Правила за управление
ПРАВИЛА ЗА УПРАВЛЕНИЕ НА ИСКАНИЯ
И ЖАЛБИ ОТ СУБЕКТИ НА ДАННИ
I.Предназначение на правилата
1.Настоящита правила се отнасят за:
1.1.Искания от субекти на данни, свързани с обработването на техните лични данни от Администратора „Индустриал комерс Ко” ЕАД, наричан по-долу за краткост ИНД;
1.2.Обработване на исканията на субектите на данни, свързани с упражняване на техните права, предвидени в Общия регламент за защита на лични данни №2016/679;
1.3.Жалби на субектите на данни относно начина на обработване на техни лични данни, на исканията или на подадени жалби.
II.Нормативна уредба
Настоящите правила са изготвени въз основа на Общия регламент за защита на лични данни № 2016/679, наричан по-долу за карткост ОРЗД и Законът за защита на личните данни./ЗЗЛД/
III.Дефиниции
„лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Субект на данни“ е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация, по-специално чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„обработване на лични данни" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
IV.Видове искания
Личните данни на физическите лица /субекти на данни/, обработвани от ИНД попадат в обхвата на тези Правила.Всяка физическо лице, което е предоставило свои лични данни на ИНД, лично или чрез трето лице може в защита на своите права да отправи към Администратора ИНД едно или няколко от следните искания:
• Искане за достъп до лични данни;
• Искане за коригиране на лични данни;
• Искане за изтриване /”право да бъдеш забравен”/
• Искане за ограничаване на обработването на лични данни;
• Искане за пренасяне на лични данни от един администратор към друг;
• Възражение срещу обработването;
• Искане за оттегляне на съгласието за целите на обработването;
• Друго искане или възражение относно начина, по който Администраторът обработва лични данни за конкретно лице, или разглежда подадено вече искане или жалба.
Освен посочените искания, субектът на данни може да отправи жалба срещу всяко решение на ИНД, взето въз основа на подадено искане или подадена жалба.
V.Задължения и роли
Всички служители на ИНД, включително лица, назначени на граждански договор към Администратора, външни доставчици, дилъри, контрагенти и други физически лица, които обработват лични данни на физически лица от името и за сметка на ИНД носят отговорност за своевременното уведомяване на Отговорното лице по защита на личните данни за подадени искания, жалби или каквито и да е други оплаквания от страна на субектите на данни във връзка с техните лични данни.
Отговорното лице от страна на Администратора за защита на личните данни отговаря за прилагането и ефективното изпълнение на тези правила и за уведомяването на последния за подадени искания и жалби от субектите на данни.
Отговорното лице за защита на личните данни отговаря за обработването и разглеждането на всички искания и жалби от субекти на данни, обхванати от настоящите Правила.
VI.Контакт с Отговорното лице по защита на данните
Всички искания и жалби, предмет на настоящите Правила следва да бъдат отправяни на следния електронен адрес на Администратора : gdpr@hyundai.bg или на следния пощенски адрес:гр.София, ул.”Околовръстен път” № 260, на вниманието на Отговорно лице за защита на личните данни.
VII.Ход на правилата
1.Искания и жалби се подават до ИНД от субекти на данни чрез попълване на Форма на искане за упражняване на права във връзка със защита на лични данни, Форма за подаване на жалба, публикувана на интернет сайта на дружеството www.hyundai.bg, чрез изпращане на електронно съобщение на посочения по-горе в раздел VI имейл за връзка с Отговорното лице за защита на личните данни или чрез подаване на място в офиса на Администратора.Подаваните чрез електронната форма на интернет сайта на дружеството искания и жалби постъпват директно на електронната поща на Отговорното лице за защита на личните данни.Администраторът приема и подадени искания или жалби от субекти на данни по всеки друг начин или форма, които съдържат недвусмислено изявление за това и идентифицират физическото лице като такова, притежател на данните и при спазване на настоящите Правила.
2.ИНД разглежда и взема решение по постъпилото искане или жалба при спазване на следните срокове:
2.1.Постъпилите искания и жалби се пренасочват незабавно към Отговорното лице за защита на личните данни, което извършва проверка дали подателят на искането или жалбата се е идентифицирал с достатъчно данни , за да може да направи еднозначна преценка от кое точно лице изхожда жалбата или искането и да може да бъде идентифицирано лицето в базата данни на Администратора, за да бъде обработен подаденият от него документ.При наличие на основателни опасения във връзка със самоличността на физическото лице, подало искането или жалбата, Администраторът може да поиска предоставяне на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данни.
2.2.Отговорното лице по защита на данните въвежда номер и дата на подаденото искане или Жалба в Дневник за регистриране на искания и жалби.
2.3.Отговорното лице по защита на личните данни следва да вземе решение и да изпрати отговор към субекта на данни в рамките на 1 /един/ месец от постъпване на искането или жалбата.Ако е необходимо удължаване на посочения срок / най-много с още 2 месеца/, за удължаването субектът на данните се уведомява в срока от 1 месец, като се посочват и причините за удължаването, като се вземат предвид сложността и броя на исканията.Максималният срок за изпращане на отговор не може да бъде по-дълъг от 3 /три/ месеца.
2.4.Администраторът има право да уважи искането или жалбата, респективно да ги отхвърли и/или да откаже да предприеме действия, което във всички случаи се извършва с мотивирано решение, което се изпраща на субекта на данни.
2.5.Администраторът посочва на субекта на данни в решението си неговото право да се обърне към надзорния орган, включително и към съдилищата, за реализиране на правата си, ако остане неудовлетворен от взетото решение по отношение на неговото искане или жалба.
3.Разглеждането на искания и жалби, вземането на решения по тях и изпращането им на субекта на данни е за сметка на ИНД и в този смисъл безплатно за субекта на данни. Въпреки това Администраторът може да откаже да предприеме действия по искането/жалбата, в случай че подаваните искания или жалби са повторяеми, явно неоснователни или прекомерни, включително когато искането е за предоставяне на повече от едно копие от обработваните от Администратора лични данни.
VIII.Отправяне на искания и жалби
1.При отправяне на искане или жалба, субектът на данни следва да спазва следните правила:
1.1.Субектът на данни следва да предостави информация за своята самоличност, която да е достатъчна, да го идентифицира еднозначно и сигурно /например данни за имена, телефонен номер, електронна поща и др./
1.2.Да указва конкретния вид искане, като по възможност използва образецът на искане-Форма на искане за упражняване на права във връзка със защита на личните данни, предоставен на интернет сайта на ИНД.
1.3.Субектът на данни има право да поиска справка за всички съхранявани от Администратора лични данни, които го касаят, без изрично да посочва техния вид;
2.При подаване на искане от субект на данни за коригиране, изтриване, ограничаване, оттегляне на съгласие за целите на обработването или при възражение по отношение на обработваните лични данни, Отговорното лице по защита на данните преценява всяко от тези искания /извън искането за достъп до данни и за преносимост на данни/ с оглед основателността на правото на субекта и наличието на други законови изисквания за неговото удовлетворяване.
3.Обработването на исканията и жалбите се извършва от Отговорното лице за защита на личните данни в ИНД в посочените по-горе срокове, като първоначално се въвежда в Дневник за регистриране на искания и жалби следната информация:
3.1.датата на постъпване на искането или жалбата и му дава пореден номер;
3.2.идентифицираща информация за подателя;
3.3.всякаква друга информация, която прецени за необходима и важна за разглеждане на искането или жалбата.
4.Търсенето на информация в ИНД за изготвяне на решение по съответното искане или жалба се извършва във всички места за съхранение на лични данни на хартиен носител, както и във всички архивирани електронни файлове, електронна поща и др.възможни източници, съобразно организацията на данните в ИНД.
5.Когато искането е за достъп до информация, при предаване на копие от информацията Отговорното лице по защита на личните данни извършва обработване на данните с цел отстраняване на евентуална идентификационна информация за трети лица.
6.След вземане на решение Отговорното лице по защита на данните вписва в Дневника за регистриране на искания и жалби информация за подадения към субекта на данни отговор на искането, респективно жалбата , като посочва датата на изпращане на решението към подателя му и начинът, по който е изпратено./по електронна поща, чрез куриер, лично връчване или по друг начин/.
7.При положително уважително решение по подадено искане или жалба, Отговорното лице за защита на личните данни постановява да се извърши едно или няколко от следните действия в ИНД:
7.1.да се премахнат личните данни от системите и да се прекратят операциите по обработването им, без ненужно забавяне, ако искането за изтриване е подадено от субекта на данни;
7.2.да се премахнат личните данни от системите и да се прекратят операциите по обработването им, без ненужно забавяне, ако искането за оттегляне на съгласие за целите на обработването е подадено от субекта на данните;
7.3.да се информира субектът на данните за всяко извършено коригиране, изтриване, оттеглено съгласие или ограничаване на обработването на всеки получател, на когото личните данни са били разкрити и това съобщение да се документира;
7.4.да бъдат предприети подходящи мерки , без ненужно забавяне, в случай, че субектът на данни е подал искане, с което възразява срещу обработването на лицните данни изцяло или частично, отпаднало е основанието за обработване по законово задължение;данните са били незаконно обработвани.
IX.Управление на искания за достъп и пренос на данни
1.В случай на подадено искане от субекта на данни за получаване на достъп до съхраняваните от ИНД негови лични данни и при уважаване на това искане, освен че осигурява достъп до данните му/например чрез предоставяне на тяхно копие/Отговорното лице по защита на личните данни предоставя на субекта и следната информация:
1.1.целите на обработването;
1.2.съответните категории лични данни, които се обработват;
1.3.получателите или категориите получатели на личните данни /ако има такива/;
1.4.информация относно предаване на лични данни на трета държава или международно организация, както и наличие на гаранция за защита на данните, ако ИНД има намерение да да извършва подобно предаване;
1.5.срокът, за който ИНД съхранява лични данни, а ако не може да се посочи точен срок, критериите, използвани за определяне на този срок;
1.6.правата му да се изиска от ИНД коригиране или изтриване на неговите лични данни, както и правата му на ограничаване на обработването, на възражение срещу обработването, както и на преносимост на данните;
1.7.правото на жалба до надзорен орган;
1.8..когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
1.9.наличие на автоматизирано вземане на решения, включително профилиране, както и предвидените последствия от това обработване за субекта на данните.
2.Субектът на данни има право да поиска от Администратора да получи личните си данни, за да може да ги използва повторно или да ги прехвърли на други администратори на лични данни/право на преносимост на лични данни/ при следните условия:
2.1.Могат да бъдат пренасяни само лични данни, за които субектът на данни е дал изрично съгласие те да бъдат обработвани за определена цел или цели или обработването им е било необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на действия по искане на субекта на данните преди сключването на договор и обработването им е било извършено по автоматизиран начин.
2.2. В ИНД не се извършва обработване на лични данни по автоматизиран начин, поради което по искания за упражняване на правото на преносимост няма да бъде получено положително решение от страна на Администратора.В случай, че ИНД започне автоматизирано обработване на лични данни, субектът на данни ще има следните права:да получи копие от личните си данни, които е предоставил на ИНД или да поиска от ИНД да прехвърли тези данни към друг администратор, посочен от субекта на данни.
2.3.При постъпване на искане за преносимост на данни, Отговорното лице по защита на данни, ще следва да постанови отрицателно решение по него поради липсата на автоматизирано обработване в ИНД, независимо от това дали са изпълнени останалите изисквания за наличие на възможност за преносимост на данни /данните да са обработвани с изрично съгласие на лицето, по договор или във връзка с преддоговорни отношения/.
X.Ограничения на правата на субектите на данни
1.Вътрешната нормативна уредба или правото на Европейския съюз могат да предвидят ограничения за упражняване на правата на субектите на данни при изпълнението на настоящите Правила с цел да се гарантира:
1.1.националната и обществена сигурност и отбраната;
1.2.предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложени наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;
1.3.важни цели от обществен интерес;важен икономически и финансов интерес на Съюза или на държава-членка, бюджетни въпроси;
1.4.обществено здраве и социална сигурност;
1.5.защита на независимостта и съдебната власт;
1.6.защита на субекта на данни или правата и свободите на други лица;
1.7. изпълнение на други претенции.
XI.Примерни образци
1.Образец на Форма на искане за упражняване на права във връзка със защита на личните данни /за подаване на всички видове искания във връзка със защитата на личните данни/
2.Образец на Форма за подаване на жалба