Политика за защита на личните данни на съвместните администратори

Ойрошпед АД , Еуроспед ООД, Ойролог ЕООД, Ойрокуриер ООД, Ойросекюрити ЕООД, Ойропорт ООД, Еурохъб ООД, Ойразия логистикс ЕООД и Ойрошпед инвест ЕАД

Раздел I.          Въведение

Настоящата политика има за цел да заяви позицията на ръководството на Ойрошпед АД (ЕИК 020999391), Еуроспед ООД (ЕИК 175166211), Ойролог ЕООД (ЕИК 131438866), Ойрокуриер ООД (ЕИК 175166236), Ойросекюрити ЕООД (ЕИК 131438859), Ойропорт ООД (ЕИК 202617810), Еурохъб ООД (ЕИК 175275342), Ойразия логистицс ЕООД (ЕИК 205645264) и Ойрошпед инвест ЕАД (ЕИК 206577719), от тук нататък наричани за краткост Администраторите, по отношение на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. (от тук нататък наричан за краткост Регламент/ът/а). Чрез настоящата политика ръководството гарантира, че дейностите на Администраторите са насочени към спазване на изискванията на Регламента и на Закона за защита на личните данни. Политиката обединява съществуващите и актуализираните политики, процедури и процеси в споменатите дружества с оглед осигуряване на всеобхватен корпоративен подход към защитата на данните.

Раздел II.         Администратор на лични данни

По смисъла на чл. 4, параграф 7 от Регламента всяко едно от гореспоменатите дружества е администратор на лични данни. А по смисъла на чл. 26, параграф 1 от Регламента дружествата са съвместни администратори.

Раздел III.       Обхват на политиката

Тази политика обхваща всички дейности и процеси в дружествата на Администраторите, от които се изисква спазването на настоящата политика и действащите процедури, за да се гарантира пълното им съответствие с изискванията на Регламента и закона. Под закрилата на настоящата Политика попадат служители, ръководители, физически лица – представители на възложители, клиенти, доставчици, партньори и потребители на Интернет страницата на Администраторите.

Раздел IV.       Контактна информация

  1. Адрес на администраторите: гр. София 1592, бул. Христофор Колумб 56
  2. Интернет адрес: eurosped.bg
  3. Телефон: 0700 19 991
  4. За отговорно лице по защита на личните данни администраторите определят Ани Велева (Стрикс адвайзърс ООД), телефон за контакт: 02/9199102, 0899101466; e-mail: gdpr@eurosped.bg

Отговорното лице по защита на личните данни представлява администраторите пред надзорния орган, пред клиенти, доставчици и др. по въпросите за защита на личните данни.

Раздел V.        Лични данни и обработване на лични данни

Стремежът на администраторите по смисъла на настоящата Политика е да се осигурява максимално прозрачен и достъпен процес по обработка на лични данни в дружествата от групата на Ойрошпед.

Съгласно Регламента „лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Обработване на лични данни означава всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни, чрез които едно лице може да бъде идентифицирано по категоричен начин.

В тази връзка лични данни, вкл. чувствителни такива, които се обработват от Администраторите, са:

  1. Имена, дата и място на раждане, ЕГН, друг личен идентификационен номер, възраст, пол.
  2. Адрес, телефонен номер, e-mail, данни от документ за самоличност.
  3. Снимка, обучение и квалификация, информация за трудовата заетост.
  4. Семейно положение, деца.
  5. Здравословно и психическо състояние.
  6. Финансова информация (банкови данни).
  7. Онлайн идентификатор (IP идентификатор, cookies, MAC адрес и др.);

Лични данни, вкл. чувствителни такива, които НЕ се обработват от Администраторите, са:

  1. Електронни данни за локализиране (GSM location, GPS, др.);
  2. Расова и етническа информация;
  3. Политически убеждения;
  4. Религиозни или сходни вярвания;
  5. Членства в търговски или други сдружения, общества и др.;
  6. Сексуален живот.

Раздел VI.       Кога се обработват лични данни и какви данни се обработват

  1. Имена, дата на раждане, място на раждане, ЕГН или друг личен идентификационен номер, адрес, телефонен номер, e-mail, данни от документ за самоличност, снимка, обучение и квалификация, информация за трудова заетост, здравословно и психическо състояние, банкови данни, свидетелство за съдимост, семейно положение, деца – при назначаване на трудов договор в което и да е от дружествата в групата на Ойрошпед.
  2. Имена, телефонен номер, e-mail, адрес – при изпращане на заявка от страна на клиент, възложител за изпълнение на услугите, предоставяни от дружествата в групата на Ойрошпед.
  3. Имена и e-mail – при изпращане на запитване или заявка през Интернет сайта на дружествата eurosped.bg
  4. E-mail и IP адрес – при абониране за бюлетина на Ойрошпед

Раздел VII.     Правни основания за обработване на данни

Основанията, на които Администраторите събират лични данни, са:

  1. Съгласие (чл. 6, ал. 1, б. (а) от ОРЗЛД) – Администраторите поддържат информация за данните, събрани въз основа на съгласие на субекта, като за всеки един случай може да докаже, че даденото съгласие е:
  • свободно изразено;
  • конкретно – отделно съгласие за всяка конкретно определена цел;
  • относимо – за конкретна категория лични данни;
  • информирано – дадено на основата на пълна, точна и лесно разбираема информация;
  • недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето;
  • изрично обявено или ясно потвърждаващо действие – не се приема за съгласие мълчанието на даден субект на данни.

Съгласие от субекти на данни се събират в процеса по абониране за бюлетина на Ойрошпед. Ако на Администратора не бъде предоставена електронна поща на субект, няма възможност заинтересованото лице да получава електронния бюлетин.

Администраторите са осигурили възможност за оттегляне на даденото съгласие по начин толкова лесен, колкото е бил и при даването му. (чл. 7, пар. 3)

  1. Законово основание – при сключване на договори или изпълнение на такива (чл. 6, ал. 1, б. (б) от ОРЗЛД). Законово основание за събиране на лични данни Администраторите имат при сключване на договори – трудови, граждански, търговски, комисионерски, консултантски, за отдаване под наем, за покупки или продажби, за предоставяне на туристически услуги и всички други, неспоменати тук видове договори, по които който и да е от администраторите на данни в групата е страна. Законовото основание за събиране на лични данни по този член от ОРЗЛД обхваща и преддоговорните отношения на администраторите.
  2. Легитимен интерес (чл. 6, ал. 1, б. (е) от ОРЗЛД) – лични данни, събирани на основание указания член от ОРЗЛД, са данни, които се събират в процеса по осигуряване на законност на дейностите на администраторите (напр. идентифициране на физическо лице, което декларира съдържание на пратка или физическо лице, подаващо декларация от името на юридическо лице). Това са случаи, при които легитимните интереси на организациите имат предимство пред основните права и свободи на субекта на данни.
  3. Законово задължение (чл. 6, ал. 1, б. (в) от ОРЗЛД). Процеси, попадащи в обхвата на споменатия член от ОРЗЛД са тези, свързани с регистрация на трудови договори в НОИ, НАП и др. държавни административни структури, изискващи от администраторите на лични данни въвеждане на такива.
  4. Защита на жизненоважни интереси на субекта на данни (чл. 6, ал. 1, б. (г) от ОРЗЛД) – съвместните администратори не са идентифицирали процес в дейностите си, който да попада в обхвата на споменатия член от ОРЗЛД.

Раздел VIII.    Общи условия за защита на личните данни

Обработката на лични данни е поверителна и Администраторите предприемат всички разумни технически, организационни и административни мерки, за да гарантират поверителния характер на тази обработка. Само определени лица могат да имат достъп до лични данни:

  • оторизирани служители от Администраторите и/или
  • персонал на трета страна, обработващ данни, с която някой от Администраторите (или всички) има подписани споразумения, съгласно които тя има право да обработва лични данни от името на Администраторите при условие, че тази трета страна спазва разпоредбите за поверителност на гореспоменатите споразумения, изискванията на Регламента и националното законодателство.

Раздел IX.       Декларация за политиката

Администраторите обработват лични данни на клиенти, партньори, възложители, настоящи, бивши и бъдещи служители, доставчици и др. Информацията, с която дружествата разполагат, е пряко свързана с изпълнението на основните им дейности – осигуряване на транспортно-логистични и спедиторски услуги, услуги по митническо оформяне на пратки, туристически услуги и услуги в областта на отдаване под наем на недвижима собственост. Администраторите може да използват (или само да предават) определени лични данни на законово основание с цел изпълнение изискванията на специализираната държавна администрация (МВР, Прокуратура, НАП, НОИ, МО, съдилища, ДАНС, НСлС, КПКОНПИ и др.).

Администраторите прилагат следните, залегнали в Регламента, принципи при обработването на личните данни на всяко едно физическо лице, независимо от формáта:

  • законосъобразност, добросъвестност и прозрачност;
  • ограничение на целите;
  • свеждане на данните до минимум;
  • точност и актуалност;
  • ограничение на съхранението;
  • цялостност и поверителност;
  • отчетност.

За спазването на тези принципи, Ръководството прилага добри управленски практики и стриктно следи критериите и контролите:

  • Пълно спазване на условията за събиране и използване на информацията;
  • Прецизиране на целите, за които се използва информацията;
  • Събиране и обработване на подходяща информация и само дотолкова, доколкото тя е необходима за изпълнение на целите и при спазване на законовите изисквания;
  • Прилагане на стриктни проверки за определяне на продължителността на съхраняваната информация;
  • Гарантиране на правата на хората, чиито лични данни се събират;
  • Предприемане на подходящи технически и организационни мерки за сигурност при защита на личната информация;

Освен това Администраторите гарантират, че:

  • има лица в организацията, които имат конкретна отговорност за защитата на данните;
  • всички искания от страна на физически лица за достъп до техни лични данни на първо място ще бъдат отнесени към компетентен служител, който ще предприеме разумни стъпки;
  • всеки служител, който управлява и обработва лична информация, е запознат, че е отговорен за прилагането на всички познати му добри практики за защита на данните;
  • всеки, който управлява и обработва лична информация, е подходящо обучен да го прави;
  • всеки, който управлява и обработва лична информация, е подходящо контролиран;
  • всеки, който управлява и обработва лична информация, е запознат и се позовава на инструкции за гарантиране на сигурността при обмена на данни;
  • методите за обработване на лична информация са ясно описани;
  • ще се извършва редовен преглед и одит на начина, по който се управлява личната информация;
  • документите и всички носители за съхранение, съдържащи входяща и изходяща информация от системи (хартиени или електронни), описващи лични данни, се съхраняват, транспортират и унищожават с оглед на нейната чувствителност;

Унищожаването на лични данни става със собствен ресурс на Администраторите. В случаите, в които Администраторите не могат да ползват собствен ресурс, се наема организация подизпълнител, която унищожава данни на хартиен носител. В тези случаи Администраторите имат отговорността да извършат контрол върху унищожаването с оглед гарантиране на унищожаването и осигуряването на записи и протоколи от извършените операции.

Раздел X.        Цели на обработването на лични данни

  1. Извършване на транспортна, складова, логистична, спедиторска и куриерска дейност;
  2. Извършване на митническо представителство;
  3. Сключване на трудови договори и дейности по управление на човешките ресурси;
  4. Сключване на договори с партньори, клиенти, доставчици, възложители;
  5. Финансово-счетоводна дейност;
  6. Директен маркетинг;
  7. Управление на недвижима и движима собственост.

Раздел XI.       Права на субектите на данни

Субект на данни е всяко физическо лице, което може да бъде идентифицирано.

Администраторите информират субектите за техните права и гарантира спазването им, а именно:

  1. правото да бъдат информирани, че се извършва обработка, какъв вид обработка се извършва, колко време се съхраняват данните им, за какви цели се обработват данните им, какви мерки се предприемат за сигурността на данните;
  2. правото на достъп до личната информация;
  3. право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни;
  4. право да се направи възражение срещу обработването, когато няма изрични законови изисквания за обработка на данни;
  5. правото на преносимост на данните;
  6. право на оттегляне на съгласието по всяко време;
  7. правото на жалба до надзорен орган;
  8. правото „да бъдеш забравен“.

Раздел XII.     Сигурност на личните данни и предоставяне на такива

Съгласно принципа за „цялостност и поверителност“, Администраторите гарантират въвеждане на мерки, осигуряващи ниво на сигурност, съответстващо на естеството на данните и вредите, които биха могли да произтекат от нарушаване на сигурността, включително загуба на тези данни. Администраторите осигуряват условия, при които личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго лице на трета страна. Важно е да се има предвид дали разкриването на информацията е свързано или не с нуждите на дейността, извършвана от дружествата.

Администраторите предприемат съзнателни действия, за да се гарантира компетентността и отговорността на служителите, които имат достъп до лични данни. Служители, обработващи лични данни, подписват договори с клаузи, които ясно дефинират отговорностите на служителя при достъп и обработка на лични данни.

Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от отговорното лице за защита на данните.

Извън организацията Администраторите предоставя данни на следните контрагенти:

  1. Публични органи – Администраторите на лични данни предават лични данни към трети страни, към които имат задължения съгласно изискванията на законите в страната (напр. данъчна и финансова администрация, административни проучвания, наказателни разследвания или съдебни дела).
  2. На други обработващи лични данни съобразно нуждите на бизнес дейността.

Администраторите съхраняват и предават лични данни и на свързани с тях бизнес партньори, които предоставят услуги от името на някое от дружествата на Ойрошпед. Администраторите на лични данни имат сключени договори с партньорски организации, в които има клаузи за обработка на лични данни съгласно изискванията и политиките на Ойрошпед.

Раздел XIII.    Трансфер на лични данни

Администраторите третират всеки износ на данни от рамките на ЕС към страни извън ЕС (посочени в Общия регламент като „трети страни“) като незаконен, освен ако няма подходящо ниво на защита на основните права на субектите на данни.

Изключения: прехвърляне на лични данни в трета страна или международна организация се извършва само при едно от следните условия:

  1. предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;
  2. предаването е необходимо поради важни причини от обществен интерес;
  3. предаването е необходимо за установяването, упражняването или защитата на правни претенции;
  4. предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие.

Раздел XIV.   Съхраняване и унищожаване на лични данни

  1. Личните данни, които Администраторите обработват, се съхраняват на територията на България. Електронно данните се съхраняват на сървъри с ограничен достъп с осигурени мерки за сигурност. Сървърите са защитени с антивирусен софтуер и
  2. Администраторите не съхраняват лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
  3. Процедура за съхраняване и унищожаване на данните, приета от Администраторите се прилага във всички случаи.
  4. Личните данни ще бъдат унищожени сигурно, съгласно принципа за гарантиране подходящо ниво на сигурност (чл. 5, пар. 1 б. (е) от Общия регламент) – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

Раздел XV.    Отговорност на Администраторите като администратори на лични данни

  1. Осигуряване на подготвени служители, които да са наясно със своите отговорности по Регламента и националното законодателство. Администраторите са отговорни да запознаят обработващите лични данни с политиките и насоките в дружествата с цел осигуряване на дейностите в синхрон с принципите, изброени настоящата Политика.
  2. Осигуряване на обучение, инструктиране информиране на персонала, за да се гарантира, че служителите разбират своите отговорности.
  3. Осигуряване на сигурни информационни системи, за ръчна обработка и компютъризирана такава, така че всички служители, обработващи данни, да са наясно кога, как и какви подходящи мерки за сигурност се предприемат.
  4. Поддържане на актуална информация, на актуални регистри по отношение на обработката на лични данни на граждани.
  5. Осигуряване на гаранции, че всички партньори на Администраторите разбират своите отговорности, запознати са с настоящата политика и използват практиките в дружествата като еталон за установяване на договорни отношения в частта, регулираща обработката на личните данни в рамките на партньорството.

Раздел XVI.   Уведомяване при нарушение на сигурността на личните данни

  1. В случай на нарушение на сигурността на личните данни Администраторите, като администратори на лични данни без ненужно забавяне, не по-късно от 72 часа след като са разбрали за нарушение на сигурността на личните данни уведомяват КЗЛД като надзорен орган за страната. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.
  2. Администраторите, като обработващ лични данни уведомяват администратора без ненужно забавяне, след като узнаят за нарушаване на сигурността на лични данни.
  3. В уведомлението се съдържа най-малко следното:
  • описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
  • посочване на името и координатите за връзка на отговорното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
  • описание на евентуалните последици от нарушението на сигурността на личните данни;
  • описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
  1. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
  2. Администраторите, като администратор документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

Администраторите се стремят и ще продължават да полагат усилия да прилагат духа на Регламента и на националното законодателство към всички операции за обработка на данни.

По въпроси, свързани със сигурността на личните Ви данни, моля, изпращайте запитвания на e-mail: gdpr@eurosped.bg или на адреса на управление на дружествата:

гр. София 1592

бул. Христофор Колумб 56

Получател: Отговорно лице по защита на лични данни

Настоящата Политика за защита на личните данни на съвместните администратори на лични данни е приета от Съвета по управление на 20.05.2018 г.

Последна редакция на настоящата Политика за защита на личните данни на съвместни администратори е извършена на 27.11.2023 г.

Ръководството на Ойрошпед обявява официално настоящата Политика за защита на личните данни на съвместни администратори. С акта на официалното ѝ оповестяване Ръководството очаква да бъдат полагани усилия за разбирането, осмислянето и прилагането ѝ от страна на екипа на Ойрошпед и от страна на заинтересованите страни.

Ръководството на Ойрошпед декларира своята отговорност за придържане към настоящата Политика и готовността си да я преразглежда и актуализира периодично съобразно промените в контекста така, че тя да бъде адекватна и подходяща за групата във всеки един момент.

Като ръководители ДЕКЛАРИРАМЕ личното си участие и отговорност за изпълнение на обявената по-горе политика, за осигуряване на необходимите ресурси за поддържане на ИСУ и за провеждане на редовните ѝ прегледи.

Явор Панталеев – изпълнителен директор на Ойрошпед АД, управител на Ойрошпед ЕАД и Eurosped GmbH, Германия

Елена Борисова – прокурист на Ойрошпед АД

Илия Василев – прокурист на Ойрошпед АД и управител на Ойросекюрити ЕООД

Николай Ночев – управител на Еуроспед ООД, Ойрокуриер ООД, Ойразия логистикс ЕООД

Иван Божков – управител Еурохъб ООД и Ойропорт ООД

Елена Станьова – управител на Ойролог ЕООД, Euroimovina doo и Eurolog doo Сърбия

Костадин Богдански – управител на ООО Ойрошпед Русия

 

Настоящата Политика за защита на личните данни на съвместни администратори е с последна корекция от 27.11.2023 г.