ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

1. Предназначение, обхват и ползватели

ФОНДАЦИЯ „ДОКОВА И ДОКОВ ЗА БЪДЕЩЕ“, вписана в Търговския регистър и регистъра на юридическите лица с нестопанска цел при Агенцията по вписванията, с ЕИК 206743151, със седалище и адрес на управление в гр. София и адрес на управление – гр. София п.к.1766, район „Витоша“, ул. „Панорама София“ № 6, бизнес център „Ричхил“, блок „А“, представлявано от  Ирина Докова – председател на УС, наричана по-долу „Фондацията“ e администратор на лични данни и като такъв  се стреми да спазва приложимите закони и разпоредби, свързани със защитата на личните данни в държавите, в които Фондацията оперира. Фондацията обработва личните данни самостоятелно или чрез възлагане на обработващ данните. Тази политика определя основните принципи и правила, чрез които Фондацията обработва личните данни на служители, клиенти, доставчици, бизнес партньори, посетители на обектите на Фондацията, потребители на уеб сайта и други лица, посочва правата на субектите на данни, задълженията и отговорността на ФОНДАЦИЯ „ДОКОВА И ДОКОВ ЗА БЪДЕЩЕ“ в качеството на администратор на данни и на служителите под контрола на Фондацията. Всички лични данни се събират и обработват в съответствие с действащото европейско и българско законодателство в областта на защитата на личните данни.

Принципът за защитата и сигурността на личните данни е основен принцип при изпълнение на процесите на Фондацията. Неговото спазване е задължение и отговорност на всеки служител. Настоящата политика развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.

Нарушението на сигурността на личните данни може да доведе до висок риск за правата на засегнатите физически лица и да има значителни негативни последици, както за ФОНДАЦИЯ „ДОКОВА И ДОКОВ ЗА БЪДЕЩЕ“, така и за нейните служители, нарушили изискванията на приложимите нормативни актове и на вътрешните правила на Фондацията. Поради това всяко неспазване на тази политика се третира като сериозно нарушение.

2. Дефиниции

Следните определения на термините, използвани в този документ, са дефинирани в Общия регламент относно защита на данните на Европейския съюз:

  • Лични данни: всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“);
  • Субект на данните: физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице
  • Чувствителни лични данни: Личните данни, които по своята същност са особено чувствителни по отношение на основните права и свободи, заслужават специфична защита, тъй като контекстът на тяхната обработка може да създаде значителни рискове за основните права и свободи. Тези лични данни включват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикати, генетични данни, биометрични данни, с цел еднозначно идентифициране на физическо лице, данни относно здравето или данни, отнасящи се до пола на физическо лице, живот или сексуална ориентация
  • Администратор на данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка
  • Обработващи данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора
  • Обработване: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване
  • Регистър на лични данни: всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
  • Трета страна: физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
  • Трансгранично обработване: a)  обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или б)  обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка.
  • Надзорен орган: независим публичен орган, създаден от държава членка съгласно член 51 на Регламента.

3. Основни принципи, отнасящи се до обработката на лични данни

Принципите за защита на данните очертават основните отговорности за Фондацията, обработващи лични данни.

  • Законосъобразност, добросъвестност и прозрачност – личните данни се обработват в съответствие със закона, при наличие на правно основание за обработка на данните; честно и открито, а информацията относно обработваните данни е ясна, недвусмислена и откриваема.
  • Ограничение на целите – данните се събират и обработват за конкретни цели и не се обработват допълнително по начин, несъвместим с тези цели.
  • Свеждане на данните до минимум – обработваме минимум лични данни, само тези, необходими за постигане на целите на обработването.
  • Точност – обработваме актуални и точни данни и при необходимост ги поддържаме в актуален вид. Доколкото тези данни в повечето случай се предоставят директно от субекта на данни, молим  при настъпили промени относно Вашите лични данни да ни уведомете своевременно за това.
  • Ограничение на съхранението във времето на личните данни;
  • Цялостност и поверителност – обработваме личните данни като гарантираме подходящо ниво на сигурност срещу неразрешено или незаконосъобразно обработване.

4. Категории Лични Данни, цели и основания

Фондацията обработва информация относно следните категории физически лица (Субекти на данни):

  • Дарители физически лица (даряващи материални дарения), които подписват договор за дарение с Фондация „Докова и Доков за бъдеще“ – три имена; ЕГН или личен номер на чужденец; адрес;
  • Дарители физически лица (даряващи услуга или други нематериални дарения), които подписват договор за дарение на услуга с Фондация „Докова и Доков за бъдеще“  – три имена; ЕГН или личен номер на чужденец; адрес;
  • Партньори, извършващи дейност на Граждански договор (Специалисти) – три имена; ЕГН или личен номер на чужденец; адрес;
  • Доброволци, които даряват труда си – три имена; ЕГН или личен номер на чужденец; адрес.
  • Данни на субекти, които кандидатстват за работа на имейл – три имена; ЕГН или личен номер на чужденец, адреси, телефон, имейл, образование, трудов опит и квалификации.
  • Данни на субекти, които сключват трудов или граждански договор – три имена; ЕГН или личен номер на чужденец, данни от документ за самоличност, адреси, образование, банкова сметка, други, предоставени от субекта.
  • Данни на субекти, които участват в провеждани от Фондация Фондация „Докова и Доков за бъдеще“ “ рекламни кампании, томболи, игри в интернет или на определено за целта място, независимо дали участието в тях е обвързано с покупка или не. Фондацията получава и обработва личните данни на тези субекти, които обичайно включват: име, фамилия, населено място, адрес за кореспонденция, имейл адрес, телефонен номер.
  • Данни на субекти, които не са страна по договор, но които по тяхна инициатива предоставят на Фондацията си лични данни, заявления, жалби, сигнали и др. под. – три имена, ЕГН, адрес, телефон, имейл адрес – съгласно предоставеното от субекта.
  • Данни на субекти – Партньори – три имена; ЕГН или личен номер на чужденец, адрес, телефон, банкова сметка.
  • Данни на субекти Анкетирани, които се включват в Анкети (анонимни или не) – три имена, телефон, електронна поща.
  • Данни на субекти Клиенти, които записват час за консултация със специалист или са включени в различни програми на Фондацията – три имена; ЕГН или личен номер на чужденец, адрес, телефон, имейл адрес; документи удостоверяващи доход, медицински документи; копие от лична карта.

Администраторът обработва следните категории лични данни на физическите лица:

  • Данни, свързани с физическата идентичност, като ЕГН, три имена, постоянен адрес, данни по документ за самоличност, образи и изображения;
  • Данни, свързани с икономическата идентичност, като данни относно възнаграждение по трудов или граждански договор;
  • Данни, свързани със социална идентичност, като образование, предишна месторабота;
  • Данни, свързани със семейна идентичност, като семейно положение, ненавършили пълнолетие деца;
  • Данни относно здравословното състояние, като диагноза съгласно представени болнични листа, ТЕЛК/ НЕЛК  решения;
  • Данни, свързани с присъди и нарушения, като наличие на осъждане съгласно свидетелство за съдимост.
  • Комуникационни данни, които включват всяко съобщение, което   субектът на данни изпраща, независимо  дали  е  чрез  комуникационната  форма  на фирмения  уебсайт,  чрез  имейл, съобщение или публикация в онлайн мрежата или друг вид изпратено съобщение. Фондацията обработва тези данни с цел комуникация със субекта на данни, за водене на документация и  за  установяване,  изпълнение  или  защита от правни  искове. Юридическата обосновка  за  това  обработване  са  легитимните интереси, в следствие  на предоставяне  на услуга  или  продукт, резултат  от  основната  ни дейност, които  в  този  случай са  отговаряне на  изпратените  съобщения, водене  на  документация  и  за  установяване, преследване  или  защита отправни искове.
  • Данни на клиента: включват данни, свързани с покупката на услуги и/или стоки, като  например   име,адрес, адрес за  фактуриране(за  кореспонденция), адрес за доставка, имейл адрес, данни за контакт (телефонен номер).
  • Маркетингови данни: включват  данни,  свързани  с предпочитанията на субекта на данни  за получаване на маркетингова информация и предпочитания от субекта на данни  начин  за  комуникация. Такива данни се обработват и съхраняват  само  след  изрично,  недвусмислено  свободно  дадено съгласие.

В контекста на ползването на уебсайта  и в зависимост от това в каква връзка влизате в контакт с Фондацията, Фондация „Докова и Доков за бъдеще“ обработва информация за Вас, която би могла да се третира като лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защитата на данните“), доколкото може да доведе до Вашата идентификация.

В контекста на ползването на уебсайта при попълване на Формата за запитване, Администраторът обработва категориите лични данни, а именно:Вашите имена, имейл (електронен) адрес и телефонен номер.

При посещение на уебсайта, Администраторът получава технически данни за Вашето посещение, които могат да включват IP адрес, дата и час на посещение, продължителност на посещението, операционна система, използван браузер, тип устройство и количество на прехвърлените данни.

Събиране

Фондацията се стреми да събере възможно най-малко количество лични данни. Ако личните данни се събират от трета страна, Фондацията следва да се увери, че личните данни се събират законно.

Използване, Съхранение и Премахване

Фондацията поддържа точността, целостта, поверителността и уместността на личните данни въз основа на целта на обработката. За целта се използват адекватни механизми за защита, предназначени за защита на личните данни, за да се предотврати открадването или злоупотребата с личните данни, и да се предотврати нарушаването на личните данни.

Оповестяване на Трети Страни

Когато Фондацията използва услугите на доставчик или бизнес партньор (трета страна), за да обработва лични данни от негово име, администраторът извършва проверка, че този доставчик ще предостави мерки за сигурност, за да защити личните данни, които са адекватни на свързаните с тях рискове.

Фондацията изисква по договор от доставчика или бизнес партньора да осигури същото ниво на защита на данните. Доставчикът или бизнес партньорът трябва да обработва само лични данни, необходими му, за да изпълнява своите договорни задължения към Фондацията или по нареждане на Фондацията, а не за други цели. Когато Фондацията обработва лични данни съвместно с независима трета страна, Фондацията изрично уточнява своите съответни отговорности и третата страна в съответния договор или друг правно обвързващ документ, като например Споразумение за обработка на данни от доставчиците.

5. Права на Субектите на Данни

По силата на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (“Общия регламент за защита на данните“), субектите на данни имат следните права:

  • право на достъп до данни – Фондацията предоставя на субектите на данни механизъм, който им позволява да имат разумен достъп до личните си данни и да им позволява да актуализират, коригират, изтриват или предават своите лични данни, ако е приложимо или се изисква по закон.
  • право на коригиране на неточни или непълни лични данни
  • право на изтриване на данни (право “да бъдеш забравен“)При поискване, когато основанието за обработването почива на предварително дадено съгласие, субектите на данни имат правото да поискат от Фондацията изтриването на личните им данни. С оглед това искане Фондацията предприема необходимите действия (включително технически мерки), за да информира третите лица, които използват или обработват тези данни (Обработващия данни), да се съобразят с искането.
  • право на ограничаване на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции.
  • право на преносимост на данните – Субектите на данни имат право да получат при поискване копие от данните, които са предоставили в структуриран формат, и да предадат тези данни на друг администратор безплатно. Служителят по защита на личните данни е отговорен да гарантира, че тези искания се обработват в рамките на един месец, не са прекомерни и не засягат правата на лични данни на други лица.
  • право на информираност за нарушения на сигурността – субектът на данни има право своевременно да бъде информиран за всяко нарушение на сигурността на данните

6. Условия За Допустимост На Обработването На Лични Данни На Служителите

Фондацията може да обработва лични данни на служителите си за законни цели, които включват, но не се ограничават до:

Управление на човешките ресурси. Включва дейности по управление на човешките ресурси, извършени по време на наемане на работа или изпълнение на трудов договор, като например интервюта, срещи, прекратяване на трудовото правоотношение, оценка на работата, възнаграждения, обезщетения, обучение, услуги за служителите, здравеопазване и безопасност на труда, застраховки и други дейности, с цел управление на човешките ресурси или защита на жизненоважните интереси на служителите.

Бизнес процеси. Включва бизнес дейности като управление на пътувания и разходи, управление на активи на фондацияра, предоставяне на ИТ услуги, информационна сигурност, провеждане на вътрешни одити и разследвания, изпълнение на задълженията по договори, правни или бизнес консултации, подготовка за съдебни спорове и др.

Съответствие със закона. Обработката на лични данни на служителите, за да се изпълнят правни задължения, например: разкриване на лични данни на служителите на данъчен орган, за да се спазят приложимите данъчни закони.

7. Насоки за Добросъвестна Обработка

Фондацията преценява дали е необходимо да извършва оценката на въздействието върху защитата на данните за всяка дейност по обработка на данни.

7.1. Известия към Субектите на Данни

По време на събирането или преди събирането на лични данни за всякакъв вид обработка Фондацията информира надлежно субектите на данни за следното: видовете лични данни събраните данни, целите на обработката, методите за обработка, правата на субектите на данни по отношение на техните лични данни, периода на запазване, потенциалните международни трансфери на данни, когато данните се споделят с трети страни и мерките за сигурност на Фондацията за защита на личните данни. Тази информация се предоставя чрез Известие за поверителност или чрез препращане към настоящата Политика, с която субектът на данни да се запознае.

7.2. Получаване на Съгласие

Когато обработването на лични данни се основава на съгласието на субекта на данните или на други законови основания, Фондацията и отговорните служители следят за запазването на такова съгласие. Компетентните служители отговарят за предоставянето на съгласието на субектите на данни, които трябва да дадат съгласието си, и информират и гарантират, че тяхното съгласие (когато съгласието се използва като законно основание за обработка) може да бъде оттеглено по всяко време.

Когато се изисква да се коригират, изменят или унищожат записите с лични данни, тези изисквания се обработват в разумен срок. Отговорният служител записва заявките и води дневник за тях.

Личните данни се обработват само за целите, за които първоначално са били събрани. В случай, че Фондацията реши да обработва събраните лични данни за друга цел, Фондацията ще потърси съгласието на субектите на данни в ясен и кратък срок. Всяко такова искане трябва да включва първоначалната цел, за която са събрани данните, както и новата или допълнителната (ите) цел (и). Искането трябва да включва и причината за промяната на целта / целите.

8. Изисквания за Обработка на Лични Данни на Персонала

Всяка обработка на лични данни на служителите от отделите и физическите лица на фондацията трябва да бъде със законова цел и трябва да отговаря на следните изисквания:

8.1. Уведомяване на Служителите

За целите на прозрачността на обработката на лични данни на служителите, когато Фондацията  събира личните данни на служител, служителят бива уведомяван за типовете данни, които се събират, целта и видовете обработка, правата на служителя и мерките за сигурност, предприети за защита на личните данни.

8.2. Избор и Съгласие на Служителите

По принцип Фондацията обработва личните данни на служителите със законова цел като работодател и прави това без да е необходимо съгласието на служителя, за да подобри ефективността на вътрешната работа.

Дейностите по управление на човешките ресурси, като например интервюта, назначаване, прекратяване на трудовото правоотношение, присъствие, компенсация и обезщетения, услуги за служителите, здраве и безопасност на труда могат да включват обработката на чувствителни лични данни.

8.3. Събиране

При събиране на лични данни  на служителите за законови цели се спазва принципа за минимизиране на данните. Когато личните данни на кандидат за работа или служителя са събрани от трета страна (напр. Агенции за набиране на персонал), Фондацията  полага всички усилия, за да гарантира, че третата страна е получила личните данни с легитимни средства.

8.4. Разкриване на Информация на Трети Страни

Когато Фондацията трябва да разкрие лични данни на служители на доставчик, бизнес партньор или друга трета страна, отговорните служители се стремят да гарантират, че доставчикът, бизнес партньорът или друга трета страна ще предостави мерки за сигурност, за да защити лични данни на служителите към свързаните рискове и ще предостави същото ниво на защита на данните като Фондацията, чрез договор или друго споразумение.

9. Надзорен Орган По Защита На Данните

Надзорният орган по защита на данните на национално ниво е Комисия за защита на личните данни. Тя следи за правилното прилагане на Регламент (ЕС) 2016/679, като всяко физическо лице, което счете, че са нарушени неговите права във връзка с обработването на личните му данни, може да подаде жалба до Комисията на следния адрес:

Гр. София, ул. “Проф. Цветан Лазаров” № 2
телефон: 02/91-53-555
електронна поща: kzld@cpdp.bg
Интернет страница: www.cpdp.bg

10. Валидност и Управление На Документи

Този документ е валиден от 28.03.2022 г..

Фондацията има право да актуализира, изменя и допълва политиката за защита на личните данни по всяко време в бъдеще, когато обстоятелствата го налагат.

Последна актуализация на Политиката за защита на личните данни: 28.03.2022 г.