ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В УИНДБГ ООД
УИНДБГ ООД е търговско дружество, регистрирано в Търговския регистър към Агенцията по вписвания с ЕИК 207189251, със седалище и адрес на управление гр. Варна 9000, бул. ”Сливница” № 75, телефони 0896742494, 0893679076, e-mail radoslav.kalchev@windbg.eu и onnik.merdinyan@windbg.eu и, интернет страница www.windbg.eu
УИНДБГ извършва учебна дейност въз основа на одобрение на курсове, преподаватели и учебно-материална база от Global Wind Organization и в съответствие с националното и международно законодателство, касаещо обучението и допълнителната квалификация.
УИНДБГ е администратор на лични данни по смисъла на Закона за защита на личните данни.
Настоящата Политика за поверителност се основана на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица при обработване на лични данни. В нея ще намерите изчерпателна информация относно целите, основанията и средствата за обработване на Вашите лични данни, обработваните категории и видове лични данни, видовете поддържани регистри на лични данни и категориите получатели, на които те се предоставят в изпълнение на дейността на Центъра.
І. Цели и обхват на Политиката
Чл.1. С настоящата политика за поверителност и защита на личните данни УИНДБГ отчита неприкосновеността на личността и полага усилия срещу неправомерно обработване на лични данни на физическите лица. В съответствие с приложимото законодателство УИНДБГ прилага изискваните технически и организационни мерки за защита на личните данни на физическите лица.
Чл.2. С настоящата политика за поверителност и защита на личните данни УИНДБГ цели да информира физическите лица за законовите основания и целите на обработване на личните им данни, получателите, на които техните данни могат да бъдат разкривани, задължителния и доброволния характер на предоставяне на данните, както и последиците от отказ за предоставянето на такива, информацията за правото на достъп до личните им данни, правото на коригиране и изтриване на личните им данни и процедурата за това, правото на информиране при констатирано от УИНДБГ посегателство върху личните данни на персонала или курсистите.
ІІ. Термини и определения
Чл.3. По смисъла на настоящата Политика:
1. Лични данни е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци (имена, адрес, егн, електронна поща, данни за здравословното състояние и др. )
2. Обработване на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като: събиране, записване, организиране съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране, комбиниране, блокиране, заличаване или унищожаване.
3. Регистър на лични данни – структурирана съвкупност от лични данни, достъпна по определени критерии.
ІІІ. Лични данни, обработвани в УИНДБГ
Чл. 4. (1) УИНДБГ като администратор на лични данни обработва категории лични данни, структурирани в три регистъра (регистър „Курсисти”, трудов и финансово-счетоводен регистър и регистър записи от видеозаснемане на учебни занятия)
(2) УИНДБГ събира и обработва лични данни, предоставяни от физически лица във връзка с предоставяне на учебни продукти, както и за подготовка и сключване на трудови, граждански и др. видове договори.
(3) УИНДБГ обработва и лични данни, които не са получени от лицето, за което се отнасят, а са предоставени от трето лице във връзка с предоставяне на учебен продукт, в които случаи УИНДБГ се задължава да: предоставя данни за УИНДБГ, да предоставя информация за целите и категориите предоставени данни и категориите получатели на тези данни, при официално поискване, да предостави право на достъп, коригиране и заличаване на данни от лицето, за което те не отнасят.
Чл. 5. Категориите лични данни, предоставяни за идентификация и в изпълнение на законовите изисквания, в зависимост от конкретната учебна услуга (семинар, тест, курс), които се събират, обработват и съхраняват от УИНДБГ са:
1. Физическа идентичност: име, ЕГН, паспортни данни, телефон и имейл, данни за здравословна годност.
2. Социална идентичност – образование, гражданство, допълнителна квалификация, трудова дейност, стаж.
3. Данни за здравословното състояние: лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
4. Данни, събирани при плащане към УИНДБГ – част от номер на кредитна или дебитна карта, банкова сметка и друга платежна информация, събирана при и обработвана във връзка с извършване на плащане по банков път, ЕГН, три имена на курсиста.
Чл. 6. Данни, изготвяни и генерирани от УИНДБГ в процеса на предоставяне на учебните услуги:
- протокол за завършен курс
- удостоверение за завършен курс
- обработване на жалби на клиенти
- резултати от писмени и практически изпити, тестове и др.
- служебни бележки и справки във връзка с ползваната услуга
- договори, декларации, формуляри, фактури
ІV. Обработване на лични данни
Чл. 7. Като администратор на лични данни, УИНДБГ обработва лични данни като съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични и други неавтоматични средства, като: събиране, записване, организиране, съхраняване, адаптиране, изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, изтриване, унищожаване при следните принципи:
• Законосъобразно обработване, добросъвестно и по прозрачен начин по отношение на субекта на данните;
• Събират се за конкретни и легитимни цели и не се обработват впоследствие по начин, несъвместим с тези цели; (по-нататъшното обработване за целите на архивирането или за статистически цели не се счита за несъвместимо с първоначалните цели „ограничение на целите“);
• Подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
• Данните са точни и при необходимост се поддържат в актуален вид; предприети са всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
• Съхраняват се във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; или за статистически цели , при прилагани подходящи технически и организационни мерки, с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
• Обработват се по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
- Обработват се по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
УИНДБГ носи отговорност и е в състояние да докаже спазването на изискванията за („отчетност“).
УИНДБГ обработва лични данни самостоятелно, като правата и задълженията на обработващите лични данни са регламентирани във върешно-фирмени процедури, инструкции и заповеди.
Чл. 8 Цели и правни основания за обработване на личните данни:
8.1. При регистриране за обучения в съответен курс, тест или методически семинар, във връзка с което УИНДБГ е длъжен да идентифицира клиентите си, да изисква, проверява и съхранява документи, потвърждаващи съответствие с поставените входни стандарти за съответно обучение, като:
- документ за самоличност;
- диплома за завършено образование;
- свидетелство за правоспособност /ако лицето притежава такова/;
- медицинско свидетелство за здравословна годност;
- сертификати, удостоверяващи съответствие с квалификационните изисквания;
- предходен професионален стаж и опит,
за което съхранява копия на съответните документи с изключение на документи за самоличност – лична карта и/или моряшки паспорт. Срокът за съхранение на документацията е описан в съответната процедура по СУК на УИНДБГ.
8.2. Във връзка със задълженията за идентифициране и автоматичен обмен на информация за целите на администриране на провежданите обучения, УИНДБГ разкрива данни на курсисти на трети лица / НАП, МВР/, съгласно установените изисквания на националното законодателство.
8.3.Изготвяне на предложения за обучения и предоставяне на информация на клиента за ползвани от него услуги
8.5.Предоставяне на информация за клиента и ползвани от него услуги по запитване/искане/проверка от компетентен орган
8.6.За издаване на платежни документи
8.7.За удостоверяване на възраст, образование, квалификация и здравословна годност при сключване на трудов договор.
8.8.За персонал по трудови и граждански договори – извършване на данъчно осигурителен контрол от съответните компетентни органи.
8.9. За актуализиране на лични данни на курсисти;
8.10. За анализ на клиентската история и изготвяне на потребителски профил;
8.11.За обслужване и отговор на запитвания и жалби;
8.12.За извършване на обработка от обработващите данните – възлагане, отчитане, приемане, разплащане;
8.13. За осигуряване защита и сигурност на ресурсите на УИНДБГ;
8.14.Предоставяне на информация на Комисията за защита на потребителите и Комисията за защита на личните данни във връзка с изпълняване на задължения, произтичащи от съответните закони.
8.15.Предоставяне на информация на съда и трети лица в рамките на производства пред съд.
Чл.9. Обработването на лични данни от УИНДБГ е допустимо, освен в случаите, когато е необходимо за изпълнение на нормативно установено задължение на УИНДБГ като администратор на лични данни, така и когато физическото лице, за което се отнасят данните е дало изрично своето съгласие, или обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят или на което принадлежат данните, е страна, както и за действия, предхождащи сключване на договор и предприети по искане на лицето.
Чл. 10. УИНДБГ ООД обработва съответните данни, предоставени с изрично писмено съгласие на клиента за тяхното обработване за следните цели:
- за включване на име, фотографии, видеозаписи и други форми на присъствие в рекламни и медийни публикации на УИНДБГ в резултат на участието на клиенти в курсове и др.
- за получаване и/или предоставяне на информация/оферти за продукти и услуги на трети лица, ако такава информация е изрично поискана от лицето или ако лицето е изразило съгласието си за получаване на такава информация.
Чл. 11. УИНДБГ ООД обработва личните данни за целите на следните легитимни интереси:
- профилиране на клиентите за целите на директния маркетинг с цел отправяне на оферти при изтичане на сертификати или изисквания за нови обучения, вследствие на актуални нормативни изменения;
- измерване и оценка на постигнатите ключови индикатори – проведени курсове и обучени курсисти от съответните категории, измерване ефективността на рекламата;
- подготовка на информацията, публикувана на интернет страницата на УИНДБГ;
- подготовка и съхранение на статистическа информация
VІ. Последици от отказ за предоставяне на лични данни
Чл. 12. Изрично съгласие на физическите лица, чиито данни се обработват не се изисква, когато предоставянето им се изисква на регламентирано правно основание –КСО, КТ, Закон за счетоводството, Закон за ДДС, , вътрешни правила за заплащане на курсове на каса или по банков път и други нормативни документи.
Не представянето на лични данни препятства възможността на УИНДБГ да:
- сключва трудови и граждански договори;
- запише и включи в курс курсист без представяне на задължителните документи, доказващи съответствие с входните стандарти;
- да издаде съответните платежни документи.
Чл. 13. Изискваните от обработващите лични данни служители данни и документи са съобразени с предлаганите от УИНДБГ учебни продукти и имат задължителен характер. В случай на отказ от доброволно представяне на изисквани лични данни, УИНДБГ няма да бъде в състояние да предостави своя учебен продукт, да подготви и сключи договор.
VІІ. Разкриване на лични данни
Чл. 14. Като администратор на лични данни УИНДБГ има задължения и право да разкрива обработваните лични данни само на следните категории лица:
1. физическото лице, за което се отнасят данните;
2. лица, за които правото на достъп е предвидено в нормативен акт или
3. лица, за които правото произтича по силата на договор.
Категории трети лица, които получават достъп до и обработват личните Ви данни:
Чл.14.1.Обработващи лични данни, които въз основа на нормативно изискване имат пряк/косвен достъп до личните Ви данни:
- Global Wind Organization
- НАП;
- транспортни фирми – при осигуряване на транспорт в съответен курс – имена на курсиста/инструктора;
- лица, поддържащи оборудване и софтуер, използван за обработване на лични данни;
- банки, обслужващи плащанията, извършвани от клиенти;
- лицензирани охранителни фирми, обработващи видеозаписи от обекти на УИНДБГ;
- лица, предоставящи услуги по организиране, съхраняване, индексиране и унищожаване на архиви на хартиен и/или електронен носител;
- лица, извършващи консултантски и одиторски услуги в различни сфери.
Чл.14.2. Други администратори на лични данни, на които УИНДБГ предоставя лични данни, обработващи данните на собствено основание и от свое име:
- Компетентни органи, които по силата на нормативен акт имат правомощия да изискват от УИНДБГ предоставянето на информация, сред които и лични данни, например: български съд или съд на друга държава, различни надзорни, регулаторни органи, органи с правомощия по защита на националната сигурност и обществен ред.
- Застрахователи – при сключване на застраховка, при сключване на трудов договор
Чл.15. Права на клиенти и служители УИНДБГ ООД във връзка с обработването на лични данни и действия за упражняването им:
15.1.Достъп до личните данни и информация от вида, описан в настоящата Политика за поверителност на личните данни и искане за предоставяне на информация от УИНДБГ ООД какъв вид и за какви цели се обработват;
15.2. Коригиране на лични данни, когато са неточни и/или непълни с оглед на целите на обработката;
15.3. Изтриване на личните данни, но само в следните случаи:
- при изтичане на срока, за който е законоустановено, че трябва да бъдат съхранявани от УИНДБГ ООД, и същите не са нужни повече за целите, за които се обработват;
- оттегляне на съгласието за тяхната обработка;
- обработването на личните данни е признато за незаконно;
- националното или европейското законодателство изискват това.
15.4.Ограничаване на обработването на личните данни в някой от следните случаи:
- при оспорване на точността на личните данни за срока, необходим на УИНДБГ ООД да провери тяхната точност;
- установено неправомено обработване, но заявено желание само за ограничаване обработката, а не пълно заличаване;
- заявено желание личните данни да се съхраняват, въпреки че УИНДБГ ООД не се нуждае повече от тях за целите на обработката и поради изтичане на установените за събранието им срокове, тъй като ще се използват за установяване, упражняване и защита на правни претенции;
- при отправено от възражение срещу обработването на личните данни за срока на проверката на основателността му.
15.5 Искане за пренос на предоставени лични данни, включващо получаването им от УИНДБГ ООД в структуриран, широко използван и пригоден за машинно четене формат и прехвърлянето им на друг администратор на лични данни.
Правото на преносимост касае лични данни, за които са налице следните условия:
- обработването на данните се основава на изрично писмено съгласие или на договорно задължение
- обработването се извършва по автоматизиран начин
15.6.Възражение срещу УИНДБГ по всяко време и по лични причини с оглед на конкретната ситуация срещу обработването на лични данни, които се отнасят до засегнатото лице, и което е основано на необходимостта от изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са ни предоставени, или за които сме посочили, че обработваме в наш легитимен интерес.
Когато отправеното възражение е срещу обработката на личните данни за целите на директния маркетинг, включително и профилирането за тази цел, УИНДБГ ООД ще прекрати ползването им за тази цел.
Когато отправеното възражение е срещу обработка на лични данни за останалите цели, УИНДБГ ООД ще отговори в срок до 15 работни дни дали намира същото за основателно и съответно дали е прекратило обработването на съответните лични данни за тези цели.
15.7.Оттегляне на съгласие за обработка на лични данни по всяко време, когато обработката им се основава само на съгласие на лицето, а не на нормативно установено изискване, след заявяване на изрично желание в писмена форма.
15.8.Изпращане на жалба до Комисията за защита на личните данни, в случай че правата във връзка с обработване на личните данни на лицето са нарушени от стана на УИНДБГ ООД.
Чл. 16. УИНДБГ ООД като администратор на лични данни има право да откаже изтриване на лични данни, когато обработването на конкретните данни е с цел:
- да упражнява правото на информация;
- да изпълнява правно задължение и изисквания;
- архивиране за статистически цели;
- установяване, упражняване или защита на правни претенции.
Чл. 17. Задължения на УИНДБГ ООД при констатирано нарушение на сигурността на личните данни
17.1. При констатирано нарушение на сигурността на личните данни УИНДБГ не по-късно от 72 часа след установяването му уведомява писмено КЗЛД по установения в Чл. 33 на Регламент 2016/679 ред.
17.2. При вероятност констатираното от УИНДБГ ООД нарушение на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, УИНДБГ съобщава на субекта на данните за откритото нарушение на сигурността по установения в Чл. 34 на Регламент 2016/679 ред.