Политика общества по защите персональных данных ООО «Е Энд ЕM УОТЧИС ЭНД ДЖУЕЛРИ»

Утверждена г-жой Марией Тепеликян — управляющим

Приказом № …/… ,  в силе с 25  мая 2018 года

Въведение

• Начиная с 25 мая 2018 года вступает в силу Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общий регламент по защите данных, ОРЗД), которая вносит изменения в существующий правовой режим защиты данных и свободное перемещение данных.

• Как организация, созданная на территории Республики Болгария и обрабатывающая данные граждан ЕС, для ООО «Е ЭНД ЕM УОТЧИС ЭНД ДЖУЕЛРИ“, зарегистрированного в Торговом реестре, который ведется Агентством вписываний при Министерстве юстиции Республики Болгарии с ЕИК: 175200441, с юридическим адресом и адресом управления: гор. София, ж.к. Стрелбиште, ул. „Твырдишки проход“ №15 (далее “Организация“), возникает ряд обязательств, связанных с обработкой персональных данных и их свободным перемещением.

• В целях выполнения обязательств, предусмотренных в ОРЗД, актов его применения и толкования, а также применимых требований европейского и национального законодательства по защите данных, Организация утверждает текущую Политику Общества по защите персональных данных («Политика Общества»).

ОПРЕДЕЛЕНИЯ

• Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано; физическое лицо, которое может быть идентифицировано, является лицом, которое может быть идентифицировано, прямо или косвенно, в частности, с помощью идентификатора, такого как имя, идентификационный номер (единый гражданский номер), постоянный или настоящий адрес, IP-адрес, или посредством одного или более факторов, характерных для физической, физиологической, генетической, психологической, умственной, экономической, культурной или социальной идентичности этого физического лица.

• Специальные категории персональных данных — персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных с единственной целью идентификации физического лица, данных здоровья или данных о половой жизни или сексуальной ориентации физического лица. Организация не обрабатывает специальные категории персональных данных, за исключением случаев такого обязательства в соответствии с действующим законодательством.

• Администратор — согласно настоящей политике администратором персональных данных является Организация, когда она самостоятельно или совместно определяет цели и средства обработки персональных данных.

• Субъект данных означает любое физическое лицо, к которому относятся персональные данные, обрабатываемые Организацией. Это клиенты и сотрудники Организации, кандидаты на работу и получатели рекламы и других маркетинговых сообщений с помощью электронных средств, связанных с предлагаемыми организацией товарами и услугами.

• Обработка — это любая операция или набор операций, выполняемая с персональными данными или набором персональных данных автоматическими или другими средствами, такими как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие посредством передачи, распространения или иным способом, которым данные становятся доступными, упорядочивание или комбинация, ограничение, удаление или уничтожение.  Персональные данные, обрабатываемые Организацией, должны храниться не дольше, чем это необходимо, и в любом случае не больше, чем указано в Политике хранения персональных данных.

• Нарушение безопасности персональных данных — это нарушение безопасности, ведущее к случайного или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к личным данным, которые передаются, хранятся или обрабатываются иным образом. Администратор обязан сообщать надзорному органу и — когда это применимо — субъектам данных о нарушениях безопасности в порядке, предусмотренном в Процедуре уведомления при нарушениях безопасности персональных данных.

• Согласие субъекта данных — означает свободное выражение, конкретное, информированное и недвусмысленное указание воли субъектов данных посредством заявления или четко подтверждающего действия, согласно которому его персональные данные обрабатываются с целью получения рекламных и маркетинговых сообщений, связанных с товарами и услугами, предлагаемыми организацией электронным путем.

• Под ребенком понимается любое лицо в возрасте до 16 лет или младше, если такой будет определен Применимым законодательством. Обработка персональных данных ребенка является законной только в том случае, если было получено согласие от родителя или опекуна.

• Применимое право означает ОРЗД, акты по его толкованию и применению, а также все другие применимые, в отношении осуществляемой Организацией обработки, национальные и европейские законы, относящиеся к защите и свободному перемещению персональных данных.

• Надзорный орган означает Комиссию по защите персональных данных (КЗПД) или другой орган, назначенный в соответствии с Применимым законодательством.

Декларации

• Организация обязуется соблюдать все правовые акты ЕС и Республики Болгарии о защите персональных данных, а также защищать и содействовать осуществлению прав субъектов, данные которых она собирает и обрабатывает.
• Настоящая Политика общества, вместе с соответствующими процедурами и стандартами, направлена ​​на обеспечение механизмов для соблюдения законодательства и гарантирование соблюдения ОРЗД.
• Применимое право и Политика общества, а также приложения к ней, применяются ко всем действиям, связанным с обработкой персональных данных, которые обрабатывает Организация.
• Сотрудник по защите данных проверяет каждый новый процесс, который должен быть реализован, касающийся обработки персональных данных, а также все операций по обработке не реже одного раза в два года, с целью выявления любых изменений в осуществляемых процессах, связанных с обработкой персональных данных.
• Политика общества применяется ко всем сотрудникам и представителям Организации, а также к ее контрагентам и другим обработчикам персональных данных, таким как системные администраторы и фирмы по ИТ-обслуживанию, владельцы внешних серверов, поставщики, туроператоры и бухгалтерские компании. Любое нарушение Применимого права или Политики общества будет рассматриваться в соответствии с дисциплинарной политикой Организации.
• Контрагенты и все третьи стороны, которые работают с Администратором или для него, и которые имеют или могут иметь доступ к персональным данным, должны взять на себя обязательство соблюдать Политику общества, в том числе посредством соглашения об обработке персональных данных — юридического акта в смысле пар. 3 ст. 28 ОРЗД, которое им налагает обязательство, не менее обременительное, чем те, которые Организация взяла на себя в настоящей Политике общества. Организация оставляет за собой право проверять выполнение критериев обработки персональных данных третьими лицами и их контрагентами.
• Любая обработка персональных данных должна осуществляться в соответствии с принципами защиты данных, в соответствии с положениями статьи 5 ОРЗД. Политика общества гарантирует соблюдение этих принципов.

Принципы защиты данных

Персональные данные обрабатываются законно, добросовестно и прозрачно

• Законно — персональные данные обрабатываются только на действительном основании.
• Добросовестно — Организация предоставляет Субъектам данных всю информацию об обработке и защите их данных, насколько это практически применимо. Это применяется независимо от того, получены ли Персональные данные непосредственно от Субъекта данных или из других источников.
• Прозрачно. Требование прозрачности включает в себя правила относительно предоставления Субъектам данных информации, упомянутой в статьях 12–14, в форме уведомления об обработке персональных данных. Они должны быть составлены в понимаемой и доступной форме, простым и понятным языком, и должны включать как минимум:
  • данные, идентифицирующие Организацию;
  • контактные данные Ответственного лица по защите данных;
  • цели и правовое основание для обработки Персональных данных;
  • сроки хранения Персональных данных;
  • наличие права запрашивать доступ, исправление, удаление или возражение против обработки, а также условий, относящихся к осуществлению этих прав;
  • категории обрабатываемых персональных данных;
  • получатели или категории получателей Персональных данных;
  • любая дополнительная информация, необходимая для гарантирования добросовестной обработки.

Персональные данные могут быть собраны только для конкретных, явных и законных целей.

Персональные данные должны быть подходящими, связанными и ограниченными до того, что необходимо для обработки.

Персональные данные должны быть точными и постоянно обновляться, с приложением всех усилий для своевременного удаления или исправления.

Администратор данных должен быть в состоянии продемонстрировать соблюдение других принципов ОРЗД («подотчетность»).

Данные, хранящиеся в Организации, должны пересматриваться и обновляться по мере необходимости.  Данные не сохраняются, если нет достаточных оснований полагать, что они точные. Все формы, с помощью которых собираются личные данные, включают в себя декларацию субъектов о том, что предоставленные данные являются точными и актуальными. В случае существенных изменений для поддержания их точности и актуальности, субъекты данных уведомят Организацию.

Персональные данные должны храниться в форме, позволяющей идентифицировать субъект данных в течение периода, не превышающего необходимого. Персональные данные хранятся в соответствии со сроками хранения, указанными в Политике хранения персональных данных, после чего данные будут уничтожены надежным способом.  Когда данные хранятся после этой даты, они будут анонимными, с псевдонимами и / или сведены до минимума, чтобы сохранить личность субъекта данных в случае нарушения безопасности данных.

Персональные данные должны обрабатываться таким образом, чтобы обеспечить соответствующий уровень безопасности.

При определении надлежащего уровня безопасности Организация учитывает степень любого ущерба или убытков, которые могут быть причинены лицам в случае нарушения безопасности данных, последствий нарушения и возможного ухудшения репутации.

Организация применяет следующие организационные меры защиты данных:

• обучение сотрудников по защите данных в организации;
• меры, учитывающие надежность сотрудников;
• включение положений о защите данных в трудовые и гражданские контракты;
• мониторинг соблюдения персоналом правил защиты данных;
• принятие политики для чистых столов;
• ограничение использования портативных электронных устройств вне рабочего места;
• принятие правил для паролей, позволяющих индивидуальную идентификацию каждого сотрудника с доступом на основании «Необходимо знать»;
• осуществление охранных мероприятий, режима зарегистрированного доступа с помощью чип-карт и видеонаблюдения в офисах Организации.

Права субъектов данных

Субъекты данных имеют право:

• подавать запросы на доступ и информацию о хранимых данных о них и о том, кому они были раскрыты, и получать копии персональных данных, хранящихся в структурированном, широко используемом и машиночитаемом формате;
• предотвращать обработку, которая может нанести им вред, а также делать возражения;
• отзывать свое согласие и / или потребовать прекращения обработки их данных в маркетинговых целях, включая для референции и рейтинга Организации;
• испрашивать компенсацию за фактический ущерб, понесенный Организацией в результате нарушения Применимого права;
• принять меры для исправления, блокировки, удаления или уничтожения неточных данных;
• уведомлять Надзорный орган в любое время, независимо от предусмотренного в Политике общества.

Организация должна содействовать осуществлению прав субъектов данных в порядке, предусмотренном в Процедуре обработки претензий субъектов данных.

Ответственность и роли сотрудников в соответствии с ОРЗД

1. Все лица, выполняющие управленческие или надзорные функции в Организации, несут ответственность за разработку и распространение надлежащих практик по обработке Персональных данных.

2. Лицо, ответственное за защиту данных, осуществляет общий контроль за соблюдением Применимого права, имеет право получать всю необходимую помощь со стороны персонала Организации.

3. Соблюдение законодательства о защите данных является ответственностью каждого и всех сотрудников, которые обрабатывают персональные данные.

4. Процедура обучения устанавливает конкретные требования к осведомленности сотрудников в отношении роли и ответственности в соответствии с ОРЗД.

5. Сотрудники несут ответственность за гарантирование того, что:
   • все персональные данных, относящиеся к ним и / или предоставленные ими Организации, являются точными и актуальными;
   • все персональные данные, предоставленные им соответствующим Субъектом данных в связи с исполнением возложенной им ответственности, являются точными и актуальными.

Ответственный за защиту данных

1. Лицо, ответственное за защиту данных в Организации, определяется приказом управляющего.

2. Определенное в соответствии с п. 1 ответственное лицо по защите данных:

• осуществляет контроль за соблюдением ОРЗД и других актов Применимого права, а также Политики общества, ее приложений и других правил, касающихся защиты и обработки персональных данных, в том числе повышение уровня информированности сотрудников Организации;
• осуществляет сотрудничество с Надзорным органом, в том числе отправляет вопросы, запросы, точки зрения, а также уведомления при нарушении безопасности Персональных данных;
• осуществляет сотрудничество с Субъектом данных, в том числе в осуществлении их прав в соответствии с ОРЗД, рассмотрение заявок на осуществление прав и сообщение при нарушении безопасности персональных данных;
• несет ответственность за проведение предварительных и текущих проверок для необходимости в оценке влияния риска на защиту данных и, в случае необходимости, проведения оценки воздействия;
• дает рекомендации и мнения, а также осуществляет сотрудничество любого другого характера по вопросам соблюдения и обеспечения подотчетности за соблюдение Применимого права.

Сохранение и уничтожение данных

1. Организация не хранит персональные данные в форме, которая позволяет идентифицировать субъект данных в течение периода, превышающего необходимый для целей, для которых данные были первоначально собраны.

2. Организация может продолжать хранить личные данные, если они обрабатываются исключительно для целей архивирования в общественных интересах, для научных или исторических исследований или для статистических целей, при условии принятия соответствующих технических и организационных мер для защиты прав и свобод субъектов данных.
3. Персональные данные должны быть уничтожены надежным способом в соответствии с ОРЗД — данные обрабатывались надлежащим образом для обеспечения безопасности, тем самым защищая права и свободы субъектов данных. Любое уничтожение данных выполняется в соответствии с Политикой хранения данных.

Раскрытие данных третьим лицам

1. Организация не должна разглашать третьим лицам какие-либо персональные данные, за исключением случаев, предусмотренных в случаях ниже или в случаях, предусмотренных Применимым правом.

2. Организация может обмениваться персональными данными в Группе ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“ и предоставлять их поставщикам услуг, которые помогают Организации в осуществлении деятельности, т.е. при поставке продуктов, авторизации платежей, организации мероприятий или распространении электронных информационных бюллетеней, технической поддержке, обслуживании и управлении платформами Организации, управлении рисками, предотвращении мошеннических действий и укреплении доверия и безопасности.

3. Организация должна обмениваться персональными данными за пределами ЕС только в том случае, если надзорный орган подтвердил адекватность уровня защиты в этом государстве или если Организация может предложить другие соответствующие меры защиты.
4. Все сотрудники несут ответственность за обеспечение необходимых условию для того, чтобы персональные данные, обрабатываемые в рамках процессов, за которые они несут ответственность, хранились в защищенном виде и не передавались третьей стороне ни при каких условиях, если последняя не уполномочена Организацией и не заключил соглашение в соответствии с пар. 3 ст. 28 ОРЗД.

5. Все запросы на данные должны сопровождаться соответствующими документами, и все оповещения должны быть разрешены сотрудником по защите данных.

6. Сотрудники обязуются не разглашать персональные данные посторонним лицам, таким как члены их семей, друзья, родственники и т. д.

Распространение электронного информационного бюллетеня. Е-маркетинг.

1. Организация обрабатывает персональные данные с целью распространения электронных информационных бюллетеней с информацией о новых устройствах, событиях, инициативах и персонализированных услугах, адаптированных к интересам и предпочтениям субъектов данных, исключительно на основании предоставленного согласия на обработку данных субъектов, соответствующих критериям, установленным Применимым правом.

2. Организация обрабатывает персональные данные с целью рассылки персональных приглашений на организованные ею мероприятия, а также рассылки корпоративных и маркетинговых сообщений, включая новости и информацию, относящиеся к Организации, а также подарков и каталогов, разработанных с учетом интересов и предпочтений субъектов данных, исключительно на основании предоставленного согласия на обработку данных лиц, которые соответствуют критериям, установленным Применимым законодательством.

3. В случае п. 1-2 субъекты данных могут отозвать свое согласие в любое время способом, соответствующим порядку, в котором было дано согласие. В частности, Организация обеспечивает возможность отзыва электронного согласия в электронном виде

Политика использования куки

1. Организация собирает и обрабатывает персональные данные с помощью автоматических средств или косвенно со сторонних веб-сайтов третьих лиц или социальных сетей, такие как информация, связанная с использованием ее собственных платформ, включая имя используемого браузера и тип используемого устройства; технические данные о том, как делается ссылка на платформы, и любая другая информация, публично предоставляемая сторонними социальными сетями, в соответствии с указанным в Политике использования куки.

Политика чистых столов

1. Все персональные данные должны быть доступны только тем, кто в них нуждается, на принципе «Необходимо знать».

2. Все персональные данные должны просматриваться с наивысшей степенью безопасности и должны храниться:

• в комнате с контролированным доступов, которая запирается, и/или
• в замкнутом ящике или шкафу, и / или
• если они в электронном формате, защитным паролем или
• на (портативных) электронных носителях в зашифрованном виде.

3. Сотрудники должны не оставлять документы на своих рабочих столах или на открытых полках рядом с ними, если они отсутствуют на своем рабочем месте длительное время (более 20 минут). Секретные и документы чувствительного характера не остаются без присмотра ни при каких обстоятельствах.

4. Все ящики и шкафы рабочего стола сотрудника должны быть заперты, когда сотрудник находится вне здания и в нерабочее время.

5. Сотрудники должны всегда иметь при себе ключи от кабинетов, ящиков, шкафов и других вверенных ему контейнеров, в которых хранятся документы, или держать их в замкнутом виде.

6. В конце рабочего дня сотрудники очищают свои столы, выключают свет и кондиционеры и запирают двери кабинетов, соответственно, включают сигнализацию офисного помещения.

Видеонаблюдение

1. Записи технических средств, с помощью которых осуществляется видеонаблюдение в помещениях Организации, хранятся в течение периода, указанного в Политике хранения данных. Правовой основой для видеонаблюдения является законный интерес Организации в обеспечении безопасности своих сотрудников и имущества.

2. Видеонаблюдение должно проводиться только на участках, явно помеченных уведомлениями о видеонаблюдении и / или наклейками видеонаблюдения, без какого-либо влияния на права и достоинство субъектов данных (например, в туалетах и кухнях отсутствует видеонаблюдение).

Меры по защите информации и сетевой инфраструктуры для обработки данных

1. Организация должна гарантировать, что она принимает адекватные меры для защиты своей информации и сетевой инфраструктуры, необходимой для продолжения своей деятельности в случае нарушения безопасности данных.

2. Меры по охране помещений с сетевой и информационной инфраструктурой Организации включают, в частности:

• Меры по ограничению доступа в помещения, включая зарегистрированный доступ с помощью чип-карт и / или физическую охрану.
• Осуществление видеонаблюдения (CCTV);
• Расположение сенсоров и датчиков для обнаружения опасности возгорания;
• Наличие огнетушителей в помещениях.

Сохранение запасных копий данных (back-up)

1. Данные в информационных системах Организации защищаются путем периодического сохранения электронной копии (back-up) ежедневно и ежемесячно.
2. Ключевые элементы информационной инфраструктуры Организации также должны быть защищены путем back-up, чтобы в случае нарушения в результате злонамеренного программного обеспечения Организация могла продолжить свою деятельность по обработке данных.
3. Организация должна гарантировать, чтобы сроки хранения резервных данных не превышали сроки, указанные в Политике хранения.
4. Резервные копии, использование которых было прекращено, или которые стали нечитаемыми или непригодными для использования, будут удалены.

Осуществление удаленного доступа к данным

1. Для обработки данных персонал использует техническую и информационную инфраструктуру, имеющуюся в помещениях Организации.

2. Управляющий по своему усмотрению разрешает удаленный доступ к данным по запросу соответствующего сотрудника для осуществления своих служебных правомочий.

3. Организация признает следующие уровни удаленного доступа:
   • доступ к служебной электронной почте со служебного мобильного электронного устройства;
   • доступ к служебной почте с личного мобильного или стационарного электронного устройства;
   • удаленный (VPN) доступ к служебной почте и серверам Организации с мобильного или стационарного электронного устройства.

4. Разрешение удаленного доступа должно включать оценку соответствия доступа согласно Применимому праву, Политике Общества и приложениям к ней, а также любым другим действиям, связанным с обработкой и защитой данных.

5. При оценке по п. 2 управляющий обязан проконсультироваться с сотрудником по защите данных в случае, если последний является лицом, отличным от управляющего.

6. Устройства, обеспечивающие удаленный доступ к данным, подлежат регистрации в специальном реестре. Реестр устройств обслуживается сотрудником по защите данных.

Список приложений
Приложение №1	Политика хранения данных
Приложение №2	Стандарт составления оценки воздействия на защиту данных
Приложение №3	Процедура уведомления о нарушениях безопасности данных
Приложение №4	Процедура рассмотрения заявлений на осуществление прав субъектов данных
Приложение №5	Процедура обучения сотрудников

Список ревизий
Версия 1	Подготовлена и принята 25 мая 2018 года в соответствии с Общими правилами защиты данных

ПРИЛОЖЕНИЕ 1:

ПОЛИТИКА ХРАНЕНИЯ ДАННЫХ

Охват

Все персональные данные, обрабатываемые Компанией, подпадают под требования этой политики в отношении хранения данных. Данные, собранные с помощью куки, используемых Организацией, являются предметом Политики использования куки.

Ответственность

1. Владельцы данных несут ответственность за сбор, хранение и уничтожение персональных данных в соответствии с требованиями Применимого права, Политикой Компании и ее приложениями.

2. Владельцем данных является сотрудник, ответственный за соответствующий набор персональных данных. В случае, если данные доверены нескольким сотрудникам, Владельцем данных является самым старшим среди них.

Субъекты данных	Срок хранения	Начальный момент, с которого начинается срок	Правовое   основание	Виды документов
Человеческие ресурсы	5 лет	Начало финансового года, в течение которого они составлены	Выполнение трудовых или гражданских контрактов.	Все данные и записи о рабочих досье сотрудников, для которых установленный законом срок не применяется (например, ведомости по зарплатам)
Кандидаты на работу	1 год	Дата завершения кампании по подбору персонала		Все документы, представленные Обществу для проведения кампании по подбору персонала
Бывшие   сотрудники/ Сотрудники	50 лет	Месяц Январь отчетного периода, следующего за отчетным периодом, за который относятся документы	Ст. 12 Закона о бух. учете, ст. 38 Налогового страхового процессуального кодекса	Данные о зарплатах, данные из ведомостей
Клиенты услуг / поставщики	10 лет	Месяц Январь отчетного периода, следующего за отчетным периодом, за который относятся документы	Ст. 12 Закона о бух. учете, ст. 38 Налогового страхового процессуального кодекса	Бухгалтерские записи и финансовые отчеты, включая налоговые проверки, аудиты и последующие финансовые проверки

3. Управляющий несет ответственность за:

• финансовые документы и архивы с документами, содержащими данные сотрудников Общества;
• документы, связанные с осуществлением маркетинговой деятельности, включая предоставление данных в юридические директории и референцию;
• документы, касающиеся исполнения и защиты правовых претензий.
• видеозаписи и реестры для доступа в помещения Общества.

4. Управляющий может, по своему усмотрению, поручить другим сотрудникам свою ответственность по п. 3.

Лицо, которое может подать в суд на организацию	5 лет		Ст. 110-111 Закона об обязанностях и договорах	Все документы могут храниться Обществом в целях защиты от возможных претензий.
Лица, занимающиеся маркетинговой деятельностью	2 года, за исключением, если является на основании согласия и оно не будет продлено	Конец маркетинговой кампании или предоставление согласия (для распространения электронных бюллетеней).		Деловое общение с клиентами / документы, относящиеся к популярности бренда
Сотрудники	30 дней	Дата видеозаписи	Законный интерес	Записи видеонаблюдения
Поставщики / Подрядчики / Лица, связанные с сделками Общества	5 лет	Начало года после заключения сделки или прекращения правоотношения	Ст. 67, ч. 1 Закона о мерах против отмывания денег	Любые документы и информация, связанные с обязательствами, вытекающими из Закона о мерах против отмывания денег

5. При осуществлении своей деятельности по ОРЗД владельцы данных и управляющий должны консультироваться с сотрудником по защите данных.

6. Сотрудник по защите данных несет ответственность за все документы, связанные с реализацией ОРЗД.

Субъекты данных	Срок хранения	Начальный момент, с которого начинается срок	Правовое   основание	Виды документов
Субъекты, подавшие заявление согласно ОРЗД	3 года	Получение заявления		Иски от Субъектов данных;   Жалобы от Субъектов данных
Субъекты, подавшие заявление согласно ОРЗД	3 года	Отправление ответа Субъекту данных		1. Ответы на запросы Субъектов данных   2. Ответы на жалобы Субъектов данных
Клиенты -физические лица	3 лет	Дата Дата последней обработки данных, основанной на Уведомлении		Уведомления о конфиденциальности для клиентов Общества
Клиенты и потенциальные клиенты	3 года	Дата последней обработки данных, основанной на согласии		Форма согласия
Все субъекты данных	3 лет	Дата происшествия или дата обнаружения происшествия		Документы, связанные с нарушением безопасности персональных данных   Уведомления о нарушениях
Субъекты, персональные данные которых включены во внутренние документы  Общества	3 года	Дата, когда документы перестают действовать		Политики, процедуры и другие внутренние документы, касающиеся персональных данных

Сроки хранения персональных данных

Необходимые сроки хранения отдельных категорий персональных данных определяются следующим образом:

Уничтожение персональных данных

Владелец данных несет ответственность за уничтожение данных после истечения срока их хранения.  Уничтожение должно происходить в течение 30 дней после истечения указанного срока хранения в следующем порядке:

1. Когда Владелец данных определит, что срок хранения соответствующего документа или архива документов истек, он уведомляет сотрудник по защите данных.

2. Сотрудник по защите данных должен убедиться, что нет оснований для продолжения хранения документа.

• При наличии такого основания сотрудник по защите данных должен отметить новый период хранения.

• Если такой причины не существует, Владелец данных уничтожает документ или архив документов путем составления двух экземпляров протокола об уничтожении данных, подписанных им и сотрудником по защите данных.

3. Уничтожение осуществляется следующим образом:
   • путем шредирования документов на бумажном носителе, содержащих персональные данные, срок хранения которых истек, или
   • путем удаления / уничтожения электронных документов и всех их резервных копий.

4. В случае, если уничтожение производится по заявке субъекта данных в соответствии с осуществлением прав по ОРЗД, после уничтожения данных высший менеджмент Общества гарантирует уничтожение всех копий данных, предварительно уведомив получателей данных об их уничтожении.

ПРИЛОЖЕНИЕ 2: СТАНДАРТ составления оценки  ВОЗДЕЙСТВИЯ на ЗАЩИТу ДАННЫХ

Ответственность

1. Сотрудник по защите данных несет ответственность за проведение периодических и предварительных проверок защиты персональных данных с целью определения необходимости оценки воздействия.

2. Периодические проверки должны включать обзор всех процессов в Организации. Периодические проверки должны проводиться не реже одного раза в два года.

3. Предварительные проверки должны проводиться до внедрения нового процесса в Организации и должны включать только соответствующий процесс.

4. Ответственным за уведомление Сотрудника по защите данных о начале нового процесса является соответствующий Владелец данных и / или Управляющий.

5. Сотрудник по защите данных должен проверять, применяются ли соответствующие меры для ограничения всех рисков, выявленных при оценке воздействия на защиту данных, и последующее решение о начале обработки.

6. Управляющий несет ответственность за внедрение выявленных решений по управлению рисками.

Процедура

Чтобы оценить необходимость проведения оценки воздействия риска на защиту данных, сотрудник по защите данных использует следующие критерии для приемлемой ОВЗД и следует матрице вероятности и воздействия.

Матрица вероятностей
Вероятность	0	3	6	9
0	2	4	6
0	1	2	3
0	1	2	3
	Воздействие

Риски для прав и свобод субъектов данных
Уровень риска	От	До:	Оценка согласно ОРЗД
Высокий	6	9	Самый высокий неприемлемый риск
Средний	3	5	Неприемлемый риск
Низкий	1	2	Приемлемый риск
Нулевой	0	0	Нет риска

Выявление рисков для защиты данных

1. Сотрудник по защите данных должен оценить риски для защиты данных субъектов для каждой операции обработки, такие как:

• определяет и описывает риск для защиты данных субъектов;
• использует критерии оценки вероятности (1 — низкий, 2 — средний и 3 — высокий) реализации риска нарушения безопасности данных;
• использует критерии оценки воздействия (0 — нулевое воздействие, 1 — низкое, 2 — среднее и 3 — высокое) на риск, если он реализован;

2. При оценке воздействия Сотрудник по защите данных должен учитывать риски для прав и свобод физических лиц, возникающие в результате обработки; риски для бизнеса и цели и основания для обработки данных.

3. Сотрудник по защите данных вместе с Управляющим должен определить возможные меры по управлению рисками, компетентного для принятия мер Владельца данных, а также сроки выполнения предусмотренных мер.

4. Сотрудник по защите данных вместе с Управляющим должен определить приоритетность рисков на основе критериев, изложенных выше.

Предварительная консультация (статья 36 ОРЗД)

1. Когда оценка воздействия на защиту данных показывает, что обработка будет представлять высокий риск для прав и интересов субъектов данных, через Сотрудника по защите данных Организация может обратиться к Надзорному органу в письменной, в том числе электронной, форме.

2. Когда обратится за консультацией в Надзорный орган, Ответственным по защите данных предоставляет информацию о:

• лицах, которые занимаются обработкой данных и их обязанностях;
• целях предполагаемой обработки;
• любых мерах, направленных на защиту прав и свобод субъектов данных;
• копия оценки воздействия на защиту данных и любая другая информация, запрашиваема Надзорным органом.

ПРИЛОЖЕНИЕ 3:
ПОРЯДОК УВЕДОМЛЕНИЯ О НАРУШЕНИИ БЕЗОПАСНОСТИ ДАННЫХ

1. Сотрудник по защите данных, которые администратор обрабатывает, ведет и хранит реестр нарушений безопасности персональных данных. Записи в этот Реестр вносятся лицом, ответственным за защиту безопасности персональных данных.

2. Сотрудник по защите данных несет ответственность за защиту персональных данных, обрабатываемых администратором.

3. Нарушение безопасности персональных данных существует во всех случаях, когда:

3.1. третье лицо без права доступа к персональным данным, обрабатываемым и хранимым контроллером, имеет доступ к персональным данным;

3.2. персональные данные уничтожаются или частично удаляются в результате случайного события;

3.3. персональные данные изменены неавторизованным способом;

3.4. персональные данные необезопасены в течение неопределенного периода времени;

3.5. во всех случаях, когда безопасность данных находится под угрозой, включая случаи, когда приостановлено исполнение и / или функционирование установленных в предприятии мер в соответствии с Регламентом о защите персональных данных.

3.6. в других предусмотренных законом случаях.

Нарушение безопасности персональных данных может быть обнаружено непосредственно Сотрудником по защите данных на основе сигнала, предоставленного Обработчик персональных данных, на основании сигнала, представленного субъектом данных или третьей стороной.  Сотрудник по защите данных обязан незамедлительно зарегистрировать обстоятельства нарушения в Реестре нарушений безопасности персональных данных.

4. Сотрудник по защите данных через администратора обязан уведомить КЗПД в течение 72 часов после того, как ему станет известно о нарушении безопасности персональных данных. Комиссия должна быть уведомлена путем письменного по образцу, к которому прилагаются письменные доказательства.  Сотрудник по защите данных обязан поддерживать связь с КЗПД и предоставлять любую информацию и доказательства, связанные с нарушением.

5. Сотрудник по защите данных оказывает Комиссии необходимую помощь, и обеспечивает реализацию предписаний в случае, если сотрудник по защите данных дал инструкции по устранению нарушений безопасности данных.

6. Сотрудник по защите данных может уведомить субъекта данных в письменном виде и пострадавшего субъекта данных в случаях, предусмотренных в ОРЗД. Уведомление должно быть сделано путем сообщения по образцу.

7. Сотрудник по защите данных должен незамедлительно уведомить Администратора персональных данных о нарушении безопасности и вместе с Администратором немедленно принять меры по ограничению последствий утечки персональных данных и меры по устранению факторов, нарушающих безопасность данных. Такие меры определяются Администратором при содействии Сотрудника по защите данных и могут включать: установку дополнительных технических средств физической защиты помещений, в которых хранится ПД, поправку и установку дополнительных запирающих механизмов; установку компьютерных антивирусных программ и других программ защиты персональных данных; ограничение доступа определенных лиц к местам хранения персональных данных посредством физических мер прекращения доступа и выдачи распоряжения о прекращении доступа к таким данным и т.д.

8. Уведомление по п. 7 должно быть сделано путем сообщения по образцу.

9. Сотрудник по защите данных должен оценить причины конкретного нарушения безопасности данных и принять меры для обеспечения соблюдения Регламента в будущем.

ПРИЛОЖЕНИЕ 4: ПОРЯДОК РАССМОТРЕНИЯ ЗАЯВЛЕНИЙ НА ОСУЩЕСТВЛЕНИЕ ПРАВ СУБЪЕКТОВ ДАННЫХ

Охват

Эта процедура охватывает осуществление прав субъектов данных в отношении обработки данных Организацией, включая подачу жалоб против обработки и порядок рассмотрения жалоб.

Процедура

1. На своих платформах Организация предоставляет информацию, включая полное или частичное предоставление Политики общества по защите данных, ее приложений и уведомлений об обработке данных и / или другую информацию о способе, которым субъекты могут осуществлять права, предоставленные в ОРЗД.

2. Субъекты подают жалобу / заявление в свободной форме по электронной почте или по почте или с помощью контактной формы, опубликованной на веб-сайте Организации, с явным указанием соответствующих и / или затрагиваемых прав и предоставлением информации о своей личности.

3. Все жалобы и заявления направляются Сотруднику по защите данных, который записывает дату получения в Журнал запросов и входящий номер, с которым образуется переписка по ним.

4. Жалобы и заявления рассматриваются в течение одного месяца с даты получения, если только их рассмотрение не имеет особой сложности, и в этом случае срок может быть продлен еще на два месяца, но не более чем на три месяца от даты получения, при условии, что в течение одного месяца субъект был проинформирован о факте задержки и причинах ее возникновения.

5. В случае, если Сотрудник по защите данных отклоняет или не предпринимает действий по полученной жалобе или заявлению в течение срока, указанного в пункте 4, он должен ясно и просто изложить причины своих действий. Для этой цели Сотрудник по защите данных использует прилагаемые образцы.

6. При любой коммуникации с субъектом данных Сотрудник по защите данных должен информировать субъекта о его праве подать жалобу непосредственно в Надзорный орган, а также обратиться за защитой в судебном порядке.

УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

ВВЕДЕНИЕ 1

Что такое Персональные данные и как мы можем их собирать? 2

Какие виды персональных данных мы собираем?  2

На каком основании мы можем собирать Ваши персональные данные?  4

ОБРАБОТКА ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ. 4

Для каких целей мы используем ваши персональные данные?  4

Для маркетинговых и рекламных целей:  4

Для деловых целей: 5

В целях обслуживания: 5

Для соблюдения требований законодательства:  5

Как долго могут храниться Ваши персональные данные? 5

Как мы предоставляем ваши данные третьим лицам? 5

Можем ли мы передать ваши данные за пределы ЕС?  6

ВАШИ ПРАВА ..  6

Какие права вы имеете в отношении ваших данных? 6

К кому обращаться с вопросами о ваших данных? 8

Как мы гарантируем безопасность Вашей персональной информации?  8

Изменения в Уведомлении об обработке ваших персональных данных.  9

ВВЕДЕНИЕ

Мы, „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“, общество с ограниченной ответственностью, зарегистрированное с ЕИК: 175200441 в Торговом реестре Республики Болгария, с юридическим адресом и адресом управления: гор. София, район Триадица, ж.к. Стрелбиште, ул. „Твырдишки проход“ №15, обязуемся защищать персональные данные наших клиентов, постоянно совершенствуя предлагаемые нами услуги.

Целью данного уведомления является предоставление всей информации, касающейся обработки персональных данных, которую мы получаем через наши онлайн-платформы или при заполнении формы клиента в наших бутиках или центрах обслуживания клиентов, при организации мероприятий или других форм взаимодействия.

Уведомление об обработке персональных данных не распространяется на персональные данные, собранные через веб-сайты или приложения других третьих сторон, которые предоставляют ссылки на них или которые доступны с любой из платформ ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“. Мы не несем ответственности за политику и практики защиты персональных данных, применяемые сторонними веб-сайтами или приложениями, за исключением случаев, предусмотренных национальным и европейским законодательством.

СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

Что такое Персональные данные и как мы можем их собирать?

Мы собираем персональные данные разными способами и при разных обстоятельствах, в том числе:

• При посещении одной из наших платформ, при регистрации на наших веб-сайтах или заполнении наших контактных форм;
• При посещении одного из наших торговых точек или офисов;
• При покупке товара или подаче заявления в центр обслуживания клиентов;
• Когда вы связываетесь с нами по электронной почте или телефону;
• При заполнении любых форм в наших бутиках, центрах обслуживания клиентов или во время организованных нами мероприятий, в том числе путем заполнения формы клиента в электронной или на бумажном носителе;
• Через наших коммерческих и рекламных партнеров.

Какие виды персональных данных мы собираем?

В зависимости от вашей цели и того, как вы взаимодействуете с нами, мы можем собирать ваши персональные данные, такие как:

• Контактная информация (имя, почтовый или электронный адрес и номер телефона);
• Информация, предоставленная в связи с вашими покупками и транзакциями (информация о вашей кредитной карте и информация, необходимая в связи с законодательство о мерах по борьбе с отмыванием денег);
• Другая персональная информация, включая информацию о ваших личных предпочтениях и ваших личных и / или профессиональных интересах, таких как: дата рождения, семейное положение, пол, национальность, данные об использовании в прошлом наших продуктов и предпочтительный способ связи с Вами, данные о Вашем профессиональном статусе (должность, компания / работодатель, профессиональные контактные данные), данные о Ваших интересах (спорт, развлечения) и о Вашем образе жизни;
• Информация из наших центров обслуживания клиентов (например, Ваши заявления в центрах, комментарии, отзывы, рекламации и история обслуживания).

Кроме того, мы можем собирать другие категории персональных данных с помощью автоматических средств или косвенно со сторонних веб-сайтов или социальных сетей, таких как информация, связанная с использованием наших платформ, в том числе название используемого браузера и тип используемого устройства, а также и техническую информацию о том, как устанавливаются наши отношения с нашими платформами, а также любую другую информацию, которую вы публикуете в социальных сетях третьих сторон, и которая имеет отношение к Вашему общению с нами. Пожалуйста, ознакомьтесь с нашей Политикой использования куки, чтобы получить подробную информацию о том, какие куки (cookies) мы используем и как мы их используем.

Мы также можем собирать видеоданные с систем видеонаблюдения в наших бутиках, торговых точках или офисах.  Зоны, где мы проводим видеонаблюдение, всегда отмечены наклейкой. Для получения дополнительной информации см. наше Уведомление о видеонаблюдении.

На каком основании мы можем собирать Ваши персональные данные?

Мы гарантируем, что Ваши персональные данные будут обрабатываться нами только в том случае, если имеется действующее правовое основание.  Ниже приведены правовые основания для обработки ваших данных:

• Когда обработка требуется для выполнения обязательств в соответствии с действующим законодательством, применимым к нам, например, в соответствии с законодательством о мерах по борьбе с отмыванием денег;
• Для заключения и исполнения договора, например, на покупку и продажу предлагаемого нами продукта и / или предоставление услуги;
• Для защиты наших законных интересов, например, данные видеонаблюдения собираются для защиты нашей безопасности;
• Если вы недвусмысленно дали свое согласие на обработку ваших персональных данных в связи с одной или несколькими конкретными целями, например, для информирования себя на наших веб-сайтах, для получения информационных бюллетеней, чтобы мы могли связаться с Вами на основе заполненной контактной формы;

ОБРАБОТКА ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Для каких целей мы используем ваши персональные данные?

Для маркетинговых и рекламных целей:

• Для того, чтобы отправлять вам персональные приглашения на наши мероприятия, а также отправлять корпоративные и маркетинговые сообщения, включая новости и информацию из мира ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“, а также подарки и каталоги с учетом ваших интересов и предпочтений;
• Чтобы отправлять вам электронные информационные рассылки, давая вам возможность сначала узнать о наших новых продуктах, событиях, инициативах и персонализированных услугах с учетом ваших интересов и предпочтений.

Для деловых целей:

• Для обработки ваших заказов, покупок и доставок;
• Для предоставления услуг центрами обслуживания клиентов.

В целях обслуживания:

• Чтобы иметь возможность предоставить вам информацию о платформах, продуктах и ​​услугах ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“;
• Чтобы иметь возможность ответить на ваши вопросы;
• Для администрирования, обслуживания и оптимизации наших платформ, а также для поддержки и защиты их безопасности.

Для соблюдения требований законодательства:

• Для предотвращения злонамеренных и других запрещенных или незаконных действий и для обеспечения безопасности и защиты Платформ, бутиков и офисов ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“;
• Для соблюдения требований о финансовой и бухгалтерской отчетности, а также всех других законов и нормативных актов (например, законодательства о мерах по борьбе с отмыванием денег).

Как долго могут храниться Ваши персональные данные?

Сроки хранения ваших персональных данных указаны в нашей Политике хранения данных. В случаях, когда основанием для обработки является ваше согласие, мы будем хранить ваши данные в течение 2 лет, если вы не продлите свое согласие (дополнительную информацию см. н разделе «Как с нами связаться»).

Как мы предоставляем ваши данные третьим лицам?

Мы сможем обмениваться Вашими данными в Группе ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“ и предоставлять их только следующим третьим лицам:

• Поставщикам услуг, которые помогают нам в нашем бизнесе, то есть в доставке продуктов, авторизации платежей, организации мероприятий или распространении электронных информационных бюллетеней, поддержке, обслуживании и управлении нашими платформами, управлении рисками, предотвращении мошеннических действий и укреплении доверия и безопасности);
• Судам, регуляторным органам или других третьим лицам, если это требуется по закону или в связи с иском или судебным разбирательством, или для борьбы с мошенничеством.

Мы ожидаем, что все эти третьи страны предоставят необходимые гарантии для обеспечения безопасности и конфиденциальности и примут необходимые организационные и технические меры в соответствии с действующим законодательством.  Наши поставщики услуг смогут обрабатывать персональные данные, которыми мы делимся с ними, только в соответствии с до лимитов, указанных в Политике общества по защите персональных данных и других наших документально оформленных инструкциях.

Можем ли мы передать ваши данные за пределы ЕС?

Когда мы обмениваемся вашими Персональными данными в связи с описанными выше обстоятельствами, мы можем передавать их за пределы ЕС.  В любом случае такие данные будут переданы только в том случае, если компетентные органы подтвердили достаточный уровень защиты в этой стране или если мы можем предложить Вам другие соответствующие меры защиты. По Вашему запросу Вы можете получить информацию о соответствующих мерах (см. ниже раздел «Как с нами связаться»).

ВАШИ ПРАВА

Какие права вы имеете в отношении ваших данных?

• Право доступа: Вы имеете право знать, какие ваши персональные данные были собраны и как они были обработаны;
• Право на исправление: Вы имеете право запросить исправление неточных данных;
• Право на возражение: Вы можете в любое время заявить, что не хотите, чтобы Ваши персональные данные обрабатывались автоматическими средствами или передавались третьим лицам;
• Право быть забытыми, особенно если вы отозвали свое согласие на обработку ваших персональных данных. Вы имеете право отозвать свое согласие в любое время в порядке, в котором вы дали свое согласие. Это право не является абсолютным и может применяться только при определенных обстоятельствах;
• Право ограничивать обработку, в смысле ограничения использования ваших персональных данных. Это право альтернатива праву быть забытым.  Это право не является абсолютным и может применяться только при определенных обстоятельствах;
• Право быть информированным, получая всю информацию, касающуюся обработки ваших данных, в четкой, точной, полной и легкодоступной форме;
• Право переносимости данных из одной системы электронной обработки в другую систему электронной обработки;
• Право в связи с автоматизированным принятием решений или профилированием является неприменимым, если мы не выполняем процессы, связанные с профилированием и автоматическим принятием решений;
• Право на подачу жалобы в любое время в компетентный национальный орган — Комиссию по защите персональных данных (КЗПД);

На эти права могут быть предметом исключений или ограничений (например, когда ваши данные обрабатываются в целях безопасности или хранятся в связи с юридическими или договорными обязательствами), с учетом доступных технологий и финансовых возможностей для их внедрения.  При определенных обстоятельствах нам может потребоваться подтвердить вашу личность, прежде чем приступить к обработке вашего запроса, связанного с вышеуказанными правами.

К кому обращаться с вопросами о ваших данных?

Если вы хотите воспользоваться какими-либо правами, описанными выше, или у вас есть какие-либо вопросы или сомнения по поводу этого Уведомления, пожалуйста, свяжитесь с нами:

• Через контактную форму по адресу: www………………………………;
• Письмом сотруднику по защите данных ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“ по электронной почте: или по адресу: гор. София 1404, район Триадица, ж.к. СТРЕЛБИШТЕ, ул. „ТВЫРДИШКИ ПРОХОД“ №15;

Как мы гарантируем безопасность Вашей персональной информации?

Мы используем соответствующие технические, организационные и административные меры безопасности для защиты всех персональных данных, которые мы обрабатываем, от потери, неправомерного использования, несанкционированного доступа, разглашения, изменения или уничтожения.  В частности, используемые нами меры изложены в нашей Политике общества по защите персональных данных.

Однако, несмотря на наши усилия по защите Ваших Персональных данных, мы не можем гарантировать безопасность информации, которую Вы передаете Платформам ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“, когда передача осуществляется по Интернету, через незащищенные сетей.

Примечание для детей до 16 лет: Мы не собираем и не обрабатываем (особенно через наш веб-сайт) персональные данные лиц, не достигших 16-летнего возраста. Если Вам не исполнилось 16 лет, попросите одного из ваших родителей (или вашего опекуна) зарегистрироваться и / или заполнить форму клиента вместо Вас. Пожалуйста, не передавайте нам свои данные.  Если мы установим или будем уведомлены о том, что мы получили Ваши данные по ошибке, мы немедленно удалим их из наших записей.

Примечание для родителей или других законных опекунов: Мы не будем обрабатывать, включая намеренный сбор каких-либо данных от Ваших детей, если им не исполнилось 16 лет.  Если вы обеспокоены тем, что ваш ребенок был зарегистрирован на веб-сайте ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“ или предоставил нам свои персональные данные, и вы хотите, чтобы они были удалены, пожалуйста, свяжитесь с нами указанными выше способами, предоставив нам официальные документы, подтверждающие Ваш статус родителя или законного опекуна.

ИЗМЕНЕНИЯ В УВЕДОМЛЕНИИ ОБ ОБРАБОТКЕ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы оставляем за собой право изменить это уведомление в любое время. Уведомление о любых существенных изменениях будет размещено на платформах ООО „Е ЭНД ЕС УОТЧИС ЭНД ДЖУЕЛРИ“.

Однако Вы несете единоличную ответственность за мониторинг изменений, внесенных в нашу Политику защиты персональных данных.