В ежедневната си дейност „Алиа моделс“ ЕООД използва различни данни, чрез които могат да бъдат идентифицирани лица, включително:
Целта на тази политика е да бъде определено релевантното законодателство и да опише действията, които „Алиа моделс“ ЕООД трябва да предприеме, за да постигне съответствие с изискванията.
Контролът, съгласно настоящата политика, се разпростира върху всички звена, лица и процеси в рамките на информационните системи на организацията, включително управителни органи, директори и ръководни органи, персонал, доставчици и други трети страни, които имат достъп до системите на организацията.
Общият регламент за защита на данните (GDPR) е един от най-значимите законодателни актове, уреждащи дейността по обработване на данни. Регламентът предвижда санкции в големи размери в случай на пробив в сигурността на данните (в случай, че организацията не е положила дължимата грижа). Чрез настоящата политика „Алиа моделс“ ЕООД се стреми да осигури, поддържа и демонстрира съответствие с изискванията на GDPR и относимото законодателство по всяко време.
В GDPR се съдържат общо 26 правни дефиниции и не е практично всички те да бъдат поместени в настоящата политика. По-ключовите понятия обаче биха намерили място и затова са представени по-долу:
„Лични данни“: всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
„Обработване“: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
„Администратор на лични данни“: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
„Съгласие на субекта на данните“: Всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Следните принципи са широко застъпени в GDPR:
„Алиа моделс“ ЕООД гарантира, че зачита и спазва принципите, както при използването на настоящите методи за обработка на данни, така и при разработването на нови такива.
GDPR предоставя определени права на субектите на данни. Обобщено те са:
Упражняването на всяко от описаните права е свързано с процедура на „Алиа моделс“ ЕООД, която позволява необходимите действия да бъдат предприети във времевите рамки, установени от GDPR (таблица 1).
Таблица 1 – Права на субектите на данни
Искане от субекта на данни |
Времева рамка |
Право да бъде информиран |
Веднага, ако данните са предоставени директно от субекта, или в рамките на един месец, ако са предоставени от друго лице |
Право на достъп |
Един месец |
Право на коригиране на |
Един месец |
Право на изтриване на данните („правото да бъдеш забравен“) |
Във възможно най-кратки срокове след постъпване на искането |
Право за ограничаване на |
Във възможно най-кратки срокове след постъпване на искането |
Право на преносимост на |
Един месец |
Право на възражение |
Веднага след постъпване на възражението |
Права във връзка с |
Варира в зависимост от същността на искането |
GDPR съдържа шест алтернативни основания, които правят обработката законосъобразна, в зависимост от конкретните обстоятелства. „Алиа моделс“ ЕООД обработва данни само на посочените основания в зависимост от случая, като документира връзката между основанието и обстоятелствата в съответствие с GDPR. Алтернативите са описани накратко по-долу.
5.1. Съгласие. Ако е необходимо за цели, признати от GDPR, „Алиа моделс“ ЕООД ще се стреми да получава изрично съгласие от субектите на данни, за да събира и обработва техни данни. В случай, че се отнася до данни на деца, необходимо е съгласие и от родител/настойник. Пълна информация относно политиката по обработка на данни и относно използването на техните данни ще бъде предоставена на субектите в момента на получаване на тяхното съгласие. Допълнително ще им бъдат обяснени правата, които получават във връзка с даденото съгласие, като например правото да го оттеглят по всяко време. Посочената информация следва да бъде предоставяна в подходяща форма, да бъде описана на разбираем език и да бъде безплатна.
Ако данните не бъдат получени директно от субекта, за когото се отнасят, тази информация следва да му бъде съобщена в разумен период от време, но не по- късно от един месец от получаване на данните.
5.2. Изпълнение на договор. Когато събраните и обработвани данни са необходими за изпълнението на договор със субекта на данни, изрично съгласие не е нужно. Това основание е приложимо в случаите, когато предоставените данни са жизнено важни за изпълнението на договора (напр. доставката не може да бъде направена без адрес на лицето).
5.3. Законово задължение. Когато личните данни са събирани и обработвани, за да бъде изпълнено законово задължение, изрично съгласие не е необходимо. Това основание е приложимо в областта на трудовото, данъчното и, като цяло, публичното право.
5.4. Жизненоважни интереси на субекта на данни. Законосъобразно е да получим и обработим лични данни, ако те са необходими за защита на жизненоважни интереси на субекта на данни или на друго физическо лице. „Алиа моделс“ ЕООД ще обработва лични данни на това основание само в случай, че наистина са засегнати жизненоважни интереси, като обстоятелствата ще бъдат детайлно документирани, така че да бъде доказуемо.
5.5. Изпълнение на задача от обществен интерес. Когато „Алиа моделс“ ЕООД трябва да изпълни задача, която вярва, че е в обществен интерес, или е част от служебно задължение, съгласие от субекта на данни няма да бъде поискано. Преценката дали се касае за обществен интерес и/или служебно задължение, се документира и може да служи като доказателство при нужда.
5.6. Легитимен интерес. „Алиа моделс“ ЕООД може да обработва данни за защита на легитимен интерес, в случай, че не се засягат в значителна степен правата и свободите на субектите на данни. И в този случай преценката дали един интерес е легитимен и относно степента на засягане на правата и свободите на субектите на данни следва да бъде документирана.
„Алиа моделс“ ЕООД зачита принципа за защита на етапа на проектиране. Планирането и изграждането на всички нови или на съществено променени съществуващи системи, които събират, съхраняват или обработват данни, ще бъде оценявано от гледна точка на евентуални проблеми за сигурността. За всеки проект ще бъде правена оценка на въздействието върху защитата на данни и ще бъдат взети подходящите мерки за защита срещу нарушения.
Оценката на въздействието върху защитата на данни включва:
Добрата практика е, при възможност, да бъдат използвани техники като псевдонимизиране и съхраняване само на необходимата информация.
„Алиа моделс“ ЕООД ще гарантира, че всички договори, които сключва и в чиито обхват попада обработка на лични данни, ще съдържат необходимата информация и общи условия, изискуеми от GDPR.
Трансферът на данни извън Европейския съюз ще бъде внимателно обмислян преди фактическото му осъществяване, за да се гарантира, че попада в границите, поставени от GDPR. Всеки конкретен случай се разглежда отделно, тъй като зависи от преценката на Европейската комисия към момента за нивото на сигурност, което третата държава предоставя по отношение на личните данни.
GDPR задължава всяка организация, която е публична, която обработва голям обем лични данни или събира/съхранява „чувствителни“ данни да има длъжностно лице по защита на данните. Последното следва да има необходимия обем знания и умения за целите на GDPR, но може да бъде както лице от самата организация, така и външно лице. Съобразно поставените от регламента изисквания, „Алиа моделс“ ЕООД не трябва да ангажира длъжностно лице по защита на данните.
В случай на пробив в сигурността на данните, „Алиа моделс“ ЕООД предприема необходимите действия, за да предупреди засегнатите лица. Действията следва да бъдат пропорционални на нарушението, като следва да се спазва и принципът за прозрачност. GDPR задължава организацията, в случай на пробив, който може да застраши правата и свободите на лицата, да уведоми надзорния орган (Комисията за защита на личните данни) в рамките на 72 часа от узнаването. Уведомяването се извършва в съответствие с нарочна процедура, разписана от „Алиа моделс“ ЕООД. Санкциите за нарушение на разпоредби на регламента достигат до четири процента от общия годишен оборот или до двадесет милиона евро (която от двете суми е по-висока).
Следните действия са предприети от „Алиа моделс“ ЕООД, за да бъде постигнато пълно съответствие с изискванията на GDPR: