Екскурзии в чужбина, почивки на море, самолетни билети

Telephone hot line - 0700 10 269
Български | English
   Оферти    Самолетни билети

Общи условия и Правила за администриране, събиране и обработване на лични данни на физически лица на „Ентърпрайс травел“ - Еоод

 

 

Ентерпрайс Травел“ ЕООД, ЕИК  2009 67040

ул. „ ГОРСКИ ПЪТНИК 49 , гр. София,  п.к. 1421 , тел:  02 9641000

__________________________________________________________________________

 

 

 

 

ПРАВИЛА ЗА АДМИНИСТРИРАНЕ, СЪБИРАНЕ И ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА ФИЗИЧЕСКИ ЛИЦА НА „ЕНТЪРПРАЙС ТРАВЕЛ“  - ЕООД

 

 

1. Настоящите Правила се приемат във връзка с изпълнението на изискванията на Общия регламент относно защитата на личните данни /“Регламентът“, “GDPR”/ и важат за всички работници/служители на дружеството, както и за ръководните и/или надзорните му органи. Настоящите правила са приети в съответствие с основните принципи на Регламента, а именно: принцип на отчетност, принцип на ограничение на целите, принцип на събиране и обработване на минимум лични данни, принцип на ограничение на съхранението на събраните данни, принцип на цялостност и поверителност на събраните лични данни.

 

2. Дружеството събира лични данни на физически лица за следните цели и при следните случаи:

2.1. При трудово-правни правоотношения и свързани с тях правоотношения с работници/служители – с трудово-правни цели, за поддържане на служебно досие на работника/служителя.

2.1.1. При търсене и подбиране на персонал за заемане на работни места в дружеството.

2.2. При управленски правоотношения с ръководните и надзорни органи на дружеството – с цел поддържане на работно досие на управляващите и представляващи дружеството лица.

2.3. За данъчно-правни цели;

2.4. За осигурителни цели;

2.5. За други счетоводни цели;

2.6. За договорни цели, а именно, в случаи на търговски, облигационни и/или вещно-правни правоотношения между дружеството и физическо лице, вкл. по договорни правоотношения, свързани с охранителна дейност.

2.7. За целите на основната си дейност, като лицензиран тур-агент/тур-оператор, съгласно лиценз № РК -01-6511  на Министерството на туризма.

 

3. Вид на личните данни/информация, които се обработват за целите, описани, в т. 2:

3.1. При трудово-правни правоотношения и свързани с тях правоотношения с работници/служители: три имена, ЕГН, номер на лична карта, постоянен адрес, настоящ адрес, телефонен номер, адрес на електронна поща, индивидуален адрес, съгласно приложения за комуникация /Skype, Viber, Whatsapp и др./, номер на банкова сметка, автобиография, документи, доказващи различни образователно-квалификационни степени и/или курсове, данни за съдимост на лицето, когато нормативен акт изисква това, данни за здравословното състояние на лицето, когато нормативен акт изисква това.

3.2. При управленски правоотношения с ръководните и надзорни органи на дружеството: три имена, ЕГН, номер на лична карта, постоянен адрес, настоящ адрес, телефонен номер, адрес на електронна поща, индивидуален адрес, съгласно приложения за комуникация /Skype, Viber, Whatsapp и др./, номер на банкова сметка, автобиография, документи, доказващи различни образователно-квалификационни степени и/или курсове данни за съдимост на лицето, когато нормативен акт изисква това, данни за здравословното състояние на лицето, когато нормативен акт изисква това.

3.3. За данъчно-правни цели: три имена, ЕГН, наименование на длъжност;

3.4. За осигурителни цели: три имена, ЕГН, наименование на длъжност;

3.5. За други счетоводни цели: три имена, ЕГН, наименование на длъжност, документи, доказващи различни образователно-квалификационни степени и/или курсове;

3.6. За договорни цели, а именно, в случаи на търговски, облигационни и/или вещно-правни правоотношения между дружеството и физическо лице: ЕГН, номер на лична карта, постоянен адрес, настоящ адрес, телефонен номер, адрес на електронна поща, индивидуален адрес, съгласно приложения за комуникация /Skype, Viber, Whatsapp и др./, номер на банкова сметка, автобиография, документи, доказващи различни образователно-квалификационни степени и/или курсове, кадри от видео наблюдение на лица /последните се съхраняват в нарочен регистър/

3.7. За целите на основната си дейност, като лицензиран тур-агент/тур-оператор, съгласно лиценз № РК -01-6511/ 02.03.2010 на Министерството на туризма: : три имена,адрес, адрес на електронна поща, номер на кредитната карта или на идентификацията на съответното платежно средство, IP адрес на клиент на сайта.

3.7.1. Дружеството събира данни чрез анализ на потребителския интернет трафик чрез услугите на GoogleAnalytics, Facebook, YouTube, с цел подобряване на функционалността на сайта, което представлява защита на легитимен интерес на дружеството.

 

4. Основания за събиране и обработване на лични данни:

4.1. При трудово-правни правоотношения и свързани с тях правоотношения с работници/служители: по силата на закон, по силата на защита на легитимен интерес на дружеството и/или по силата на изрично съгласие на физическото лице.

4.2. При управленски правоотношения с ръководните и надзорни органи на дружеството: по силата на закон, по силата на защита на легитимен интерес на дружеството и/или по силата на изрично съгласие на физическото лице.

4.3. За данъчно-правни цели: по силата на закон и/или по силата на изрично съгласие на физическото лице.

4.4. За осигурителни цели: по силата на закон и/или по силата на изрично съгласие на физическото лице.

4.5. За други счетоводни цели: по силата на закон, по силата на защита на легитимен интерес на дружеството и/или по силата на изрично съгласие на физическото лице.

4.6. За договорни цели, а именно, в случаи на търговски, облигационни и/или вещно-правни правоотношения между дружеството и физическо лице: по силата на закон, по силата на защита на легитимен интерес на дружеството и/или по силата на изрично съгласие на физическото лице.

 

4.7. За целите на основната си дейност, като лицензиран тур-агент - тур-оператор: по силата на закон, по силата на защита на легитимен интерес на дружеството и  по силата на изрично съгласие на физическото лице.

 

4.7. За защита на жизнено важни интереси и/или в обществен интерес.

 

4.8. Когато лични данни са предоставени от субекта на данни на дружеството без правно основание и/или в противоречие с принципите по чл. 5 от Регламент (ЕС) 2016/679, дружеството ги връща незабавно или ги изтрива, или унищожава в срок от един месец от узнаването.

 

5. Събраните и обработени лични данни се разкриват на следните лица/органи извън дружеството:

 

5.1. На органи на публичната власт:Национална агенция за приходите, Национален осигурителен институт, Министерство на вътрешните работи, съдебни органи, контролни органи, органи на местното самоуправление т.н.

 

5.2. На обработващ лични данни (физическо или юридическо лице, което обработва личните данни от името на дружеството и по негово нареждане или възлагане) – регистриран одитор, счетоводна къща, IT компания поддържаща информационни системи, адвокат, банка.

 

5.3. На органи на публична власт в други държави-членки на Европейския съюз, въз основа на местното законодателство, при осъществяване на дейност в съответните държави.

 

5.4. Предоставянето на лични данни на физически лица на трети лица по смисъла на т. 5.3. се осъществява по силата на закон, по силата на защита на легитимен интерес на дружеството и/или по силата на изрично съгласие на физическото лице, като се предоставя минимално необходимата информация.

 

5.5. Дружеството предоставя лични данни на:счетоводна кантора/счетоводител,СуперХостинг.БГ ООД , като собственик на сървъра, на който се съхраняват данните от уеб-страницата на дружеството.

6. Срокът за съхранение на личните данни е:

 

6.1. Съответния срок, определен в нормативен акт, изискващ съхранение на определени видове данни.

 

6.2. В случаите по т. 3.7.1. срокът на съхранение е 5 години.

 

6.3. В случаите извън т. 6.1. и т. 6.2. срокът на съхранение е до 2 месеца.

 

7. Дружеството трансферира лични данни на физически лица в други държави-членки на Европейския съюз, въз основа на местното законодателство, при осъществяване на дейност в съответните държави.

 

8. Приемане, разпределение, обработване на лични данни от работници/служители на дружеството:  Ентърпрайс Травел  - ЕООД

8.1. Документи, файлове, договори и др. източници на информация се приемат от техническия секретар, работник/служител отговарящ за IТ-поддръжка на информационните системи на дружеството и/или от счетоводител.

8.2. При приемане на източник на информация от технически секретар, същият препраща информацията на хартиен и/или електронен носител на работник/служител, който отговаря за събирането на съответните лични данни. Техническият секретар не поддържа и няма пряк достъп до регистри на хартиен и/или електронен носител на лични данни на физически лица, освен данни, получени при търсене и подбиране на персонал за заемане на работни места в дружеството.

8.3. При приемане на източник на информация от счетоводител, същият я прилага към съответната база данни и отговаря за съхранението й.

8.3.1. Счетоводителите на дружеството отговарят за поддържането на бази данни с лични данни на физически лица при: трудово-правни правоотношения и свързани с тях правоотношения с работници/служители; управленски правоотношения с ръководните и надзорни органи на дружеството; данъчно-правни цели; осигурителни цели; други счетоводни цели; договорни цели, а именно, в случаи на търговски, облигационни и/или вещно-правни правоотношения между дружеството и физическо лице.

8.4. При приемане на източник на информация работник/служител, отговарящ за IT-поддръжка на информационните системи на дружеството, същият препраща информацията на хартиен и/или електронен носител на работник/служител, който отговаря за събирането на съответните лични данни.

8.4.1. Работник/служител отговарящ за IТ поддръжка на информационните системи на дружеството има достъп до всички бази данни, съдържащи лични данни, съхранявани от други служители в дружеството в случаи на необходимост от извършване на съответни администраторски дейности.

8.6. Работниците/служителите на дружеството нямат право да предоставят лични данни на физически лица на трети лица, освен в случаите по т. 5.

 

9. Мерки за съхранение на лични данни:

 

9.1. Събраните и обработвани лични данни се съхраняват на хартиен и/или електронен носител.

9.2. Лични данни на хартиен носител, събрани по т. 3, се съхраняват в отделни ненаименовани папки, които се намират в офис на счетоводния отдел на дружеството, като се поставят в шкаф с ключалка, достъпът до който е ограничен.

9.2.1. Лични данни на хартиен носител, отнасящи се до съдимостта и/или здравословното състояние на физическо лице се съхраняват отделно от личните данни по т. 9.2. в отделни ненаименовани папки, които се намират в офис на счетоводния отдел на дружеството, като се поставят в шкаф с ключалка, достъпът до който е ограничен.

9.3. Лични данни на електронен носител се съхраняват в хард-дисковете на отделните компютри, използвани от счетоводители, работник/служител отговарящ за IT-поддръжка на информационните системи на дружеството и технически секретар. Самите компютри са защитени от индивидуална парола. За всяко  от отделните компютърни приложения, съхраняващи лични данни, има отделен персонален вход за достъп;

9.4. Лични данни, получени и/или изпратени чрез служебна електронна поща на дружеството, се съхраняват на отделен сървър, поддържан от host-provider-a, в пълно съответствие с изискванията на Регламента.

 

9.5. Всички лични данни се охраняват чрез денонощна охрана на работните помещения, а именно: СОТ, охранителни решетки на помещенията.

 

9.6. В случаи, че: а/ лични данни са получени без основание и б/ срокът за съхранение на лични данни е изтекъл, то данните по б. а/ и б/ се унищожават физически и/или се изтриват перманентно от съответните бази данни. За гореописаните действия се съставя протокол.

 

 

 

11. Процедура за действие в случай на нарушение на личните данни:

 

11.1. В случай, че се установи предполагаемо нарушение на личните данни, работникът/служителят, който е отчел предполагаемото нарушение уведомява веднага писмено и/или чрез електронна поща работник/служител отговарящ за IT-поддръжка на информационните системи на дружеството и управител/изпълнителен директор на дружеството.

11.2. Работникът/служителят, отговарящ за IT-поддръжка на информационните системи на дружеството установява наличието на нарушение на личните данни и незабавно уведомява за становището си управител/изпълнителен директор на дружеството. Работникът/служителят отговарящ за IT-поддръжка на информационните системи на дружеството е отговорен служител за реакция при нарушение на сигурността на личните данни

 

11.3. Управителят/изпълнителният директор на дружеството уведомява лично или чрез пълномощник КЗЛД за установеното нарушение на личните данни в срок от 72 часа от установяването на нарушението по смисъла на т. 10.2.

 

11.4. В уведомлението по т. 11.3. се съдържа най-малко следното:

 

1.         описание на естеството на нарушението на сигурността на личните данни, включително, когато това е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни

 

2.         посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация

 

3.         описание на евентуалните последици от нарушението на сигурността на личните данни;

4.         описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

 

11.5. Дружеството документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

 

12. Процедура за приемане, разглеждане и отговаряне на искания от физически лица за упражняване на правата им като субекти на лични данни:

 

12.1. Всяко физическо лице има:

 

- право на коригиране или допълване на неточни или непълни лични данни;

- право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);

- право на ограничаване на обработването – при наличие на правен спор между дружеството и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;

- право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат.

- право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;

- право на предоставяне на информация относно това, дали дружество събира, обработва и съхранява лични данни на лицето и дали същите са предоставени на трето лице и на какво основание.

12.2. Упражняването на гореописаните права може да стане чрез писмен или електронно искане от страна физическото лице.

12.3. Искането се приема от техническия секретар и се препраща незабавно до счетоводители до работник/служител, отговарящ за IT-поддръжка на информационните системи на дружеството.

12.4. Счетоводителят и/или работникът/служителят отговарящ за IT-поддръжка на информационните системи на дружеството правят справка в поддържаните бази данни и изпращат подробен мотивиран отговор до лицето, по посочения от него начин, в срок от един месец от получаване на искането.

 

Настоящите правила влизат в сила от 25.05.2018 г.

 

Настоящите Правила да се сведат до знанието на всички работници/служители на дружеството за сведение и изпълнение.

 

Дата: 23.05.2018