POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE DIAS BULGARIA LTD .

con EIK 200203682, (abreviadamente » la Empresa»)

  1. Declaración sobre la política de protección de datos personales
  2. La dirección de la Compañía se compromete a garantizar el cumplimiento de la legislación de la UE y los estados miembros en materia de procesamiento de datos personales y la protección de los derechos y libertades de las personas cuyos datos personales la Compañía recopila y procesa , de acuerdo con el Reglamento ( UE) 2016/679 , sobre la protección de las personas físicas en relación con el tratamiento de datos personales y sobre la libre circulación de dichos datos y otras normas legales aplicables.
  3. De conformidad con el Reglamento, se ha elaborado la actual política de protección de datos personales “Política”, a la que se describen otros documentos relevantes, así como procesos y procedimientos relacionados.
  4. La política se aplica a todas las funciones de procesamiento de datos personales, incluidas las realizadas con respecto a datos personales de clientes, empleados, proveedores y socios y cualquier otro dato personal que la Compañía procese de diversas fuentes.
  5. La Compañía revisa la Política anualmente a la luz de cualquier cambio en sus operaciones, así como el cumplimiento de cualquier requisito adicional y la realización de evaluaciones de impacto en materia de protección de datos.
  6. Esta Política se aplica a todos los empleados y a otros terceros a quienes la Compañía la haya proporcionado en relación con el procesamiento de datos personales de los interesados. Cualquier violación al Reglamento o a la Política será considerada como una violación a la disciplina laboral, y en caso de que se presuma que se ha cometido un delito, el asunto será elevado a la consideración del gobierno correspondiente en el menor tiempo posible. autoridades.
  7. Se espera que los socios y terceros que trabajen con o para la Compañía, así como que tengan o puedan tener acceso a datos personales, se familiaricen con, comprendan y cumplan con esta Política. Ningún tercero podrá tener acceso a los datos personales en poder de la Compañía sin haber celebrado previamente un acuerdo de confidencialidad de datos que imponga al tercero obligaciones no menos gravosas que las asumidas por la Compañía y que le otorgue el derecho a realizar inspecciones de cumplimiento de las obligaciones impuestas por el acuerdo.
  8. Obligaciones y funciones según el Reglamento

1 . La empresa puede procesar datos personales , tanto en calidad de administrador de datos personales (determinando únicamente los fines y medios del procesamiento), como como procesador de datos personales que actúa por cuenta de terceros: administradores de datos personales. La empresa desarrolla sus principales actividades en el tratamiento de datos personales en su calidad de responsable del tratamiento de datos personales.

2 . La dirección de la empresa es responsable de desarrollar y promover buenas prácticas en el campo del procesamiento de la información.

3 . El cumplimiento de la legislación en materia de protección de datos es responsabilidad de todos los empleados que tratan datos personales.

III. Principios de protección de datos

El tratamiento de datos personales debe realizarse de conformidad con los principios de protección de datos establecidos en el artículo 5 del Reglamento. Las políticas y procedimientos de la Compañía tienen como objetivo garantizar el cumplimiento de estos principios.

  1. Los datos personales deben ser tratados de forma lícita, de buena fe y transparente

Legal: la Compañía debe identificar una base legal antes de procesar los datos personales relevantes. Esta base jurídica suele denominarse «base para el procesamiento», por ejemplo, «consentimiento».

De buena fe: para que el procesamiento sea de buena fe, el responsable del tratamiento debe proporcionar cierta información a los interesados en la medida en que sea prácticamente posible. Esto se aplica independientemente de si los datos personales se obtienen directamente de los interesados o de otras fuentes.

El reglamento aumenta los requisitos sobre qué información debe estar disponible para los interesados que está cubierta por el requisito de “transparencia”.

Transparente – El Reglamento incluye normas sobre el suministro de información confidencial a los interesados en los artículos 12, 13 y 14 del Reglamento. Son detallados y específicos, enfatizando que los avisos de privacidad sean comprensibles y accesibles. La información deberá comunicarse al interesado de forma comprensible, utilizando un lenguaje claro y comprensible.

La información específica que se proporcionará al interesado deberá incluir, como mínimo:

  • datos que identifican al responsable del tratamiento y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;
  • los contactos del responsable del tratamiento/delegado de protección de datos personales, si el administrador considera que entra dentro del ámbito de la designación obligatoria de dicha persona;
  • las finalidades del tratamiento a las que están destinados los datos personales, así como la base jurídica del tratamiento; el plazo durante el cual se almacenarán los datos personales;
  • la existencia de los siguientes derechos: solicitar acceso a los datos, corrección, eliminación (derecho al olvido), limitación del procesamiento, así como el derecho a oponerse a las condiciones (o falta de ellas) en relación con el ejercicio de estos derechos;
  • las categorías de datos personales;
  • los destinatarios o categorías de destinatarios de los datos personales, cuando corresponda;
  • cuando corresponda, si el responsable del tratamiento tiene intención de transferir los datos personales a un destinatario en un tercer país y el nivel de protección de los datos;
  • el derecho a apelar;
  • la fuente de los datos personales y, si corresponde, si los datos provienen de una fuente disponible públicamente; la existencia de toma de decisiones automatizada, incluida la elaboración de perfiles;
  • cualquier información adicional necesaria para garantizar un procesamiento justo.
  1. Los datos personales sólo podrán recopilarse para fines específicos, explícitamente especificados y lícitos.

Los datos obtenidos para fines específicos no deben utilizarse para fines distintos de aquellos para los cuales fueron recopilados anteriormente (artículo 30 del Reglamento).

  1. Los datos personales deben ser adecuados, pertinentes, limitados a lo necesario para su tratamiento para la finalidad pertinente. (principio mínimo necesario)

El gerente de la Empresa asegura que no recopila información que no sea estrictamente necesaria para el fin para el cual fue obtenida.

Todos los formularios de recolección de datos (electrónicos o en papel), incluidos los requisitos de recolección de datos en los nuevos sistemas de información, deben incluir una declaración de procesamiento de buena fe o un enlace a la Declaración de Privacidad o a esta Política (aviso de tratamiento confidencial de datos personales).

  1. Los datos personales deben ser exactos y estar actualizados en todo momento, y se han realizado los esfuerzos necesarios para permitir su eliminación o corrección inmediata (dentro de las posibles soluciones técnicas).

Los datos en poder del responsable del tratamiento deben ser revisados y actualizados según sea necesario. Los datos no deben almacenarse donde sea probable que sean inexactos.

El gerente garantiza que al contratar personal, todo el personal recibirá capacitación sobre la importancia de recopilar y mantener datos precisos.

Además, es obligación del interesado, respectivamente del administrador, en los casos en que la Empresa actúe como encargado del tratamiento de datos personales, declarar que los datos que transmite para su almacenamiento por parte de la Empresa son exactos y están actualizados. La cumplimentación de un formulario por parte del interesado/responsable destinado a la Compañía incluirá una declaración de que los datos contenidos en él son exactos en la fecha de envío.

Se debe exigir a los empleados/empleados, clientes y proveedores de productos/servicios que notifiquen a la Compañía de cualquier cambio en las circunstancias para que los registros de datos personales puedan actualizarse. Es responsabilidad de la Compañía garantizar que cualquier aviso de cambio de circunstancias se registre y se actúe en consecuencia.

El Gerente de la Compañía declara que existen procedimientos y políticas apropiadas para mantener la exactitud y actualización de los datos personales, teniendo en cuenta el volumen de datos recopilados, la velocidad con la que pueden cambiar y otros factores relevantes .

Al menos una vez al año, el Responsable de la empresa revisará los períodos de conservación de todos los datos personales procesados por él, refiriéndose al inventario de datos e identificará aquellos datos que ya no sean necesarios en el contexto del propósito registrado. Estos datos se destruirán de forma segura de acuerdo con los procedimientos y políticas del administrador.

El Responsable de la Sociedad adecuará los datos personales correspondientes a las solicitudes de corrección de datos debidamente recibidas en el plazo de un mes a partir de la fecha de recepción de la solicitud de acuerdo con la normativa interna de gestión de solicitudes de las entidades. Este plazo podrá ampliarse otros dos meses para solicitudes complejas. Si decide no atender la solicitud, la Empresa responderá al interesado para explicarle sus motivos y para informarle de su derecho a presentar una reclamación ante la autoridad de control y solicitar reparación judicial.

El Gerente de la Compañía toma las medidas apropiadas, en los casos en que organizaciones de terceros tengan datos personales inexactos o desactualizados, les informa que la información es inexacta o está desactualizada y no se utiliza para tomar decisiones sobre las personas, informa a las personas relevantes; y envía cualquier corrección de datos personales a terceros cuando sea necesario.

  1. Los datos personales deben almacenarse de forma que el interesado pueda ser identificado sólo durante el tiempo necesario para el tratamiento.

Cuando los datos personales se conserven después de la fecha de procesamiento, se almacenarán de manera adecuada (encriptados, seudonimizados ) para proteger la identidad del interesado en caso de una violación de datos.

Los datos personales se conservarán de acuerdo con las reglas internas de almacenamiento y destrucción de datos descritas en la Sección VIII de la Política y, una vez transcurrido su período de conservación, deberán ser destruidos fehacientemente de acuerdo con las instrucciones de este procedimiento.

El Responsable aprueba cualquier retención de datos que exceda el período de retención de acuerdo con esta Política y debe garantizar que la justificación esté claramente definida y cumpla con los requisitos de la legislación de protección de datos. Esta aprobación debe ser por escrito.

  1. Los datos personales deben ser tratados de forma que se garantice una seguridad adecuada (Art. 24, Art. 32 del Reglamento)

El Responsable de la Empresa realizará una evaluación de impacto (evaluación de riesgos) teniendo en cuenta todas las circunstancias relacionadas con la gestión de datos o las operaciones de procesamiento.

Al determinar la idoneidad del procesamiento, el Contralor de la Compañía considera el grado de daño o pérdida potencial que se puede causar a las personas físicas (por ejemplo, personal o clientes) si se produce una violación de la seguridad, así como cualquier daño probable a la reputación del administrador, incluido una posible pérdida de confianza del cliente.

Al evaluar las medidas técnicas apropiadas, el Gerente de la Compañía considerará las siguientes opciones:

  • Protección de contraseña;
  • Bloqueo automático de estaciones de trabajo inactivas en la red;
  • Eliminar los derechos de acceso a USB y otros medios de almacenamiento portátiles;
  • Software antivirus y cortafuegos;
  • Derechos de acceso basados en roles, incluidos los del personal temporal asignado
  • La protección de dispositivos que salen de las instalaciones de la organización, como ordenadores portátiles u otros;
  • Seguridad de redes de área local y amplia ;
  • Tecnologías que mejoran la privacidad, como la seudonimización y la anonimización .

A la hora de valorar las medidas organizativas adecuadas, el Gerente de la Sociedad tendrá en cuenta lo siguiente:

  • Niveles de formación adecuados;
  • Las medidas que tienen en cuenta la confiabilidad de los empleados (por ejemplo, calificaciones de certificación, referencias, etc.);
  • La inclusión de la protección de datos en los contratos de trabajo;
  • Identificación de medidas disciplinarias por infracciones en relación con el procesamiento de datos;
  • Inspección periódica del personal para comprobar el cumplimiento de las normas de seguridad pertinentes;
  • Control de acceso físico a registros electrónicos y en papel;
  • La adopción de una política de «lugar de trabajo limpio»;
  • Almacenamiento de documentos de bases de datos en armarios de pared con cerradura;
  • Limitar el uso de dispositivos electrónicos portátiles con fines laborales fuera del lugar de trabajo;
  • Limitar el uso de dispositivos personales por parte de los empleados en el lugar de trabajo;
  • Aceptar reglas claras para la creación y uso de contraseñas;
  • Creación periódica de copias de seguridad de datos personales y almacenamiento físico de soportes con copias fuera de la oficina;
  • Imponer obligaciones contractuales a las organizaciones contrapartes para que adopten las medidas de seguridad adecuadas al transferir datos fuera de la UE.
  • Estos controles se seleccionan en función de los riesgos identificados para los datos personales, así como del potencial de daño a las personas cuyos datos se procesan.
  1. Cumplimiento del principio de rendición de cuentas

La Empresa demostrará el cumplimiento de los principios de protección de datos mediante la implementación de políticas de protección de datos, la adhesión a códigos de conducta, la implementación de medidas técnicas y organizativas apropiadas, así como mediante la protección de datos por defecto, la evaluación del impacto de la privacidad de los datos, el procedimiento de notificación de violación de datos personales, etc.

  1. Datos personales tratados por la Empresa

Trata datos personales de sus clientes, empleados y demás personas con quienes el mismo tenga relaciones contractuales o deba tratar sus datos por ley, de la siguiente manera (Registro):

  1. Empleados de la Empresa
Descripción del proceso) Datos personales tratados Terceros – destinatarios de datos personales Plazo de conservación de los datos personales Método de procesamiento
Selección de empleados Detalles de contacto (nombres, teléfono, dirección de correo electrónico), detalles de educación y experiencia profesional y otra información proporcionada por el solicitante. Jobs.bg, proveedores de servicios de reclutamiento/contratación 6 meses desde la recepción de los datos por medios no automáticos – en papel por medios automáticos – computadora, disco duro, servidor en la nube
Celebración de contratos civiles. Nombres, número de seguridad social , información personal, dirección permanente, IBAN, teléfono, dirección de correo electrónico Proveedores de servicios contables externos, NRA, NOI, FAB Contratos y protocolos civiles de trabajo transferido – hasta 5 años, a partir del 1 de enero del año siguiente a aquel en que fueron emitidos (para efectos del control tributario y de seguridad social) por medios no automáticos – en papel por medios automáticos – computadora, disco duro, servidor en la nube
Administración de relaciones laborales – pago de salarios Nombres, IBAN, experiencia laboral, otros datos personales en nóminas Proveedores de servicios contables externos, NRA, NOI, MTSP, FAB Hasta lo que ocurra primero entre 1) la terminación de la actividad de la Empresa y transferencia al Instituto Nacional de Ciencias Sociales o 2) el vencimiento de 50 años. por medios automáticos: computadora, disco duro, servidor en la nube
Administración de relaciones laborales – hospitalaria y medicina del trabajo Nombres, información de salud de las hojas de enfermedad al tomar una licencia por enfermedad general/otros Oficina de Medicina Ocupacional, NOI Baja por enfermedad: 3 años, a partir del 1 de enero del año siguiente al de emisión de la baja por enfermedad. Datos de exámenes preventivos: almacenados únicamente por el servicio de medicina del trabajo. por medios no automáticos – en papel lo llevas por medios automáticos – computadora, en disco duro, en un servidor en la nube
Administración de relaciones laborales: celebración de contratos de trabajo y mantenimiento de registros laborales. Al celebrar el contrato de trabajo: nombres, número de seguridad social , número de identificación personal , dirección permanente, IBAN, teléfono, dirección de correo electrónico, certificado médico, cuando así lo establezca la ley. Documentos relacionados con la relación laboral: órdenes de nombramiento, rescisión de un contrato de trabajo, etc., que contengan nombres, número de seguridad social, datos de la agencia de empleo , importe de la remuneración, IBAN, etc. Copia del diploma: solo cuando la lista de personal indique que el puesto requiere cierta educación o grado de calificación. NRA, NOI Empresa contable externa Contratos de trabajo y convenios adicionales, órdenes de nombramiento, órdenes de reasignación, órdenes de licencia no remunerada utilizada de más de 30 días hábiles, órdenes de terminación de relaciones laborales – hasta la terminación de la actividad de la Empresa y transferencia al Instituto Nacional de Seguridad Social. Registros de empleo no reclamados, diario de registros de empleo emitidos, certificados: 50 años. Todos los demás documentos y datos personales del expediente (copia del diploma, fotografía, médico de ingreso, número de teléfono, pedidos distintos a los mencionados anteriormente, etc.) – hasta lo último de 1) la terminación de la relación laboral o 2) liquidación de la relación con el ex empleado. por medios no automáticos – en papel por medios automáticos – computadora, disco duro, servidor en la nube

Al unirse a la Compañía, los empleados reciben notificaciones detalladas sobre sus datos personales.

El Responsable es el responsable de la administración de los datos personales antes mencionados.

  1. Clientes de la empresa:
Descripción del proceso) Datos personales tratados Terceros – destinatarios de datos personales Plazo de conservación de los datos personales Método de procesamiento
Realización de pedidos / solicitudes / consultas a través de la página web de la Empresa: www.diasflooring.com Nombres, número de teléfono, correo electrónico, dirección de entrega. A un transportista/mensajería para la entrega y el procesamiento de pagos Hasta 3 años; por medios no automáticos – en papel por medios automáticos – computadora, disco duro, servidor en la nube
Responder a consultas, preguntas y comentarios. El alcance del intercambio de datos personales queda a discreción del usuario/cliente: nombres, número de teléfono, correo electrónico, dirección de envío. No se proporcionan a terceros a menos que la empresa así lo exija la ley. Hasta 6 meses por medios no automáticos – en papel por medios automáticos – computadora, disco duro, servidor en la nube
Notificación de actualizaciones y novedades sobre los servicios y bienes que brindamos. El alcance del intercambio de datos personales queda a discreción del usuario/cliente: nombres, número de teléfono, correo electrónico, dirección de envío. No se proporcionan a terceros a menos que la empresa así lo exija la ley. Hasta 3 años por medios automáticos: computadora, disco duro, servidor en la nube

Recopilamos sus datos personales directamente de usted, por lo que tiene control sobre el tipo de información que nos proporciona. Es posible navegar por nuestro sitio web y nuestra página de Facebook/ Instagram sin proporcionarnos información personal. Sin embargo , existen situaciones específicas que pueden requerir que nos proporciones datos personales.

Ejemplos de casos que requieren que usted proporcione dicha información son:

  • En relación con escribir y publicar comentarios o información adicional en nuestro sitio web y/o nuestra página de Facebook/ página de Instagram ;
  • Al enviar consultas y mensajes a través de nuestro correo electrónico, a través de nuestro sitio web, a través del módulo de mensajes privados en nuestra página de Facebook / Instagram , a través de mensajes en el sitio de compras en línea donde la Compañía tiene perfil y anuncios publicados, así como por teléfono ;
  • Al realizar pedidos relacionados con los productos que ofrecemos, dichos pedidos se pueden realizar por teléfono, a través del sitio web, por correo electrónico, mediante un mensaje a nuestra página de Facebook/ Instagram , así como a través de mensajes en sitios de compras en línea. , en el que la Empresa tiene un perfil y anuncios publicados;
  • En relación con cualquier sección del Sitio Web donde usted, de forma consciente y voluntaria, proporcione información y datos personales.

El Administrador es responsable de la administración de los datos personales antes mencionados.

Cuando utiliza su perfil en plataformas de redes sociales como Facebook y otras, así como en sitios web de compras en línea, tenemos derecho a procesar los datos personales que haya hecho visibles en su perfil. En definitiva, tratamos su información y datos personales con las siguientes finalidades:

  • Responder a sus consultas, preguntas y comentarios;
  • Procesar sus pedidos;
  • Notificación de actualizaciones y novedades relacionadas con los productos que ofrecemos;
  • Detectar, investigar y prevenir acciones que puedan violar nuestras políticas o sean ilegales.

Además, podemos recopilar y posteriormente procesar cierta información sobre su comportamiento de navegación en línea en nuestro sitio web para personalizar su experiencia y preparar ofertas que se adapten a sus intereses. Puede obtener más información a este respecto leyendo la sección sobre procesamiento a continuación.

En nuestro sitio web, podemos almacenar y recopilar información mediante cookies . Una «cookie» es un pequeño archivo de texto que se almacena en la computadora de un visitante de un sitio web para identificar su navegador durante la interacción con un sitio web. Cualquier sitio puede enviar una «cookie» al navegador si la configuración de éste lo permite. El navegador permite que sólo el sitio que ha almacenado cookies acceda a la información almacenada. Nuestro sitio web utiliza «cookies» para almacenar las preferencias de los visitantes individuales del sitio, así como para análisis de tráfico agregado, «recordando» su computadora y no cualquier información personal sobre usted.

  1. Motivos y finalidades del tratamiento de datos personales

Utilizaremos sus datos personales para las siguientes finalidades:

Suministro de bienes ofrecidos a través del sitio web de la Compañía, la página de Facebook/ Instagram de la Compañía , así como también ofrecidos en nombre de la Compañía en sitios web de compras en línea.

Este propósito general podrá incluir, según corresponda, lo siguiente:

  • procesamiento de pedidos, incluida la aceptación, validación y facturación de los mismos;
  • resolver cualquier problema relacionado con pedidos y bienes comprados;
  • presentar quejas de los usuarios de conformidad con las disposiciones de la legislación búlgara vigente;
  • devolución del valor de las mercancías según las disposiciones legales;
  • Brindar soporte, incluido brindar respuestas a sus preguntas en relación con los pedidos realizados por usted desde el sitio web de la Compañía, nuestra página de Facebook / nuestra página de Instagram , correo electrónico, sitios web de compras en línea donde la Compañía tiene un perfil y anuncios publicados o a través de los sitios web proporcionados. de nosotros números de teléfono de contacto.

El procesamiento de sus datos personales para estos fines es en la mayoría de los casos necesario para la celebración y ejecución de un contrato entre usted y la Compañía (incluidos los contratos orales y a distancia, así como para los contratos no identificados aplicables , contratos de pedido, contratos de producción, contratos de entrega). , contrato de compraventa, etc.). Además, para el cumplimiento de estos fines, se requiere el procesamiento de acuerdo con las disposiciones legales aplicables del territorio de la República de Bulgaria, incluida la legislación fiscal y contable.

  1. Marketing

Nuestro deseo es que usted esté siempre al tanto de todos los próximos eventos, así como de las mejores ofertas en cuanto a productos y servicios organizados u ofrecidos por la Empresa. En este sentido, podremos enviarle todo tipo de mensajes a través de canales de mensajes electrónicos que contengan información general y de actualidad. Siempre nos aseguramos de que este tratamiento se realice respetando estrictamente sus derechos y libertades, y que las decisiones tomadas en relación con ellos no den lugar a consecuencias legales para usted.

Protección de nuestros intereses legítimos

Puede haber casos en los que sea necesario que utilicemos o transmitamos información para proteger los derechos de la Compañía. Estos pueden incluir:

  • medidas para proteger el sitio web de la Compañía contra ataques cibernéticos ;
  • medidas para la prevención y detección oportuna de intentos de fraude, incluida la transmisión de información a las autoridades públicas competentes;
  • medidas para gestionar otros riesgos diversos.

El motivo principal de este tipo de procesamiento son los intereses legítimos de la Compañía,
relacionados con la protección de su actividad, y garantizamos que todas las medidas que tomamos cumplen tanto con nuestros intereses como con sus derechos y libertades fundamentales.

Actualmente almacenamos y procesamos sus datos personales en el territorio de la República de Bulgaria.

Sin embargo, existe la posibilidad de que algunos de sus datos puedan ser transferidos a entidades ubicadas dentro o fuera de la Unión Europea.

  1. Derechos de los interesados
  2. Cada uno de los interesados tiene los siguientes derechos en relación con el tratamiento de sus datos, así como de los datos que sobre ellos se registren:

Realizar solicitudes para confirmar si se están procesando datos personales que le conciernen y, en caso afirmativo, obtener acceso a los datos, así como información sobre quiénes son los destinatarios de dichos datos;

  • Solicitar una copia de sus datos personales al administrador;
  • Solicitar al administrador la corrección de los datos personales cuando sean inexactos, así como cuando hayan dejado de estar actualizados;
  • Exigir al administrador la supresión de datos personales («derecho al olvido»);
  • Solicitar al administrador que limite el tratamiento de los datos personales, en cuyo caso los datos sólo serán conservados, pero no tratados de otra forma;
  • Oponerse al tratamiento de sus datos personales;
  • Oponerse al tratamiento de datos personales que le conciernen con fines de marketing directo.
  • Presentar una denuncia ante una autoridad de control si considera que se ha violado alguna de las disposiciones del Reglamento;
  • Solicitar y recibir datos personales en un formato estructurado, ampliamente utilizado y legible por máquina;
  • Retirar el consentimiento para el procesamiento de datos personales en cualquier momento mediante solicitud separada dirigida al administrador;
  • No ser objeto de decisiones automatizadas que le afecten significativamente, sin posibilidad de intervención humana;
  • Oponerse a la elaboración de perfiles automatizados que se produzcan sin su consentimiento .
  1. La empresa proporciona condiciones para garantizar el ejercicio de estos derechos por parte del interesado

Los interesados podrán realizar solicitudes de acceso a los datos según lo descrito en las normas para la gestión de solicitudes de los interesados; este procedimiento también describe cómo la empresa garantizará que la respuesta a la solicitud del interesado cumpla con los requisitos del Reglamento.

Los interesados tienen derecho a presentar quejas a la Compañía relacionadas con el procesamiento de sus datos personales.

  1. Consentir
  2. Por «consentimiento», la Empresa entenderá cualquier manifestación libremente expresada, específica, informada e inequívoca de la voluntad del titular, mediante una declaración o una acción afirmativa clara, que exprese su consentimiento a los datos personales relacionados con él siendo procesado. El interesado puede retirar su consentimiento en cualquier momento.
  3. La empresa entiende por «consentimiento» únicamente los casos en los que el interesado ha sido plenamente informado sobre el tratamiento previsto y ha manifestado su consentimiento y sin que se ejerza presión alguna sobre él. El consentimiento obtenido bajo coacción o basado en información engañosa no será una base válida para el tratamiento de datos personales.
  4. No se puede inferir el consentimiento de la falta de respuesta a un mensaje dirigido al interesado. Debe haber comunicación activa entre el controlador y el sujeto para que exista consentimiento. El administrador debe poder demostrar que se ha obtenido el consentimiento para las actividades de tratamiento.
  5. Para categorías especiales de datos deberá obtenerse el consentimiento expreso y por escrito de los interesados, salvo que exista una base legal alternativa para el tratamiento.
  6. En la mayoría de los casos, el consentimiento para el procesamiento de datos personales y categorías especiales de datos se obtiene de forma rutinaria utilizando documentos de consentimiento estándar, p.e. cuando un nuevo cliente firma un contrato o durante la contratación, etc.

VII. Seguridad de datos

  1. Todos los empleados/empleados son responsables de garantizar la seguridad del almacenamiento de los datos de los que son responsables y que posee la empresa y de que los datos se almacenen de forma segura y no se divulguen bajo ninguna circunstancia a terceros a menos que la empresa no lo haya hecho. concedió dichos derechos a ese tercero mediante la celebración de un acuerdo/cláusula de confidencialidad.
  2. Todos los datos personales deben ser accesibles únicamente para quienes los necesiten, y el acceso sólo podrá otorgarse de acuerdo con las reglas de control de acceso establecidas. Todos los datos personales deberán ser tratados con la máxima seguridad y deberán almacenarse:
  • en una habitación privada con acceso controlado; y/o en un gabinete o archivador cerrado con llave; y/ o
  • si está informatizado, protegido con una contraseña de acuerdo con los requisitos internos especificados en las medidas organizativas y técnicas para controlar el acceso a la información ( por ejemplo, reglas de control de acceso ); y/o
  • almacenados en soportes informáticos portátiles protegidos de acuerdo con medidas organizativas y técnicas para controlar el acceso a la información.
  1. Establecer una organización para garantizar que las pantallas y terminales de las computadoras no puedan ser vistos por nadie más que los empleados autorizados. Todos los empleados deben recibir capacitación y aceptar las cláusulas/declaraciones contractuales pertinentes para cumplir con las medidas organizativas y técnicas de acceso y las reglas de bloqueo de estaciones de trabajo antes de que se les conceda acceso a información de cualquier tipo.
  2. Los registros en papel no deben dejarse donde puedan tener acceso personas no autorizadas y no pueden retirarse de las instalaciones de oficina designadas sin permiso expreso. Tan pronto como los documentos en papel ya no sean necesarios para el trabajo actual, deberán destruirse de acuerdo con las normas internas creadas a tal efecto.
  3. Los datos personales podrán ser eliminados o destruidos únicamente de acuerdo con las reglas de almacenamiento y destrucción de datos especificadas en la sección VIII de esta Política. Los registros en papel que hayan llegado a su fecha de conservación deben triturarse y destruirse como «residuos confidenciales». Los datos de los discos duros de las computadoras personales redundantes deben borrarse o destruirse las unidades de acuerdo con las políticas y procedimientos establecidos.
  4. El tratamiento de datos personales “fuera de la oficina” representa un riesgo potencialmente mayor de pérdida, robo o violación de datos personales, por lo que el mismo se permite excepcionalmente.

VIII. Divulgación de datos

  1. La Compañía proporciona condiciones bajo las cuales los datos personales no se divulgan a terceros no autorizados, lo que incluye familiares, amigos, autoridades gubernamentales, incluso autoridades de investigación, si existe duda razonable de que no son necesarios en el orden establecido. Todos los empleados/empleados deben tener cuidado cuando se les solicite que revelen a un tercero datos personales almacenados sobre otra persona. Es importante considerar si la divulgación de la información está relacionada o no con las necesidades de la actividad que realiza la organización.

Los empleados reciben formación especial e instrucciones periódicas para evitar el riesgo de tal infracción.

  1. Todas las solicitudes de terceros para proporcionar datos deben estar respaldadas por la documentación adecuada y toda divulgación de datos debe ser autorizada específicamente por el Gerente de la Compañía.

Destinatarios de sus datos personales

La Compañía se compromete a aplicar los más altos estándares de prácticas éticas y legales en todas sus actividades, incluida la protección de los datos personales de todos los usuarios del sitio web. Excepto lo establecido a continuación, no divulgaremos ni permitiremos que nadie fuera de la Compañía acceda o utilice su información personal.

Dependiendo de las particularidades de cada caso concreto, podremos transferir o proporcionar acceso a algunos de sus datos personales a las siguientes categorías de destinatarios:

  • proveedores de servicios bancarios/de pago;
  • proveedores de servicios de mensajería;
  • subcontratistas de servicios ofrecidos por la Compañía;
  • y a otras categorías de personas en relación con la celebración y ejecución de contratos (incluidos los orales e informales) entre usted y la Compañía.

Garantizamos que el acceso a sus datos por parte de personas jurídicas privadas – terceros se realiza , de conformidad con las disposiciones legales en materia de protección de datos personales y confidencialidad de la información , en base a los contratos celebrados con ellas, y están obligados a proteger la confidencialidad y seguridad de su información y datos personales. No están autorizados a utilizar, divulgar o cambiar esta información de ninguna manera excepto para los fines de realizar los servicios asignados por la empresa.

Si nos lo exige la ley o si esto es necesario para proteger nuestros intereses legítimos, también tenemos derecho a revelar ciertos datos personales a las autoridades públicas.

  1. Almacenamiento y destrucción de datos.
  2. No almacena datos personales en una forma que permita la identificación de los sujetos por un período más largo del necesario en relación con los fines para los cuales fueron recopilados.
  3. Podrá almacenar datos durante períodos más prolongados sólo si los datos personales se procesarán con fines de archivo, con fines de interés público, de investigación científica o histórica y con fines estadísticos, y solo en la implementación de medidas técnicas y organizativas apropiadas para garantizar los derechos. y libertades del interesado.
  4. El período de almacenamiento para cada categoría de datos personales se define en esta Política.
  5. Los datos personales se destruirán de forma segura, de conformidad con las exigencias del art. 5, párr . 1b. f) del Reglamento, aplicando medidas técnicas u organizativas apropiadas contra pérdida, destrucción o daño accidental («integridad y confidencialidad»);
  6. Una vez que cesa la necesidad de procesar la categoría relevante de datos personales, la Compañía toma medidas para destruir los datos de acuerdo con estas reglas.
  7. Todos los datos personales almacenados en papel se destruyen en la oficina de la Compañía mediante una trituradora . En el caso de que dicho dispositivo no esté disponible en el momento de la obligación de destrucción, los datos se destruirán cortándolos con tijeras, y el responsable de la destrucción deberá asegurarse de que después del corte los datos no puedan recuperarse. Cuando el soporte papel correspondiente contenga además otros datos que aún sean tratados por la Empresa sobre una determinada base jurídica, los datos innecesarios se eliminarán del soporte papel por medios que no permitan su recuperación;
  8. Los datos almacenados en forma de mensajes electrónicos (correos electrónicos) se destruyen mediante eliminación permanente (eliminación tras la cual los correos electrónicos no se pueden recuperar).
  9. Los datos personales almacenados en formato electrónico se eliminan de forma que no permite su recuperación.
  10. Después de la destrucción de datos personales, la persona que llevó a cabo la destrucción emite un informe especial, que debe contener información sobre la categoría de datos personales, la forma en que se almacenaron los datos, el motivo de la destrucción realizada, el método. de destrucción segura, fecha de destrucción, nombres y firma de la persona que realizó la destrucción.
  11. Registro de procesamiento de datos (inventario de datos)
  12. La Compañía utiliza un proceso de inventario de datos como parte de su enfoque para abordar los riesgos y oportunidades en el proceso de cumplimiento de la política de cumplimiento del Reglamento. El inventario de datos y el flujo de trabajo de datos identificarán:
  • los procesos comerciales que utilizan datos personales;
  • las fuentes de datos personales;
  • el número de interesados;
  • una descripción de las categorías de datos personales y los elementos de cada categoría;
  • actividades de procesamiento;
  • los fines del tratamiento al que están destinados los datos personales;
  • la base legal para el procesamiento;
  • los destinatarios o categorías de destinatarios de los datos personales;
  • los principales sistemas y ubicaciones de almacenamiento;
  • cualquier dato personal sujeto a transferencias fuera de la UE;
  • períodos de almacenamiento y eliminación.
  1. La empresa es consciente de los riesgos asociados al tratamiento de determinado tipo de datos personales.
  2. La empresa evalúa el nivel de riesgo de las personas relacionadas con el tratamiento de sus datos personales. Las evaluaciones de impacto de la protección de datos se llevan a cabo en relación con el procesamiento de datos personales y en relación con el procesamiento realizado por otras organizaciones en nombre de la Compañía.
  3. La empresa gestiona todos los riesgos identificados por la evaluación de impacto con el fin de reducir la probabilidad de incumplimiento de estas normas.
  4. Quejas

Tiene derecho legal a presentar una queja ante la autoridad supervisora local con respecto al procesamiento de sus datos personales. En el territorio de la República de Bulgaria, los datos de contacto de la autoridad de control de la protección de datos son los siguientes:

Comisión de Protección de Datos Personales 

Dirección: Sofía, bulevar Tsvetan Lazarov n.º 2.

Telf. +359 2 915 3580; fax: +359 2 915 3525

Correo electrónico : kzld@cpdp.bg

Sitio web: http://www.cpdp.bg/ 

Sin limitar de ninguna manera su derecho legal a contactar con la autoridad de control en cualquier momento, le pedimos que se comunique con nosotros con anticipación y le garantizamos que haremos nuestros mejores esfuerzos para resolver cualquier problema que surja de manera amistosa.

Llamar la atención de las personas especificadas en esta Política.

Esta Política de Privacidad ha sido aprobada por el Responsable en La empresa .

ciudad . Sofía / 2024