Политика на поверителност

ПОЛИТИКА ЗА ЗАЩИТА И ПОВЕРИТЕЛОСТ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА ХОТЕЛ ЕДНО ЕООД – ПАРК ХОТЕЛ ГАРДЕНИЯ

Настоящият документ описва отговорностите и политиката за поверителност и защита на личните данни.

Общият регламент за защита на данните (GDPR) е приложим за всички лица, обработващи данни на граждани на ЕС.

Целта на тази политика е да бъде определено релевантното законодателство и да опише действията, които ХОТЕЛ ЕДНО ЕООД – ПАРК ХОТЕЛ ГАРДЕНИЯ трябва да предприеме, за да постигнат съответствие с изискванията.

Цел: защита на физическите лица във връзка с обработването на лични данни на клиенти, персонал и друг род контрагенти на Хотел Едно ЕООД.

Приложимо законодателство: Задълженията на Хотел Едно ЕООД, като администратор произтичат на основание следните нормативни документи:

Общ регламент за защита на личните данни (Регламент (ЕС) 2016/679) и Конституция на Република България; Закон за защита на личните данни; Закон за електронните съобщения; Правилник за дейността на Комисията за защита на личните данни и нейната администрация; Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни; Инструкция № 1 от 21 декември 2016 г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването на национално ниво.

Дефиниции /съгласно Общия регламент/:

Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Това най-често са име, идентификационен номер, ЕГН, адрес, телефонен номер, e-mail и др. Обработване на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. Администратор означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

  1. Законосъобразност на обработването

Обработването е законосъобразно, в случай че е спазено поне едно от следните условия:

– субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

– обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

– обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

– обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

– обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

– обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

  1. Добросъвестност и прозрачност

Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Принципите на добросъвестно и прозрачно обработване са свързани със задължението на Хотел Едно ЕООД, като администратор за предоставяне на информация.

III. Ограничение на целите

Хотел Едно ЕООД се задължава да събира личните данни за конкретни, изрично указани и легитимни цели и личните данни не трябва да се обработват по-нататък по начин, несъвместим с тези цели.

  1. Свеждане на данните до минимум

Личните данни трябва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

  1. Точност

Следи се за точността на личните данни и за поддържането им в актуален вид. Предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, предвид целите, за които се обработват.

  1. VI.Ограничение на съхранението

Хотел Едно ЕООД съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват и за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането, за статистически цели, при приагане на подходящи технически и организационни мерки, предвидени в Регламента, с цел да бъдат гарантирани правата и свободите на субекта на данните.

VII. Отчетност

Хотел Едно ЕООД гарантира спазването на основните принципи на Регламента и обработва лични данни се извършва в съответстие с Регламента.

VIII. Цялостност и поверителност

Хотел Едно ЕООД обработва личните данни по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

  1. Предоставяне на информация в писмена форма при събиране на лични данни от субекта на данните

Хотел Едно ЕООД предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Информацията се предоставя безплатно.

Вслучай, че възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, Хотел Едно ЕООД предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.

  1. Предоставяне на информация в писмена форма когато личните данни идват от субекта на данните.

Когато лични данни, свързани с даден субект на данни, не са получени от субекта на данните, Хотел Едно ЕООД предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Хотел Едно ЕООД предоставя информацията:

– в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

– ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

– ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път. Информацията се предоставя безплатно.

Когато Хотел Едно ЕООД възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.

  1. Хотел Едно ЕООД, в качеството на администратор, предоставя достъп на физическите лица до отнасящите се за тях данни

Хотел Едно ЕООД предоставя в срок от един месец от получаване на искане от субекта на данните потвърждение дали се обработват лични данни, свързани със субекта на данните.

Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 от Регламента във връзка с предаването.

Хотел Едно ЕООД предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

Срокът за предоставяне на горната информация е един месец от получаването на искането от субекта на данните, но може да бъде удължен с два месеца. Хотел Едно ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Информацията се предоставя безплатно.

XII. Коригиране

Хотел Едно ЕООД коригира без ненужно забавяне (в срок от един месец) неточните лични данни, свързани с него по искане на субекта на данните. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация. Срокът може да бъде удължен с два месеца. Хотел Едно ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако Хотел Едно ЕООД не предприеме действия по искането на субекта на данни, уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Коригирането се извършва безплатно.

XIII. Изтриване

Хотел Едно ЕООД изтирва свързани със субекта на данните лични данни без ненужно забавяне (в срок от един месец) по искане на субекта на данните. Срокът може да бъде удължен с два месеца. Хотел Едно ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако Хотел Едно ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Изтриването се извършва безплатно.

Хотел Едно ЕООД изтрива данните само ако е приложимо някое от посочените по-долу основания:

– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

– субектът на данните оттегля своето съгласие, върху което се основава обработването на данните;

– субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регкамента и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;

– личните данни са били обработвани незаконосъобразно;

– личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора; – личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете.

XIV. Ограничаване на обработването

Ограничаване на обработването означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще. Хотел Едно ЕООД се задължава да ограничи обработването на данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. Хотел Едно ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако Хотел Едно ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ограничаването се извършва безплатно.

Ограничаването следва да бъде извършено когато се прилага едно от следните условия, а именно:

– точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

– обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

– администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

– субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 от Регламента в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

Когато се извърши ограничение на обработването, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка. Когато субект на данните е изискал ограничаване на обработването, администраторът го информира преди отмяната на ограничаването на обработването.

  1. Уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването

Хотел Едно ЕООД се задължава да съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Хотел Едно ЕООД информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

XVI. Осигуряване на преносимост на данните

Хотел Едно ЕООД се задължава да предостави личните данни на субекта на данните, които го засягат и които са му били предоставени от субекта на данните, в структуриран, широко използван и пригоден за машинно четене формат, когато обработването е основано на съгласие в съответствие или на договорно задължение и обработването се извършва по автоматизиран начин.

Хотел Едно ЕООД се задължава да прехвърли данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. Хотел Едно ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако Хотел Едно ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Прехвърлянето се извършва безплатно.

XVII. Прекратяване обработването на данните

Хотел Едно ЕООД се задължава да прекрати обработването на личните данни, в следните случаи изброени по-долу, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

– обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

или

– обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Хотел Едно ЕООД се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.

XVIII. Предоставяне на информация относно право на възражение срещу обработване на лични данни

Хотел Едно ЕООД предоставя информация на субекта на данните за правото на субекта на възражение срещу обработване на лични данни най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация.

XIX. Предоставяне на информация относно право на възражение срещу обработване на лични данни за целите на директния маркетинг

Хотел Едно ЕООД уведомява субекта на данни за съществуването на право на възражение за обработване на лични данни за целите на директния маркетинг. Хотел Едно ЕООД се задължава да предостави информация за правото на субекта на възражение срещу обработване на лични данни за целите на директния маркетинг най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация. Хотел Едно ЕООД се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.

  1. Осигуряване на сигурност при обработването чрез въвеждане на технически и организационни мерки

Хотел Едно ЕООД въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва в съответствие с Регламента. Тези мерки се преразглеждат и при необходимост се актуализират.

Такива мерки са:

– псевдонимизация и криптиране на личните данни;

– способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

– способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

– процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването;

– свеждане на данните до минимум: обработват се само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица;

– сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи то Регламента;

– ограничаване на броя на лицата, които имат достъп до данните.

XXI. Обработване на данните от името на Хотел Едно ЕООД

Когато обработването се извършва от името на Хотел Едно ЕООД се задължава да използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява защита на правата на субектите на данни. Обработващият данни няма право да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.

Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.

XXII. Сътрудничество с надзорния орган

Хотел Едно ЕООД и обработващият лични данни се задължават да си сътрудничат с надзорния орган при изпълнението на неговите задължения.

XXIII. Уведомяване на надзорния орган за нарушение на сигурността на личните данни

В случай на нарушение на сигурността на личните данни, Хотел Едно ЕООД, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, се задължава да уведоми за нарушението на сигурността на личните данни надзорния орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

Хотел Едно ЕООД се задължава да документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

XXIV. Cъобщаване на субекта на данните за нарушение на сигурността на личните данни

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Хотел Едно ЕООД, без ненужно забавяне се задължава да съобщи на субекта на данните за нарушението на сигурността на личните данни.

XXV. Обезщетение за претърпени вреди

Хотел Едно ЕООД или обработващият лични данни се задължават да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава Регламента.

XXVI. Извършване на оценка на въздействието

Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, Хотел Едно ЕООД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на определеното длъжностно лице по защита на данните.

XXVII. Предварителна консултация

Хотел Едно ЕООД се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

XXVIII. Длъжностно лице по защита на данните

С оглед на основните дейности на Хотел Едно ЕООД, състоящи в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни, Хотел Едно ЕООД определя длъжностно лице по защита на данните.

Хотел Едно ЕООД, в качеството на администратор или обработващият лични данни гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни. Администраторът и обработващият лични данни подпомагат длъжностното лице по защита на данните при изпълнението на задачите му изчерпателно изброени в чл.39 от Регламента, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания. Администраторът и обработващият лични данни правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

XXIX. Провеждане на тренировка на персонала за реакция при събития, застрашаващи сигурността на личните данни

Хотел Едно ЕООД се задължава да проведе тренировка на персонала за реакция при събития, застрашаващи сигурността на личните данни.

XXX. Провеждане на обучение на персонала за механизма на обработване на лични данни и защитата им в поддържаните регистри, съдържащи лични данни

Хотел Едно ЕООД се задължава да проведе обучение на персонала за механизма на обработване на лични данни и защитата им в поддържаните регистри, съдържащи лични данни.