ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ на „ЕС АР ТРЕЙД“ ЕООД

I. ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. (1) Настоящата политика за защита на личните данни урежда условията и реда за обработване на лични данни и тяхната защита, както и реда за водене на регистри с личните данни в „ЕС АР ТРЕЙД“ ЕООД, еднолично дружество с ограничена отговорност, надлежно учредено и валидно съществуващо съгласно законите на Република България, регистрирано в Търговския регистър под ЕИК 203504527, със седалище и адрес на управление град София 1407, район Триадица, ул. Димитър Манчев № 1Г, вх. А, ет. 5, ап. Н5.2.
(2) Настоящата политика за защита на личните данни се прилага и за уебсайта – http://sr-trade.bg, собственост на „ЕС АР ТРЕЙД“ ЕООД, ЕИК 203504527.
(3) Настоящата политика се издава на основание Закона за защита на личните данни и Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

Цели
Чл. 2. (1) Настоящата политика има за цел да регламентира:
(2) процедурите, механизмите и условията за законосъобразно обработване и съхранение на лични данни;
(3) видовете регистри с лични данни и начина на поддържането им;
(4) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);
(5) правата и задълженията на администратора на лични данни, на обработващия лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на администратора на лични данни, тяхната отговорност при неизпълнение на тези задължения;
(6) правата на физическите лица, на които се обработват или съхраняват лични данни или т.н субекти на данни;
(7) процедури за докладване, управляване и реагиране при инциденти.

Обхват
Чл. 3. (1) Настоящата политика е задължителна и се прилага от всички служители на „ЕС АР МЕНИДЖМЪНТ И КОНСУЛТИРАНЕ“ ЕООД, заети по трудови или граждански правоотношения.
(2) Настоящата политика е задължителна и се прилага от всички външни консултанти, които са в договорни взаимоотношения с „ЕС АР ТРЕЙД“ ЕООД. Външните консултанти са Обработващи личните данни, по смисъла на член 28 от Регламент (ЕС) 2016/679.

II. ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ

Чл. 4. (1) По смисъла на настоящите правила:
(2) Лични данни е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
(3) Обработване на лични данни е всяка операция или съвкупности от операции, която „ЕС АР ТРЕЙД“ ЕООД извършва с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(4) Администратор на лични данни е „ЕС АР ТРЕЙД“ ЕООД, както и всяко друго физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
(5) Обработващ лични данни е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на „ЕС АР ТРЕЙД“ ЕООД.
(6) Регистър с лични данни е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

III. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 5. (1) „ЕС АР ТРЕЙД“ ЕООД като администратор на лични данни обработва личните данни чрез съвкупност от действия с автоматични или неавтоматични средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(2) „ЕС АР ТРЕЙД“ ЕООД обработва личните данни самостоятелно или чрез възлагане на лица, обработващи данните, като определя целите и обема на задълженията, възложени от администратора, при наличие на релевантно правно основание, съгласно ЗЗЛД и Регламент (ЕС) 2016/679.
(3) Обработващи данните лица от името на „ЕС АР ТРЕЙД“ ЕООД се явяват всички служители на Дружеството, чиито права и задължения, във връзка с обработването се уреждат с настоящата политика.
(4) Администраторът може да определи външни консултанти като юристи, счетоводители и специалисти по информационното обслужване да обработват личните данни от негово име за изпълнение на целите посочени в член 8. В този случай отношенията между администратора и външните консултанти се урежда с договора между тях. Настоящата политика за защита на личните данни е задължителна и се спазва и от външните консултанти, явяващи се обработващи от името на Администратора.

Принципи на обработването
Чл. 6. „ЕС АР ТРЕЙД“ ЕООД обработва личните данни при спазване на следните принципи:
Принцип на законосъобразно обработване – личните данни се обработват законосъобразно, добросъвестно и прозрачно;
Принцип на ограниченото събиране – събирането на лични данни трябва да бъде в рамките на необходимото;
Принцип на ограниченото използване, разкриване и съхранение – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват само толкова време, колкото е необходимо за изпълнението на тези цели;
Принцип на прецизност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се използват;
Принцип на сигурността и опазването – личните данни трябва да са защитени с мерки за сигурност, съответстващи на чувствителността на информацията;

Основания за законосъобразно обработване
Чл. 7. „ЕС АР ТРЕЙД“ ЕООД като администратор на лични данни винаги обработва личните данни при наличие на едно от следните основания за законосъобразно обработване:
Нормативно основание – обработването на личните данни е необходимо за изпълнение на законово установено задължение. Такива задължения например са: съхраняване на счетоводни документи, съобразно Закона за счетоводството, задължения породени от Закона за мерките срещу изпирането на пари, както и всички други нормативни задължения на администратора;
Изрично писмено съгласие – физическото лице чрез писмена декларация изразява изричното си съгласие да му бъдат обработвани личните данни, както за какви цели и за какъв срок (Приложение №1);
Изпълнение на договор – обработването е необходимо за сключване или изпълнение на договор, по който физическото лице, за което се отнасят данните е страна или представител на страната;
Обществен интерес – обработвенето е необходимо за изпълнението на задача, която се осъществява в обществен интерес.

Цели на обработването
Чл. 8. (1) „ЕС АР ТРЕЙД“ ЕООД като администратор на лични данни обработва законосъобразно личните данни, за изпъление на предлаганите от Дружеството услуги, като за целта физическите лица предварително са ги заявили и изразили своето изрично съгласие.
(2) „ЕС АР ТРЕЙД“ ЕООД обработва лични данни във връзка с изпълнение на следните услуги, но не само:
подготовка и учредяване на търговски дружества;
юридически услуги като консултации и изготвяне на всички видове договори, споразумения, пълномощни и всякакви други правни документи;
посредничество при откриване на банкови сметки;
счетоводни и финансови услуги;
рекламни и маркетинг услуги;
мениджмънт и бизнес развитие на търговски дружества.
(3) Целта на обработка на личните данни е еднозначно да се идентифицира физическите лица, а именно контрагенти, клиенти, настоящи и бъдещи служители на Дружеството. Обработката на данни е най – често вследствие на изрична писмена декларация за съгласие и изпълнение на нормативно установено задължение на администратора на лични данни.
(4) Във връзка с изпълнение на нормативно установени задължения, при осъществяване на своята дейност, Дружеството обработва лични данни на физически лица за следните цели:
Идентифициране и обмен на информацията за целите на търговското, трудовото, социалното и данъчно право.
Идентифициране на клиенти и проверка на идентификацията на физическите лица чрез представяне на официален документ за самоличност при спазването на разпоредбите на Закона за мерките срещу изпирането на пари.
(5) За изпълнение на горепосочените услуги, администратора на лични данни събира, записва обработва,съхрянава и предава следните категории лични данни:
Идентификатор като имена;
Идентификационен номер (ЕГН) и дата на раждане;
Данни за документа за самоличност;
Адрес, телефон, имейл адрес;
Онлайн идентификатори, включително ай пи адреси и др.
Чл. 9. (1) „ЕС АР ТРЕЙД“ ЕООД уведомява всички лица, че НЕ събира, записва, съхранява или обработва по какъвто и да е начин техни Специални категории лични данни по смисъла на Регламент (ЕС) 2016/679.
(2) „ЕС АР ТРЕЙД“ ЕООД, при спазване на нормативните изисквания на трудовото и осигурителното право, може инцидентно да обработва единствено за своите служители Специални категории лични данни по смисъла на Регламент (ЕС) 2016/679, в това число лични данни свързани със здравословното състояние на служителите си като болнични листове, медицинско свидетелство при постъпване на работа и други медицински документи.
Последица от отказ за предоставяне на лични данни
Чл. 10. (1) В случай на отказ за доброволно предоставяне на изискваните лични данни, „ЕС АР ТРЕЙД“ ЕООД няма да бъде в състояние да Ви предостави и изпълни своите продукти и услуги.
(2) Изрично съгласие на физическите лица, чиито данни се обработват не винаги е необходимо, ако Администраторът разполага с друго правно основание за обработка на лични данни – например нормативно установено задължение във връзка с изискванията на Закона за мерките срещу изпиране на пари и Правилника по прилагането му.
IV. РЕГИСТРИ С ЛИЧНИ ДАННИ
Видове регистри
Чл. 11. „ЕС АР ТРЕЙД“ ЕООД набира и съхранява лични данни за изпълнение на целите посочени в чл. 8, като води следните регистри с лични данни:
1. Регистър „Клиенти“
2. Регистър „Потребители на уебсайта“
3. Регистър „Контрагенти“
4. Регистър „Служители и кандидати за работа“

Регистър „Клиенти“
Чл. 12. (1) Регистър „Клиенти“ съдържа информация и лични данни за всички клиенти на „ЕС АР ТРЕЙД“ ЕООД, които са пожелали някоя от предлаганите услуги от Дружеството.
(2) Администратора обработва личните данни в Регистър „Клиенти“ на основание изрично съгласие от страна на физическото лице, по смисъла на Чл. 6, ал. 1, буква „а“ от Регламент (ЕС) 2016/679.
(3) При липса на изрично съгласие Администратора може да обработва личните данни на едно от другите основания посочени в чл. 7.
(4) Администратора води структурирано досие за всеки отделен клиент, което съдържа следните групи лични данни:
Физическа идентичност: имена, дата на раждане, ЕГН, гражданство, данни от документа за самоличност, адрес, телефон, имейл адрес и други лични данни.
(5) Администраторът може да предава или разкрива лични данни от Регистър „Клиенти“ на трети лица – получатели, за изпълнение на нормативни задължения и за изпълнение на целите, посочени в чл. 8. Трети лица или т.нар „получатели“ са държавни органи, агенции, банки и застрахователи като например Национална агенция по приходите, Агенцията по вписванията и водения Търговски регистър към нея и всички банкови институции.

Регистър „Потребители на уебсайта“
Чл. 13. (1) Регистър „Потребители на уебсайта“ съдържа информация за всички потребители и бъдещи клиенти на „ЕС АР ТРЕЙД“ ЕООД, които са използвали услугите на уебсайта на Дружеството – http://sr-trade.bg като са попълнили контактната форма и са изпратили запитване до Дружеството.
(2) При попълването на контактната форма на уебсайта „низацията, в която са заети.
Потребителят допълнително по собствено желание може да предостави длъжност, гражданство, адрес.
(3) Администратора обработва личните данни в Регистър „Потребители на уебсайта“ на основание изрично съгласие от страна на физическото лице, по смисъла на Чл. 6, ал. 1, буква „а“ от Регламент (ЕС) 2016/679. При попълването на контакната форма потребителят с отбелязване на отметката “Съгласен съм да ми обработват личните данни“ предоставя своето съгласие.
Физическа идентичност: имена, телефон, имейл адрес и оргаълването на контакната форма потребителят с отбелязване на отметката “Съгласен съм да ми обработват личните данни“ предоставя своето съгласие.
(4) Отметката “Съгласен съм да ми обработват личните данни“ съдържа хиперлинк. При натискането му се появява подробна информация относно целите и срока на обработване, правата на физическите лица и друга информация относно обработването на личните данни.
Регистър „Контрагенти“
Чл. 14. (1) Регистър „Контрагенти“ съдържа информация и лични данни за всички контрагенти, с които „ЕС АР ТРЕЙД“ ЕООД е в договорни отношения, както и за всички лица, участващи в процеса за осъществяване на дейноста на Дружеството.

(2) Администратора води структурирано досие за всеки отделен контрагент, което съдържа следните групи лични данни:
Физическа идентичност: имена, дата на раждане, ЕГН, гражданство, данни от документа за самоличност, адрес, телефон, имейл адрес и други лични данни.
Регистър „Служители и кандидати за работа“
Чл. 15. (1) Регистър „Служители и кандидати за работа“ съдържа лични данни на работниците и служителите в „ЕС АР ТРЕЙД“ ЕООД, назначени по трудово или наети по гражданско правоотношение.
(2) Регистър „Служители и кандидати за работа“ съдържа лични данни и за всички физически лица, които са кандидатствали за работа като са изпратили своите автобиографии.
(3) Администраторът обработва личните данни на нормативно основание и въз основа на изрично писмено съгласие за обработване на личните данни.
(4) Администраторът води структурирано служебно трудово досие за всички служители, назначени на трудово правоотношение, което съдържа следните групи данни:
Физическа идентичност: имена, дата на раждане, ЕГН, гражданство, данни от документа за самоличност, адрес, телефон, имейл адрес.
Образование: вид на образованието, специалност, място на придобиване на образованието, номер на диплома и дата на издаване, степени и звания и други;
Трудова дейност: трудов стаж в определена професия, стопански сектори, в които лицето е работило, трудово възнаграждение и други;
Специални категории данни – информация за здравословното състояние, събирана единствено за изпълнение на нормативните изисквания като болнични листове, медицинско свидетелство при постъпване на работа и други)
(4) Администраторът може да предава или разкрива лични данни от Регистър „Служители и кандидати за работа“ на трети лица – получатели за изпълнение на нормативни задължения във връзка с трудовото и осигурително законодателство. Трети лица или т.нар „получатели“ са държавни органи, агенции и банки като например Национална агенция по приходите, Национален осигурителен институт, Главна инспекция по труда и всички банкови институции.
Форми на водене на регистрите
Чл. 16. „ЕС АР ТРЕЙД“ ЕООД води регистрите с лични данни на хартиен или технически носител.
Чл. 17. Форма на организация и съхраняване на личните данни на хартиен носител:
(1) Формата на организация и съхраняване на личните данни е писмена (документална).
(2) Папките са разположени в офис шкафове в кабинетите на служителите, като достъпът до тях е контролиран. Правата и задълженията на служителите са регламентирани в длъжностните им характеристики. Предоставянето, промяната или прекратяването на оторизиран достъп до регистри се контролира от Администратора на лични данни.
(3) Местонахождение на картотечния шкаф – може да бъде поставен в помещение, предназначено за самостоятелна работа на обработващия лични данни или в общо помещение за работа с изпълняващи други дейности;
(4) Носител (форма) за предоставяне на данните от физическите лица – личните данни за всяко лице се набират в изпълнение на целите посочени в чл. 8 чрез следните форми:
Устно – чрез интервю;
Хартиен носител – предоставяне на писмено заявление, съдържащо данните на физическото лице;
(5) Личните данни от лицата се подават на администратора на лични данни и оправомощеното лице, назначено за обработването им – обработващ лични данни.
(6) Достъп до личните данни – такъв има само обработващият лични данни.

Чл. 18. Форма на организация и съхраняване на личните данни на технически носител:
(1) Личните данни се съхраняват на твърд диск на компютъра на обработващия лични данни, както и на централен сървър от компютърна мрежа. Компютърът е свързан в локалната мрежа, със защитен достъп до личните данни като само обработващия личните данни има достъп до него.
(2) При работа с данните се използват съответните софтуерни продукти за обработка. Те могат да бъдат адаптирани към специфичните нужди на администратора на лични данни. Данните се въвеждат в компютъра от хартиен носител.
(3) Достъп до личните данни на технически носител имат само обработващия лични данни. Достъпа до компютрите и централния сървър се осъществява след въвеждане на парола, уникална за всеки един от обработващите.
(4) Местонахождение на компютрите – в помещение за самостоятелна работа на обработващия лични данни. Местонахождение на сървъра – в помещение на системния администратор ( външен ай ти специалист)
(5) Защита на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, периодично архивиране на данните на отделни електронни носители, както и чрез съхраняване на информацията на хартиен носител. Системния администратор отговаря за архивирането на данни, находящи се на централния сървър, както и за данните находящи се на изолирани компютри, използвани от обработващите лични данни.
Срок за съхранение на личните данни
Чл. 19. Личните данни съхранявани в горепосочените регистри се обработват за следните срокове:
(1) Личните данни, съхранявани в Регистър „Клиенти“, обработвани на основание изрично пимено съгласие, се обработват до изтичане на срока посочен в тази писмена декларация, като посочения срок не може да бъде по дълъг от 3 години. Личните данни се унищожават или предават на друг администратор след изтичане на този срок или след оттегляне на изричното писмено съгласие на физическото лице.
(2) Личните данни, съхранявани в регистър „Потребители на уебсайта“ обработвани на основание изрично пимено съгласие, се обработват до изтичане на срока посочен в тази писмена декларация, като посочения срок не може да бъде по дълъг от 1 години. Личните данни се унищожават или предават на друг администратор след изтичане на този срок или след оттегляне на изричното писмено съгласие на физическото лице.
(3) Личните данни, съхранявани в Регистър „Контрагенти“, обработвани на основание за изпълнение на договор, се обработват до прекратяване на договора или до 3 години след прекратяване на договора. Личните данни се унищожават или предават на друг администратор след изтичане на този срок.
(4) Личните данни, съхранявани в Регистър „Служители и кандидати за работа“ за служителите и работниците наети по трудово или гражданско правоотношение се обработват за периода докато трае трудовото или гражданското правоотношение, по което са наети. Администратора може да продължи да обработва част от личните данни на бивши работници или служители за изпълнение на нормативно задължение, за срока, посочен в съответния нормативен акт. Личните данни се унищожават или предават на друг администратор след изтичане на този срок.
(5) Личните данни, съхранявани в Регистър „Служители и кандидати за работа“ за кандидатите, които са кандидатствали за работа в „ЕС АР ТРЕЙД“ ЕООД, но не са били наети, се съхраняват за период, който не може да бъде по дълъг от 1 година от датата на проведеното им интервю за работа. Личните данни се унищожават или предават на друг администратор след изтичане на този срок.

Задължения на лицата, отговарящи за водене и съхраняване на данните в регистрите
Чл. 20. (1) С настоящата политика, Администраторът на лични данни, както и с Длъжностната характеристика на работника или служителя, определя всички свои служители за обработващи лични данни и за лица, които са отговорни за водене и съхраняване на данните в регистрите.
(2) Задълженията на лицата, отговарящи за водене и съхраняване на данните в регистъра (оправомощените лица) включват набиране, обработване, актуализация и съхраняване на лични данни.
(3) Служителите са длъжни да спазват и изпълняват стриктно настоящата политика за защита на личните данни.
(4) Служителите са длъжни да спазват всички технически и организационни мерки за защита на личните данни, посочени в глава V на настоящата политика.
(5) Служителите се задължават да не копират, записват и да не разпространяват по никакъв начин личните данни, станали им известни в работния процес. За целта всички служители подписват Декларация за неразгласяване на лични данни (Приложение №5).
(6) Служители са длъжни да докладват веднага на Администратора в случай на нарушения на сигурността на личните данни, при спазване на процедурите в член 31.

Актуализация на лични данни
Чл. 21. (1) Актуализация на лични данни представлява допълнение или изменение на съществуваща информация в Дружеството. Актуализация на лични данни се извършва:
по искане на физическото лице, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ;
по инициатива на обработващия лични данни – при наличие на документ, даващ основание за актуализация;
при установена грешка при обработката на личните данни от страна на администратора или обработващия лични данни;
(2) При актуализация на лични данни в досието на съответното лице се отразяват регистрационния номер на документа, източник на данните за актуализацията, дата на актуализацията. Актуализацията се извършва от лицето, обработващо личните данни.

Предаване на лични данни на трети държави
Чл. 22. (1) Администраторът може да предава лични данни към трети държави, за които е налице решения на Европейската Комисия, че тази трета държава осигурява адекватно ниво на защита.
(2) При предаването на лични данни, Администраторът осъществява процедурите на член 44, 45 и 46 от Регламент (ЕС) 2016/679.

V. МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 23. Администраторът на лични данни предприема следните технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Физическа защита
Чл. 24. Физическата защита на личните данни се осъществява при спазване на следните мерки:
1. Личните данни от регистрите се обработват в кабинетите на упълномощените по чл. 5, ал. 3 лица.
2. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове в кабинет с ограничен достъп само за упълномощени лица.
3. Елементите на комуникационно-информационните системи, използвани за обработване на лични данни се намират в заключен шкаф, в помещение с ограничен достъп само за упълномощените лица.
4. Достъпът до помещенията, където се съхранявят и обработват лични данни е строго контролиран чрез система за контрол на физическия достъп. Само упълномощените лица чрез специално устройство имат директен достъп до помещенията. Външни лица нямат свободен достъп.
5. Помещенията са снабдени с пожароизвестителни и пожарогасителни системи.
6. Достъпът до самата срада, където се намира офиса на Дружеството е контролиран от Охрана и система за сигурност, включително и чрез видеонаблюдение. Охраната и видеонаблюдението се извършват от външен консултант, отговорен за охраната, видеонаблюдението и цялостния достъп до офис сградата. Отношенията между администратора и външния консултант се уреждат с договор.
Персонална защита
Чл. 25. Персоналната защита на личните данни се осъществява при спазване на следните мерки:
1. Лицата, обработващи лични данни подробно се запознават с нормативната уредба по защита на личните данни, както и с настоящата политика, при постъпване на работа.
2. Лицата, обработващи лични данни, преминават обучение, включващо запознаване с политиката и ръководствата за защита на личните данни, запознаване с опасностите за личните данни, обработвани от администратора, като се провежда тренировка на персонала за реакция при събития, застрашаващи сигурността на данните.
3. Лицата, обработващи лични данни се съгласяват, при постъпване на работа чрез подписването на трудовия си договор или на специална декларация за поемане на задължение за неразпространение на личните данни.
4. Обработването на лични данни се осъществява само от упълномощени лица при спазване на принципа „Необходимост да знае“.
Документална защита
Чл. 26. Документалната защита на личните данни се осъществява при спазване на следните мерки:
1. Регистрите по чл. 11, т. 1, т. 3 и т. 4 се поддържат на хартиен и на технически носител.
2. Достъп до регистъра имат лицата по чл. 5, ал. 3 в съответствие с принципа “Необходимост да се знае”.
3. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания. Данните се класифицират в съответствие с тяхното предназначение и характер, и се съхраняват в заключващ се шкаф в зоните с ограничен достъп.
4. Сроковете за обработване на лични данни за всеки конкретен регистър са определени в чл. 19.
5. Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители, само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежния ред от държавни органи в изпълнение на нормативни изисквания.
6. След изтичане на срока за съхранение или при отпаднало основание за обработване, личните данни се унищожават чрез специално устройство (шредер).
Защита на автоматизираните информационни системи и мрежи
Чл. 27. Защитата на автоматизирани информационни системи и мрежи се осъществява при спазване на следните мерки:
1. Регистрите по чл. 11, т. 1-4 се съхраняват и на технически носител – централен сървър.
2. Всяко упълномощено лице, което обработва личните данни има отделен личен профил за достъп до компютъра си и отделен личен профил за достъп до централния сървър. Достъпът се осъществява чрез уникални потребителски имена и пароли (идентификация и автентификация).
3. Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели в изпълнение на чл. 8.
4. Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система, защитни стени, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма и се извършва периодична профилактика на софтуера и системните файлове.
5. За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).
6. Достъпът до помещенията, в които са разположени компютърни и комуникационни средства, е строго контролиран чрез система за контрол на физическия достъп. Само упълномощените лица чрез специално устройство имат директен достъп до помещенията. Външни лица нямат свободен достъп.
7. Цялостната подръжка и профилактика на автоматизираните информационни системи и мрежи се извършва от външен специалист по информационното обслужване. Специалиста по информационното обслужване е отговорен за периодични и регулярни проверки на системите за сигурност и за защитата на автоматизираните информационни системи и мрежи.
8. Външния специалист по информационното обслужване осигурява възможности за копиране и наличия на резервни копия на данните, съхранявани на централния сървър.
Ай Ти политики за защита на личните данни
9. Външния специалист по информационното обслужване урежда отношенията и отговорностите си по защита на автоматизираните информационни системи и мрежи с администратора чрез допълнителни ай ти политика за защита на данните.

Криптографска защита
Чл. 28. Администраторът използва стандартни криптографски възможности на операционните системи, на системите за управление на базата данни и на комуникационното оборудване.

Оценка и нива на въздействие
Чл. 29. (1) Администраторът извършва оценка на въздействието периодично на всеки две години или при промяна характера на обработваните лични данни.
(2) При оценката на въздействието администратора анализира характера на обработваните лични данни. За целта администраторът извършва систематизиране и оценка на лични аспекти, свързани с дадено физическо лице или т.н „профилиране“. Администраторът проверява и отчита дали има промяна във вида на обработваните данни, като проверява дали се събират специални катерогии лични данни, лични данни в широкомащабни регистри с лични данни, данни, чието обработване съгласно решение на Комисията за защита на личните данни, застрашава правата и законните интереси на физическите лица.
Процедура за унищожаване на лични данни
Чл. 30. (1) Администратора унищожава събраните лични данни, когато има едно от следните основания:
оттеглено съгласие за обработване на личните данни;
изтекъл срок на писмената декларация за съгласие за обработване на лични данни;
изпълнен договор, когато основанието е било в изпълнение на договор;
други основания за изтриване на личните данни, спрямо нормативните актове за защита на личните данни;
(2) Администраторът определя със заповед, лицата отговорни за унищожаване на личните данни, измежду лицата по чл. 5, ал. 3.
(3) Личните данни, които са съхранявани на хартиен носител се унищожават чрез специално устройство шредер. За унищожението им се съставя протокол, в който се описва категорията унищожени лични данни и се подписва от упълномощените лица.
(4) Личните данни, които са съхранявани на технически носител се унищожават чрез автоматизирани действия по изтриване на данните от компютрите на служителите, както и от централния сървър.
Уведомяване на Комисията за защита на личните данни при нарушение на сигурността
Чл. 31. (1) При нарушение на сигурността на личните данни, администраторът е задължен без ненужно забавяне и не по-късно от 72 часа да уведоми надзорния орган за защита на личните данни, а именно Комисията за защита на личните данни, когато нарушението на сигурността поражда риск за правата и свободите на физическите лица.
(2) Когато обработващите личните данни установят нарушение на сигурността на личните данни, те без ненужно забавяне и не по-късно от 24 часа уведомяват администраторът, който изпълнява процедурата по алинея 1.
(3) Администраторът изпраща уведомлението до Комисията за защита на личните данни, при спазване изискванията на член 33 от Регламент (ЕС) 2016/679 и на Закона за защита на личните данни.

VI. ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА

Право на информация и достъп до лични данни
Чл. 32. (1) Всяко физическо лице, което има основания да смята, че администратора обработва лични данни отнасящи се за него, има право да подаде писмено заявление с искане за предоставяне на информацията по чл. 15, т. 1 от Регламент (ЕС) 2016/679 и за достъп до личните данни.
(2) Заявлението (Приложение 2) съдържа име на лицето, адрес за кореспонденцията, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис и дата; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.
Право на коригиране
Чл. 33. (1) Физическо лице, за което се обработват лични данни, има право да поиска от администратора да коригира неточни лични данни, свързани с него.
(2) За целта физическото лице попълва лично или изпраща до адреса на администратора Искане за коригиране (Приложение 3), като посочва точно и ясно какви корекции следва да се извършат.
Право на изтриване
Чл. 34. (1) Физическо лице, за което се обработват лични данни, има право да поиска от администратора да изтрие личните данни, отнасящи се за него, при наличие на едно от следните основания:
физическото лице оттегли своето сългасие, върху което се основава обработването;
личните данни повече не са необходими, за целите за които са били обработвани;
личните данни са обработвани незаконосъобразно;
(2) Физическото лице изпраща Искане за заличаване на лични данни (Приложение 4), с което администратора е задължен да изтрие всички лични данни, при наличие на някое от горепосочените условия, спазвайки процедурата за унищожаване на личните данни в чл. 28.

Право на оттегляне на съгласието
Чл. 35. Всяко физическо лице, за което обработването се извършва на основание изрично съгласие, има право във всеки един момент да оттегли своето съгласие.

Право на ограничаване на обработването
Чл. 36. Физическо лице, за което се обработват лични данни, има право да изиска от Администратора да ограничи обработването на личните данни, отнасящи се до него, при наличие на основанията в чл. 18, т. 1 от Регламент (ЕС) 2016/679.

Право на преносимост
Чл. 37. Физическо лице, за което се обработват лични данни, има право да получи личните данни отнасящи се до него в структуриран, широко използван и пригоден за машинно четене вид. Ако е техническо осъществимо, администраторът може да прехвърли тези данни директно на друг администратор, по изрично желание на физическото лице.

Право на възражение
Чл. 38. Физическо лице, за което се обработват лични данни, има право по всяко време да възрази срещу обработването на лични данни, включително и при профилиране и при обработване за целите на директния маркетинг.

Право на жалба до надзорен орган
Чл. 39. Физическото лице има право да подаде жалба до надзорния орган, а именно до Комисията по защита на личните данни, която се подава във форма и реквизити, определени от Закона за защита на личните данни.

Процедура за изпълнение на правата по глава VI.
Чл. 40. (1) За изпълнения на правата по глава VI, физическото лице подава или изпраща своите заявления и искания, лично или чрез куриер до адреса на Администратора, а именно гр. София 1463, район Триадица, бул. „Патриарх Евтимий“ №49, Престиж Бизнес Център, ет. 4 или на имейл адрес: office@sr-trade.bg.
(2) „ЕС АР ТРЕЙД“ ЕООД осигурява стандартизирани бланки (образец) за горепосочените заявления и искания за осъществяване на вашите права по глава VI. Ако не се възползвате от тях, вашето Заявление или искане следва да съдържа: име на заявителя и други данни, които го идентифицират, ЕГН, адрес за кореспонденция, правото, от което искате да се възползвате, точно описание на искането, всички обстоятелства относно искането, предпочитана форма за предоставяне достъпа до лични данни, подпис и дата; пълномощно – когато заявлението се подава от упълномощено лице.
(3) Достъп до данните на лицето се осигурява под формата на:
1. устна справка;
2. писмена справка;
3. преглед на данните от самото лице;
4. предоставяне на копие от исканата информация.

(4) Администраторът извършва проверка в 14-дневен срок от получаването на Заявлението или искането по алинея 2, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора.
(5) Администраторът извършва всички действия по осъществяване правата на физическите лица, с които е сезиран, без ненужно забавяне в 14-дневен срок от получаване на заявлението или искането. Администраторът изпраща уведомление до физическото лице с информация и с резултата относно неговото искане.
(6) След извършване на проверка по чл. 29, Администраторът съобщава резултатите на Заявителя по алинея 2, в съответствие с с избрания начин за получаване на решението.
(7) Ако проверката по чл. 29 завърши с резултат, които установи, че не се обработват лични данни по отношение на Заявителя, администраторът го уведомява, относно липсата на лични данни спрямо него.
(8) Ако проверката по чл. 29 завърши с резултат, които установява, че се обработват лични данни по отношение на Заявителя, администраторът е длъжен да му предостави следната информация:
данни за администратора, обработващ личните данни;
целите на обработването;
правното основание за обработване;
съответните категории лични данни;
получателите или категориите получатели на лични данни;
срок за който се съхраняват личните данни;
друга информация, относно личните данни;
(8) Администраторът извършва и предоставя информация на физическите лица, относно всички Заявления или искания.

VI. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Чл. 41. (1) Настоящата политика за защита на личните данни се утвърждава със Заповед №.. от ….2018 г. на Управителя на „ЕС АР ТРЕЙД“ ЕООД.
(2) „ЕС АР ТРЕЙД“ ЕООД има право едностранно да променя настоящата политика за защита на личните данни за изпълнение на бъдещи промени по нормативните актове в областта на защитата на личните данни.
(3) Настоящата политика, както и всички Приложения към нея се приемат в два варианта – на български и на английски език. В случай на несъответствие или противоречие между английския и българския текст, българският текст има предимство.

Приложения:
1. Декларация за съгласие за обработване на лични данни;
2. Заявление за достъп и иформация лични данни;
3. Искане за коригиране на лични данни;
4. Искане за заличаване на лични данни;
5. Декларация за неразгласяване на лични данни;