии, използвани от Албена;
- дигитализиране и друга техническа обработка на данните;
- печатни и куриерски дейности;
- унищожаване на данни /на хартиен носител/.
8.2.3. Когато възлага обработване на лични данни, Албена използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент 2016/679, приложимото национално законодателство и да осигурява защита на правата на субектите на данни;
8.2.4. Обработващи лични данни, от името на Албена, не включват друг обработващ данни, без предварителното, конкретно или общо, писмено разрешение на Албена. В случай, че Албена предостави на обработващия лични данни общо писмено разрешение, обработващият се задължава да информира Албена предварително, за всякакви планирани промени за включване или замяна на лица, обработващи данни, като Албена си запазва правото да оспори тези промени.
8.2.5. Обработването, от страна на обработващия лични данни, се урежда с договор или с друг правен акт, съгласно правото на ЕС или приложимото българско законодателство, в който се регламентират естеството и целта на обработването, срока на обработването, вида лични данни и категориите субекти на данни, и задълженията и правата на обработващия и на Албена, като за обработващия лични данни, задължително се включват следните задължения:
a) да обработва личните данни, само по документирано нареждане на Албена, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на ЕС или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира Албена за това правно изискване, преди обработването, освен ако това право забранява такова информиране, на важни основания от публичен интерес;
б) да гарантира, че лицата, оправомощени от него да обработват личните данни, във връзка с изпълнението на договора, са поели ангажимент за поверителност или са задължени, по закон, да спазват поверителност;
в) да взема всички необходими мерки за сигурност при обработването;
г) да спазва условията, споменати по-горе за включване на друг обработващ лични данни;
д) да подпомага Албена чрез подходящи технически и организационни мерки, като взема предвид естеството на обработването, което му е възложено и доколкото е възможно, при изпълнението на задължението на Албена да отговори на искания за упражняване на предвидените в Регламент 2016/679 права на субектите на данни;
е) да подпомага Албена при изпълнението на задълженията съгласно членове 32-36 от Регламент 2016/679, като отчита естеството на обработване, което му е възложено и информацията, до която му е осигурен достъп;
ж) да заличава или връща на Албена по неин избор всички лични данни след приключване на услугите по обработване, които са му възложени и да заличава/унищожава съществуващите копия, освен ако правото на ЕС или правото на държава членка не изисква тяхното съхранение;
з) да осигурява достъп на Албена до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и да позволява и допринася за извършването на одити, включително проверки от страна на Албена или друг одитор, оправомощен от него;
и) незабавно да уведомява Албена, ако според него, дадено нареждане нарушава Регламент 2016/679 или други разпоредби на ЕС или на националното законодателство, относно защитата на лични данни.
8.2.6. Когато обработващ лични данни, на когото е възложено обработването на лични данни от името на Албена чрез договор или друг правен акт, включва друг обработващ лични данни, за извършването на специфични дейности по обработване, на това друго лице се налагат същите задължения за защита на данните, като задълженията, предвидени в договора или акта, между Албена и обработващия лични данни. Другият обработващ лични данни се задължава да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването, което той извършва, да отговаря на законовите изисквания. При всички случаи, първоначалният обработващ данните носи пълна отговорност пред Албена за изпълнението на задълженията на другия обработващ лични данни, на когото той е възложил извършването на специфични дейности по обработване.
8.3. Обработване под ръководството на Албена или на обработващ лични данни от името на Албена - Обработващият лични данни и всяко лице, действащо под ръководството на или по възлагане от Албена или на обработващия лични данни, което има достъп до личните данни, обработва тези данни, само по указание на Албена, освен ако обработването не се изисква от правото на ЕС или правото на държава членка.
8.4. Сътрудничество с надзорния орган – По искане на КЗЛД, представители на Албена и на обработващ лични данни от името на Албена, си сътрудничат с КЗЛД, при изпълнението на нейните задължения.
Раздел IХ.
РЕГИСТРИ НА ЛИЧНИ ДАННИ
9.1. Информационните системи за обработка на данните на лицата са вид електронни регистри, чиито собственик е Албена.
9.2. Албена утвърждава правила за начина на събиране и съхраняване на личните данни, както и на сроковете и начина на унищожаване на данните от съответните регистри, съгласно специалните закони и приетите правила за информационна сигурност.
Раздел Х.
ВИДОВЕ РЕГИСТРИ
10.1 В качеството си на администратор на лични данни при осъществяване на дейността по предоставяне на туристически услуги Албена на основание Закона за туризма и актовете по прилагането му води в електронен вид за всеки, управляван от Албена категоризиран обект за настаняване, Регистър за настанени туристи по чл. 116, ал. 2 от Закона за туризма.
10.2. (1) В качеството си на администратор на лични данни като работодател, Албена води регистър, в който набира, обработва и съхранява лични данни на служителите си, както и на лицата, работещи по извънтрудови правоотношения с Албена:
1. за целите на индивидуализиране на трудовите и извънтрудовите правоотношения;
2. в изпълнение на нормативните изисквания на Кодекса на труда, КСО, Закона за счетоводството, Закона за данъците върху доходите на физическите лица и др.;
3. за служебни цели.
(2) Албена използва регистъра по ал. 1 за:
1. всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и извънтрудовите правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни);
2. комуникация със служителите и с лицата, работещи по извънтрудови правоотношения, включително по телефон, електронна поща, във връзка със задълженията им по сключените договори.
3. целите на счетоводната отчетност относно възнагражденията на посочените по-горе лица по сключените с тях договори.
Раздел ХI.
Сигурност на личните данни и НАРУШЕНИЕ НА СИГУРНОСТТА
11.1.Албена и обработващите лични данни от нейно име прилагат подходящи технически и организационни мерки за осигуряване ниво на сигурност, съобразено с рисковете, с различна вероятност и тежест за правата и свободите на физическите лица.
11.2.Албена и обработващите лични данни от нейно име предприемат действия, които да гарантират, че всяко физическо лице, действащо под ръководството на Албена или на обработващия лични данни, от негово име, което има достъп до лични данни, обработва тези данни, само по указание на Албена, освен ако от това лице не се изисква да прави това, по силата на правото на ЕС или правото на държава членка.
11.3.В случай на нарушение на сигурността на личните данни, Албена прилага утвърдена Процедура за действие при нарушение на сигурността на личните данни и за уведомление за нарушение;
11.4.Обработващият лични данни от името на Албена уведомява Албена, без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.
Раздел ХIi.
длъжностно лице по защита на данните
12.1. Албена определя длъжностно лице по защита на личните данни, публикува неговите данни за контакт на сайта на Албена и ги съобщава на КЗЛД.
12.2. Албена гарантира, че длъжностното лице по защита на данните участва, по подходящ начин и своевременно, при решаването на всички въпроси, свързани със защитата на личните данни.
12.3. Албена и обработващите лични данни от нейно име, подпомагат длъжностното лице по защита на данните при изпълнението на посочените в т. 12.8 функции, като осигуряват ресурсите, необходими за изпълнението на тези функции, осигуряват му достъп до съответните регистри, лични данни и операции по обработване. Албена осигурява на длъжностното лице по защита на данните възможности да развива и поддържа своите експертни знания.
12.4. Албена и обработващият лични данни от нейно име правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на функциите си. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от Албена за изпълнението на своите функции. Длъжностното лице по защита на данните отчита своята дейност пред Съвета на директорите на Албена.
12.5. Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права.
12.6. Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него функции в съответствие с правото на ЕС или националното законодателство.
12.7. Длъжностното лице по защита на данните може да изпълнява и други функции и задължения. Албена или обработващият лични данни от нейно име правят необходимото тези функции и задължения да не водят до конфликт на интереси с дейността му по защита на личните данни.
12.8. Основни функции и задължения на длъжностното лице по защита на данните:
a) информира и консултира Албена или обработващите лични данни от нейно име, включително служителите, които извършват обработване за техните задължения по силата на Регламент 2016/679 и на други разпоредби на европейското и национално законодателство, касаещи защитата на лични данни;
б) съблюдава за спазването на Регламент 2016/679, на други разпоредби на европейското и национално законодателство и на вътрешните правила на Албена или обработващия лични данни от нейно име по отношение на защитата на личните данни, включително следи за възлагането на отговорности във връзка с обработването на лични данни, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
в) при поискване, предоставя консултации по отношение на оценката на въздействието върху защитата на данните и съблюдава за извършването на оценката, съгласно чл. 35 от Регламент 2016/679;
г) сътрудничи с КЗЛД;
д) действа като точка за контакт за КЗЛД по въпроси, свързани с обработването, включително при предварителната консултация по смисъла на чл. 36 от Регламент 2016/679, както и по целесъобразност се консултира, с КЗЛД по всякакви други въпроси.
12.9. При изпълнението на своите функции длъжностното лице по защита на данните надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.
Настоящата политика е одобрена от СД на „Албена“ АД с Решение, обективирано в Протокол № 7/2018 година.
КОНТАКТИ.
Данни за администратора:
„АЛБЕНА” АД
Единен идентификационен код (ЕИК): 834025872
Адрес за кореспонденция: с. Оброчище, 9630, общ. Балчик, обл. Добрич,
к.к. Албена, Административна сграда
Телефон за контакт: 0885 853 512
Електронна поща: dpo@albena.bg
Данни за надзорен орган:
Комисия за защита на личните данни
Адрес: град София, бул. „Проф.Цветан Лазаров” №2, п.код.: 1592
Телефон за контакт: 02/91-53-518
Електронна поща: kzld@cpdp.bg