ТЕХНОЛОГИЧНИ МЕРКИ НА „Усмивка.бг – От Здравето към Красотата“ ЕООД ПО ПРИЛАГАНЕТО НА РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
от 27 април 2016 година
относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
I. Преамбюл. Настоящите технологични мерки имат за цел да въведат адекватни, законодателно обосновани и устойчиви вътрешноведомствени технически процеси по администриране на лични данни, извършвани от търговското дружество „Усмивка.бг – От Здравето към Красотата“ ЕООД в съответствие с Общия регламент относно защитата на лични данни. Тези технологични мерки съответстват на основните законодателни принципи относно защитата на физическите лица във връзка с обработването на личните им данни. Независимо от гражданство и/или местопребиваване на субекта на лични данни, настоящите технологични мерки са съобразени с неговите основни права и свободи и по-конкретно — с правото на защита на лични данни в смисъла на член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС).
II. Типове технологични мерки. С оглед диференциация на администрираните лични данни, технологичните мерки, предприети по администрирането им от „Усмивка.бг – От Здравето към Красотата“ ЕООД са разделени на два типа – такива по администриране на лични данни на клиенти, служители или потребители, както и на регистрирани посетители на сайтове (включително афилиейт системи, в които „Усмивка.бг – От Здравето към Красотата“ ЕООД предоставя информация в хипотезата на съадминистриране) – наречени “технологични мерки по администриране на лични данни от клас едно”, и такива по администриране на специални категории лични данни – наречени “технологични мерки по администриране на лични данни от клас две”.
1. Технологични мерки по администриране на “лични данни от клас едно”.
1.1. Визираните лични данни се съхраняват от „Усмивка.бг – От Здравето към Красотата“ ЕООД в изрично обособено софтуерно пространство от база данни, което е с криптиран достъп, конкретно наименование, служещо за индивидуализация на ниско ниво и огледална бакъп система за съхранение на данни, с оглед техническа защита и съхранение на данни при срив или неоторизиран достъп на системите за съхранение(токов удар, хакерски атаки и т.н).
1.2. Спрямо “личните данни от клас едно” е създадена техническа възможност за отдалечен достъп на субекта на лични данни през сървъри с висока технологична сигурност(например “прокси сървъри”) и генерирана автоматично временна парола, на базата на които последният има опцията, при изрично негово волеизявление в тази насока и ако е налице валиден законов интерес, последният да бъде запознат какви точно негови лични данни от “клас едно” администрира фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД. За целта субекта на лични данни следва да попълни онлайн бланка под формата на искане за отдалечен достъп до личните си данни, която може да изтегли от сайта на www.usmivka.bg и да изпрати до имейла office@usmivka.bg След оценка на основателността и законосъобразността на искането, съответният потребител/посетител получава временна парола за отдалечен достъп до личните си данни от “клас едно”, администрирани от „Усмивка.бг – От Здравето към Красотата“ ЕООД.
1.3. В процеса на регистрация в сайта www.usmivka.bg всеки регистриран потребител/посетител попълва форма за лични данни, като се съгласява с “клик волеизявление”, че е запознат с общите условия на „Усмивка.бг – От Здравето към Красотата“ ЕООД по отношение на подобна клауза – съдържаща се в тях, касаеща администриране на личните данни (обособено като клик съгласие в стъпка едно), както и изрично съгласие, че се счита уведомен за началото на процеса на администриране на личните му данни (обособено като клик съгласие в стъпка две). За “клик съгласието от стъпка две” потребителят/посетителят получават изричен, електронно генериран имейл на посочена от тях електронна поща с текст, който ги уведомява за началния момент на администриране на личните им данни от „Усмивка.бг – От Здравето към Красотата“ ЕООД. Този имейл е конфигуриран като обратна връзка към сайта на „Усмивка.бг – От Здравето към Красотата“ ЕООД, съответно като електронна препратка към базата данни, съхраняваща “лични данни от клас едно”, в която автоматично постъпва потвърдената от потребителя/посетителя информация за личните им данни и факта, че те са съгласни и се считат уведомени за началния момент на администриране на техните лични данни.
1.4. В процеса на регистрация в сайта www.usmivka.bg всеки регистриран потребител/посетител попълва форма за лични данни, която касае съгласие, съответно липса на такова (мълчалив отказ) относно опцията за евентуална псевдонимизация (обособено като клик съгласие в стъпка три) на “лични данни от клас едно”. При съгласие в тази насока потребителят/посетителят получават изричен, електронно генериран имейл на посочена от тях електронна поща с текст, който ги уведомява за началния момент на псевдонимизация на личните им данни от “„Усмивка.бг – От Здравето към Красотата“ ЕООД. Този имейл е конфигуриран като обратна връзка към сайта на „Усмивка.бг – От Здравето към Красотата“ ЕООД, съответно като електронна препратка към базата данни, съхраняваща “лични данни от клас едно – раздел псевдонимизирани лични данни”, в която автоматично постъпва потвърдената от потребителя/посетителя информация за псевдонимизираните им личните данни и факта, че те са съгласни и се считат уведомени за началния момент на псевдонимизация на техните лични данни. Мерките за псевдонимизация са възможни само при един и същи администратор на данни, като „Усмивка.бг – От Здравето към Красотата“ ЕООД са взели необходимите технически и организационни мерки, за да се гарантира при съответната обработка, че Общият регламент е приложен в тази насока и че допълнителната информация, свързваща личните данни с конкретен субект на данните, се съхранява отделно. „Усмивка.бг – От Здравето към Красотата“ ЕООД, обработвайки псевдонимизирани данни, посочва упълномощените лица в рамките на същия администратор на данни, които оперират с псевдонимизираните лични данни на клиенти, служители и потребители.
1.5. „Усмивка.бг – От Здравето към Красотата“ ЕООД предоставя технологична възможност субектът на данните да получи информация за тяхното обработване чрез автоматичен имейл в момента на събирането ѝ или ако личните данни са получени от друг източник (например в хипотезите на съадминистриране) — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните бива информиран от „Усмивка.бг – От Здравето към Красотата“ ЕООД, когато личните данни се разкриват за първи път на получателя (съадминистратора). Когато „Усмивка.бг – От Здравето към Красотата“ ЕООД възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, администраторът в лицето на „Усмивка.бг – От Здравето към Красотата“ ЕООД предоставя на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел, както и всяка друга необходима информация по повода чрез изричен имейл. Когато на субекта на данните не може да се предостави информация за произхода на личните данни поради използването на различни източници, „Усмивка.бг – От Здравето към Красотата“ ЕООД представя обобщена информация отново чрез изричен имейл.
1.6. Често в момента на събиране на данните, целта на обработването на лични данни за бизнес цели не може да бъде напълно определена. Поради това на субектите на данни „Усмивка.бг – От Здравето към Красотата“ ЕООД дава възможност да дадат съгласието си за определени области на бизнеса, когато те са в съответствие с признатите етични норми, отнасящи се за конкретна сфера на бизнеса и публичния сектор. Субектите на данни в този ред на мисли имат възможност да дадат съгласието си само за определени области на бизнеса, доколкото позволява преследваната цел. Това съгласие се предостава чрез автоматичен имейл с обратна връзка, по начина, който е описан по горе.
1.7. „Усмивка.бг – От Здравето към Красотата“ ЕООД предвижда технологични мерки за премахване и ограничаване на обработването на данни. Премахването се извършва чрез изтриване на “лични данни от клас едно” от изричното обособено пространство за този тип данни, на базата на изрично писмено искане, постъпило до админситратора, включително и онлайн. Методите за ограничаване на обработването на лични данни включват временно преместване на избраните “лични данни от клас едно” в друга система за обработване, прекратяване на достъпа на ползвателите до тях и/или временно премахване на публикуваните подобен тип данни от уебсайта www.usmivka.bg (ако има такива). В автоматизираните регистри на “личните данни от клас едно” ограничаването на обработването е осигурено с технически средства, които водят до това, че “личните данни от клас едно” да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, ясно се посочва в системата чрез конкретни отбелязвания на ниско ниво в информационните масиви на „Усмивка.бг – От Здравето към Красотата“ ЕООД.
1.8. С цел допълнително засилване на контрола над собствените данни, когато обработването на лични данни става по автоматичен начин, „Усмивка.бг – От Здравето към Красотата“ ЕООД осигурява на субекта на данните техническа възможност да получава отнасящите се до него лични данни, които той е предоставил на администратора, в структуриран, широко използван, пригоден за машинно четене и оперативно съвместим формат, с цел да ги предостави на друг администратор. Фирма „Усмивка.бг – От Здравето към Красотата“ ЕООД е разработила оперативно съвместими формати, които позволяват преносимост на данните. Тази опция може да се прилага, само когато субектът на данни е предоставил личните данни въз основа на собственото си съгласие или обработването е необходимо поради договорно задължение. Техническата опцията за преносимост на данни не се прилага, когато обработването се базира на правно основание, различно от съгласие или договор.
1.9. С цел да се осигури добросъвестно и прозрачно обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства и контекстът, при които се обработват личните данни, „Усмивка.бг – От Здравето към Красотата“ ЕООД използва подходящи математически и статистически процедури за профилирането, като прилага съответните технически и организационни мерки, по-специално за да гарантира, че факторите, които водят до неточности в личните данни, се коригират, а рискът от грешки се свежда до минимум. Всички тези технологични мерки целят да защитят личните данни на потребителите, клиентите и служителите на „Усмивка.бг – От Здравето към Красотата“ ЕООД по начин, който отчита потенциалните заплахи за интересите и правата на субекта на данните и който не поражда ефект на дискриминация за физическите лица въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждения, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация или от който не произтичат мерки с такъв ефект. Автоматизираното вземане на решения и профилирането на базата на специални категории лични данни е разрешено в „Усмивка.бг – От Здравето към Красотата“ ЕООД само при определени условия, коментирани в точка 2.
2.3. За отделните категории „лични данни от клас две“ се създават отделни папки в основната папка, като всички база данни следва да са съставени технически с оглед специфичните изисквания към всяка отделна категория.
2.4. До лични данни от клас две не се дава, нито осигурява отдалечен достъп от „Усмивка.бг – От Здравето към Красотата“ ЕООД .
2.5. Техническото обработването на снимки или изображения за целите на сигурността, както и с цел предотвратяване на престъпления или трудова дисциплина, не се счита за обработване на специална категория лични данни от „Усмивка.бг – От Здравето към Красотата“ ЕООД, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице.
2.6. Техническото обработване на специални категории лични данни от „Усмивка.бг – От Здравето към Красотата“ ЕООД е разрешено при дерогиране на горните правила само, когато е предвидено в ЗЗЛД или в Общия регламент при споменатите технически гаранции, така че да бъдат защитени личните данни и други основни права, когато съображения, свързани с обществения интерес, оправдават това, по-специално обработването на лични данни в областта на трудовото право, правото в областта на социалната закрила, включително пенсиите, както и за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, предотвратяването или контрола на заразните болести и други сериозни заплахи за здравето. Тази дерогация от общото правило важи за здравни цели, включително общественото здраве и управлението на здравните услуги, особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата за здравно осигуряване, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели. Чрез дерогацията се дава възможност да се обработват и такива лични данни, когато е необходимо, с цел установяване, упражняване или защита на правни претенции, независимо дали това е в рамките на съдебна, административна или друга извънсъдебна процедура.
3. Технически мерки по уведомяване на надзорния орган и субекта на лични данни в случаи на нарушение.
3.1. Технически мерки по уведомяване на надзорния орган в лицето на Комисията за защита на личните данни. С цел да се предотврати нарушаването на сигурността на лични данни, което да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица, „Усмивка.бг – От Здравето към Красотата“ ЕООД е предвидилa възможността за изпращане на автоматично генериран имейл при всяко основателно съмнение в тази насока, който се получава директно до Комисията за защита на личните данни. Въпросният имейл се изпраща автоматично в рамките на 72ч. от настъпване на събитието и в случаите, в които се установи нарушение на сигурността на личните данни.
3.2. Технически мерки по уведомяване на субекта на лични данни. „Усмивка.бг – От Здравето към Красотата“ ЕООД е програмиралa в системата си изпращането на директно генериран имейл до субекта на данни, с който последният бива уведомен за нарушение на сигурността на личните му данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. В имейлът се посочва естеството на нарушението на сигурността на личните данни, както и се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Имейл уведомления до субектите на данни се изпращат от „Усмивка.бг – От Здравето към Красотата“ ЕООД веднага щом това е разумно технически осъществимо и в тясно сътрудничество и съгласуваност с надзорния орган(Комисията за защита на лични данни), като се спазват насоките, предоставени от нея или от други правоприлагащите органи.
Всяка промяна в настоящите технологични мерки ще бъде сведена до знание на потребителите на сайта www.usmivka.bg , като от момента на актуализацията те ще се считат за влезли в сила спрямо ползветелите, посетителите и клиентите на предлаганите бизнес услуги от сайта.