Политика за защита на личните данни

Политика за защита на личните данни

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

  1. ОБЩИ ПОЛОЖЕНИЯ

Чл. 1.(1) Целодневен детски център за почасово отглеждане на деца „Бамбу“ (наричан по-долу за краткост „Детски център“), чрез Брийз Кепитъл ООД, с ЕИК 175328026, със седалище и адрес на управление: София, бул. „Никола Вапцаров“ № 53Б, ет. 3, офис 9 ,представлявано и управлявано от Дженифър Едуард Екияниау – Управител, с оглед сключване на Договор за грижа, обучение и възпитание на дете в Детския център, сключен между същия и родителите на детето, следва да представи настоящата Политика за лични данни на страните по съответните договори с Детския център.

(2) Детският център е администратор на лични данни, като обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им, в съответствие с Общия регламент относно защитата на данните (Регламент (ЕО) 2016/679).

(3) За вскякакви въпроси, касаещи обработването на лични данни на родители/настойници/деца/лица, продружаващи децата, субектите на лични данни могат да се свържат с Детския център на имейл: info@bambookindi.com .

Чл. 2. Настоящата политика за защита на личните данни („Политиката“) предоставя информация за  личните данни, които Детският център обработва и за условията и реда, по който физическите лица, чиито лични данни се обработват, упражняват правата си.

Чл. 3. За целите на настоящата Политика:

  1. „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
  2. „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  3. „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
  4. 4. „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
  5. 5. „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
  6. 6. „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
  7. 7. „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
  8. „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
  9. „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
  10. „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
  11. „надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51 от Общия регламент относно защитата на данните.

Чл. 4. Принципите, свързани с обработването на личните данни са:

  1. принцип на законосъобразност, добросъвестност и прозрачност на обработването на лични данни – събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;
  2. принцип на свеждане на данните до минимум, както и на ограничение на целите и съхранението – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват за период не по-дълъг от необходимото за целите за които се обработват личните данни;
  3. принцип на точност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се обработват;
  4. принцип на цялостност и поверителност – личните данни трябва да се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобрано обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
  5. ВИДОВЕ ЛИЧНИ ДАННИ, КОИТО СЕ СЪБИРАТ ОТ АДМИНИСТРАТОРА, ЦЕЛИ НА СЪБИРАНЕ И СРОКОВЕ НА СЪХРАНЕНИЕ.

Чл. 5. (1) Регистър „Лични данни по преддоговорни правоотношения“ съдържа описаните в този член данни, който Администраторът събира и обработва с цел изпълнение на задълженията по преддоговорни правоотношения между страните, породили се посилата на подадено от законен представител на детето заявление за прием в Детския център, на основание изрично дадено от тях съгласие чрез подписване на декларация – съгласие за обработка на лични данни.

(2) Личните данни, които Администраторът обработва след попълване на заявление за прием от родителите и декларация-съгласие за обработване на лични данни, са следните:

  1. За детето: Три имена, дата на раждане и ЕГН, родно място, пол, националност .
  2. За родителите на детето: две имена, дата на раждане, националност, професия и място на работа, мобилни и телефонни контакти, имейл адрес.

(3) Горепосочените лични данни се съхраняват на хартия и електронен носител.

(4) При липса на сключен Договор за грижа, обучение и възпитание на дете в Детския център срокът за съхраняване на данните е 1 (една) година.

Чл. 6. (1) Регистър „Лични данни по сключени договори“ съдържа описаните в този член данни, който Администраторът събира и обработва за целите на сключването и изпълнението на Договор за грижа, обучение и възпитание на дете в Детския център, на основание изрично дадено от тях съгласие чрез подписване на декларация – съгласие за обработка на лични данни.

(2) Личните данни, които Администраторът обработва след попълване на заявление за прием от родителите и декларация-съгласие за обработване на лични данни, са следните:

  1. За детето: три имена, дата на раждане и ЕГН, родно място, пол, националност, данни за здравето на децата. Данните за здравето на децата се събират с цел защита на обществения интерес – опазване здравето на децата, които посещават Детския център.
  2. За родителя: Три имена на родител (законен представител), с когото е сключен договорът; ЕГН на родител (законен представител), с когото е сключен договорът; Номер на личната карта дата на издаване и адрес на родител (законен представител), с когото е подписан договорът; Снимка – лице на родител, когато той е лицето, посочено да взима детето от Детския център – с цел осигуряване сигурност за живота, здравето и безопасността на детето. Имейл адрес на родител (законен представител) – Цел: необходим за електронен дневник и комуникация; Телефонен номер и адрес по лична карта / съответно адрес за кореспонденция с родителите – Цел: за комуникация и при спешни случаи; Банкови данни – във връзка с идентифицирането и правилното обслужване на плащанията, извършени по Договора за грижа, обучение и възпитание на дете в Детския център

3.За третото лице, ако такова е посочено за взимането на детето от Детския център: Три имена, дата на раждане и снимка-лице на третото лице – с цел защита на обществен интерес – осигуряване сигурност за живота, здравето и безопасността на детето.

  • В случай, че между Детският център и родителите бъде сключен Договор за грижа, обучение и възпитание на дете в Детския център, крайният срок за съхранение на данните е 5 (пет) години след края на договорното правоотношение.

 

III. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА.

Чл. 7. Детският център може да възлага обработване на събраните лични данни за изпълнение на поети договорни задължения или да ги предоставя на държавни институции при законосутановено задължение за това. При предоставяне на събрани лични данни на трети страни Детският център следи да бъдат предприети всички технически и организационни мерки за защита на тези данни.

Чл. 8. В изпълнение на законоустановените си задължения, Детският център предоставя лични данни на:

  1. Националната агенция за приходите, в изпълнение на задълженията си по Закона за счетоводството и Закона за корпоративното подоходно облагане.
  1. Компетентните органи, които по силата на нормативен акт имат право да изискват предоставянето на информация, включително лични данни, като съдилища, прокурори, частни съдебни изпълнители, различни регулаторни органи като Комисията за Защита на личните данни, Регионална здравна инспекция и други държавни органи;
  2. Финансови ревизори; Други.

Чл. 8. В организацията на Детския ценър, до лични данни получват достъп само онези служители, които са ангажирани с изпълнението на договорни отношения, правни задължения или защита на законни интереси. В рамките на определени договорни отношения, Детският център може да възложи обработката на подизпълнители, които имат достъп до лични данни. Спазването на правилата за защита на данните се осигурява чрез договор с нашите подизпълнители.

Чл. 9. Детският център осъществява видеонаблюдение на помещенията, входовете, изходите и двора на същия, с цел осигуряване на безопасността на децата. Детският център съхранява записи от осъществявеното видеонаблядение на основание защита на обществен интерес – гарантиране здарвето и безопасността на децата и работещите в Детския център лица, без да се накърняват по какъвто и да е начин правата, честта и достойноството на субектите на данни.

  1. ПРАВА НА СУБЕКТИТЕ НА ДАННИ И РЕД ЗА УПРАЖНЯВАНЕТО ИМ

Чл. 10Субектите на лични данни имат следните права относно техните лични данни:

  1. право на достъп;
    2. право на коригиране;
    3. право на преносимост на данните;
    4. право на изтриване (право „да бъдеш забравен“);
    5. право да се иска ограничаване на обработването;
    6. право на възражение срещу обрабтоването на лични данни;
    7. право на субекта да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

Чл. 11(1) Всяко едно физическо лице, субект на лични данни, има право да получи информация за администратора на лични данни, както и за обработването на личните му данни. Тази информация включва:

  1. данни, идентифициращи администратора, както и негови координати за връзка, включително координатите за връзка с длъжностното лице по защита на данните;
    2. целите и правното основаниее за обработването;
    3. получателите или категориите получатели на личните данни, ако има такива;
    4. намерението на администратора да предаде личните данни на трета страна (когато е приложимо);
    5. срока на съхранение на личните данни;
    6. съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова);
    7. информация за всички права, които субектът има;
    8. правото на жалба до надзорния орган.

(2) Информацията по ал. 1 не се предоставя, ако субектът на данни вече разполага с нея.

(3) При отправяне  на искане за информация от субект на данни по реда на ал. 1, Дружеството по чл. извършва необходимата проверка и предоставя отговор с изискуемата информация в срок до 14 (четиринадесет) дни, но не по-късно от 30 (тридесет) дни от датата на получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Искането съдържа идентификация на лицето (три имена и ЕГН за български граждани, а за всички останали лица- граждани на други държави-членки на ЕС – имена и дата на раждане),  описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата, имейл, адрес за кореспонденцията и пълномощно, когато заявлението се подава от упълномощено лице. Дружеството  не е задължено да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните. Искането се завежда в отделен входящ регистър на Дружеството и може да бъде подадено по един от следните начини: а) по електронен път на следния имейл: info@bambookindi.com , б) на място в Детския център, находящ се в гр. София, кв. Драгалевци, ул. „Горска поляна“ № 22 или в) по пощата на адреса на управление на Дружеството – администратор или : гр. София, 1407, бул. „Никола Й. Вапцаров“ №53Б, ет. 3, офис 9 или на адреса на Детския център находящ се в гр. София, кв. Драгалевци, ул. „Горска поляна“ № 22.

(4) Информацията по ал. 1 се предоставя в едно копие на субекта на данни безплатно.

(5) При предоставяне на копие от лични данни Администраторът не може да разкрива следните категории данни:

  1. лични данни на трети лица, освен ако същите не са изразичли изричното си съгласие за това;
    2. данни, които представляват търговска тайна, интелектулана собственост или конфиденциана информация;
    3. друга информация, която е защитена, съгласно приложимото законодателство.

(6) Основателността и прекомерността на дадено искане се преценява отделно за всеки случай от Администратора.

(7) При отказ за предоставяне на достъп до лични данни Администраторът аргументира отказа си и информира субекта на данни за правото му да подаде жалба до надзорния орган.

Чл. 12(1) Субектите на данни могат да поискат личните им данни, обработвани от Дружеството, да бъдат коригирани в случай, че последните са неточни или непълни.

(2) При удовлетворено искане за коригиране на лични данни Дружеството уведомява получателите на данни, на които са били разкрити такива.

(3) Правото по ал. 1 се упражнява чрез отправяне на искане до Администратора.

Чл. 13. (1) Всяко едно физическо лице, субект на лични данни, има право да поиска изтриване на данните си, т.нар. „право да бъдеш забравен“, ако е налице едно от следните условия:

  1. личните данни на лицето повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
    2. субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
    3. субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
    4. личните данни са били обработвани незаконосъобразно;
    5. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава-членка, което се прилага спрямо администратора;
    6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за дететето.

(2) Правото по ал.1 се упражнява чрез отправяне на искане до Администратора.

Чл. 14. (1) Всяко едно физическо лице, субект на лични данни, има право да ограничи обработването на личните си данни от администратора, но за целта са необходими конкретни условия, сред които:

  1. точността на личните данни се оспорва от субекта на данни;
    2. обработването е неправомерно, но субекттът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
    3. администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
    4. субектът на данните е възразил срещу обрабoтването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

(2) В случаите по ал. 1, т. 1 ограничаването на обработването е за срок, който позволява на администратора да провери точността на личните данни.

(3) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 23, ал. 3.

Чл. 15. (1)  Всяко физическо лице, субект на лични данни, има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.

(2) Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

(3) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 23, ал. 3.

Чл. 16. (1) Субектът на данните има право да възрази срещу обработване на негови лични данни от Дружеството ако данните се обработват на едно от следните основания:

  1. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
    2. обработването е необходимо за цели, свързани с легитимните интереси на Дружеството или на трета страна;
    3. обработването на данни включва профилиране.

(2) Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Чл. 17. (1) Всяко физическо лице, субект на лични данни, има право да бъде уведомено, а Администраторът е задължен да уведоми субекта  в случай на нарушение на сигурността на личните му данни и когато има вероятност това нарушение да породи висок риск за правата и свободите на субекта на данни.

(2) Уведомяването по ал. 1 следва да бъде извършено без ненужно забавяне след откриването му и да съдържа описание на естеството на нарушението на сигурността на личните данни, като се посочват естеството на нарушението, име и координати за връзка с длъжностното лице по защита на данните, последиците от нарушението и предприетите мерки от Администратора за справяне с нарушението и за намаляване на евентуалните неблагоприятните последици.

Чл. 18. В случай на нарушаване на правата Ви или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД). Повече информация може да получите на интернет страницата на КЗЛД: www.cpdp.bg.