Администратор на лични данни: ФРОМВУЛЕВИ ЕООД

Общ Регламент за защита на личните данни
Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година (Общ регламент за защита на данните) (ОРЗД) осигурява защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

3.1 Политиката за защита на личните данни се прилага за всички функции по обработването на лични данни , включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори.

„Лични данни" - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
„Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор на лични данни" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други, определя целите и средствата за обработването на лични данни;

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„Субект на данните“ - всяко живо идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, чиито лични данни се обработват от Администратора;

„Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработвани;

„Дете“-Всяко физическо лице на възраст под 16 години;

„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

„Основно място на установяване “:
- за администратор, установен в една държава членка - мястото, където се намира централното му управление;
за администратор, установен в повече от една държава членка - мястото, където се намира централното му управление, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в ЕС и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези

решения, се счита за основно място на установяване;
- за администратор със седалище извън ЕС основното място на установяване е мястото, на което е установено физическо или юридическо лице, установено в Съюза, което е назначено от администратора или обработващия лични данни в писмена форма, представлява администратора или обработващия лични данни във връзка със съответните им задължения по ОРЗД.

„Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

„Трета страна“ - всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

Обработката на лични данни се извършва в съответствие с принципите за защита на данните, посочени в член 5 от ОРЗД и член 2 от ЗЗЛД. Системата за защита на личните данни има за цел да гарантира спазването на тези принципи.

Обработването на лични данни е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
а) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
г) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
Под „съгласие“ се разбира:

Субектът на данните може да оттегли своето съгласие по всяко време.
д) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
е) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
Процесите на даване и оттегляне на съгласие от субект на данните или от родителите на дете са регламентирани в Процедура за получаване и оттегляне на съгласие за обработване на лични данни (PROC 04).

Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.
С оглед реализиране правата на субекта на данни, информацията се предоставя без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията.
Правилата за уведомяване на субекта на данни са определени в Процедура за прозрачност при обработката на лични данни (PROC 01).

Данните, получени за конкретни цели, не трябва да се използват за цел, която се различава от официално обявените на надзорния орган като част от съответния Регистър на дейностите по обработване лични данни.

Всеки от съвместните администратори гарантира, че всяко уведомление относно промяната на обстоятелствата е записано и се предприемат действия.

Г

  •  Правата за достъп основани на роли, включително тези, на назначен временно персонал;

 

Администаторът ще доказва спазването на принципите за защита на данните чрез практическото прилагане на системата за защита на личните данни, чрез приемане на техники по защита на данните на етапа на проектирането и/или като се присъединява към кодекси за поведение в приложими случаи.

6.3. Администраторът осигурява условия, които да гарантират упражняването на тези права от субекта на данни:

Европейската комисия може да оцени трети държави, територия и/или специфични сектори в трети държави, за да прецени дали има подходящо ниво на защита на правата и свободите на физическите лица. В тези случаи не се изисква разрешение.
Държавите, които са членки на Европейското икономическо пространство (ЕИП), но не и на ЕС, се приемат като отговарящи на условията за решение за адекватност.

Администраторът може да прехвърли лични данни в САЩ след проверка и потвърждение, че организацията, пожелала получаването на такива данни е подписала Рамковото споразумение „Privacy Shield“ с Министерство на търговията на САЩ.

Администраторът може да прилага приети от Европейската комисия или от съответния надзорен орган и одобрени от Комисията стандартни договорни клаузи за защита на данните при прехвърляне на данни извън Европейското икономическо пространство.

При липса на решение за адекватност, членство в US Privacy Shield, и/или стандартни договорни клаузи, прехвърляне на лични данни в трета държава или международна организация се извършва само при едно от следните условия:

  •  предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между съответния съвместенадминистратор и друго физическо или юридическо лице;

В случаите на трансфер на лични данни към държави извън ЕС (посочени в ОРЗД като "трети страни") и/или международни организации се прилага Процедура за предаване на лични данни на трети държави или на международни организации (PROC 08).

При инвентаризацията на данните и в работния поток от данни се установяват:

 

Приложими документи: