ПОЛИТИКА ЗА СИГУРНОСТ НА „СТЕЛА ТУРС 2001” ЕООД

Ръководството на “СТЕЛА ТУРС 2001” ЕООД („СТЕЛА ТУРС”, „дружеството”, „ние”, „администратора”), се ангажира да осигури съответствие със законодателството на ЕС и Република България по отношение на обработването на личните данни и защитата на „правата и свободите“ на лицата,  чиито лични данни дружеството събира и обработва.

Регламент (ЕС) 2016/679 и тази политика се отнасят до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори и всякакви други лични данни, които ние обработваме от различни източници.

Тази политика се прилага във всички случаи във връзка обработка на лични данни. Всяко нарушение на Общия регламент ще бъде разглеждано като нарушение на трудовата дисциплина, а в случай че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в най-къс възможен срок на съответните държавни органи.

Партньори и трети лица, които работят с или за “СТЕЛА ТУРС 2001” ЕООД, както и които имат или могат да имат достъп до личните данни, ще се очаква да се запознаят, разбират и да се съобразят с тази политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от дружеството, без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които сме поели, и което ни дава право да извършваме проверки на спазването на поетите със споразумението задължения.

Задължения и роли по Регламент (ЕС) 2016/679

“СТЕЛА ТУРС 2001” ЕООД е администратор на лични данни съгласно Регламент (ЕС) 2016/679.

Висшето ръководство и всички  членове на управителните или надзорните  органи на СТЕЛА ТУРС са отговорни за разработване и насърчаване на добри практики в областта на обработване на информация.

Спазването на законодателството за защита на данните е отговорност на всички служители на “СТЕЛА ТУРС 2001” ЕООД, които обработват лични данни.

Принципи за защита на данните

Цялата обработка на лични данни се извършва в съответствие с принципите за защита на данните. Политиките и процедурите на дружеството имат за цел да гарантират спазването на тези принципи.

СТЕЛА ТУРС поема ангажимент да обработва личните данни законосъобразно, добросъвестно и прозрачно. Личните данни, които събираме се използват единствено и само за конкретни, изрично указани и законни цели. Ние по никакъв начин няма да продадем Вашите лични данни и по никакъв начин няма да ги предадем или разкрием на трета страна, освен ако не сме законово задължени да го направим.

Цели, правни основания и срокове за обработване на личните данни

Дружеството обработва личните Ви данни за целите свързани с административна отчетност, финансово счетоводни дейности, банкови и застрахователни дейности и отчетност, осигуряване сигурност на почиващите и защита на легитимните си интереси.

Цялостната обработка на личните Ви данни се извършва единствено и само във връзка със законови задължения вменени на дружеството съгласно българското законодателство (Кодекс на социалното осигуряване, Кодекс на труда, Закон за МВР, Закон за туризма, Закон за чужденците в РБ и други).

Личните данни на физически лица обработвани във връзка с трудово, гражданско и/или договорно правоотношение с дружеството се съхраняват за сроковете определени съгласно българското законодателство.

Личните данни на физически лица клиенти на дружеството се съхраняват за срок от oсемнадесет месеца и след това се унищожават и/или изтриват, съгласно приетите в дружеството правила.

Права на субектите на данни

Субектите на данни имат следните права по отношение на обработването на данни, както и на данните, които се записват за тях:

– Да отправяте искания за потвърждаване дали се обработват лични данни, свързани с Вас, и ако това е така, да получите достъп до данните, както и информация кои са получателите на тези данни.

– Да поискате копие от своите лични данни от администратора;

– Да искате от администратора коригиране на лични данни когато те са неточни, както и когато не са вече актуални;

– Да искате от администратора ограничаване на обработването на лични данни като в този случай данните ще бъдат само съхранявани, но не и обработвани, и в случай, че не е налице законова забрана за това;

– Да направите възражение срещу обработване на лични данни, отнасящо се до Вас за целите на директния маркетинг.

– Да се обърнете с жалба до надзорен орган ако смятате, че някоя от разпоредбите на ОРЗД е нарушена;

– Да не сте обект на автоматизирано взети решения, които да Ви засягат.

Ние осигуряваме условия, които да гарантират упражняването на тези права от Вас:

– Субектите на данни могат да направят искания за достъп до данни.

– Субектите на данни имат право да подават жалби до дружеството, свързани с обработването на личните им данни, обработването на искане от субекта на данни и обжалване от страна на субекта на данни, относно начина на обработване на жалбите. 

Съгласие

Под „съгласие“ СТЕЛА ТУРС ще разбира всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. Субектът на данните може да оттегли своето съгласие по всяко време, ако не противоречи на законово задължение за дружеството.

Когато ние обработваме лични данни на деца, трябва да бъде получено разрешение от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 16 години.

 

Сигурност на данните

Всички служители са отговорни за гарантирането на сигурността при съхраняването на данните, за които те отговарят и които дружеството държи, както и, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети страни, освен ако дружеството не е дало такива права на тази трета страна, като са сключили договор /клауза за поверителност.

Всички лични данни са достъпни само за тези, които се нуждаят от тях, а достъпът се предоставя само в съответствие с изградените правила за контрол на достъпа. Всички лични данни се третират с най-голяма сигурност.

Създадена е организация, която гарантира, че компютърните екрани и терминалите не могат да бъдат гледани от друг, освен от оторизираните служители на дружеството. От всички служители се изисква да подпишат декларация за поверителност и да бъдат обучени в спазване на организационните и технически мерки за достъп, както и правилата за заключване на работните станции, съгласно приетата от администратора Инструкция за обработване и защита на личните данни, преди да им бъде предоставен достъп до информация от всякакъв вид.

Записите върху хартиен носител не са достъпни от неоторизирани лица и не могат да бъдат изваждани от определените офисни  помещения. Веднага щом хартиените документи вече не са необходими за текущата работа по поддръжката на клиенти, същите се унищожават в съответствие с приетите в дружеството правила.

Разкриване на данни

Ние осигуряваме условия, при които личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. На служителите се извършва обучение с цел да се избегне рискът от такова нарушение.

Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от управителния орган. 

Съхраняване и унищожаване на данните

СТЕЛА ТУРС не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните. Дружеството може да съхранява данни за по-дълги периоди единствено ако личните данни ще бъдат обработвани  за целите на архивиране, за цели в обществен интерес и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.

            На територията на хотел „Елена”, в свободно достъпните части от сградата, се извършва видео наблюдение единствено и само за целите на легитимните интереси на дружеството, които биха възникнали при евентуални случайни или нарочни действия или бездействия от страна на почиващи или нает персонал в хотела. Записите от видеокамерите се съхраняват автоматично за срок от седем дни, след което отново автоматично се изтриват. Достъпът до данните е силно ограничен, извършва се само при констатирана нужда и само от изрично упълномощени за това служители на дружеството.

Трансфер на данни

Всеки износ на данни от рамките на ЕС към страни извън ЕС (посочени в Общия регламент като „трети страни“) са незаконни, освен ако няма подходящ ниво на защита на основните права на субектите на данни.

Прехвърлянето на лични данни извън ЕС е забранено, освен ако не се прилагат една или повече от указаните гаранции или изключения:

1. Решение за адекватност

Европейската комисия може да оцени трети страни, територия и/или специфични сектори в трети страни, за да прецени дали има подходящо ниво на защита на правата и свободите на физическите лица. В тези случаи не се изисква разрешение.

Държавите, които са членки на Европейското икономическо пространство (ЕИП), но не и на ЕС, се приемат като отговарящи на условията за решение за адекватност.

2. Щит за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield)

Ако Организацията желае да прехвърли лични данни от ЕС на трета страна в САЩ, тя трябва да провери дали организацията е подписала Рамковото споразумение „Privacy Shield“ с Министерство на търговията на САЩ.

3. Стандартни договорни клаузи.  

СТЕЛА ТУРС може да приеме утвърдени стандартни договорни клаузи за защита на данните при прехвърляне на данни извън Европейското икономическо пространство. Ако дружеството приема стандартни договорни клаузи, одобрени от съответния надзорен орган има автоматично признаване на адекватността.

 

Регистри на дейностите по обработване.

В СТЕЛА ТУРС сме създали процес на инвентаризация на данните като част от своя подход за справяне с рисковете и възможностите в процеса на спазване на политиката за съответствие с Регламент (ЕС) 2016/679.

Ние сме наясно с рисковете, свързани с обработването на определени видове лични данни. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване дружеството ще извършва оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.

Когато в резултат на вътрешна оценката се установи, че дружеството ще започне да обработва лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, ще бъде предадено за преглед от страна на управителните органи. Ако има сериозни опасения или относно потенциалната вреда или опасност, или относно количеството на съответните данни, въпросът ще бъде отнесен до надзорния орган за консултация.