Политика за управление на личните данни

Система за управление на личните данни

Администратор „Кемпфайърбг“ ЕООД Сайт Campfire.bg Отговорник по защита на данните Веселин Дургов Електронен адрес за връзка enjoy@campfire.bg

Защитата на личните Ви данни е отговорност, която е с голям приоритет за нас. С настоящата Политиката за поверителност „Кемпфайърбг“ EOOД зачита неприкосновеността на личността и приема като свое задължение защитата на личните Ви данни.

Въведение

1. Общ регламент за защита на личните данни Регламент (ЕС) 2016/679 (Общ регламент за защита на данните) замества Директивата 95/46/ЕО за защита на данните. Има пряко действие и действа успоредно с националното законодателство – Закона за защита на личните данни – в областта на защитата на личните данни. Неговата цел е да защитава „правата и свободите“ на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.

2. Обхват, очертан от Общия регламент за защита на данните Материален обхват (член 2) – регламентът се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни (например ръчно и на хартия), които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни. Териториален обхват (член 3) – правилата на Общия Регламент важат за всички администратори на лични данни, които са установени в ЕС, които обработват лични данни на физически лица, в контекста на своята дейност. Регламентът се прилага и за администратори извън ЕС, които обработват лични данни с цел да предлагат стоки и услуги или ако наблюдават поведението на субектите на данни, които пребивават в ЕС.

3. Понятия „Лични данни“ – всяка информация, свързана с физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; „Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация. „Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване; „Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка; „Субект на данните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора. „Съгласие на субекта на данните“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени; „Дете“ – Общият Регламент определя дете като всеки на възраст под 16 години. Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си. „Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение; „Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин; „Основно място на установяване“ – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център. Ако администраторът е със седалище извън ЕС, той трябва да назначи свой представител в юрисдикцията, в която администраторът работи, за да действа от името на администратора и да се занимава с надзорните органи. (Член 4 т.16) от ОРЗД) „Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването; „Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

Задължения и роли по регламент (ЕС) 2016/679

1. „Кемпфайърбг“ EOOД е Администратор на данни съгласно Регламент (ЕС) 2016/679. 2. Управителят на „Кемпфайърбг“ EOOД е отговорният орган по управление на системата за управление на лични данни, както и за разработване и насърчаване на добри практики в областта на обработване на информация в предприятието. 3. Отговорникът по защита на данните (по-долу ОЗД), с роля определена в Регламент (ЕС) 2016/679, е отговорно за управлението на личните данни в рамките на организацията и за гарантирането на възможността за доказване на съответствието със законодателството за защита на данните и добрите практики. Тази отчетност на ОЗД включва периодичен преглед на документацията на системата за управление на лични данни съгласно изкисванията на РЕГЛАМЕНТ (ЕС) 2016/679 и управление на сигурността и риска по отношение на съответствието с политиката. 4. ОЗД има специфични отговорности по отношение на „Процедура за управление на исканията от субектите“ и следва да бъде контактна точка за служителите на администратора, които искат разяснения по всеки аспект на спазването на защитата на данните. 5. Спазването на законодателството за защита на данните е отговорност на всички служители на„Кемпфайърбг“ EOOД , които обработват лични данни. 7. Политиката за провеждане на обучения в „Кемпфайърбг“ EOOД определя специфичните изисквания за обучение и осведомяване във връзка с конкретните роли на служителите/работници в дружеството.

 Права на субектите на данни

1. Всеки субект на данни има следните права по отношение на обработването на данни, както и на данните, които се записват за него/нея: Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни; Да поиска копие от своите лични данни от администратора; Да иска от администратора коригиране на лични данни когато те са неточни, както и когато не са вече актуални; Да изиска от администратора изтриване на лични данни (право „да бъдеш забравен“); Да иска от администратора ограничаване на обработването на лични данни като в този случай данните ще бъдат само съхранявани, но не и обработвани; Да направи възражение срещу обработване на негови лични данни; Да направи възражение срещу обработване на лични данни, отнасящо се до него за целите на директния маркетинг; Да се обърне с жалба до надзорен орган, ако смята, че някоя от разпоредбите на ОРЗД е нарушена; Да поиска да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат; Да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до администратора; Да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса; Да се противопостави на автоматизирано профилиране, което се случва без негово съгласие. 2. „Кемпфайърбг“ EOOД осигурява условия, които да гарантират упражняването на тези права от субекта на данни: Субектите на данни могат да направят искания за достъп до данни, както е регламентирано в Процедурата за управление на исканията от субектите. Цитираната процедура също така описва как „Кемпфайърбг“ EOOД ще гарантира, че отговорът на искането на субекта на данни отговаря на изискванията на Общия регламент за защита на данните. Субектите на данни имат право да подават жалби до„Кемпфайърбг“ EOOД, свързани с обработването на личните им данни. Обработването на искане от субекта на данни и обжалването от страна на субекта на данни, относно начина на обработване на жалбите следва да се провеждат в съответствие с Процедура за начините на комуникация при жалби и искания от субекта на данни.

Съгласие

В дейността на „Кемпфайърбг“ EOOД най-голям обем от лични данни се обработва на законосъобразните основания (съгласно чл. 6 ОРЗД) – „Изпълнение на законово задължение“ и „Изпълнение на договорни отношения“. Публикуване в социални мрежи на снимки на клиенти във връзка с реализирани пътувания, основанието би следвало да бъде „съгласие от субекта на данни“. Дружеството приема следните правила във връзка с възможни хипотези, при които ще се обработват лични данни на основание „съгласие на субекта“: 1. Под „съгласие“ „Кемпфайърбг“ EOOД ще разбира всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. Субектът на данните може да оттегли своето съгласие по всяко време. 2. „Кемпфайърбг“ EOOД разбира под „съгласие“ само случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие и без върху му да бъде упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни. 3. Съгласието не може да бъде изведено от липсата на отговор на съобщение до субекта на данни. Трябва да има активна комуникация между администратора и субекта, за да е налице съгласие. Администраторът трябва да може да докаже, че е получено съгласие за дейностите по обработване.

За какво са ни необходими личните ви данни?

Извършване на резервации за индивидуално или групово пътуване, изготвяне и закупуване на пакет от услуги, резервация и закупуване на самолетни билети, както и всички други процеси, свързани с предоставяне на услугите, които предлагаме, включително и услуги от трети страни, като например продукти на наши партньори, предлагащи организирани пътувания, места за настаняване. Маркетингови дейности: ние използваме Вашата информация и за маркетингови дейности. Те могат да включват: изпращане на новини и съобщения относно продукти и услуги. обработване на всякакви заявки/резервации. Комуникация с Вас. Ние обработваме информацията, която сте ни изпратили. Това може да се дължи на различни причини, като: Пояснения по дадена програма; Резервации; Обща информация; Съвети; Изготвяне на застраховки и др.

Съхраняване и унищожаване на данните

1. Кемпфайърбг“ EOOД не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните. 2. Кемпфайърбг“ EOOД събира и обработва информацията, която Вие сте се съгласили да ни предоставите доброволно. Можете да се свържете с нас използвайки нашия сайт или Facebook страницата ни. За целта е необходимо да оставите Вашите имена и имейл адрес, като по този начин изразявате съгласие да ви изпратим търсената от вас информация на него. Освен чрез нашия сайт “Campfire.bg”, запитване за резервация за някоя от нашите услуги може да направите и чрез Facebook страницата ни “Campfirebg”. 3. При сключване на задължителни застраховки и различен вид резервации съпътстващи самото пътуване. 4. Периодът на съхранение за всяка категория на лични данни е посочен в Графика за събиране и унищожение на категориите данни. 5. Личните данни трябва да бъдат унищожени сигурно, съгласно принципа за гарантиране подходящо ниво на сигурност – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

Трансфер на данни

Всеки износ на лични данни от рамките на ЕС към страни извън ЕС (посочени в Общия регламент като „трети страни“) е незаконен, освен ако няма подходящо „ниво на защита на основните права на субектите на данни“. „Кемпфайърбг“ EOOД не осъществява трансфер на лични данни към други държави, включително такива извън ЕС. Не осъществява трансфер и на трети лица, с които няма договорни отношения като част от изпълнението на дадена туристическа програма.