Лични данни

МИКС-КОНСТРЪКШЪН ООД е търговско дружество, учредено и функциониращо по законите на Република България, вписано в Търговския регистър към Агенцията по вписванията с ЕИК 175159754, със седалище и адрес на управление в град София, пощенски код 1404, ул. Луи Айер №2, представлявано от двама Управители заедно и поотделно, тел. +35929150101, факс +35929582949, e-mail: miks@miks-ps.bg  интернет страница: https://miks.bg 

Предмет на дейност на дружеството е: Комплексна проучвателна, проектантска, инженерингова, консултантска и изпълнителска дейност във всички области на проектирането и строителството. Дружеството е специализирано в изграждането на сглобяеми стоманобетонови конструкции. Работи предимно по строителството и реконструкцията на промишлени, административни, обществени и търговски сгради, логистични и сервизни центрове и инфраструктурни проекти. 

ПРЕАМБЮЛ

С настоящата Политика ръководството на “МИКС-КОНСТРЪКШЪН”ООД декларира, че ще полага усилия за да осигурява защита на личните данни на физическите лица във връзка с обработването на личните им данни, съобразно с техните основни права и свободи и по-конкретно – правото на защита на личните им данни, в съответствие с изискванията на „РЕГЛАМЕНТ (ЕС) 2016/679 на ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни“ (GDPR), както и действащите правни норми за Република България – Закон за защита на личните данни (ЗЗЛД) и подзаконовите му актове.

ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ

Чл.1. По смисъла на настоящата Политика:

  • „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни). Физическото лице може да бъде идентифицирано пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор, по един или повече признаци, специфични за физическта, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.
  • „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните става достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  • „Регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски признак.
  • „Администратор“ означава конкретното юридическо лице МИКС-КОНСТРЪКШЪН ООД, което самостоятелно или съвместно с други определя целите и средствата за обработването на лични данни.
  • „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
  • „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни. Същевременно публичните органи, които могат да получават данни в рамките на конкретно разследване в съответствие с правото но Съюза или правото на държава членка, не се считат за „получатели“.

ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА

Чл.2. С настоящата Политика възприемаме основните цели на Регламента (GDPR):

  • Да се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.
  • Да се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни;
  • Свободното движение на лични данни в рамките на Европейския съюз да не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни.

Чл.3. Политиката по защита на личините данни на МИКС-КОНСТРЪКШЪН ООД има за цел:

  • Да постигне съответствие с приложимото законодателство по отношение защитата на личните данни и да следва установените добри практики;
  • Да предпише механизмите за водене и поддържане на отчетните регистри, да определи съответстващото ниво на защита на личните данни, да предвиди технически и организационни мерки за защита на личните данни; 
  • Да определи отговорностите и задълженията на лицата, обработващи лични данни и лицата, които имат достъп до лични данни и работят под ръководството на администратора; 
  • Да информира физическите лица за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данни, информация за правата на физическите лица по отношение на личните им данни. 

чл.4. Обхватът на Политиката следва материалния и териториален обхват на Регламента (GDPR):

  • Политиката се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и обработването с други средства (електронно, на хартия или други носители).
  • Политиката се прилага за обработването на лични данни в контекста на дейностите на МИКС-КОНСТРЪКШЪН ООД на мястото на установяване на Администратора (Република България), независимо дали обработването се извършва в Съюза или не. 
  • Политиката не се прилага за обработването на лични данни на физическото лице в рамките на изцяло лична дейност или дейност в рамките на домакинството. 

ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ - МИКС-КОНСТРЪКШЪН ООД

Чл.5. Задълженията на администратора на лични данни включват:

  • Приемане на вътрешни правила и инструкции за обработване на личните данни;
  • Поддържане на регистри на дейностите по обработване на лични данни;
  • Оценка на риска на основата на: естеството, обхвата, контекста и целите на обработване; възможните рискове за правата и свободите на физическите лица и тяхната вероятност и тежест; последиците за правата и свободите  на физическите лица;
  • Оценка на въздействието (когато съществува вероятност за висок риск за правата и свободите на физическите лица); периодична актуализация на оценката на въздействие;
  • Определяне на съответстващото ниво на защита;
  • Предписване и изпълнение на конкретни мерки за защита на личните данни, според  спецификата на водените регистри и определеното ниво на защита. 

Като администратор МИКС-КОНСТРЪКШЪН ООД въвежда необходимите технически и организационни мерки за защита на личните данни, за да гарантира адекватно ниво на защита, което да отговаря на характера на обработваните лични данни и въздействието при нарушаване на защитата им.

  • Осъществяване на контрол по спазване на изискванията за защита и предприемане на мерки за отстраняване на нарушенията в случай на нарушаване на тяхната защита;
  • Уведомяване на надзорните органи за нарушения на сигурността на личните данни, и съобщаване на субектите на данни за такива нарушения;
  • Оказване на съдействие при осъществяване на контролните функции на Комисията по защита на личните данни.
  • Постигане на съответствие с изискванията на Регламента (GDPR)– отчетност.

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В МИКС-КОНСТРЪКШЪН ООД

Чл.6. При обработване на личните данни прилагаме принципите на Регламента (GDPR):

  • Законосъобразност, добросъвестност и прозрачност;
  • Личните данни се събират и обработват за конкретни, изрично указани и легитимни цели („Ограничение на целите“)
  • Обработват се данни, които са подходящи и ограничени до необходимото във връзка с целите („Свеждане на данните до минимум“)
  • Точност и при необходимост поддържане на данните в актуален вид. Гарантиране на своевременното изтриване или коригиране, като се взимат предвид целите, за които данните се обработват („точност“)
  • Съхраняване на данните за период, не по-дълъг от необходимото за целите („ограничение на съхранението“)
  • Обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, включително срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност“ и „поверителност“)

Чл.7. МИКС-КОНСТРЪКШЪН ООД, като Администратор на лични данни, извършва следното: 

Определя:

  • вида на личните данни, които ще се обработват; 
  • целите, за които ще се обработват тези данни; 
  • средствата за обработването им и съответстващите нива на защита.. 

Обработва категории лични данни, структурирани в отделни регистри, в съответствие с чл.30 от Регламента (GDPR), българските правни норми и тази Политика. Обработват се лични данни на служители, кандидат-служители, контрагенти, доставчици, клиенти, партньори;

Чл.8. Основанията за събиране на лични данни в МИКС-КОНСТРЪКШЪН ООД са:

  • Със съгласието на субекта на данни. В този случай субектът дава ясно и изрично изразено съгласие за обработването на личните данни за една или няколко конкретни цели. Съгласието е валидно, когато е свободно дадено, дадено за определена цел на обработката, информирано и недвусмислено;
  • Когато има договорено изискване;
  • Когато има законово изискване или законово задължение на администратора;
  • Когато обработването е необходимо за защита на жизненоважни интереси на субекта на данни или на друго физическо лице;
  • При изпълнение на задача от обществен интерес или упражняване на официални правомощия, предоставени на администратора;
  • За целите на легитимни интереси на администратора или на трета страна, когато същите имат предимство пред интересите или основните права на субекта на данните. 

Чл.9. (1) МИКС-КОНСТРЪКШЪН ООД обработва лични данни, предоставени от физическите лица, за които се отнасят данните, във връзка с назначаване на служители на трудов договор, процедури по подбор на персонала, възлагане на работа по граждански договор, подготовка, сключване, изменение и приключване на договори, изпълнение на законови изисквания, във връзка с пропусквателния режим и видеонаблюдението на територията на обектите на дружеството.

Когато личните данни, свързани със субект на данни, се събират от субекта на данните (в случаите по ал.1), в момента на получаване на данните Администраторът предоставя на субекта на данните следната информация:

  • Данни, които идентифицират Администратора и координати за връзка;
  • Целите на обработването и правното основание на обработването на личните данни;
  • Законовите интереси на Администратора или трета страна, когато това е основание за обработването;
  • Получателите на личните данни, ако има такива;
  • Допълнителна информация, необходима за добросъвестното и прозрачно обработване, като например: срок на съхранение на личните данни, информация за правата на субекта на данни  относно достъп до коригиране, изтриване, ограничаване на обработването, право на преносимост на данни, право на жалба.

Чл.10. (1) МИКС-КОНСТРЪКШЪН ООД може да обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице във връзка с нормативно или договорно изискване. В този случай Администраторът предоставя на субекта на данни информацията както в предния член, ал.2, така и източника на личните данни. Тази информация Администраторът предоставя в разумен срок, но най-късно:

  • В срок до един месец от получаването на данните, като се отчитат конкретните обстоятелства;
  • До осъществяване на първия контакт с този субект на данни;
  • До разкриването на личните данни за първи път пред друг получател.

(2) Описаните в ал.1 условия за предоставяне на информация не се прилагат когато и доколкото субектът на данни вече разполага с информацията или предоставянето на информацията се окаже невъзможно или изисква несъразмерно големи усилия.

Чл.11. (1) МИКС-КОНСТРЪКШЪН ООД обработва лични данни на физически лица във връзка със:

  • Подготовка, сключване, изменение и приключване на договори за изпълнение, подизпълнение, доставки и услуги;
  • Набиране на персонал, сключване на трудови и граждански договори;
  • Счетоводни, финансови и банкови операции;
  • Застраховане на работниците и служителите, на движимо и недвижимо имущество;
  • Дейности и операции с документи за собственост на движимо и недвижимо имущество, съдържащи лични данни;
  • Създаване на видеозапис при видеонаблюдение и/или пропусквателен режим на територията на обекти на дружеството.

При законово основание за обработване на личните данни, се прилагат разпоредбите на Търговския закон, Закон за задълженията и договорите, Закон за счетоводството, Закон за данък добавена стойност, Закон за устройство на територията, Трудов кодекс, Кодекс за социалното осигуряване, Закон за здравното осигуряване, Кодекс и наредби за застраховането, Закон за опазване на околната среда, Закон за управление на отпадъците, Закон за здравословните и безопасни условия на труд, Закон за камарата на строителите и други приложими законови норми, наредби и подзаконови актове.

Чл.12. Категориите лични данни, които се обработват в МИКС-КОНСТРЪКШЪН ООД са диференцирани от конкретната дейност или от законова норма, като например категориите са:

„обикновени“ лични данни 

  • Имена, адрес, месторождение, местоположение, данни от документ за самоличност, гражданство, телефон, е-мейл, IP адрес – приложими от Администратора;
  • Данни за образование, квалификация, правоспособност, заемана длъжност и изпълнявана трудова функция, трудова дейност – стаж и професионална биография - приложими от Администратора;
  • ЕГН (Единен граждански номер) - приложимо от Администратора;

„Специални“ (чувствителни) лични данни 

  • Данни, разкриващи расов или етнически произход, политически възгледи, религиозни или филосовски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за сексуалния живот или сексуалната ориентация – предимно неприложими от Администратора. Евентуалното обработване на тези данни става с изричното съгласие на субекта на данни и при условията на чл.9 от Регламента (GDPR);
  • Данни за здравословното състояние - приложимо от Администратора във връзка със задължителни законови изисквания по ЗБУТ, за целите на превантивната и трудова медицина, за оценка трудоспособността на служителя (основание по чл.9, ал.2, б. З от GDPR). Въпросните данни се обработват за посочените цели от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи (чл.9, ал.3 от GDPR).

Чл.13. МИКС-КОНСТРЪКШЪН ООД обработва лични данни самостоятелно или чрез възлагане на обработващ лични данни, като определя целите и обема на задълженията, възложени от администратора на обработващия лични данни, при наличие на релевантно правно основание, съгласно изисванията на ЗЗЛД и Регламента (GDPR). 

  • Администраторът МИКС-КОНСТРЪКШЪН ООД използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с тази Политика, Регламента (GDPR) и по-точно условията в чл.28 и да осигурява защита на правата на субектите на данни.
  • Обработването от страна на обработващия лични данни се урежда с договор, който е задължителен за обработващия лични данни спрямо Администратора, и който регламентира предмета и срока на действие на обработванета, естеството и целта на обработването, вида лични данни, категорииите субекти на данни, както изадълженията и правата на Администратора. Обработващи лични данни от името на МИКС-КОНСТРЪКШЪН ООД се явяват юридически лица като например Служба по трудова медицина, застрахователна компания, физически лица като например служителите на дружеството, чиито права и задължения във връзка с обработването на лични данни са надлежно регламентирани във вътрешни актове. 
  1. ЦЕЛ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Чл.14. Целта на обработка на лични данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи служители на дружеството, контрагенти, посетители и други свързани с тях лица.

Целите на обработката на лични данни в МИКС-КОНСТРЪКШЪН ООД най-често се обуславят от изпълнението на нормативно установени задължения на Администратора, произтичащи от спецификата на изискванията на законодателството в областта на строителството, включително здраве и безопасност при работа и опазване на околната среда, финансово-счетоводна дейност, пенсионна, здравна и социално-осигурителна дейност,  управление на човешките ресурси, застрахователни операции. 

Администраторът МИКС-КОНСТРЪКШЪН ООД обработва лични данни на физически лица за целите (основно, но не изчерпателно)  посочени по-долу:

  • Идентифициране и обмен на информация за целите на трудовото, социалното, здравноосигурителното и данъчното законодателство в страната;
  • Подготовка, сключване, изпълнение и прекратяване на договорни отношения, свързани с търговската дейност на дружеството;
  • За целите на превантивната и трудова медицина, за оценка трудоспособността на служителя;
  • За застрахователни цели, свързани с опазване здравето и живота на служителите, както и за опазване на имуществото, собствено или поверено на Администратора;
  • За водене на счетоводна отчетност, за обработка на плащания, за финансови цели, свързани с отношенията с банки и други институции;
  • За целите на придобиване, ползване, продаване, наемане и други операции с недвижими имоти и  движимо имущество;
  • За целите на пропусквателни режими и видеонаблюдение на обектите на дружеството, установени във връзка с легитимни интереси на Администратора, като например опазване на имуществото и предотвратяване на нарушения на вътрешни правила;
  • За информация и комуникация със служители, контрагенти, клиенти, изпълнители, доставчици, партньори и др.под.

Обработването на лични данни в МИКС-КОНСТРЪКШЪН ООД, освен в случаите когато е необходимо за изпълнение на нормативно установено задължение на Администратора, е  допустимо и когато физическото лице, за което се отнасят данните, е дало своето изрично съгласие или обработването е необходимо за изпълнение на задължения по договор, по който физическото лице е страна или представител на страна, както и за действия, предхождащи сключването на договор и предприети по искане на лицето.

Когато обработването на данни е за цели, които изискват съгласието на субекта на данни, то Администраторът следва да е в състояние да докаже, че субектът е дал съгласието си свободно, информирано, за целите на обработване и в каква степен го дава. В случай на предварително съставена от Администратора декларация за съгласие, тя трябва да е в разбираема и лесно достъпна форма, на ясен и прост език и не следва да съдържа неравноправни клаузи.  

РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ

Чл.15. МИКС-КОНСТРЪКШЪН ООД, като Администратор на лични данни, има право да разкрие обработваните лични данни на следните категории лица:

  • Физическите лица, за които се отнасят данните;
  • Лица, за които правото на достъп е предвидено в нормативен акт или установено регулаторно изискване;
  • Лица, за които правото произтича по силата на договор.

Чл.16. Обработваните лични данни на клиенти и контрагенти на МИКС-КОНСТРЪКШЪН ООД, както и свързани с тях лица, могат да бъдат предоставяни на други администратори на лични данни или обработващи лични данни, във връзка с изпълнение на конкретни задачи и договорни задължения, по указание и от името на МИКС-КОНСТРЪКШЪН ООД, чрез предоставяне на достатъчни гаранции, че обработването протича в съответствие с изискванията на Регламента (GDPR) и осигурява защитата на правата на субектите на данни.

СИГУРНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл.17. Администраторът на лични данни МИКС-КОНСТРЪКШЪН ООД осигурява сигурност при обработването, достъпа и обмена на лични данни чрез:

  • Избор на подходящи технически и организационни мерки за осигуряване на съответното ниво на сигурност на защита на личните данни, взимайки предвид достиженията на техническия прогрес, обхвата, контекста и целите на обработване, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица; 
  • Способност за гарантиране на поверителност, цялостност и наличност и устойчивост на обработването на личните данни.
  • Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
  • Прилагане на псевдонимизация и криптиране на личните данни, когато това се налага;
  • Редовно проверяване, преценяване и оценка на ефективността на техническите и организационни мерки, с оглед гарантиране сигурността на обработването.

Чл.18. При оценката на подходящото ниво на сигурност, се взимат превид рисковете, свързани с обработването на личните данни, и по-специално рисковете, свързани със случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

Чл.19. Нивото на защита представлява съвкупност от технически и организационни мерки. 

Нивата на защита са в пряка зависимост от нивото на въздействие, както следва:

  • Ниско ниво на защита - при ниско въздействие (когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица);
  • Средно ниво на защита - при средно въздействие (когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или филосовски убеждения, членство в политически партии или организации, синдикати, здравословното състояние, сексуалния живот или човешни геном на  отделно физическо лице или група физически лица);
  • Високо ниво на защита - при високо въздействие (когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни увреждания или смърт на отделно физическо лице);
  • Изключително високо ниво на защита - при изключително високо въздействие (когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни увреждания или смърт на голяма група физически лица).

Нивата на защита в МИКС-КОНСТРЪКШЪН ООД, спрямо реципрочните нива на въздействие, се определят предимно като „Ниско“ или „Средно“ (главно заради обработването на данни, свързани със здравословното състояние). 

Чл.20. Видовете защита на личните данни са:

  • Физическа защита - представлява система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни;

Основни организационни мерки за физическа защита – определяне на помещенията, в които се обработват лични данни и помещенията, в които се разполагат елементите на комуникационно-информационните системи за обработване, организация на физическия достъп (ниско ниво);  определяне на зоните с контролиран достъп (средно ниво); 

Основни технически мерки за физическа защита – ключалки, шкафове, оборудване на помещенията, пожарогасителни средства (ниско ниво); метални каси, зони с контролиран достъп, охрана или система за сигурност, средства за защита на пириметъра (високо ниво);

  • Персонална защита - представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на администратора;

Основни мерки за персонална защита – познаване на нормативната уредба за защита на личните данни, знания за опасностите при обработване на данните, съгласие за поемане на задължение за неразпространение на личните данни (ниско ниво); споделяне на критична информация между персонала – идентификатори, пароли за достъп, обучение, тренировка на персонала за реакция при събития, застрашаващи сигурността на данните (средно ниво);

Мерките за персонална защита гарантират достъпа до лични данни само на лица, чиито служебни задължения налагат такъв достъп. Лицата подписват декларация за неразгласяване на лични данни, до които имат достъп.

  • Документална защита - представлява система от организационни мерки при обработването на лични данни на хартиен носител;

Основни мерки за документална защита – определяне на регистрите, които ще се поддържат на хартиен носител, регламентиране на достъпа до регистрите, условията за обработване на лични данни, определяне срокове на съхранение и процедури за унищожаване (ниско ниво); контрол на достъпа до регистрите, правила за размножаване и разпространение (средно ниво); процедури за проверка и контрол на обработването (високо ниво).

  • Защита на автоматизирани информационни системи и/или мрежи - представлява система от технически и организационни мерки за защита от незаконни форми на обработване на лични данни;

Основни мерки – идентификация и автентификация, управление на регистрите, външни връзки/свързване, защита от вируси, копия/резервни копия за въстановяване, носители на информация, персонална защита, срокове за съхранение на лични данни и процедури за унищожаване/заличаване/изтриване на носители (ниско ниво); телекомуникации и отдалечен достъп, поддържане/експлоатация, физическа среда/обкръжение (средно ниво); политика, ръководства и стандартни операционни процедури, определяне на роли и отговорности, контроли на сесията, наблюдение, планиране на случайността/непредвидени случаи, тренировка на персонала за реакция при събития, застрашаващи сигурността на данните (високо ниво).

  • Криптографска защита - представлява система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространение или предоставяне.

Основни мерки – стандартни криптографски възможности на операционните системи, на системите за база данни, на комуникационното оборудване (средно ниво); системи за разпределение и управление на криптографските ключове, електронен подпис (високо ниво).

Чл.21. За осигуряване на сигурност и защита на личните данни, Администраторът предприема мерки, с които да се гарантира, че обработващият лични данни и всяко физическо лице, действащо под ръководството на администратора, обработват тези данни само по указание на администратора, чрез предоставяне на достатъчни гаранции, че обработването протича в съответствие с изискванията на Регламента (GDPR) и осигурява защитата на правата на субектите на данни.

Чл.22В случай на нарушение на сигурността на личните данни, Администраторът без ненужно забавяне и когато това е осъществимо – в срок до 72 часа от узнаването, уведомява за нарушението компетентния надзорен орган – Комисия за защита на личните данни. Уведомлението е по реда на член 33 от Регламента (GDPR).

СРОКОВЕ НА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ

Чл.23. Документите и сведенията, съдържащи лични данни, търговска и счетоводна информация, документи по данъчното облагане, задължителни осигурителни вноски, служебни досиета и други фирмени документи, съдържащи лични данни, се съхраняват от Администратора в следните срокове:

  • Ведомости за заплати и служебни досиета на работници и служители – 50 години;
  • Лични данни на кандидати за работа, които не са назначени – един месец след приключване на конкурса за длъжността;
  • Счетоводни регистри, данъчни документи и финансови отчети – 10 години;
  • Лични данни, съдържащи се в договори за изпълнение на строителство – 15 години, считано от датата на издаване на валиден документ за въвеждане в експлоатация;
  • Записи от видеонаблюдение – един месец;
  • Лични данни, свързани с пропусквателен режим – един месец след преустановяване на достъпа на физическото лице до съответния обект;
  • Застрахователни полици за застраховка „трудова злополука“ - 50 години;
  • Във всички останали случаи – 5 години, доколкото по закон или договор не е предвиден друг срок.

Чл.24. След изтичането на срока за съхранение на личните данни, носителите на информация (хартиени или технически), които не подлежат на предаване в архивен фонд, могат да бъдат унищожени.

ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА

Чл.25. Администраторът МИКС-КОНСТРЪКШЪН ООД се ангажира, че ще предприеме необходимите мерки за прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни, за да осигури спазването на основните права на субектите на данни според Регламента (GDPR): 

  • Право на информация;
  • Право на достъп до личните данни;  
  • Право на корекция – субектът на данни има право да поиска коригиране без ненужно забавяне на неточни лични данни, свързани с него;
  • Право на изтриване (правото „да бъдеш забравен“) – при наличие на посочените в GDPR основания (например ако личните данни не са повече необходими за целите на обработването, или при съмнение, че личните данни са били обработвани незаконосъобразно), субектът на данни има право да поиска и да получи изтриване на свързаните с него лични данни;
  • Право на ограничаване на обработването - при наличие на посочените в GDPR основания (например при съмнение в точността на личните данни или при възражение по целите за обработка на личните данни), субектът на данни има право да поиска ограничаване на обработването на личните данни, докато не бъде намерено решение;
  • Право на възражение срещу обработването – субектът на данни има право по всяко време и на основания, свързани с неговата конкретна ситуация, да възрази срещу обработване на личните му данни, а администраторът на данни прекратява това обработване, освен ако не се докаже че съществуват убедителни законови основания, които имат предимство пред интересите и правата на субекта на данни.
  • Право на преносимост на данните от един администратор към друг администратор; 
  • Право на ограничение за автоматизирано вземане на решения, включително профилиране;
  • Право на подаване на жалба в контролен орган.

Чл.26. Физическите лица упражняват правата си като подават писмено заявление до Администратора на лични данни.

Заявлението се подава лично от субекта на данни или от изрично упълномощено от него лице, освен ако специален закон не предвижда друго;

Заявлението може да бъде отправено и по електронен път по съответния законов ред, с електронен подпис;

Заявлението съдържа минимум следната информация:

  • Име, адрес и други данни за идентифициране на физическото лице;
  • Описание на искането;
  • Предпочитана форма за комуникация и действия във връзка с правата на субекта;
  • Подпис, дата на подаване и адрес за кореспонденция.

Чл.27. В случай на смърт на физическо лице, правата му се упражняват от неговите наследници, като към заявлението се прилага нотариално заверено удостоверение за наследници.

Чл.28. Администраторът приема заявлението и се произнася по него.

Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаването на искането, съответно 30-дневен, когато е необходимо повече време за събиране на исканите данни, с оглед възможни затруднения в дейността на дружеството на Администратора.

Администраторът изготвя писмен отговор и го съобщава на заявителя – лично срещу подпис или по пощата с обратна разписка, като се съобрази с предпочитаната от заявителя форма за комуникация.

Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп.

В случай, че Администраторът не отговори на искането за достъп до лични данни в предвидените срокове или заявителят не е удовлетворен от получения отговор, той има право да упражни правото си на защита.

СЪВМЕСТНИ АДМИНИСТРАТОРИ

Чл.29. По силата на чл.26 от Регламента (GDPR), когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. В конкретния случай дружествата МИКС-КОНСТРЪКШЪН ООД и МИКС-ПС ООД са съвместни администратори.

МИКС-ПС ООД е търговско дружество, учредено и функциониращо по законите на Република България, вписано в Търговския регистър към Агенцията по вписванията с ЕИК 121159149, със седалище и адрес на управление в град София, пощенски код 1404, ул. Луи Айер №2, представлявано от двама Управители заедно и поотделно, тел. +35929150101, факс +35929582949, e-mail: miks@miks-ps.bgmiks@netbg.com,  интернет страница: https://miks.bg 

Предмет на дейност на МИКС-ПС ООД е: Комплексна проучвателна, проектантска, инженерингова, консултантска и изпълнителска дейност във всички области на строителството, в това число на промишлени, административни, обществени и търговски сгради, логистични и сервизни центрове и инфраструктурни проекти. Дружеството е специализирано в транспорт и монтаж на сглобяеми стоманобетонови конструкции, както и в поддръжката и управлението на механизация и автотранспорт. МИКС-ПС ООД е основен партньор на МИКС-КОНСТРЪКШЪН ООД, като осигурява обезпеченост на строителните обекти с механизация, транспортни и монтажни средства. Двете дружества работят в тясна обвързаност и изпълняват общи задачи по силата на рамкови договори.    

Чл.30. Съвместните администратори МИКС-КОНСТРЪКШЪН ООД и МИКС-ПС ООД, посредством договореност помежду си, определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламента (GDPR), по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информация.

Договореността между двете дружества надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данни.

Независимо от договореността, субектът на данни може да упражнява правата си по Регламента (GDPR) спрямо всеки от администраторите.

Чл.31. Настоящата Политика е валидна както за МИКС-КОНСТРЪКШЪН ООД, така и за МИКС-ПС ООД, в качеството им на съвместни администратори.

ЗАКЛЮЧЕНИЕ

Чрез тази Политика заявяваме, че добросъвестно и отговорно ще прилагаме Регламент (ЕС) 2016/679 (GDPR), отчитайки специфичните характеристики на обработваните данни и конкретните нужди на дружеството, прилагайки мерки за защита с цел гарантиране на сигурността, целостта и поверителността на личните данни.

Политиката е одобрена от управителите на дружествата на 25.05.2018 г.