Правно-организационни и технически решения в „МЛ-Консулт 2009“ЕООД при обработка и защита на личните данни
/Политика за поверителност/
Тази политика влиза в сила, считано от 01.01.2018 г.
Нашите възгледи за поверителността на личните данни
„МЛ-Консулт 2009“ЕООД, със седалище и адрес на управление: гр. Плевен, ул. Стара Планина № 5, ет.1, ап.1, представлявано от управителя Ивелина Атанасова (по-нататък в изложението, за краткост – дружеството) приема, че когато събираме и обработваме информация за физическо лице, трябва да го направим отговорно, с дължимата грижа за личната неприкосновеност, спазвайки законите за защита на данните и принципите на поверителност.
Тази политика за поверителност („Политика“) описва основните видове лична информация, която събираме в рамките на дружеството, как се обработва и разкрива тази информация, както и задълженията ни към лицата, чиито данни обработваме. Политиката обяснява по принцип как се стремим да спазваме законите и регламентите за поверителност на данните, включително, но не само Регламент (EU) 2016/679 (Общ регламент за защита на личните данни/GDPR).
Дружеството в качеството му на администратор на лични данни, е въвела вътрешни политики (инструкции), процедури и програми за обучение, предназначени да осигурят спазването на тези закони. Нашите политики, процедури и програми за обучение се актуализрат редовно и се управляват от екип от професионалисти в областта на неприкосновеността на личния живот.
Какви категории лични данни събира и обработва Дружеството и за какви цели?
Дружеството събира и обработва лични данни за целите на задължителното поддържане на регистрите, за счетоводни цели, за законови цели – такива предвидени в законови норми (наказателно преследване, предхождащите го действия по разследване и т.н.).
Дружеството не събира лични данни за финансово състояние, банкова информация, информация за здравното състояние (медицински данни), информация за сексуални, политически и религиозни интереси, биометрични данни, данни за професионална квалификация, образование и/или други категории (чувствителни) данни. Също така, не събира копия на лични документи. Това би било в ексцес с оглед целите, за които се събират и обработват данни и лицата се умоляват да не предоставят на дружеството такава информация. В случай, че го сторят, дружеството незабавно ще заличи данните в ексцес и няма да съхранява копие от тях под никаква форма.
Лични данни на служители и на кандидати за работа.
Дружеството събира информация от кандидатите за работа, вкл. лични данни – имена, местоживеене, възраст, данни за образование и професионален опит. Тези данни се събират за целите на подбор на кадри. Дружеството би обработило данните за целите на проверка на съдебно минало, единствено, ако това е предвидено в изричен законов текст, който касае позицията, за която кандидатства лицето.
Веднъж назначен, дружеството ще обработва личните данни на служителя за целите на управление и администриране на човешките ресурси в организацията – степен на изпълнение на работата, ведомости за трудово възнаграждение, данъчни и осигурителни цели.
Дружеството обработва за подобни цели и данните на клиентите и консултантите си – физически лица, с които са сключени граждански договори (в случай, че има такива).
ОГРАНИЧЕНИЯ ПРИ ИЗПОЛЗВАНЕ НА ВЪТРЕШНОВЕДОМСТВЕНИ РЕСУРСИ
Мониторинг на достъпа до интернет и служебните електронни пощи
Ограничаване ползването на интернет на работното място
В качеството си на работодател, дружеството има право да се разпорежда с компютърните системи и интернет свързаността на работните места, както намери за удачно и при спазване принципа за неприкосновенност на личността. В тази връзка работодателят може да забрани достъпа до определени сайтове – например социални медии (Facebook, Twitter, G+) или приложения (Skype). В случай, че има такова ограничение, то ще бъде сведено до знанието и служителят е длъжен да съблюдава забраната, когато тя е надлежно доведена до неговото знание. Затова по отношение ползването на интернет, служителите се считат информирани за условията, при които е позволено ползването на интернет за лични нужни, както и за типа материали и страници, които не са разрешени за посещение или употреба. Служителите следва да са наясно и със системите за мониторинг и контрол, които се използват от работодателя.
Работодателят не достъпва и не чете лични електронни писма на служители
Личната електронна комуникация представлява лична кореспонденция и нейната тайна е неприкосновена, доколкото със съдебно решение не е постановено противното. Дружеството не нарушава неприкосновеността на кореспонденцията и не чете лични електронни писма на служителите.
Работодателят има право да достъпва и чете служебни имейли, без разрешение на съответния служител, след като забрани използването на съответния имейл за лични цели.
С цел „МЛ-Консулт 2009“ ЕООД да защити своите права и интереси и да осигури ефикасно протичане на работния процес и да се предпази от евентуални незаконни действия на своите служители, работодателят има право да достъпва и чете служебни имейли, без разрешение на съответния служител. При извършването на тези проверки обаче, Дружеството винаги търси баланс между интереса си на работодател и правото на неприкосновеност на личния живот на служителите. При осъществяване на проверки трябва да съществува конкретна, изрична и законна цел, за която те се извършват, придобитата информация да е пропорционална на целта, за която е събрана и служителите имат право на достъп до събраната информацията, която ги засяга.
Ако планира да следи или чете кореспонденцията на служителите си със служебен характер, работодателят първо ще забрани използването на съответния имейл за лични цели, защото в противен случай рискува да наруши конституционно гарантираните права на служителя чрез разкриване на съдържанието на личната му кореспонденция. Подобни разпоредби могат да се разпишат във вътрешните правила на работодателя.
Системи за следене и контрол на служебните автомобили
Дружеството има право да инсталира системи за наблюдение и контрол на служебните автомобили, ако разполага с такива, без съгласието на служителя, само когато това се налага от естеството на извършваната работа и от предохранителни мерки.
Най-често срещаните системи за следене и контрол на служебните автомобили и на тези, извършващи обществен превоз на пътници и товари са тахограф и GPS-системите.
При използване на тези системи, работодателят уведомява водача на превозното средство за монтирането на същите и ползването им. В случай, че такива системи са монтирани в служебните автомобили, то това е уредено с вътрешни правила, а данните се обработват единствено за регламентираните в тях цели. Употребата на служебното ПС за лични нужди също е регулирана във вътрешните правила на работодателя. Той няма право да използва проследяващи устройства в този случай, освен ако не докаже правната необходимост за това (например, при кражба на автомобила).
Въвеждане на системи за контрол на достъпа до помещението с лични данни. Работно време и трудова дисциплина
Пропускателният режим и сигурността на помещенията с лични данни в Дружеството се осъществява чрез инженерни, физически и технически средства и служители. Помещенията с лични данни са зони с ограничен, контролиран достъп.
Всеки служител има право на свободен достъп до своето работно място в рамките на установеното работно време, както и в извънработно време.
С прекратяването на трудовото правоотношение със служителя, той придобива статута на външно лице и има право на достъп до помещенията при спазване на установения за външни лица пропускателен режим.
Видеонаблюдение
Дружеството осъществява видеонаблюдение за целите на контрол на достъпа, опазване на здравето, сигурността и спокойствието на служителите си и за предотвратяване на незаконосъобразен/злоумишлен достъп. Ето защо, осъществяваното видеонаблюдение се счита такова в интерес на служителите, в интерес на Дружеството в качеството му на собственик, а също и за целите на евентуално мотивирано искане от страна на компетентните органи.
Записите се пазят на собствен на Дружеството сървър, за период от 7/седем/ дни, след който записите се заличават автоматично. В 7 /седем/ дневният срок на съхранение, записите от видеонаблюдениято могат да бъдат предоставени единствено на компетентен орган, след отправено законосъобразно искане.
Разкриване на лични данни
Лични данни могат да бъдат разкрити от страна на Дружеството единствено при обоснована нужда – законов текст, законов интерес на субекта или предварително дадено негово съгласие. Извън тази хипотеза, дружеството може да предостави данни на застраховател (данни на служители), на служба „Трудова медицина“ (данни на служители) и на надлежни органи и институции, след получено редовно искане за информация. При всички случаи на предоставяне, съответното физическо лице ще бъде предварително и надлежно уведомено, освен ако по закон това не необходимо.
Вътре в дружеството, достъп до лични данни имат само оторизирани лица, надлежно подготвени за работа с лични данни.
Дружеството не търгува и не продава бази данни, вкл. анонимизирани или псевдонимизирани данни, по никакъв повод и за никакви цели, вкл. статистически.
Уведомяване и Съгласие
В момента на събирането на данните, Дружеството (или нейн обработващ) уведомява лицата по ясен и непротиворечив начин как точно информацията за тях ще бъде обработена, разкрита, съхранявана и заличена; какви права имат по отношение на защитата на личните данни или съгласно тази Политика. Това уведомление е изцяло съобразено с изискванията на Регламента и цели спазването му в максимална степен, включително, но не само принципа за прозрачност и законосъобразност при обработката на личните данни на лицата. Уведомяването се извършва лично.
„МЛ-Консулт 2009“ЕООД гарантира, че физическите лица могат да упражняват всички свои права по отношение на личните данни, обработвани от организацията, включително, но не само правото на достъп, актуализиране и коригиране, право на прехвърляне на данните, право на временно спиране на обработването и изтриване на данни и изобщо всичко, предвидено в закон. Дружеството ще положи максимални усилия да разгледа и уважи искането на лицето. Евентуален отказ от страна на Дружеството би бил възможен единствено на законово основание (когато законов текст забранява заличаване на данните, например).
В случаите, когато това се изисква от закона, а също и като израз на добра практика, Дружеството може да поиска съгласието на физическото лице да събира, използва и разкрива данните му за конкретно определени цели.
Актуалност на данните. Срокове на съхранение
Нашата политика за поверителност предвижда всяко лице, чиито данни сме събрали, да разполага с пълните възможности да заяви коригиране и актуализиране на данните.
Правото да бъдеш забравен също е сред предвидените в политиката ни на поверителност и всяко лице може да заяви заличаване на данните си.
„МЛ-Консулт 2009“ ЕООД извършва заличаване на личните данни незабавно след отпадане на основанието за обработка и съхранение, след преценка на специалните законови изисквания.
Сигурност и защита на данните
„МЛ Консулт 2009“ЕООД поддържа цялостна политика за информационна сигурност с максимален акцент върху техническите и организационни мерки за сигурност, които защитават личната информация от неоторизиран достъп или загуба. В съответствие с регулаторните изисквания, дружеството поддържа също така и практика за справяне при нарушаване на сигурността, свързано със защитата на личните данни, включително извършване на всички необходими уведомления на лица или надзорния орган.
Лични данни на малолетни и непълнолетни лица
„МЛ-Консулт 2009“ЕООД не събира и не обработва данни на малолетни и непълнолетни лица, по никакъв начин и за никакви цели.
Запитвания, сигнали, жалби и искания за упражняване на права
Всякаква комуникация, питания, сигнали, жалби и искания за упражняване на права по отношение на личните данни следва да бъдат адресирани до седалището на Дружеството, на вниманието на управителя.
Правен статус на тази Политика. Промени и действие
Тази Политика за поверителност не е договор и няма обвързващо действие. Дружеството си запазва правото да актуализира Политиката (например – при промяна на законодателството по отношение на личните данни).