Политика за защита на личните данни на съвместните администратори

Ойрошпед АД , Еуроспед ЕООД, Ойролог ЕООД, Ойрокуриер ЕООД, Ойросекюрити ЕООД, Азия холидейз ООД, Ойропорт ООД, Еурохъб ООД и Техникъл сълюшън ООД

Въведение
Настоящата политика има за цел да заяви позицията на ръководството на Ойрошпед АД (ЕИК 020999391), Еуроспед ЕООД (ЕИК 175166211), Ойролог ЕООД (ЕИК 131438866), Ойрокуриер ЕООД (ЕИК 175166236), Ойросекюрити ЕООД (ЕИК 131438859), Азия холидейз ООД (ЕИК 200270599), Ойропорт ООД (ЕИК 202617810), Еурохъб ООД (ЕИК 175275342) и Техникъл сълюшън ООД (ЕИК 200303138), от тук нататък наричани за краткост Администраторите, по отношение на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. (от тук нататък наричан за краткост Регламент/ът/а). Чрез настоящата политика ръководството гарантира, че дейностите на Администраторите са насочени към спазване на изискванията на Регламента и на Закона за защита на личните данни. Политиката обединява съществуващите и актуализираните политики, процедури и процеси в споменатите дружества с оглед осигуряване на всеобхватен корпоративен подход към защитата на данните.

Администратор на лични данни
По смисъла на чл. 4, параграф 7 от Регламента всяко едно от гореспоменатите дружества е администратор на лични данни. А по смисъла на чл. 26, параграф 1 от Регламента дружествата са съвместни администратори.

Обхват на политиката
Тази политика обхваща всички дейности и процеси в дружествата на Администраторите, от които се изисква спазването на настоящата политика и действащите процедури, за да се гарантира пълното им съответствие с изискванията на Регламента и закона.

Контактна информация
1. Адрес на администраторите: гр. София 1592, бул. Христофор Колумб 56
2. Интернет адрес: www.eurosped.bg
3. Телефон: 0700 19 991
4. За длъжностно лице по защита на личните данни администраторите определят Ани Велева, телефон за контакт: 02/9199104, e-mail: gdpr@eurosped.bg
Длъжностното лице по защита на личните данни има следните задължения:
4.1 Следи за спазването на изискванията на Регламент (ЕС) 2016/679, спазването на организационните политики, процедури и инструкции;
4.2 Отговаря за поддържането в актуален вид на документацията по отношение на управлението на риска, на оценката на въздействието (когато е необходима);
4.3 Представлява администраторите пред надзорния орган, пред клиенти, доставчици и др.

Лични данни и обработване на лични данни
Съгласно Регламента „лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Обработване на лични данни означава всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни, чрез които едно лице може да бъде идентифицирано по категоричен начин.
В тази връзка лични данни, вкл. чувствителни такива, които се обработват от Администраторите, са:
1. Имена, дата и място на раждане, ЕГН, друг личен идентификационен номер, възраст, пол.
2. Адрес, телефонен номер, данни от документ за самоличност.
3. Снимка, обучение и квалификация, информация за трудовата заетост.
4. Семейно положение, деца.
5. Здравословно и психическо състояние.
6. Финансова информация (банкови данни).
7. Онлайн идентификатор (IP идентификатор, cookies, MAC адрес и др.);
Лични данни, вкл. чувствителни такива, които НЕ се обработват от Администраторите, са:
8. Електронни данни за локализиране (GSM location, GPS, др.);
9. Расова и етническа информация;
10. Политически убеждения;
11. Религиозни или сходни вярвания;
12. Членства в търговски или други сдружения, общества и др.;
13. Сексуален живот.

Правни основания за обработване на данни
Основанията, на които Администраторите събират лични данни, са:
1. Съгласие – Администраторите поддържат информация за данните, събрани въз основа на съгласие на субекта, като за всеки един случай може да докаже, че даденото съгласие е свободно изразено, конкретно – отделно съгласие за всяка конкретно определена цел, относимо – за конкретна категория лични данни; информирано – дадено на основата на пълна, точна и лесно разбираема информация; недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето; изрично изявление или ясно потвърждаващо действие –не се приема за съгласие мълчанието на даден субект на данни. Администраторите са осигурили възможност за оттегляне на даденото съгласие по начин толкова лесен, колкото е бил и при даването му. (чл. 7, пар. 3)
2. Сключен договор или изпълнение на такъв;
3. Легитимен интерес;
4. Законово задължение.

Общи условия за защита на личните данни
Обработката на лични данни е поверителна и Администраторите предприемат всички разумни технически, организационни и административни мерки, за да гарантират поверителния характер на тази обработка. Само определени лица могат да имат достъп до лични данни:
а) оторизирани служители от Администраторите и/или
б) персонал на трета страна, обработващ данни, с която някой от Администраторите (или всички) има подписани споразумения, съгласно които тя има право да обработва лични данни от името на Администраторите при условие, че тази трета страна спазва разпоредбите за поверителност на гореспоменатите споразумения, изискванията на Регламента и националното законодателство.
Декларация за политиката
Администраторите обработват лични данни на клиенти, както и на настоящи, бивши и бъдещи служители, доставчици и др. Информацията, с която дружествата разполагат, е пряко свързана с изпълнението на основните им дейности – осигуряване на транспортно-логистични и спедиторски услуги, услуги по митническо оформяне на пратки, туристически услуги, услуги в областта на сигурността и услуги в областта на отдаване под наем на недвижима собственост. Администраторите може да използват (или само да предават) определени лични данни на законово основание с цел изпълнение изискванията на специализираната държавна администрация (МВР, Прокуратура, НАП, НОИ, МО, съдилища, ДАНС, НСлС и др.).
Администраторите прилагат следните, залегнали в Регламента, принципи при обработването на личните данни на всяко едно физическо лице, независимо от фо́рмата:
а) законосъобразност, добросъвестност и прозрачност;
б) ограничение на целите;
в) свеждане на данните до минимум;
г) точност и актуалност;
д) ограничение на съхранението;
е) цялостност и поверителност;
ж) отчетност.
За спазването на тези принципи, Ръководството прилага добри управленски практики и стриктно следи критериите и контролите:
а) Пълно спазване на условията за събиране и използване на информацията;
б) Прецизиране на целите, за които се използва информацията;
в) Събиране и обработване на подходяща информация и само дотолкова, доколкото тя е необходима за изпълнение на целите и при спазване на законовите изисквания;
г) Прилагане на стриктни проверки за определяне на продължителността на съхраняваната информация;
д) Гарантиране на правата на хората, чиито лични данни се събират;
е) Предприемане на подходящи технически и организационни мерки за сигурност при защита на личната информация;
Освен това Администраторите гарантират, че:
а) има лица в организацията, които имат конкретна отговорност за защитата на данните;
б) всички искания от страна на физически лица за достъп до техни лични данни на първо място ще бъдат отнесени към компетентен служител, който ще предприеме разумни стъпки;
в) всеки служител, който управлява и обработва лична информация, е запознат, че е отговорен за прилагането на всички познати му добри практики за защита на данните;
г) всеки, който управлява и обработва лична информация, е подходящо обучен да го прави;
д) всеки, който управлява и обработва лична информация, е подходящо контролиран;
е) всеки, който управлява и обработва лична информация, е запознат и се позовава на инструкции за гарантиране на сигурността при обмена на данни;
ж) методите за обработване на лична информация са ясно описани;
з) ще се извършва редовен преглед и одит на начина, по който се управлява личната информация;
и) документите и всички носители за съхранение, съдържащи входяща и изходяща информация от системи (хартиени или електронни), описващи лични данни, се съхраняват, транспортират и унищожават с оглед на нейната чувствителност;
Унищожаването на лични данни става със собствен ресурс на Администраторите. В случаите, в които Администраторите не могат да ползват собствен ресурс, се наема организация подизпълнител, която унищожава данни на хартиен носител. В тези случаи Администраторите имат отговорността да извършат контрол върху унищожаването с оглед гарантиране на унищожаването и осигуряването на записи и протоколи от извършените операции.

Цели на обработването на лични данни
1. Сключване на трудови договори;
2. Управление на човешките ресурси;
3. Сключване на договори;
4. Финансово-счетоводна дейност;
5. Директен маркетинг;
6. Управление на собственост.

Права на субектите на данни
Субект на данни е всяко физическо лице, което може да бъде идентифицирано.
Администраторите информират субектите за техните права и гарантира спазването им, а именно:
• правото да бъдат информирани, че се извършва обработка, какъв вид обработка се извършва, колко време се съхраняват данните им, за какви цели се обработват данните им, какви мерки се предприемат за сигурността на данните;
• правото на достъп до личната информация;
• право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни;
• право да се направи възражение срещу обработването, когато няма изрични законови изисквания за обработка на данни;
• правото на преносимост на данните;
• право на оттегляне на съгласието по всяко време;
• правото на жалба до надзорен орган;
• правото „да бъдеш забравен“.

Сигурност на личните данни и предоставяне на такива
Съгласно принципа за „цялостност и поверителност“, Администраторите гарантират въвеждане на мерки, осигуряващи ниво на сигурност, съответстващо на естеството на данните и вредите, които биха могли да произтекат от нарушаване на сигурността, включително загуба на тези данни. Администраторите осигуряват условия, при които личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго лице на трета страна. Важно е да се има предвид дали разкриването на информацията е свързано или не с нуждите на дейността, извършвана от дружествата.
Администраторите предприемат съзнателни действия, за да се гарантира компетентността и отговорността на служителите, които имат достъп до лични данни. Служители, обработващи лични данни, подписват договори с клаузи, които ясно дефинират отговорностите на служителя при достъп и обработка на лични данни.
Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от

Длъжностното лице за защита на данните.
Извън организацията Администраторите предоставя данни на следните контрагенти:
1. Публични органи – НАП, НОИ, МВР, Прокуратура, ДАНС, НСлС и др.
2. На други обработващи лични данни съобразно нуждите на бизнес дейността:
2.1 Дружество-майка за счетоводно обслужване;
2.2 Дружество за обслужване на IT дейностите;
2.3 Дружество, поддържащо Интернет сайта на Администраторите.

Трансфер на лични данни
Администраторите третират всеки износ на данни от рамките на ЕС към страни извън ЕС (посочени в Общия регламент като „трети страни“) като незаконен, освен ако няма подходящо ниво на защита на основните права на субектите на данни.
Изключения: прехвърляне на лични данни в трета страна или международна организация се извършва само при едно от следните условия:
1. предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;
2. предаването е необходимо поради важни причини от обществен интерес;
3. предаването е необходимо за установяването, упражняването или защитата на правни претенции;
4. предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие.

Съхраняване и унищожаване на лични данни
1. Администраторите не съхраняват лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
2. Процедура за съхраняване и унищожаване на данните, приета от Администраторите се прилага във всички случаи.
3. Личните данни ще бъдат унищожени сигурно, съгласно принципа за гарантиране подходящо ниво на сигурност (чл. 5, пар. 1 б. е) от Общия регламент) – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

Отговорност на Администраторите като администратори на лични данни
1. Осигуряване на подготвени служители, които да са наясно със своите отговорности по Регламента и националното законодателство. Администраторите са отговорни да запознаят обработващите лични данни с политиките и насоките в дружествата с цел осигуряване на дейностите в синхрон с принципите, изброени настоящата Политика.
2. Осигуряване на обучение, инструктиране информиране на персонала, за да се гарантира, че служителите разбират своите отговорности.
3. Осигуряване на сигурни информационни системи, за ръчна обработка и компютъризирана такава, така че всички служители, обработващи данни, да са наясно кога, как и какви подходящи мерки за сигурност се предприемат.
4. Поддържане на актуална информация, на актуални регистри по отношение на обработката на лични данни на граждани.
5. Осигуряване на гаранции, че всички партньори на Администраторите разбират своите отговорности, запознати са с настоящата политика и използват практиките в дружествата като еталон за установяване на договорни отношения в частта, регулираща обработката на личните данни в рамките на партньорството.

Уведомяване при нарушение на сигурността на личните данни
1. В случай на нарушение на сигурността на личните данни Администраторите, като администратори на лични данни без ненужно забавяне, не по-късно от 72 часа след като са разбрали за нарушение на сигурността на личните данни уведомяват КЗЛД като надзорен орган за страната. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.
2. Администраторите, като обработващ лични данни уведомяват администратора без ненужно забавяне, след като узнаят за нарушаване на сигурността на лични данни.
3. В уведомлението се съдържа най-малко следното:
3.1 описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
3.2 посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
3.3 описание на евентуалните последици от нарушението на сигурността на личните данни;
3.4 описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
4. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
5. Администраторите, като администратор документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

Администраторите се стремят и ще продължават да полагат усилия да прилагат духа на Регламента и на националното законодателство към всички операции за обработка на данни.

По въпроси, свързани със сигурността на личните Ви данни, моля, изпращайте запитвания на e-mail: gdpr@eurosped.bg или на адреса на управление на дружествата:
гр. София 1592
бул. Христофор Колумб 56
Получател: Дл. лице по защита на лични данни

Настоящата Политика за защита на личните данни на съвместните администратори на лични данни Ойрошпед АД, Еуроспед ЕООД, Ойролог ЕООД, Ойрокуриер ЕООД, Ойросекюрити ЕООД, Азия холидейз ООД, Ойропорт ООД, Еурохъб ООД и Техникъл сълюшън ООД е приета от Съвета по управление на 20.05.2018 г.