Тази вътрешни правила за защита на данните представят принципите и правните условия, които организацията трябва да спази, когато получава, обработва, предава или съхранява лични данни за целите на своята дейност, включително лични данни на клиенти, доставчици и работници или служители. Правилата са в съответствие с изискванията на Общия Регламент за Защита на Данните (Регламент 2016/679) (GDPR). 23 Май,2018г. Утвърдил Управител на Организацията: …………………… (подпис и печат) 1. ИНТЕРПРЕТАЦИЯ 1.1. ДЕФИНИЦИИ Име на Организацията: ТОТАЛ ТЕЛЕКОМ ЕООД, ЕИК175054447 Автоматизирано Вземане на Решения: когато дадено решение е взето изцяло на базата на Автоматизирано Обработване (включително профилиране), което води до правни последици или засяга значително физическото лице. GDPR забранява Автоматизираното Вземане на Решения (освен ако определени условия са на лице), но не и Автоматизираното Обработване. Автоматизирано Обработване: всяка форма на автоматизирано обработване на Лични Данни, състоящо се в употребата на Лични Данни с цел оценка на личните аспекти на дадена физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението,_ местоположението или движенията. Профилирането е вид Автоматизирано Обработване. Администратор: лицето или организацията, която определя кога, защо и как се обработват Лични Данни. Администраторът е отговорен за определяне на практики и политики в съответствие с GDPR. Ние сме Администратор на всички Лични Данни, отнасящи се до нашия Персонал, както и на Лични Данни използвани за нашите собствени търговски цели. ЕИП: 28-те държави-членки на ЕС, както и Исландия, Лихтенщайн и Норвегия Защита на данните на етапа на проектирането: въвеждане на подходящи технически или организационни мерки по ефективен начин, който да осигури съответствие с GDPR. Известия по защита на данните: отделни известия, съдържащи информация, предоставяна на Субектите на Данни в момента, в който Организацията събира информация за тях. Тези известия могат да бъдат както общи (напр. адресирани към работници и служители или известия на уебсайта на Организацията), така и отнасящи се до обработване със специфична цел. Изрично Съгласие: съгласие, което изисква много ясно и определено твърдение (не просто действие) Лични Данни: всяка информация, идентифицираща Субект на данни или информация, свързана със Субект на данни, който ние можем да идентифицираме (директно или индиректно) само чрез данните или в комбинация с други идентификатори, които притежаваме или до които имаме достъп. Личните Данни включват Чувствителни Лични Данни и Псевдоминизирани Лични Данни, но изключват Анонимизирани Лични Данни. Личните Данни могат да се отнасят до факти (например – име, e-mail адрес, местоположение или дата на раждане) или до мнение относно действията или поведението на Субекта на данни. Нарушение на Защитата на Личните Данни: всяко действие или бездействие, което компрометира сигурността, конфиденциалността или целостта на данните, или на физическите, технически, административни или организационни защити, които ние или нашите подизпълнители използваме, за да ги защитим. Загубата, неоторизираният достъп, предоставяне или получаване на Лични Данни са примери за Нарушение на сигурността. Обработване на Данни: всяка дейност, която е свързана с използването на Лични Данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на Лични Данни до трети лица. Общият Регламент за Данните (GDPR): Общият Регламент за Данните ((ЕС) 2016/679). Личните Данни са обект на защитата, определена в GDPR. Оценка на въздействието: механизми и мерки, използвани за идентифициране на риска, свързан с обработката на данните. Оценката на въздействието следва да бъде извършена за всички ключови системи или програми, свързани с Обработването на Лични Данни. Персонал: всички работници и служители, и управители, назначени по договор за управление и контрол Псевдоминизиране: заместването на информация, която директно или индиректно идентифицира физическо лице, с един или повече изкуствени идентификатори (“псевдоними”) така че лицето да не може да бъде идентифицирано без достъп до допълнителната информация, която следва да се съхранява отделно и да е поверителна. Субект на данни: идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, и чиито Лични Данни ние обработваме. Съгласие: всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на Субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на Лични Данни свързани с него. Чувствителни Лични Данни: информация, разкриваща расовия или етнически произход, политическите мнения, религиозни и други подобни вярвания, членство в синдикални организации, физическото или умствено здравословно състояние, сексуален живот, сексуална ориентация, биометрични или генетични данни, както и Лични Данни отнасящи се до наказателни престъпления и присъди. 2. ВЪВЕДЕНИЕ Тази политика по защита на данните оказва как ТОТАЛ ТЕЛЕКОМ ЕООД (“ние”, “Организацията”) управляваме Личните Данни на нашите клиенти, доставчици, работници и служители, и други трети лица. Тези вътрешни правила се прилагат спрямо всички Лични Данни, които обработваме, без значение от това на какъв носител са съхранени или дали са свързани с бивши и настоящи работници и служители, собственици на капитала, потребители на уебсайта ни или всеки друг Субект на Данни. Тези вътрешни правила следва да се прилагат спрямо целия Персонал на Организацията. Всички работници и служители следва да прочетат, да се запознаят с и да спазват тази Политика, когато обработват лични данни от името на Организацията и да посетят обучение по нейните изисквания. Тези вътрешни правила оказват какви са нашите очаквания към Персонала да осигури спазване на законодателството от страна на Организацията. Всяко нарушение на тези вътрешни правила може да доведе до дисциплинарни санкции спрямо работника или служителя. Тези правила са вътрешен документ и не могат да бъдат споделяни с трети лица, клиенти или регулаторни органи без предварително одобрение от Организацията. 3. ОБХВАТ Категорията физически лица, чиито лични данни обработва Организацията са: ● потенциални работници/служители, които кандидатстват по обявени от Дружеството вакантни позиции; ● работници/служители, с които Организацията сключва трудови договори и се намира в трудови правоотношения по смисъла на Кодекса на труда; ● лица, с които Организацията сключва граждански договори и се намира в граждански правоотношения по смисъла на Закон за задълженията и договорите и всички други приложими специални нормативни актове. ● Контрагенти – доставчици и /или клиенти физически лица Ние оценяваме факта, че правилното и законосъобразно управление на Лични Данни ще осигури доверието в Организацията ни от страна на клиенти и партньори. Опазването на конфиденциалността и целостта на Личните Данни е ключова отговорност, към която ние се отнасяме изключително сериозно. Организацията може да подлежи на санкция в размер до 20 млн. евро или 4 % процента от световния оборот (което от двете е по-голямо и в зависимост от конкретното нарушение), ако не спази изискванията на GDPR. Всички РЪКОВОДНИ СТРУКТУРИ, МЕНИДЖЪРИ, ОТДЕЛИ, ЗАНИМАВАЩИ СЕ С ИНФОРМАЦИОННА СИГУРНОСТ в Организацията носят отговорност за спазването на тези правила от страна на Персонала и следва да въведат подходящи практики, процеси и обучение. УПРАВИТЕЛЯТ на Организацията е лице отговорно за контрола по прилагането на тези правила, както и, ако е приложимо, за разработване на свързани политики и други насоки. Тази позиция в момента заема Валентин Йорданов , тел. 00359878290637, E-MAIL: vjordanov@totaltelecom.bg Моля свържете се с Управителя при всякакви въпроси относно приложението на тези правила или, ако имате опасения, че те не се прилагат коректни. Трябва задължително да се свържете с Управителя в следните ситуации: • Ако не сте сигурни за законовата база, на която може да разчитате при обработка на Лични Данни (вижте Раздел 5.1 по-долу) • Ако трябва да разчитате на Съгласие и/или трябва да осигурите Изрично Съгласие • Ако трябва да изготвите Известия по Защита на Данните (вижте Раздел 5.3 по-долу) • Ако имате притеснение относно срока на съхранение на Лични Данни, които обработвате • Ако не сте сигурни какви мерки за сигурност на данните следва да въведете, за да защитите Личните Данни • Ако установите Нарушение на Защитата на Личните Данни • Ако не сте сигурни на каква база може да извършите трансфер на Лични Данни извън ЕИП (вижте Раздел 11 по-долу) • Ако имате нужда от съдействие в следствие на постъпила информация, че Субект на данни желае да упражни някое от правата си, съгласнo GDPR (вижте Раздел 12 по-долу) • Винаги, когато планирате да стартирате или да промените значително начина, по който извършвате определена операция по Обработване, която може да изисква Оценка на Въздействието (вижте Раздел 13.5 по-долу) или възнамерявате да използвате Лични Данни за цели, различни от тези, за които са били събрани • Ако планирате да извършвате дейности по обработка на Лични Данни, базирани на Автоматизирано Обработване, включително Профилиране и Автоматизирано Вземане на Решения • Ако имате нужда от съдействие относно спазване на приложимото законодателство спрямо дейности по директен маркетинг (вижте Раздел 13.6 по-долу) • Ако имате нужда от съдействие във връзка с търговски или други договори или в други области във връзка със споделяне на Лични Данни (особено с доставчици и клиенти) (вижте Раздел 13.7 по-долу)] 4. ПРИНЦИПИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ Ние се придържаме към принципите за защита на Личните Данни в GDPR, които изискват всички Лични Данни: i. Да се обработват законосъобразно, добросъвестно и прозрачно ii. Да се събират само за конкретни, изрично оказани и легитимни цели iii. Да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват iv. Да бъдат точни и при възможност поддържани в актуален вид v. Да са съхранявани във формат, който да позволява идентифицирането на Субекта на данни за не по-дълъг срок от необходимия за целите на Обработването vi. Да са обработени по начин, който осигурява тяхната сигурност, използвайки технически и организационни мерки, които да ги предпазват от неоторизирано или незаконно Обработване и от случайна загуба, унищожаване или повреждане vii. Да не се трансферират до друга страна извън ЕИП без необходимите предпазни мерки viii. Да се предоставят на Субектите на Данни, на които да се даде възможност да упражнят правата си спрямо техните Лични Данни. Ние следва да можем да демонстрираме, че спазваме принципите, описани по-горе. 5. ЗАКОНОСЪОБРАЗНОСТ, ДОБРОСЪВЕСТНОСТ, ПРОЗРАЧНОСТ Законово основание за съхраняване на личните данни на работниц