Политика за поверителност и защта на личните данни

Информация за дружеството

„СИЛОР"АД ("Дружеството" и/или „Администраторът"), регистрирано в Търговския регистър към Агенция по вписванията с ЕИК203444311 , със седалище и адрес на управление: гр. София – 1252, с. Световрачене, ул. „Синчец" №18.

„СИЛОР"АД обработва Вашите лични данни при спазване на високи стандарти за осигуряване поверителността, сигурността и защитата им. Дружеството е въвело и прилага необходимите технически и организационни мерки, за да не допуска нерегламентиран достъп, загуба или неоторизирано ползване на Вашите лични данни. За нас е особено важно да осигурим събирането и обработването на Вашите лични данни да става в пълно съответствие с изискванията на българското и европейското законодателство.

Ние сме отговорни за сигурността на Вашите лични данни.

ПРЕАМБЮЛ

„СИЛОР"АД, като администратор на лични данни събира и обработва определена информация за физически лица.

Тази информация може да се отнася дослужители, управители, клиенти, контрагенти, бизнес контакти и други физически лица с които Администраторът има връзка , или иска да установи бизнес контакт.



I.ПРАВНО ОСНОВАНИЕ

Този документ е изготвен съгласно изискванията на Общия регламент за защита на личните данни (ЕС) 2016/679 (GDPR)и който заедно съсЗакона за защита на личните данни и подзаконовите му актове, така както се променят .Българското законодателство иGDPRпредвиждатправила как организациите, в т.ч. и „СИЛОР"АД трябва да събират, обработват и съхраняват лични данни. Тези правила се прилагат от

Администратора независимо от това дали информацията се събира и съхранява на хартия, на електронен или друг вид носител.

Администраторът е запознат и с принципите свързани с обработване на лични данни ,предвидени в GDPR, а именно:

- личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните;

- личните данни се събират за конкретни, изрично оказани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели, по-нататъшното обработване за целите на архивирането, научни или исторически изследвания и за статистически цели не се счита ,съгл.чл.89,пар.1 от GDPR, за несъвместимо с първоначалните цели;

- личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват;

- личните данни са точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се има предвид целите, за които те се обработват;

- личните данни са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни, личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането научни или исторически изследвания и за статистически цели не се счита ,съгл.чл.89,пар.1 от GDPR, при условие, че бъдат приложени подходящи технически и организационни мерки, с цел да бъдат гарантирани правата и свободите на субекта на данните;

- личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.



II.ЦЕЛИ

Настоящата политика цели Администраторът да:

- да бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установени добри практики;

- да установи механизмите за водене, поддържане и защита на отчетните регистри;

- установи задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения;

- защита правата на персонала, клиентите и партньорите;

- бъде открит как съхранява и защитава личните данни на физическите лица;

- установи необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване( случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);

- бъде защитен от риск от нарушения.



III.ОБХВАТ

Настоящата политика се прилага по отношение на персонал, доставчици, клиенти и партньори, така както са описани в електронните отчетни регистри, установени в съответствие с тази Политика, Националното законодателство и чл.30 от GDPR.



Какви категории лични данни и събираме:

Администраторът събира личните данни по отношение на следните категории лица:

- лица, в трудово-правни отношения с Администратора, или имащи желание за встъпване в трудово-правни отношения;

- лица, представляващи дружествата ,с които Администраторът има или планира да има бизнес взаимоотношения;

- лица за контакт в дружества, с които Администраторът е в бизнес взаимоотношения;

- лица, които се регистрират с цел получаване на информационни услуги, свързани с дейността на Администратора.

IV. Цели за събиране на данните

Администраторът събира личните данни във връзка с изпълнението на следните цели:

За изпълнение на дейности свързани със сключване, съществуване, изменение и прекратяване на договорни взаимоотношения, вкл. за:

- изготвяне на всякакви документи;

- за установяване на връзка с лицето за контакт по телефон, факс, имейл адрес или по всякакъв друг законосъобразен начин;

- за доставка и/или приемане на материали, стоки, услуги, за комуникация във връзка с предоставяне и/или получаване на продукция , стоки или услуги и за предоставяне на свързаното с тях клиентско обслужване.

- за водене на счетоводна отчетност на доставки и продажби и договори по които Администраторът е страна;

- за обработка на плащания във връзка с доставки, продажби и договори сключени от Администратора;

- за изпращане на важна информация във връзка с промяна на правилата, условията и политиката на Администратора и/или друга административна информация.

Събиране на данните

Данни на контрагенти (управители, представители и/или лица за контакт на юридическото лице) доставчици, клиенти и/или страна по търговски договори.

Личните данни на всяко лице се предоставят доброволно от самите лица и се събират от Администратора в изпълнение на нормативно задължение, във връзка със сключването на договор и/или изпълнение на задълженията по сключен договор, във връзка с изпълнение на доставка, продажба или извършване на услуга съгласно разпоредбите на Търговския закон, Закона за счетоводството, Закона за задълженията и договорите, Закона за данъка върху добавената стойност и др. и условията посочени в търговски договор със съответния клиент чрез: хартиен носител – писмени документи/вкл. пълномощни, договори, банкова информация и др./, по електронна поща – предоставени във връзка с изпълнението и/или намерението за встъпване в договорни отношения и/или намерението за получаване на доставка и/или извършването на продажба и/или услуга чрез попълването на регистрационна форма. Лицата се уведомяват за разпоредбите на тази Политика предварително или в момента на получаване на данните им.



V. Законни интереси преследвани от Администратора.

Във връзка с обработването на данните на управителите и контрагенти.

Обработването на данните се извършва на основание законен интерес и във връзка със сключването, съществуването, изменението и прекратяването на търговски и граждански договори при прилагането и изпълнението на нормативните изисквания на Търговския закон, Данъчно – осигурителен процесуален кодекс, Кодекса за социално осигуряване, Закона за счетоводството, Закона за задълженията и договорите, Кодекса на застраховането, Закона за данъка върху добавената стойност и др.



VI.Прозрачност. Права на лицата, чиито данни се обработват от Администратора

Прозрачност и условия за упражняване на правата на лицата

Администраторът предоставя информация на лицата в кратка, прозрачна , разбираема и лесно достъпна форма, като използва ясен

и прост език. Администраторът се стреми да гарантира, че лицата са запознати относно обработваните от него лични данни и, че лицата напълно разбират и са информирани във връзка с обработването в съответствие с Българското законодателство и GDPR.

Администраторът предоставя информацията на лицата писмено или по друг начин, включително, когато е целесъобразно, с електронн средства. Ако лицето е поискало това, информацията може да бъдепредоставена устно, при положение, че идентичността на лицето

е доказана с други средства. Администраторът предоставя безплатно информация относно действията, предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.

При необходимост, този срок може да бъде увеличен с още два месеца, като се вземе предвид сложността и броя на исканията. Администраторът информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато съответното лице подава искане с електронни средства, по възможност информацията се предоста-вя с електронни средства, ако лицето изрично не е посочило друг начин на предоставяне. Ако Администраторът не предприеме действия по искането, Администраторът уведомява лицето без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен съвет и за търсене на защита по съдебен ред.

Когато исканията на лицата са явно неоснователни или прекомерни, по-специално поради своята повтаряемост, Администраторът

може или:

- да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

- да откаже предприемането на действия по искането.



Право на достъп на лицата

Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако е така, да получи достъп до данните и следната информация;

- целите на обработването;

- съответните категории лични данни;

- получателите или категориите получатели пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

- когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

- съществуването на правото да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

- правото на жалба до надзорен орган;

- когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

- съществуването на автоматизирано вземане на решения, включително профилирането и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствията от това обработване за субекта.

Когато личните данни се предават на трета държава или на международна организация, субекта на данните има право да бъде информиран относно подходящите гаранции по чл.49 от Общия регламент за защита на личните данни (ЕС) 2016/679 (GDPR) във връзка с предаването.

Администраторът предоставя копие от личните данни, които са в процес на обработване .За допълнителни копия, поискани от субекта на данните, Администраторът може да наложи разумна такса въз основа на административните разходи. Когато субекта на данните подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субекта на данни не е поискал друго.

Правото на получаване на копие, не влияе неблагоприятно върху правата и свободите на други лица.

Право на коригиране

Всяко лице, чиито данни се обработват от Администраторът има право да поиска същият да коригира без ненужно забавяне неточни лични данни, свързани с него. Като се има предвид целите на обработването, лицето има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

Право на изтриване(правото «да бъдеш забравен»)

Всяко лице, чиито данни се обработват от Администраторът има право да поиска от Администратора на изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължение да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените основания:

- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

- лицето на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

- лицето възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;

- личните данни са били обработвани незаконосъобразно;

- личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо Администратора;

- личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Когато Администраторът е направил личните данни обществено достояние и е задължен съгласно пар.1 от Регламент(ЕС) 2016/679 да изтрие личните данни, той , като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че засегнатото лице е поискало изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.



Право на ограничаване на обработването

Всяко лице, чиито данни се обработват има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следното:

- точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни;

- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

- Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

- субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.

Когато обработването е ограничено съгласно параграф 1 от Регламент(ЕС) 2016/679 , такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.

Когато субект на данните е изискал ограничаване на обработването, Администраторът го информира при отмяна на ограничаването на обработването.

Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването

Администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субекта на данните поиска това.

Право на преносимост на данните

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото личните данни са предоставени, когато:

- обработването е основано на съгласие или на договорно задължение;

- обработването се извършва по автоматизиран начин.

Когото упражнява правото си на преносимост на данните, субекта на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

Право на възражение

Субекта на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработването на лични данни, отнасящи се до него, (когато обработването е необходимо за изпълнение на задача от обществен интерес или при упражняването на официални правомощия от Администратора или от трета страна)включително профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато се обработват лични данни за целите на директен маркетинг, субекта на данните има право по всяко време да направи възражение срещу обработването на лични данни, отнасящи се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

Когато субекта на данните възрази срещу обработването за целите на директния маркетинг, обработването на лични данни за тези цели се прекратява.

Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходните параграфи, което му се предоставя по ясен начин и отделно от всяка друга информация.



VII. Технически и организационни мерки за защита на данните

Защитата на данните на хартиен, както и на електронен носител

От неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки.



VIII. Трансфер на лични данни

Администраторът не осъществява и не възнамерява да осъществява трансфер на лични данни извън територията на Европейския съюз.



IX. НАРУШЕНИЯ И УВЕДОМЯВАНЕ ЗА НАРУШЕНИЯ

Нарушения

Нарушения на сигурносттана данни възниква, когато личните данни , за които „СИЛОР"АД са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл нарушението на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба или изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват.

В случай на нарушение на сигурността на личните данни незабавно следва да се уведоми

Янка Грозданова на имейл subscription@silor.bg

Оценка на нарушенията

След като съответния служител на „СИЛОР"АД получи информация за извършено нарушение, той трябва да определи дали конкретното събитие представлява нарушение на лични данни и да уведоми директорите на „СИЛОР"АД, в случай ,че те не знаят за събитието.



В случай на нарушение на сигурността на личните данни, което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът(чрез съответния служител), без нужно забавяне и когато това е осъществимо – не по-късно от 72 часа,след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.



Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

Когато има вероятност нарушението на сигурността на личните данни да породи по-висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, съобщава на субекта за нарушението.

Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите свързани с нарушението,последиците от него и предприетите мерки за справяне с него.

X. УНИЩОЖАВАНЕ

Счетоводната и търговска документация, както и всички други сведения и документи свързани с данъчното облагане и задължителните осигурителни вноски се съхраняват от Администратора в следните срокове:

- ведомости за заплати – 50 години;

- счетоводни регистри и финансови отчети – 10 години;

- документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публично задължение, с което са свързани;

- всички останали носители – 5 години, доколкото по закон не е предвиден по-кратък срок;

След изтичането на срокът за съхраняването им всички носители на информация(хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожат.

След приключване на срока за съхранение на данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител – чрез заличаване или изтриване на съответните файлове от компютрите на дружеството.

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

По смисъла на настоящите вътрешни правила:

§1. „Администратор" на лични данни е „СИЛОР"АД , регистрирано в Търговския регистър към Агенция по вписванията с ЕИК203444311 , със седалище и адрес на управление: гр. София – 1252, с.Световрачене, ул. „Синчец"№18, като действията от името на администратора

осъществява Янка Грозданова – администратор база данни.

§2. „Обработване" означава всяка операция или съвкупност от

операции, извършвана с лични данни или набор от лични данни

чрез автоматични или други средства като събиране, записване,

организиране, структуриране, съхранение, адаптиране или

промяна, извличане, консултиране, употреба, разкриване чрез

предаване, разпространяване или друг начин по който данните

стават достъпни, подреждане или комбиниране, ограничаване,

изтриване или унищожаване.

§3. Нашата Политика подлежи на утвърждаване и довеждане до

Знанието на лицата, които касае със заповед на Управителя

(Изпълнителния директор) на Администратора.

Политиката е одобрена от Управителя (Изпълнителния директор)

на 23.05.2018 г.

Влиза в сила от 25.05.2018 г.