ВЪТРЕШНИ ФИРМЕНИ ПРАВИЛА НА „Усмивка.бг – От Здравето към Красотата“ ЕООД ПО ПРИЛАГАНЕТО И ИЗПЪЛНЕНИЕТО НА РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година
относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
I.Преамбюл. Настоящите фирмени правила имат за цел да въведат адекватни, законодателно обосновани и устойчиви вътрешноведомствени норми и технически процеси по администриране на лични данни, извършвани от търговското дружество „Усмивка.бг – От Здравето към Красотата“ ЕООД в съответствие с Общия регламент относно защитата на лични данни. Тези фирмени правила съответстват на основните законодателни принципи относно защитата на физическите лица във връзка с обработването на личните им данни. Независимо от гражданство и/или местопребиваване на субекта на лични данни, настоящите фирмени правила са съобразени с неговите основни права и свободи и по-конкретно — с правото на защита на лични данни в смисъла на член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС).
II. Защитата на лични данни в съответствие с Общия регламент ще се извършва от администратора „Усмивка.бг – От Здравето към Красотата“ ЕООД при стриктно спазване на следните фирмени правила:
1. Всеки клиент, служител или потребител, регистриран посетител на сайтове (включително афилиейт системи, в които дружеството предоставя информация), следва да е информиран изрично, че защитата на лични данни в търговското дружество „Усмивка.бг – От Здравето към Красотата“ ЕООД (и негови съадминистратори) е изцяло базирана на стриктното спазване и охрана на законовите интереси на физическите лица, чиито данни се обработват, като тази мярка е технологично неутрална и не зависи от използваната в дружеството (или извън него) техника. Защитата на данни на физическите лица в търговското дружество „Усмивка.бг – От Здравето към Красотата“ ЕООД се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не попадат в обхвата на визираната с настоящите фирмени правила защита.
2. Фирмените правила на „Усмивка.бг – От Здравето към Красотата“ ЕООД за защита на лични данни се прилагат по отношение на всяка информация, отнасяща се до физическо лице - клиент, служител или потребител, регистриран посетител на сайтове (включително афилиейт системи, в които „Усмивка.бг – От Здравето към Красотата“ ЕООД предоставя информация), което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, се считат за информация, отнасяща се до физическо лице, което може да бъде физически или технически идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, „Усмивка.бг – От Здравето към Красотата“ ЕООД взима предвид всички възможни документални или технически средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът („Усмивка.бг – От Здравето към Красотата“ ЕООД) или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, „Усмивка.бг – От Здравето към Красотата“ ЕООД взима предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат наличните към момента на обработване на данните технологии и технологичните мерки във фирмата. Поради това принципите на защита на данните не се прилагат от дружеството по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран.
3. „Усмивка.бг – От Здравето към Красотата“ ЕООД е администратор на лични данни, който стимулира прилагането на псевдонимизация като технически метод при обработването на лични данни, като същевременно се създава възможност за общ анализ на мерките за псевдонимизация. Тези мерки в рамките на „Усмивка.бг – От Здравето към Красотата“ ЕООД като търговско дружество са технически възможни и изпълними, като се извършват от самото дружество като администратор на данни, без опция за съадминистриране на псевдонимизирани лични данни. В този контекст дружеството „Усмивка.бг – От Здравето към Красотата“ ЕООД е предприело необходимите технически и организационни мерки, за да се гарантира при съответната обработка, че Общият регламент за защита на личните данни е приложен правилно в тази хипотеза и че допълнителната информация, свързваща личните данни с конкретен субект на данните, се съхранява отделно.
4. Фирмените правила относно личните данни на дружеството „Усмивка.бг – От Здравето към Красотата“ ЕООД позволяват и гарантират защитимостта на техническите процеси, при които физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. Технически това означва да се позволи да бъдат оставени следи, които в съчетание с уникални идентификатори и с друга информация, получена от сървърите на „Усмивка.бг – От Здравето към Красотата“ ЕООД, може да се използва за създаването на защитени профили на физически лица и за тяхното идентифициране по лични данни.
5. Фирмените правила на „Усмивка.бг – От Здравето към Красотата“ ЕООД гарантират създаването и наличието на изрична опция за даване на съгласие за администриране на лични данни. Съгласието се дава от субекта на лични данни чрез ясно утвърдителен акт, с който се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от негова страна за обработване на свързани с него лични данни, например чрез писмена декларация, отговор на автоматично генериран имейл, препращане на декларация, включително по електронен път или устна декларация. Тези мерки включват отбелязване с отметка в поле при посещението на уебсайт на „Усмивка.бг – От Здравето към Красотата“ ЕООД, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Съгласието обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено отделно съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда. В хипотезите на съадминистриране при съвместно администриране на данни всеки субект на данни може да бъде уведомен изрично, че по отношение на него е стартирана процедура по администриране на лични данни, дори, когато той изрично не е регистриран ползвател на сайт (собственост на „Усмивка.бг – От Здравето към Красотата“ ЕООД) или афилиейт система (към която „Усмивка.бг – От Здравето към Красотата“ ЕООД е асоцииран).
6. Във връзка в трудовоправните и осигурителните отношения на служителите си, „Усмивка.бг – От Здравето към Красотата“ ЕООД е администратор и на специална категория лични данни, а именно тези, касаещи здравословното им състояние. Въпросните лични данни се ползат с особена защита в дружеството като са обособени в отделен регистър за специалните категории лични данни, като те обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/EС на Европейския парламент и на Съвета, на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, като например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.
7. Фирмените правила по администриране на лични данни, приети от „Усмивка.бг – От Здравето към Красотата“ ЕООД гарантират, че всяко обработване на лични данни се извършва законосъобразно и добросъвестно. Фирмените правила предвиждат, че физическите лица следва да имат прозрачност по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност, приет от „Усмивка.бг – От Здравето към Красотата“ ЕООД изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принцип се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват.
8. „Усмивка.бг – От Здравето към Красотата“ ЕООД информира физическите лица за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни и за начините, по които да упражняват правата си по отношение на обработването. „Усмивка.бг – От Здравето към Красотата“ ЕООД предоставя абсолютна прозрачност относно конкретните цели, за които се обработват лични данни, като целите са определени към момента на събирането на личните данни. Личните данни администрирани от „Усмивка.бг – От Здравето към Красотата“ ЕООД са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Срокът, за който личните данни се съхраняват от фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД е пет години от началния момент на администриране, след което същите се заличават. Лични данни се обработват от „Усмивка.бг – От Здравето към Красотата“ ЕООД единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. Неточните лични данни се коригират или заличават.
9. Личните данни, администрирани от „Усмивка.бг – От Здравето към Красотата“ ЕООД се обработват на базата на стриктно имплементирани технологични мерки, които гарантират подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до техническо оборудване за тяхното обработване или за предотвратяване на използването им.
10. Фирмените правила на „Усмивка.бг – От Здравето към Красотата“ ЕООД относно личните данни гарантират интересите и основните права на субекта на данни, които имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват по-нататъшна обработка. Обработването на лични данни, строго необходимо за целите на предотвратяването на измами, представлява законен интерес на „Усмивка.бг – От Здравето към Красотата“ ЕООД като администратор на данни. Обработването на лични данни за целите на директния маркетинг се разглежда като осъществявано поради законен интерес.
11. Обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена сървър, мрежа или информационна система да издържа на съответната натовареност технически, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на „Усмивка.бг – От Здравето към Красотата“ ЕООД като администратор на данни. Този интерес включва и предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер спрямо сървъри и бази данни на „Усмивка.бг – От Здравето към Красотата“ ЕООД, спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи, които касаят или опосредяват съхранението и обработката на лични данни от „Усмивка.бг – От Здравето към Красотата“ ЕООД.
12. „Усмивка.бг – От Здравето към Красотата“ ЕООД предвижда специализирани технилогични мерки по отношение защитата на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи на субекта на лични данни. Тези лични данни са от категорията, разкриващи расов или етнически произход, сексуална ориентация, политически възгледи и биометрични данни. Обработването на снимки не се разглежда от „Усмивка.бг – От Здравето към Красотата“ ЕООД систематично като обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не се обработват от „Усмивка.бг – От Здравето към Красотата“ ЕООД освен ако обработването не е разрешено в определени случаи, предвидени в Общия регламент или ЗЗЛД. Тогава администрирането се извършва, чрез изричен информационен масив (база данни) на „Усмивка.бг – От Здравето към Красотата“ ЕООД, който касае специалните категории лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в Общия регламент и ЗЗЛД, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни изрично е предвидена от „Усмивка.бг – От Здравето към Красотата“ ЕООД, inter alia, когато субектът на данните е дал изричното си съгласие в тази насока.
13. Специални категории лични данни, които се нуждаят от по-голяма защита, се администрират от „Усмивка.бг – От Здравето към Красотата“ ЕООД за здравни цели на неговите служители и в други, предвидени от закона случаи (обществени, културни цели, музейно дело, образователни цели, случаите, които касаят разследване на престъпления против интелектуалната собственост и кражба/злоупотреба с лични данни), но само когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица, по-специално в рамките на управлението на услугите и системите за здравеопазване, образование, култура, социални грижи, както и за осигуряване на непрекъснатост на здравното обслужване или на социалните услуги, за целите на превенцията и сигурността и т.н. Поради това настоящите фирмени правила предвиждат хармонизирани условия за обработването на специални категории лични данни за сочените цели по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени конкретно предвидени в Общия регламент, ЗЗЛД и други законосъобразни цели на администратора „Усмивка.бг – От Здравето към Красотата“ ЕООД, обвързан от правното задължение за професионална тайна и конфиденциалност спрямо специални категории лични данни на физически лица.
14. Ако обработваните от „Усмивка.бг – От Здравето към Красотата“ ЕООД лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на Общия регламент или ЗЗЛД. „Усмивка.бг – От Здравето към Красотата“ ЕООД обаче не отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията включва цифровата идентификация на субекта на данни, например чрез онлайн механизъм за удостоверяване на автентичността (попълване на анкета с лични данни, кликане върху декларация за съгласие за администриране на лични данни), както и използването от субекта на данни на информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни в лицето на „Усмивка.бг – От Здравето към Красотата“ ЕООД.
15. „Усмивка.бг – От Здравето към Красотата“ ЕООД стриктно спазва принципът на прозрачност и достъп като представя всяка информация както за обществеността, така и за субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, използвайки ясни и недвусмислени формулировки, а в допълнение когато е необходимо - и визуализация. Цялата информация, касаеща фирмените правила и технологичните мерки на „Усмивка.бг – От Здравето към Красотата“ ЕООД, имащи отнощение към лични данни е представена в електронна форма на уебсайта на дружеството.
16. Като администратор на различен по вид лични данни фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД е създала ред и условия за улесняване на упражняването на правата на субектите на данни, включително механизми за искане и получаване на коригиране, ограничаване и изтриване на лични данни, както и упражняване на правото на възражение. „Усмивка.бг – От Здравето към Красотата“ ЕООД предоставя технологична възможност за подаване на искания по електронен път спрямо този тип личните данни, които постъпват и се обработват електронно. „Усмивка.бг – От Здравето към Красотата“ ЕООД отговоря на постъпилите искания от субекта на данни без ненужно забавяне и най-късно в рамките на един календарен месец.
17. Всяко физическо лице (независимо дали е служител или потребител на услугите на фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД) има право на достъп до неговите събрани лични данни, както и да упражнява това право лесно и на разумни интервали. Фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД в качеството си на администратор, е създала техническа възможност всеки конкретен правен субект да бъде осведомен за обработването на личните му данни и да провери законосъобразността на този процес. Това включва правото на субектите на данни на достъп до данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. В този контекст „Усмивка.бг – От Здравето към Красотата“ ЕООД е създала техническа възможност всеки субект на лични данни да е запознат и да получава информация, по-специално относно целите, за които се обработват личните му данни, както и срока, за който се обработват личните му данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Когато е необходимо, „Усмивка.бг – От Здравето към Красотата“ ЕООД може да предостави достъп от разстояние до сигурна система, която да предостави на субекта на данните пряк достъп до неговите лични данни. Това право обаче не може да се използва против или да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна, интелектуалната собственост - по-специално върху авторското право или технологични мерки за защита на софтуера на „Усмивка.бг – От Здравето към Красотата“ ЕООД. Тези съображения не представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато „Усмивка.бг – От Здравето към Красотата“ ЕООД обработва голямо количество информация относно субекта на данни, администраторът може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.
18. На базата на настоящите фирмени правила субектът, чиито лични данни се администрират от „Усмивка.бг – От Здравето към Красотата“ ЕООД има право на коригиране на личните данни, свързани с него, псевдонимизация, както и правото „да бъде забравено “, когато запазването на тези данни е в нарушение на ЗЗЛД или Общия регламент. Субектът на данни следва има право личните му данни да се изтриват и да не бъдат обработвани повече от „Усмивка.бг – От Здравето към Красотата“ ЕООД, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с нормите на ЗЗЛД. С цел стриктно спазване на „правото да бъдеш забравен“ в онлайн средата, правото на изтриване е разширено от „Усмивка.бг – От Здравето към Красотата“ ЕООД, като ако е направила личните данни обществено достъпни, фирмата уведомява съответните администратори или съадминистратори, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел „Усмивка.бг – От Здравето към Красотата“ ЕООД предприема разумни мерки, като взема предвид наличните си технологии и средствата на разположение, в това число технически мерки, за да информира администраторите/съадминистраторите, които обработват личните данни, за искането на субекта на данните.
19. Като администратор на лични данни фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД е разработила и технологични мерки, касаещи ограничаване обработването на лични данни, които включват временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях и/или временно премахване на публикуваните данни от уебсайта на дружеството. В автоматизираните регистри на лични данни ограничаването на обработването е осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, винаги ясно е посочен в системата.
20. С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на ЗЗЛД или Общия регламент, „Усмивка.бг – От Здравето към Красотата“ ЕООД константно и в реално време извършва софтуерна оценка на рисковете, свързани с обработването, като предприема и технологични мерки за ограничаване на тези рискове, изразяващи се в криптиране. Тези мерки гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните „Усмивка.бг – От Здравето към Красотата“ ЕООД разглежда всички рискове, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.
21. Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, „Усмивка.бг – От Здравето към Красотата“ ЕООД поема задължението и отговорността, без ненужно забавяне да уведоми Комисията за защита на личните данни за нарушението на сигурността на личните данни, в срок не по-късно от 72 часа след като е разбрал за него, освен ако „Усмивка.бг – От Здравето към Красотата“ ЕООД не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, „Усмивка.бг – От Здравето към Красотата“ ЕООД посочва причините за забавянето и подава информацията поетапно към Комисията за защита на личните данни, без ненужно допълнително забавяне.
Дата: | „Усмивка.бг – От Здравето към Красотата“ ЕООД |