Политика за защита на личните данни

1. Въведение

Обща информация за Общия регламент относно защитата на данните (ОРЗД)
Общият регламент относно защитата на данните от 2016 г. заменя Директивата на ЕС за защита на данните от 1995 г. и отменя законите на отделните страни членки, които са били разработени в съответствие с Директива 95/46/ЕО за защита на данните. Неговата цел е да защити “правата и свободите” на физическите лица (т.е. живи индивиди) и да гарантира, че личните данни не се обработват без тяхно знание и когато е възможно – че се обработват с тяхно съгласие.

Определения

  • Място на установяване – основното място на установяване на администратора на данни в ЕС е мястото, на което администраторът взема основните решения относно целта и средствата за своите дейности по обработване на данни. Основното място на установяване на обработващ лични данни в ЕС е центъра му на управление. Ако администраторът на данни е установен извън ЕС, той трябва да назначи представител в юрисдикцията, в която администраторът развива дейност, който да действа от името на администратора на данни и да работи с надзорните органи.
  • Лични данни – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
  • Администратор – юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
  • Субект на данни – всяко физическо лице, което е обект на лични данни, съхранявани от организация.
  • Обработване – всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  • Профилиране – всяка форма на автоматизирано обработване на лични данни, предназначена за оценяване на определени лични аспекти, свързани с физическо лице, или за анализиране или прогнозиране на изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, местоположение, здраве, лични предпочитания, надеждност или поведение. Това определение е свързано с правото на субекта на данните да се противопостави на профилирането и правото да бъде информиран за наличието на профилиране, на мерките, основаващи се на профилирането, и на предвидените последици от профилирането върху лицето.
  • Нарушение на сигурността на лични данни – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Администраторът има задължението да докладва на надзорния орган за нарушения на сигурността на личните данни и тогава, когато има вероятност нарушението да има неблагоприятни последици върху личните данни или неприкосновеността на личния живот на субекта на данните.
  • Съгласие на субекта на данните – означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му личните му данни да бъдат обработени.
  • Трета страна – физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.
  • Регистър с лични данни – всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

2. Декларация за политика

Ентропи 1 ЕООД, ЕИК 831254887, се ангажира да спазва всички съответни закони на ЕС и на страна членка по отношение на личните данни, както и защитата на “правата и свободите” на лицата, чиято информация Ентропи 1 ЕООД събира и обработва в съответствие с Общия регламент относно защитата на данните (ОРЗД).

Спазването на ОРЗД е описано от настоящата политика, заедно със свързаните с нея процеси и процедури.

С цел предоставяне на услуги и ползване на уебсайта http://www.oralo.bg/, Ентропи 1 ЕООД може да обработва ваши лични данни, като напр. идентификационни данни, данни за контакт и др. Това обработване на данни се основава на изпълнението на договор.

Ентропи 1 ЕООД може да обработва вашите лични данни, за да ви изпраща информация за продукти или услуги, които считаме, че биха могли да са от интерес за вас. В случай че сте наш настоящ потребител, ще се свързваме с вас чрез имейл с информация за продукти и услуги, освен ако не сте се отказали от получаването на такива съобщения.

Ако сте нов потребител, ще се свързваме с вас по електронен път само ако ни дадете Вашето предварително съгласие при регистрация.

ОРЗД и настоящата политика се прилагат за всички функции по обработване на лични данни на Ентропи 1 ЕООД, включително функциите, които се извършват по отношение на личните данни на служители и лица по граждански договори, клиенти, потребители на интернет сайт, доставчици и партньори, както и всякакви други лични данни, които организацията обработва от всякакви източници, в случай, че има такива.

Настоящата политика се прилага за всички служители и лица по граждански договори, клиенти, потребители на интернет сайт, доставчици и партньори.

Партньорите и всички трети страни, които работят с или за Ентропи 1 ЕООД и които имат или могат да имат достъп до лични данни, трябва да са прочели, разбрали и да спазват настоящата политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от Ентропи 1 ЕООД, без предварително да е сключила споразумение за поверителност на данните, което налага на тази трета страна задължения, не по-малко задължаващи, от тези, с които се е ангажирала Ентропи 1 ЕООД и което дава на Ентропи 1 ЕООД правото да проверява спазването на споразумението.

3. Отговорности и роли съгласно Общия регламент относно защитата на данните

  • Ентропи 1 ЕООД е администратор и обработващ данни съгласно ОРЗД.
  • Спазването на законодателството за защита на данните е отговорност на всички служители на Ентропи 1 ЕООД, които обработват лични данни.
  • Политиката на Ентропи 1 ЕООД определя конкретни изисквания за обучение и осведоменост във връзка с конкретни роли и служители на дружеството като цяло.
  • Служителите на Ентропи 1 ЕООД са отговорни да гарантират, че всички лични данни, свързани с тях и предоставени от тях на дружеството, са точни и актуални.

4. Принципи за защита на данните

Всяко обработване на лични данни трябва да бъде извършвано в съответствие с принципите за защита на данните съгласно разпоредбите на член 5 от ОРЗД. Политиките и процедурите на Ентропи 1 ЕООД имат за цел да гарантират спазване на принципите.

  • Лични данни събирани, обработвани и съхранявани от Ентропи 1 ЕООД
  • Индивидуализиращи данни – име и фамилия, електронна поща, телефонен номер.
  • Други данни – при влизане в нашия уебсайт или във Вашия профил, събира данни за използвания IP адрес.

Основание за събиране, обработване и съхраняване на лични данни:

Ентропи 1 ЕООД събира и обработва лични данни на основание чл.6, ал.1, Регламент (ЕС) 2016/679, и по-конкретно въз основа на следното:

  • Изрично получено съгласие;
  • Договорно основание;
  • За целите на легитимния интерес на Ентропи 1 ЕООД (изпълнение на задължения към държавни и общински органи)
  • Личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и прозрачно

Законосъобразно – правно основание – на основание нормативно задължение и сключването и изпълнението на трудови и граждански договори, договори с клиенти, подизпълнители и дотавчици, съгласие, което е изрично дадено, свободно изразено, конкретно и информирано.

Добросъвестно – администраторът на данните прави определена информация достъпна за субектите на данни, доколкото е практически приложимо.

Прозрачно – предоставяне на субектите на данните на информация за неприкосновеност на личния живот в членове 12, 13 и 14. Информацията се съобщава на субекта на данните в разбираема форма, като се използва ясен и прост език.

Конкретната информация, която ще бъде предоставена на субекта на данните, трябва да включва:

  • данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
  • целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
  • срока, за който ще се съхраняват личните данни;
  • съществуването на правата да се изиска достъп, коригиране, изтриване или да се направи възражение срещу обработването, както и условията (или липсата им), свързани с упражняване на тези права, като например дали ще бъде засегната законосъобразността на предишно обработване;
  • съответните категории лични данни;
  • получателите или категориите получатели на личните данни, ако има такива;
  • всякаква необходима допълнителна информация, за да се гарантира добросъвестно обработване.

Личните данни могат да бъдат събирани единствено за конкретни, изрично указани и легитимни цели

Ентропи 1 ЕООД събира и обработва личните данни, които се предоставят във връзка с използването на интернет сайт, включително за следните цели:

  • за всички дейности, свързани с използването на сайта;
  • създаване на профил и осигуряване на пълна функционалност при предоставянето на услугите;
  • регистрация на участник в събитие или игра, организирани от Ентропи 1.
  • статистически цели;
  • изпращане на информационни съобщения, съобщения за промени в услугата, препоръки за подобряване на използването на сайта;
  • подобряване и индивидуализиране на услугата чрез предлагане на подходящи за оферти;
  • за директен маркетинг;
  • за установяване на връзка с лицата по телефон или електронна поща, за изпращане на кореспонденция, информационни бюлетини, съобщения, свързани с участието им в организирани от Администратора игри и др.;
  • Данните, получени за конкретни цели, не трябва да бъдат използвани за цел, която се различава от целите, които са официално обявени.

Личните данни трябва да бъдат подходящи, свързани с и ограничени до необходимото за обработването

Ентропи 1 ЕООД не събира информация, която не е строго необходима за целта, за която е получена.

Ентропи 1 ЕООД гарантира, че всички методи за събиране на данни са преглеждат ежегодно от вътрешни одитори, за да се гарантира, че събраните данни все още са подходящи, свързани и не са в прекомерен обем.

Личните данни трябва да бъдат точни и да се поддържат актуални, като се полагат всички усилия за своевременното изтриване или коригиране

Данните, които се съхраняват от администратора на данни, са преглеждани и актуализирани, когато е необходимо. Не се съхраняват данни, ако не може основателно да се предположи, че те са точни.

Субектът на данните носи отговорност за гарантиране, че данните, съхранявани от Ентропи 1 ЕООД, са точни и актуални. При попълването на формуляр за регистрация или кандидатстване, субектът на данни следва да включи декларация, че данните, посочени в него, са точни към датата на подаване.

Най-малко на годишна база се преглеждат датите на запазване на всички лични данни, обработвани от Ентропи 1 ЕООД чрез инвентаризация на данните, и идентифицира данни, които вече не се изискват в контекста на регистрираната цел. Тези данни ще бъдат изтрити/унищожени по сигурен начин в съответствие с Процедурата за унищожаване на носители за съхранение на данни.

Ентропи 1 ЕООД е задължен да предоставя отговор на исканията за коригиране от субектите на данни в рамките на един месец от подаване на искането. Този срок може да бъде удължен с още два месеца за комплексни искания.

Личните данни трябва да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за обработването.

Когато личните данни са запазени след датата на обработване, те ще бъдат криптирани и/или псевдонимизирани с цел да се запази самоличността на субекта на данните в случай на нарушение на сигурността на данните.

Ентропи 1 ЕООД трябва конкретно да одобри всяко запазване на данни, което надхвърля сроковете за запазване, и трябва да гарантира, че обосновката е ясно определена и в съответствие с изискванията на законодателството за защита на данните. Това одобрение трябва да бъде в писмена форма.

Личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност

Ентропи 1 ЕООД извършва оценка на риска, като взема под внимание всички обстоятелства, свързани с операциите по контрол или обработване на данни.

При определяне на подходящото ниво на сигурност Ентропи 1 ЕООД също така взема под внимание степента на евентуалните вреди или загуби, които могат да бъдат причинени на лицата (напр. персонал или клиенти), ако възникне нарушение на сигурността, последиците от нарушението на сигурността върху Ентропи 1 ЕООД и възможното накърняване на репутацията, включително евентуална загуба на доверие на клиентите.

При оценяване на подходящите технически мерки Ентропи 1 ЕООД ще има предвид следното:

  • защита на паролата;
  • автоматично заключване на терминалите в неактивно състояние;
  • софтуер за проверка за вируси и защитни стени;
  • права за достъп въз основа на роли, включително права за достъп, предоставени на временно нает персонал;
  • криптиране на устройства, които напускат помещенията на организациите като например лаптопи;
  • сигурност на локални и широкообхватни мрежи;
  • При оценяване на подходящите организационни мерки Ентропи 1 ЕООД ще има предвид следното:
  • подходящите нива на обучение;
  • мерки, които отчитат надеждността на служителите;
  • включване на изисквания за защитата на данните в трудовите договори;
  • определяне на дисциплинарни мерки за нарушение на сигурността на данните;
  • наблюдение на персонала за спазване на съответните стандарти за сигурност;
  • проверки на физическия достъп до записи в електронен вид и на хартиен носител;
  • приемане на политика за “чисто бюро”;
  • съхраняване на данни на хартиен носител в заключващи се шкафове;
  • ограничаване използването на преносими електронни устройства извън работното място;
  • приемане на ясни правила за паролите;
  • налагане на договорни задължения върху съдоговорителите с цел предприемане на подходящи мерки от тяхна страна за сигурност при предаване на данни.

Ентропи 1 ЕООД доказва спазването на принципите за защита на личните данни, като прилага политики за защита на данните, прилага технически и организационни мерки, както и като приема техники като например защита на данните в етапа на проектиране, процедури за съобщаване на нарушение на сигурността на данните и планове за реагиране при инциденти.

5. Права на субектите на данни

Субектите на данни имат следните права относно обработването на данни и данните, които са записани за тях:

  • Право на коригиране или попълване: Имате право да коригирате или попълните неточните или непълните лични данни, свързани с Вас.
  • Право на достъп: Имате право да изискате и получите от Ентропи 1 ЕООД потвърждение дали се обработват лични данни, свързани с Вас.
  • Имате право да получите достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните Ви данни.
  • Право на изтриване („да бъдеш забравен“): Имате правото да поискате изтриване на свързаните с Вас лични данни, а Ентропи 1 ЕООД има задължението да ги изтрие в предвидените срокове, когато е налице някое от предвидените в Регламента условия.

Ентропи 1 ЕООД не е длъжно да изтрие личните данни, ако ги съхранява и обработва:

  • за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
  • за установяването, упражняването или защитата на правни претенции.

Ентропи 1 ЕООД не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

  • Право на преносимост: Имате право по всяко време да изтеглите данните, които се съхраняват и обработват за Вас и да поискате прехвърлянето им към посочен от Вас администратор, когато това е технически осъществимо.
  • Права при нарушение на сигурността на личните ви данни: При установяване на нарушение на сигурността на личните данни, което може да породи риск за Вашите права и свободи, без ненужно забавяне ще бъдете уведомени за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети.

6. Съгласие

Ентропи 1 ЕООД разбира, че “съгласие” означава, че то е свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. Субектът на данните може да оттегли съгласието си по всяко време.

Ентропи 1 ЕООД разбира, че “съгласие” означава, че субектът на данните е напълно информиран за планираното обработване и е изразил съгласието си без да му е упражняван натиск. Съгласие, получено по принуда или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване.

В повечето случаи съгласието за обработване на лични данни се получава обичайно от Ентропи 1 ЕООД, като се използват стандартни документи за съгласие – декларации, текстове в договори или по време на регистриране на интернет сайта и участие в игри.

7. Сигурност на данните

Ентропи 1 ЕООД съхранява вашите данни на нашите сървъри и сървъри, хоствани от трети лица. Използваме подходящи технически и организационни мерки, които целят да защитят вашите лични данни и да предотвратят неоторизиран достъп. Имаме договори с доставчиците на хостинг услуги, които включват задължения, свързани с обезпечаването на организационната и техническата сигурност на личните данни. Отговорността за конфиденциалността на всички средства за удостоверяване (напр. пароли), които използвате за достъп до нашия уебсайт, е ваша.

Всички служители носят отговорност за гарантиране, че всички лични данни, които съхранява Ентропи 1 ЕООД и за които те носят отговорност, се съхраняват по сигурен начин и няма да се оповестяват на никоя трета страна при никакви условия, освен ако тази трета страна не е специално упълномощена от Ентропи 1 ЕООД да получава тази информация и не е сключила споразумение за поверителност.

Всички лични данни ще бъдат достъпни само за лицата, които се нуждаят от тях. Всички лични данни ще бъдат разглеждани с най-висока степен на сигурност и трябва да бъдат съхранявани:

  • в стая с контролиран достъп, която се заключва, и/или
  • в заключено чекмедже или шкаф, и/или
  • ако са в електронен формат, на сървъри защитени с подходящи технически и организационни мерки, и/или
  • на (преносими) електронни носители, които са криптирани.

Всички служители са сключили допълнително споразумение за допустимо използване и конфиденциалност, преди да им е предоставен достъп до информация на организацията от всякакъв вид.

Ръчните записи не се оставят на места, където могат да бъдат достъпни за неупълномощен персонал и не са премествани от работните помещения без изрично разрешение.

Личните данни могат да бъдат изтрити или унищожени в съответствие с Процедурата за унищожаване на носители съдържащи лични данни. Ръчните записи, които са достигнали до крайния срок на запазване, могат да бъдат унищожени и изхвърлени в съответствие с тази процедура.

За обработването на лични данни “извън обекта”, в случай на нужда, като носещо потенциално по-висок риск от загуба, кражба или вреда на личните данни, съответният персонал трябва да бъде специално упълномощен за такова обработване.

8. Технологични мерки за защита и сигурност въведени от Ентропи 1 ЕООД:

  • Поставяне на пароли на работните терминали;
  • Автоматично заключване на терминалите в неактивно състояние;
  • Инсталиране на антивирусен софтуер и защитни стени на всички работни терминали и сървъри съдържащи лични данни;
  • Криптиране на устройства, които напускат работните помещения
  • Ограничаване на правата на достъп до записи в електронен вид и на хартиен носител;
  • Приемане на политика за “чисто бюро”;
  • Съхраняване на данни на хартиен носител в заключващи се шкафове с ограничен достъп;
  • Ограничаване използването на преносими електронни устройства съдържащи лични данни извън работното място;
  • Ограничаване правата за достъп до лични данни на временно нает персонал;
  • Обучение на служителите и включване на изисквания за защитата на личните данни в трудовите договори;
  • Определяне на дисциплинарни мерки за нарушение на сигурността на данните;
  • Налагане на договорни задължения върху съдоговорителите с цел предприемане на подходящи мерки от тяхна страна за сигурност при предаване на данни.

9. Разкриване на данни

Ентропи 1 ЕООД гарантира, че личните данни не се разкриват на неупълномощени трети страни.

Всички искания за предоставяне на данни трябва да бъдат съпроводени от подходящи документи и за всички оповестявания трябва да има специални разрешения от страна на дружеството.

10. Запазване и унищожаване на данни

Ентропи 1 ЕООД не съхранява лични данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото във връзка с целите, за които данните са първоначално събрани.

Ентропи 1 ЕООД може да съхранява данни за по-дълги срокове, ако личните данни ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на субекта на данните.

Срокът на запазване за всяка категория лични данни ще бъде посочен във Вътрешните Правила за обработване на лични данни, заедно с критериите, използвани за определяне на този срок, включително всички законови задължения, които има Ентропи 1 ЕООД с цел запазване на данните.

Във всички случаи се прилагат процедурите за запазване на данни и за унищожаване на данни.

Информация относно Администратора на лични данни:

Наименование Ентропи 1 ЕООД
ЕИК 831254887
Седалище и адрес на управление: гр.София, ж.к. Овча Купел 2, бл. 15, вх. Г, ап. 110
E-mail:  contactus@oralo.bg

Информация относно компетентния надзорен орган:

Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон:02 915 3 518
Email: kzld@cpdp.bg
Уеб сайт: cpdp.bg