В изложената по-долу информация относно защитата на данните Ви информираме за извършваното от КЕЙПИЕНСИ ООД („Администратор“) обработване на лична информация съгласно Общия регламент относно защитата на данните („ОРЗД“). Нашата информация относно защитата на данните важи за следните уебсайтове, приложения и други услуги и дейности (по-нататък наричани заедно „Услуги“): www.kpnc-stone.com.

Моля, прочетете внимателно нашата информация относно защитата на данните. Ако имате въпроси или забележки във връзка с нашата информация относно защитата на данните, свържете се с нас на данните, свържете се с нас на office@kpnc-stone.com

Съгласие за обработка на лични данни. Начини на събиране на личните данни

Обработка на лични данни:

– когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или

– за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

– когато обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора

– съгласието на субектите на лични данни

– всички други случаи, които съгласно Общия регламент за защита на  данните са признати за законосъобразни.

– Съгласието за обработка на лични данни на субектите на лични данни следва да е свободно изразено (да не е дадено под натиск или заплаха от неблагоприятни последици), конкретно (отделно съгласие за всяка конкретно определена цел),  информирано (дадено на основата на пълна, точна и лесно разбираема информация),  недвусмислено (не се извлича или предполага въз основа на други изявления или действия на лицето, чиито лични данни се обработват);  дадено с активно действие: чрез изрично изявление или ясно потвърждаващо действие, вкл. онлайн.

– Съгласието за обработка на лични данни от страна на Администратора не е обвързано с предварителни условия и не води до неблагоприятни последици за лицето при отказ да го предостави или ако впоследствие го оттегли. В тези случаи е възможно обаче субектите на лични данни да не могат да ползват в пълен обем предоставяните от Дружеството услуги, за което Дружеството ги уведомява (в зависимост от конкретния случай).

– С оглед спазване на принципа за отчетност на администраторите на лични данни, съгласието на субектите на лични данни се документира с цел доказване на неговото наличие.

– Всяко лице, чиито лични данни се обработват от Администратора въз основа на неговото съгласие има право да оттегли своето съгласие по всяко време.

– Личните данни, които се обработват от Администратора се получават директно от субектите на лични данни, въз основа на тяхното документирано съгласие, отговарящо на изискванията на ал. 1 по – горе, или индиректно – чрез публични регистри, публична информация, информация от държавни и др. органи и всякакви други законосъобразни способи за събиране на информация.

Минимална информация: 

– данните, които идентифицират Администратора и координатите за връзка с него;

– целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

– законните интереси, преследвани от Администратора или от трета страна;

– получателите или категориите получатели на личните данни, ако има такива, трансферирането на лични данни;

– срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

– съществуването на право да се изиска от администратора достъп до лични данни, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

– съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

– правото на жалба до надзорен орган;

– дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

– съществуването на автоматизирано вземане на решения, включително профилирането, както и значението и предвидените последствия от това обработване за субекта на данните.

Цели, за използване на лични данни

Личните данни се обработват за следните цели: 

– Извършване на продажби и следпродажбено обслужване на клиенти на дружеството (гаранционно и следгаранционно обслужване);

– Маркетинг и реклама на дейността на дружеството, изпращане на онлайн бюлетин;

– Сключване и управление на трудови договори и граждански договори за предоставяне на услуги от физически лица;

– Сключване на договори за предоставяне на стоки и/или услуги, по които страна е Дружеството;

– Извършване на всякакви други действия, които са в предмета на дейност на Дружеството, с или без сключване на писмен договор.

Предоставяне на лични данни

Нормативно установени задължения.

– Лични данни се предоставят служебно след обосновано искане и разрешение от отговорните служители, обработващи личните данни чрез попълване на контролен лист, в който се посочва лицето получило личните данни и целта, а за данни съхранявани на електронен носител чрез осигурена софтуеърна проследимост.

– Лицата имат право на достъп до личните си данни, включително да бъдат „забравени“, за което подават писмено заявление до „специалист – информационна обработка на данни“, на който с тези правила е възложено от администратора да бъде обработващ личните данни, в това число и по електронен път, лично или чрез упълномощено лице. Подаването на заявлението е безплатно.

– Заявлението съдържа име на лицето и други данни, които го идентифицират, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.

– Заявления се приемат на електронен адрес: office@kpnc-stone.com.

Осигуряване на достъп, се осъществява чрез:

– устна справка;

– писмена справка;

– преглед на данните от самото лице или упълномощено от него такова;

– редоставяне на копие от исканата информация на електронен или хартиен носител.

– При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя, лично срещу подпис или по пощата с обратна разписка, а когато искането е подадено по имейл – на посочения електронен адрес. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.

– Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите на лични данни със съответната парола за достъп.

– Освен на длъжностните лица обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата – управител, главен счетоводител, юрист, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна, за което се води отчетност чрез осигурена софтуеърна проследимост.

– Информация за клиенти и контрагенти не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до клиентските профили и информация, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи, МВР, НОИ). Достъпът на тези органи до личните данни на лицата е правомерен.

– Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.

– Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до кадровите досиета на персонала.

– Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.

– При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Регламент ЕС 2016/679 и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

– За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Регламент ЕС 2016/679, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни и Регламент ЕС 2016/679 – административно наказание – глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Уведомяване за нарушение на сигурността на личните данни

– Всеки обработващ лични данни служител е длъжен да следи за сигурността на поверените му лични данни.

– При констатирано нарушение на сигурността на личните данни, обработващият служител уведомява незабавно управителя на дружеството, а при негово отсъствие „специалиста – информационна обработка на данни“.

– Управителят и/или „специалиста – информационна обработка на данни“ незабавно сформират комисия в състав – „специалист – информационна обработка на данни“ при администратора, компютърен специалист и правоспособен юрист, които да предприемат всички необходими правни и фактически действия за преустановяване на нарушението, съответно минимализиране щетите на нарушението.

– До 72 часа от установяване на нарушението, назначената от администратора комисия уведомява Комисията за защита на личните данни и изготвя писмен доклад до управителя за характера и размера на нарушението, както и за евентуално нанесените щети. Уведомяване не се извършва, ако не съществува вероятност нарушението на сигурността на личните данни да породи иск за правата на физическите лица. Уведомлението се извършва в срок до 72 часа от узнаване на нарушението и съдържа информацията съгласно Регламент ЕС 2016/679 .

– Отговорното лице за извършване на всички действия и предприемане на всички необходими мерки при нарушаване на сигурността на личните данни е Управителят на Дружеството. В зависимост от конкретния случай на нарушаване на сигурността на личните данни Управителят взима подходящи мерки за ограничаване на вредите и предотвратяване на следващо нарушаване на сигурността на данни. Без изброяването да  е изчерпателно, такива мерки могат да бъдат: осигуряване на допълнителни мерки за физическа и друга охрана на помещенията, в които се съхраняват личните данни, ограничаване на достъпа до лични данни на служители на Дружеството, имплементиране на електронни средства за защита на електронно съхраняваната информация – пароли за достъп, антивирусни програми, криптографски програми, др. мерки за сигурност на електронните пространства и системи.

– Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Документирането се извършва в електронна форма и се съхранява безсрочно, като при поискване, се предоставя на надзорния орган.

– При нарушение на сигурността на личните данни, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Дружеството уведомява засегнатите субекти на данните по възможно най – бързия начин. Съобщението се изготвя в съответствие с изискванията на Общия регламент за защита на данните.
. Съобщение до засегнатите субекти на лични данни не се изпраща, ако някое от следните условия е изпълнено:
. Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по – специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
. Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни; и
. то би довело до непропорционални усилия за Администратора. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани

Вашите права

– Общ преглед

Освен правото на оттегляне на даденото ни от Вас съгласие, имате следните права при наличие на съответните законови предпоставки:

• правото на достъп за Вашите запаметени при нас лични данни (член 15 от ОРЗД), по-специално можете да поискате информация за целите на обработването, категориите лични данни, категориите получатели, пред които са или ще бъдат разкрити Вашите данни, предвидения срок, за който ще се съхраняват, източника за Вашите данни, ако те не са директно получени от Вас;
• правото на коригиране на неточни или попълване на непълни данни (член 16 от ОРЗД),
• правото на изтриване (Art. 17 GDPR), на Вашите съхранявани при нас данни (член 17 от ОРЗД), при условие че са спазени приложимите изисквания и по-специално не са спазени законовите или договорните срокове за съхранение или други законови задължения или права за по-нататъшно съхранение от наша страна,
• правото на ограничаване на обработването на Вашите данни (член 18 от ОРЗД), доколкото точността на данните се оспорва от Вас (за срок, който ни позволява да проверим точността на личните данни); обработването е неправомерно, но Вие отказвате изтриването; ние не се нуждаем повече от данните, но Вие въпреки това ги изисквате за установяването, упражняването или защитата на правни претенции или съгласно член 21 от ОРЗД сте подали възражение срещу обработването (в очакване на проверка дали нашите законни интереси имат преимущество пред Вашите),
• правото на преносимост на данните съгласно член 20 от ОРЗД, т.е. правото в случай на обработването въз основа на Вашето съгласие (член 6, параграф 1, буква а) от ОРЗД) или за изпълнение на договора (член 6, параграф 1, буква б) от ОРЗД), което се извършва по автоматизиран начин, да получите Вашите съхранявани при нас данни в широко използван, пригоден за машинно четене формат или да поискате прехвърлянето им на друг администратор (последното е възможно когато това е технически осъществимо),

Горепосочените полагащи Ви се права можете да предявите на office@kpnc-stone.com.

Освен това имате право на подаване на жалба до надзорен орган. За целта можете да се обърнете към надзорния орган по Вашето обичайно местопребиваване или място на работа, или нашето фирмено седалище.

Право на възражение – Имате право да възразите по всяко време срещу обработката на Вашите лични данни за рекламни цели( „Възражение срещу реклама”). Освен това имате право да възразите срещу обработването на данни от съображения, които произтичат от Вашата конкретна ситуация, като това става въз основа на член 6, параграф 1, буква е) от ОРЗД. След това ще спрем обработването на Вашите данни, освен ако не докажем – в съответствие със законовите изисквания – че съществуват убедителни законови основания за по-нататъшно обработване, които имат предимство пред Вашите права, или че обработването служи за установяването, упражняването или защитата на правни претенции. Можете да предявявате правата на възражение на адрес office@kpnc-stone.com.

Право на оттегляне – Ако ние обработваме данни въз основа на дадено от Вас съгласие, имате право по всяко време да оттеглите даденото съгласие. Вашето право на оттегляне не променя законността на извършената въз основа на съгласието(ята) обработка на данните до оттеглянето. Можете по правило да предявявате правата на възражение на адрес office@kpnc-stone.com. Можете да оттеглите изцяло или частично по всяко време Вашето съгласие за използването на бисквитки, респ. обработването на Вашите лични данни.

Предоставяне на лични данни на трети страни. 

Трансфериране на лични данни

– Дружеството предоставя получените лични данни на трети страни, когато това е необходимо за изпълнение на задълженията му спрямо субектите на лични данни. Дружеството не трансферира лични данни в други страни от Европейския съюз или в трети страни, извън Европейския съюз.

Мерки за защита на личните данни

– Администраторът предприема подходящи технически и организационни мерки за осигуряване на сигурността на обработваните от него лични данни, а именно:

Физическа защита;

Персонална защита;

Документална защита;

Защита на автоматизирани информационни системи и мрежи;

Криптографска защита.

– Физическата защита на личните данни се осигурява чрез набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп и защита на сградите и помещенията, в които се извършват дейности по обработване на  лични данни.

Основните организационни мерки за физическа защита включват:

определяне на помещенията, в които ще се обработват лични данни;

определяне на организацията на физическия достъп.

Като помещения, в които ще се обработват лични данни, се определят всички помещения, в които с оглед нормалното протичане на работния процес в Дружеството, се събират, обработват и съхраняват лични данни. Достъпът до тях е физически ограничен и контролиран – само за служители с оглед изпълнение на служебните им задължения и ако мястото им на работа или длъжностната им характеристика позволява достъп до съответния регистър с лични данни.

– Използваните технически средства за физическа защита на личните данни са съобразени с действащото законодателство и нивото на въздействие на тези данни. Всички физически зони с хартиени и електронни записи са ограничени само за служители, които трябва да имат достъп чрез принципа „Необходимост да знае” с оглед изпълнението на работните им задължения.

– Всички записи и документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове, като достъп се позволява само на упълномощен персонал.

– Достъпът до системите, обработващи по електронен способ лични данни, е ограничен чрез уникални потребителски идентификатори и пароли, а електронните носители, включително сървъри, са защитени по адекватен начин, в зони с контрол на достъпа.

– Основните технически мерки за физическа защита  включват:

използване на сигнално-охранителна техника;

използване на ключалки и заключващи механизми;

шкафове, метални каси;

борудване на помещенията с пожароизвестителни и пожарогасителни средства.

– Документите, съдържащи лични данни, се съхраняват в шкафове, които задължително се заключват. Ключ за шкафовете притежават единствено изрично натоварените лица (с изрична заповед или по силата на служебните им задължения и длъжностната характеристика).

– Оборудването на помещенията, където се събират, обработват и съхраняват лични данни, включва: сигнално-охранителна техника, ключалки за ограничаване на достъпа единствено до оторизираните лица; заключващи се шкафове и пожарогасителни средства.

– Основните мерки за персонална защита на личните данни са:

Задължение на служителите да преминат обучение и да се запознаят с нормативната уредба в областта на защитата на лични данни и настоящите вътрешни правила, като преминатото обучение и инструктаж с правилата за защита на личните данни се удостоверява с подпис върху протокол за извършен инструктаж за защита на личните данни по образец;

.Запознаване и осъзнаване за опасностите за личните данни, обработвани от Администратора;

.Забрана за споделяне на критична информация (идентификатори, пароли за достъп и др.) между персонала и всякакви други лица, които са неоторизирани;

.Деклариране на съгласие за поемане на задължение за неразпространение на личните данни.

.За лични данни, оценени с по-висока степен на риск, като чувствителни лични данни, се прилагат и следните допълнителни мерки::

.Провеждане на специализирани обучения за работа и опазване на лични данни, в случай че спецификата на служебните задължения изисква подобно;

.Тренировка на персонала за реакция при събития, застрашаващи сигурността на данните, в случай че спецификата на служебните задължения изисква подобно.

– Основните мерки за документална защита на личните данни са:

.Определяне на регистрите, които ще се поддържат на хартиен носител;

.Определяне на условията за обработване на лични данни – личните данни се събират и обработват само с конкретна цел, пряко свързана с изпълнение на законовите задължения и/или нормалната бизнес дейност на Администратора, а начинът на тяхното съхранение се съобразява със специфичните нужди за обработка и физическия носител на данните;

.Регламентиране на достъпа до регистрите с лични данни – достъпът до регистрите с лични данни е ограничен и се предоставя само на упълномощените служители, в съответствие с принципа на „Необходимост да знае”;

.Определяне на срокове за съхранение –  личните данни се съхраняват не по-дълго от колкото е необходимо, за да се осъществи целта, за която са били събрани или до изтичане на определения в действащото законодателство срок.

.Процедури за унищожаване: Документите, съдържащи лични данни, сроковете за съхранение на които са изтекли и не са необходими за  установяването, упражняването или защитата на правни претенции, се унищожават по подходящ и сигурен начин (напр. изгаряне, нарязване, електронно изтриване и други подходящи за целта методи, съобразени с физическия носител на данните).

.За лични данни, оценени с по-висока степен на риск се прилагат и следните допълнителни мерки:

.Контрол на достъпа до регистрите, ограничаващ достъп на персонала или в ограничени случаи на други специално упълномощени лица, в съответствие с принципа на „Необходимост да знае”, за да изпълняват техните задължения;

.Правила за размножаване и разпространение, които разрешават копиране и разпространяване на лични данни единствено в случаите, когато това е необходимо за юридически нужди, възниква по изискване на закон и/или държавен орган, както и да бъдат предоставяни само на лица, на които са необходими във връзка с извършване на възложена работа. Неразрешеното копиране и разпространение е обект на дисциплинарни санкции и други мерки, ако представлява и друг вид нарушение, освен нарушение на трудовата дисциплина.

– Защитата на автоматизираните информационни системи и/или мрежи включва набор от приложими технически и организационни мерки за предотвратяване на нерегламентиран достъп до системите и/или мрежите, в които се създават, обработват и съхраняват лични данни. Основните мерки за защита на автоматизираните информационни системи и/или мрежи, обработващи лични данни, включват:

.Идентификация и автентификация чрез използване на уникални потребителски акаунти и пароли за всяко лице, осъществяващо достъп до мрежата и ресурсите на Администратора. Прилагането на тази мярка е с цел да се регламентират нива на достъп и да се въведе достъп, съобразен с принципа „Необходимост да знае”;

.Управление на регистрите, съобразено с ограничаване на достъпа до съответния регистър единствено до лица, които са пряко натоварени и/или служебно ангажирани с неговото водене, поддръжка и обработка;

.Управление на външни връзки и/или свързване, включващо:

.Дефиниране на обхвата на вътрешните мрежи: Като вътрешни мрежи се разглеждат всички локални жични мрежи и/или телекомуникационни връзки тип „точка – точка“, които се намират под контрола и администрацията на Администратора. Като външни мрежи се разглеждат всички мрежи, вкл. и безжични мрежи, интернет, интернет връзки, мрежови връзки с трети страни, мрежови сегменти на хостинг системи на трети страни, които не са под административния контрол на Администратора.

.Регламентиране на достъпа до вътрешната мрежа: Достъп до вътрешната мрежа имат единствено служителите и/или специално упълномощени от Управителя лица. Достъпът до мрежата и обработваните лични данни се предоставя с оглед изпълнение на техните преки служебни задължения и е съобразен с принципа „Необходимо да знае“. Минимално изискваното ниво на сигурност за достъп до вътрешните мрежи изисква идентифициране с уникално потребителско име и парола.

.Администриране на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на администрация на достъпа, са възложени на лица с необходимата квалификация. В отговорностите са включени и дейности, свързани с одобряване на инсталирането на всички устройства, технологии и софтуер за достъп до мрежата, включително суичове, рутери, безжични точки за достъп, точки за достъп до мрежата, интернет връзки, връзки към външни мрежи и други устройства, технологии и софтуер, които могат да позволят достъп до вътрешните мрежи на Администратора.

.Контрол на достъпа до вътрешната мрежа: Отговорностите, свързани с осъществяване на контрола на достъпа са възложени на лица с необходимата квалификация. Те са задължени да предприемат адекватни мерки за минимализиране на риска от неоторизиран (физически и/или отдалечен) достъп до мрежите на Администратора.

– Защитата от зловреден софтуер включва:

.използването на стандартни конфигурации за всяка компютърна и/или мрежова платформа, като системният, а при възможност и приложният, софтуер се контролира, инсталира и поддържа от оторизирани Управителя лица.

.използване на вградената функционалност на операционната система и/или хардуера, които се настройват единствено от оторизирани от Управителя лица. Всяка промяна и/или деактивация на системите за защита от неоторизирани лица е забранена.

.активиране на автоматична защита и сканиране за зловреден софтуер и обновяване на антивирусни дефиниции. Забранено е потребителите да отказват автоматични софтуерни процеси, които актуализират вирусните дефиниции.

.забрана за пренос на данни от заразени компютри. При съмнение или установяване на заразяване на компютърна система работещият с нея е задължен да уведоми Управителя и да преустанови всякакви действия за работа и/или изпращане на информация от заразения компютър (чрез външни носители, електронна поща и/или други способи за електронна обмяна на информация). До премахване на зловредния софтуер заразеният компютър следва да бъде незабавно изолиран от вътрешните мрежи.

– Политика по създаване и поддържане на резервни копия за възстановяване, която регламентира:

.Основната цел на архивирането е свързана с предотвратяване на загуба на информация, свързана с лични данни, която би затруднила нормалното функциониране на дейността на Администратора.

.Начина на архивиране: информацията следва да бъде архивирана по подходящ способ и на носител, извън конкретния физически компютър, и да позволява пълното възстановяване на данните, в случай на погиване на техния основен носител.

.Отговорност за архивиране има лицето, обработващо личните данни.

.Срокът на архивиране следва да е съобразен с действащото законодателство.

.Съхраняването на архива следва да бъде в друго физическо помещение. Всички архиви, съдържащи поверителна и/или служебна информация, трябва да се съхраняват с физически контрол на достъпа.

.Основни електронни носители на информация са: вътрешни твърди дискове , еднократно и/или многократно презаписваеми външни носители (външни твърди дискове, многократно презаписваеми карти, памети ленти и други носители на информация, еднократно записваеми носители и др.)

.Личните данни в електронен вид се съхраняват съгласно нормативно определените срокове.

.Данните, които вече не са необходими за целите на Администратора и чийто срок за съхранение е изтекъл, се унищожават (напр. чрез нарязване, шредиране, изгаряне или постоянно заличаване от електронните средства).

.Отдалечен достъп до вътрешни мрежи на Администратора не е предвиден. На персонала не се предоставя отдалечен Интернет достъп за изпълнение на служебните им задължения до електронните регистри с лични данни.

.Забрана за притежание и ползване на хардуерни или софтуерни инструменти от персонала, които биха могли да бъдат използвани, за да се компрометира сигурността на информационните системи. Към тази група се отнасят и инструменти, способстващи за нарушаване на авторските права, разкриване на тайни пароли, идентифициране на уязвимост в сигурността или дешифриране на криптирани файлове. Забранено е използването и на хардуер или софтуер, който отдалечено наблюдава трафика в мрежа или опериращ компютър. За неоторизирано използване на подобни инструменти служителят се наказва дисциплинарно, а ако нарушението е не само дисциплинарно или представлява престъпление – и по предвидения за санкциониране на това нарушение/престъпление ред.

– Мерките, свързани със създаване на физическа среда (обкръжение), включват физически контрол на достъпа (сигнално-охранителна техника, ключалки, метални решетки и други приложими способи), създаване на подходяща работна среда, вкл. чрез поддържане на подходяща температура и нива на влажност, както и пожароизвестителна система. Те са насочени към осигуряване на среда за нормално функциониране, за защита на ИТ оборудването от неоторизиран достъп и контрол на риска от повреда и унищожаване.

– По отношение на личните данни се прилагат и мерки, свързани с криптографска защита на данните чрез стандартните криптографски възможности на операционните системи, на системите за управление на бази данни и на комуникационното оборудване.

– Администраторът прилага адекватни мерки за технически и административен контрол (ограничаване на IP,, физическа локация, уникално потребителско име и парола, настройка на всички работни станции в режим „автоматично заключване на екрана“ при липса на активност повече от 30 секунди и др.), като по този начин гарантира, че само упълномощени служители получават достъп до данните за изпълнение на възложените им функции.

– Идентификацията на оторизираните лица за работа с лични данни задължително включва и идентификация чрез уникален потребителски акаунт, който съдържа име и парола на потребителя, права за достъп до системата и ползване на нейните ресурси.

– С цел повишаване сигурността на достъпа до информация служителите задължително променят използваните от тях пароли на определен период, не по-дълъг от 3 месеца. В случай на отпадане на основанието за достъп до лични данни правата на съответните лица се преустановяват (вкл. и чрез изтриване на акаунта).

– Използваният хардуер за съхранение и обработване на лични данни отговаря на съвременните изисквания и позволява гарантиране на разумна степен на отказоустойчивост, възможности за архивиране и възстановяване на данните и работното състояние на средата.

– При необходимост от ремонт на компютърната техника, предоставянето ѝ на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

– Администраторът използва единствено софтуер с уредени авторски права. Инсталирането и/или използването на всякакъв друг тип софтуер с неуредени авторски права е  забранено.

– Служителите, на които е възложено да подписват служебна кореспонденция с квалифициран електронен подпис (КЕП), нямат право да предоставят издадения им КЕП на трети лица, респ. да споделят своя PIN с трети лица.

Администратор на лични данни“ е “КЕЙПИЕНСИ” ООД, дружество регистрирано съгласно законите на Република България, със седалище и адрес на управление в област Пловдив, община Асеновград, гр. Асеновград, „Христо Ботев“, №4 Тел: +359 888 934 011 представлявано от управителите на дружеството Петър Ташев и Кръстьо Бояров.

Обработващите лични данни

– Обработващите лични данни“ са длъжностни лица от администрацията на „КЕЙПИЕНСИ“ ООД, заемащи следните длъжности:

. Счетоводители;

. Управители;

. Продавач-консултанти;

. Консултанти от отдел „Интернет продажби“;

Други разпоредби

– Контролът по изпълнението на настоящите вътрешни правила се възлага на управителя по търговски въпроси.

– Дружеството води отчетност на дейностите си по обработка на личните данни в съответствие с чл.30 от Регламент ЕС 2016/679.

– Дружеството не обработва лични данни, които пораждат висок риск по смисъла на Регламент ЕС 2016/679, поради което не извършва оценка на въздействието, съгласно изискванията на Регламента.

– Дружеството не извършва профилиране по смисъла на Общия регламент за защита на данните.

– Настоящите правила се издават на основание Регламент ЕС2016/679 за извършена проверка по спазване на правилата за защита на личните данни и оценка на въздействие на Регламент ЕС 2016/679 върху дейността на „КЕЙПИЕНСИ“ ООД.

– Правилата са приети с решение на управителя на дружеството от 27.05.2018г. и влизат в сила от датата на приемането им.

– Изменения и допълнения на тези правила се правят от управителя на дружеството.

– Копие от Правилата са на разположение на служителите и клиентите в административната сграда на дружеството.

– Копие от Правилата да се публикува в интернет страницата на дружеството.

Настоящите Вътрешни правила са в сила от 15.02.2024 г.