Политика за защита на личните данни

Танго СХМ ЕООД
 

1. Предназначение, обхват и ползватели
Танго СХМ ЕООД, наричана по-долу "Организацията" или “Дружеството”, се стреми да спазва приложимите закони и разпоредби, свързани със защитата на личните данни в държавите, в които Дружеството оперира. Тази политика определя основните принципи, чрез които компанията обработва личните данни на потребители, клиенти, доставчици, бизнес партньори, служители и други лица, и посочва отговорностите на бизнес отделите и служителите по време на обработката на лични данни.

Тази политика важи за дружеството и неговите пряко или непряко контролирани изцяло притежавани дъщерни дружества, които извършват дейност в рамките на Европейското Икономическо Пространство (ЕИП) или обработват личните данни на субекти на данни в ЕИП.

Потребителите на този документ са всички служители, постоянни или временни, и всички изпълнители, които работят от името на Организацията.

2. Основни принципи, отнасящи се до обработката на лични данни
Принципите за защита на данните очертават основните отговорности за организациите, обработващи лични данни. В член 5, параграф 2 от EU GDPR се посочва, че "администраторът е отговорен и е в състояние да докаже спазването на принципите."

2.1. Законосъобразност, Честност и Прозрачност
Личните данни трябва да бъдат обработвани законосъобразно, справедливо и по прозрачен начин по отношение на субекта на данните.

2.2. Ограничение на Предназначението
Личните данни трябва да се събират за конкретни, изрични и законосъобразни цели и да не се обработват по начин, който е несъвместим с тези цели.

2.3. Минимизиране на Данните
Личните данни трябва да бъдат адекватни, уместни и ограничени до това, което е необходимо по отношение на целите, за които се обработват. Дружеството трябва да прилага анонимност или псевдонимация на личните данни, ако е възможно, за да намали рисковете за засегнатите субекти на данни.

2.4. Точност
Личните данни трябва да бъдат точни и, при необходимост, актуализирани; трябва да се предприемат разумни стъпки, за да се гарантира, че неточните лични данни, като се имат предвид целите, за които се обработват, се изтриват или коригират своевременно.

2.5. Ограничение на Сроковете за Съхранение
Личните данни трябва да се съхраняват не повече от времето, необходимо за целите, за които
се обработват личните данни.

2.6. Почтеност и Поверителност
Вземайки предвид състоянието на технологиите и другите налични мерки за сигурност, разходите по внедряването, вероятността, и тежестта на рисковете, свързани с личните данни, Дружеството трябва да използва подходящи технически или организационни мерки за обработка на лични данни по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу случайно или незаконно унищожаване, загуба, редуване, неразрешен достъп или разкриване.

2.7. Отговорност
Администраторите на данни трябва да отговарят и да могат да докажат съответствие с принципите, изложени по-горе.

3. Изграждане на Предпазване на Данните в Бизнес Процесите
За да се докаже съответствие с принципите за защита на данните, Организацията трябва да изгради защита на данните в своите бизнес дейности/процеси.

3.1. Известяване на Субекта на Данни
Виж по-долу Секцията Насоки за Добросъвестна Обработка

3.2. Избор и Съгласие на Субекта на Данни
Виж по-долу Секцията Насоки за Добросъвестна Обработка

3.3. Събиране
Компанията трябва да се стреми да събере възможно най-малко количество лични данни. Ако личните данни се събират от трета страна, оператора на данни трябва да гарантира, че личните данни се събират законно.

3.4. Използване, Съхранение и Премахване
Целите, методите, ограничаването на съхранението и периодът на запазване на личните данни трябва да съответстват на информацията, съдържаща се в известието за поверителност. 

Дружеството трябва да поддържа точността, целостта, поверителността и уместността на личните данни въз основа на целта на обработката. Трябва да се използват адекватни механизми за защита, предназначени за защита на личните данни, за да се предотврати открадването или злоупотребата с личните данни, и да се предотврати нарушаването на личните данни. Операторът на данни тговаря за спазването на изискванията, изброени в този раздел.

3.5. Оповестяване на Трети Страни
Когато компанията използва услугите на доставчик или бизнес партньор (трета страна), за да обработва лични данни от негово име, операторът на данни трябва да гарантира, че този доставчик ще предостави мерки за сигурност, за да защити личните данни, които са адекватни на свързаните с тях рискове. За тази цел трябва да се използва въпросника за съответствие с GDPR от обработващия лични данни.

Дружеството трябва да изисква по договор от доставчика или бизнес партньора да осигури същото ниво на защита на данните. Доставчикът или бизнес партньорът трябва да обработва само лични данни, необходими му, за да изпълнява своите договорни задължения към Дружеството или по нареждане на Дружеството, а не за други цели. Когато Дружеството обработва лични данни съвместно с независима трета страна, Дружеството трябва изрично да уточни своите съответни отговорности и третата страна в съответния договор или друг правно обвързващ документ, като например Споразумението за обработка на данни от доставчиците.

3.6. Трансграничен трансфер на лични данни
Преди да се предадат лични данни извън Европейското икономическо пространство (ЕИП), трябва да се използват адекватни предпазни мерки, включително подписването на споразумение за прехвърляне на данни, както се изисква от Европейския съюз, и при необходимост трябва да бъде получено разрешение от съответния орган за защита на данните.

Предприятието, което получава личните данни, трябва да спазва принципите за обработка на лични данни, посочени в процедурата за трансгранично предаване на данни.

3.7. Право на Достъп от Субекти на Данни
Когато действа като администратор на данни, операторът на данни е отговорен да предоставя на субектите на данни механизъм, който им позволява да имат разумен достъп до личните си данни, и трябва да им позволява да актуализират, коригират, изтриват или предават своите лични данни, ако е приложимо или се изисква по закон. Механизмът за достъп ще бъде допълнително описан в процедурата за заявка за достъп до субекта на данни.

3.8. Преносимост на Данни
Субектите на данни имат право да получат при поискване копие от данните, които са ни предоставили в структуриран формат, и да предадат тези данни на друг администратор безплатно. Оператор на данни е отговорен да гарантира, че тези искания се обработват в рамките на един месец, не са прекомерни и не засягат правата на лични данни на други лица.

3.9. Правото да бъдеш Забравен
При поискване, субектите на данни имат правото да получат от дружеството изтриването на личните им данни. Когато Дружеството действа като Администратор на данни, операторът на данни трябва да предприеме необходимите действия (включително технически мерки), за да информира третите лица, които използват или обработват тези данни (Обработващият данни), да се съобразят с искането.

4. Насоки за Добросъвестна Обработка
Личните данни трябва да се обработват само при изрично разрешение от оператора на данни. Компанията трябва да реши дали да извърши оценката на въздействието върху защитата на данните за всяка дейност по обработка на данни, съгласно насоките за Оценка на Въздействието върху Защитата на Данните.

4.1. Известия към Субектите на Данни
По време на събирането или преди събирането на лични данни за всякакъв вид обработка, включително, но не само, продажба на продукти, услуги или маркетингови дейности, операторът на данни е отговорен да информира надлежно субектите на данни за следното: данните и личната информация, предоставена от субектите на данни, се използва от sexwell.bg за управление на поръчки, за доставка на продукти и услуги, за обработка на плащания, за комуникиране със субектите на данни относно поръчки, продукти, услуги и промоционални оферти, препоръки на продукти и услуги.

Също така, sexwell.bg използва тези данни и информация за подобрение на електронния магазин, за да се избегнат или предотвратят измами или злоупотреби във вреда на САЙТА, както и да се даде възможност на трети лица да извършват техническа поддръжка, логистика и други услуги за САЙТА. Тази информация се предоставя чрез Известие за поверителност.

Когато се споделят лични данни с трета страна, оператора на данни трябва да гарантира, че субектите на данни са били уведомени за това чрез Известие за поверителност.

Когато се прехвърлят лични данни на трета държава, в съответствие с Трансграничната политика за прехвърляне на данни, съобщението за поверителност трябва да отразява това и ясно да посочва къде и кои лични данни се прехвърлят.

Когато се събират чувствителни лични данни, операторът на данни трябва да се увери, че известието за поверителност изрично посочва целта, за която се събират тези чувствителни лични данни.

4.2. Получаване на Съгласие
Когато обработването на лични данни се основава на съгласието на субекта на данните или на други законови основания, операторът на данни е отговорен за запазването на такова съгласие. Операторът на данни отговаря за предоставянето на съгласието на субектите на данни, които трябва да дадат съгласието си, и трябва да информира, и да гарантира, че тяхното  съгласие (когато съгласието се използва като законно основание за обработка) може да бъде оттеглено по всяко време.

Когато се изисква да се коригират, изменят или унищожат записите с лични данни, операторът на данни трябва да гарантира, че тези изисквания се обработват в разумен срок. Операторът на данни също трябва да записва заявките и да води дневник за тях.

Личните данни трябва да се обработват само за целите, за които първоначално са били събрани. В случай, че Дружеството иска да обработва събраните лични данни за друга цел, Дружеството трябва да потърси съгласието на своите субекти на данни в ясен и кратък срок.

Всяко такова искане трябва да включва първоначалната цел, за която са събрани данните, както и новата или допълнителната (ите) цел (и). Искането трябва да включва и причината за промяната на целта / целите. Служителят по защита на данните отговаря за спазването на правилата в този параграф.
Сега и в бъдеще, операторът на данни трябва да гарантира, че методите за събиране са в съответствие със съответните закони, добри практики и индустриални стандарти.  Операторът на данни е отговорен за създаването и поддържането на регистър на известията за поверителност.

5. Организация и Отговорности
Отговорността за осигуряване на подходяща обработка на лични данни се носи от всеки, който работи за или с Дружеството и има достъп до обработваните от компанията лични данни.

Основните отговорни при обработването на лични данни са следните организационни роли и длъжности: оператор на данни, секретар.

Служителят по Защита на Данните (ДЗД) за управлението на програмата за защита на личните данни и отговарящ за разработването и популяризирането на политики за защита на личните данни.


Операторът на данни е отговорен за:

  • Осигуряване на всички системи, услуги и оборудване, използвани за съхраняване на данни, да отговарят на приемливи стандарти за сигурност.
  • Извършване на редовни проверки и сканиране, за да се гарантира, че хардуерът и софтуерът за сигурност функционират правилно.


Операторът на данни е отговорен за:

  • Одобряване на всички декларации за защита на данните, прикрепени към съобщения, имейли и писма.
  • Отговори на всякакви запитвания за защита на данните от журналисти или медии.
  • Когато е необходимо, работи със служителя по защита на данните, за да се гарантира, че маркетинговите инициативи спазват принципите на защита на данните.


Секретарят е отговорен за:

  • Подобряване на информираността на служителите относно защитата на личните данни на потребителите.
  • Организиране на експертни познания за защита на личните данни и обучение заповишаване на информираността на служителите, работещи с лични данни.
  • Защита на личните данни на служителите от „край до край“. Това трябва да гарантира, че личните данни на служителите се обработват въз основа на законните бизнес цели и необходимост на работодателя.
  • Секретарят отговаря за предаването на отговорностите за защита на личните данни на доставчиците и за повишаването на нивата на информираност на доставчиците за защита на личните данни, както и за понижаване на изискванията за лични данни към трети страни, които използват. Отделът за поръчки/доставки трябва да гарантира, че Дружеството си запазва правото да извършва одит на доставчици.


6. Одит и Отговорност
Секретарят и операторът на данни отговарят за проверката/одита на това, колко добре бизнес отделите прилагат тази политика.

Всеки служител, който нарушава тази Политика, ще бъде обект на дисциплинарно действие и служителят може също да бъде обвързан с граждански или наказателни задължения, ако неговото поведение нарушава закони или подзаконови актове.