ОБЩА ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
във "ВИГС ИНВЕСТМЪНТС" ЕООД

1. Въведение

1.1. Общи положения
 
Настоящата обща политика за защита на личните данни (наричана по-долу „Политиката”) регламентира дейностите по обработване на лични данни от "ВИГС ИНВЕСТМЪНТС" ЕООД, ЕИК 205546368, със седалище и адрес на управление: гр. София 1000, ул. „Цар Иван Шишман” № 17, (наричано по-долу „Дружеството” и/или „Администраторът”), по отношение на категориите субекти на лични данни, посочени в нея, с цел гарантиране съответствието на това обработване с изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, наричан по-долу „Регламентът”), както и всички други приложими нормативни актове на Европейския съюз (ЕС) и на националното законодателство в областта на защитата на личните данни. Настоящата Политика се прилага по всички въпроси във връзка със защита на личните данни, за които липсва друга изрична или специална регламентация съгласно други актове на Дружеството.

1.2. Политиката има за цел да регламентира и обхваща по-специално следните въпроси:

•    дейностите по обработване на лични данни, категориите субекти на данни, по отношение на които се прилага Политиката, принципите на обработване и отговорностите във връзка с обработването;

•    задълженията на лицата, действащи под ръководството на Дружеството по смисъла на чл. 29 от Регламента при обработването на лични данни и тяхната отговорност при неизпълнение на тези задължения;

•    права на субектите на данни и процедура за упражняването им;

•    процедура във връзка с обработване на лични данни на основание съгласие на субектите на данни;

•    правила за реагиране в случай на нарушение на сигурността на лични данни;

•    техническите и организационни мерки за защита на личните данни, прилагани в Дружеството.

1.3. Информация за Администратора

Фирма    "ВИГС ИНВЕСТМЪНТС" ЕООД
    
Данни за вписване    вписано в търговския регистър и регистър на юридически лица с нестопанска цел към Агенцията по вписванията, с ЕИК 205546368
    
Седалище и адрес на управление    гр. София 1000, ул. „Цар Иван Шишман” № 17
    
Предмет на дейност    консултантска дейност; представителство, посредничество и агентство на местни и чужди физически и юридически лица, управление на активи, отдаване на лизинг на стоки, оборудване и автомобили, покупко-продажба, внос, износ, реекспорт на всякакви стоки и вещи в първоначален, преработен или обработен вид; вътрешна и външна търговия; транспортни и спедиторски сделки в страната и в чужбина; експлоатация и управление на недвижими имоти, търговия с промишлени стоки, стоки за бита, хранителни и селскостопански стоки; производство, пренос и търговия с електрическа енергия; всички други търговски сделки, незабранени със закон
    
2. Използвани термини и съкращения

Всички термини и съкращения, които не са изрично дефинирани в Политиката, имат значението, определено в Регламента.

3. Дейности по обработване на лични данни

3.1. Принципи на обработване на личните данни

Обработването на личните данни от Администратора се подчинява на следните принципи:

·    личните данни се обработват само и единствено при наличие на някое от основанията за обработване, съгласно Регламента и/или другото приложимо законодателство в областта на личните данни, добросъвестно и по прозрачен начин по отношение на субекта на данните (принцип на законосъобразност, добросъвестност и прозрачност);

·    личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

·    личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват (принцип на свеждане на данните до минимум);

·    личните данни са точни и при необходимост се поддържат в актуален вид. Администраторът предприема всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се взимат предвид целите, за които те се обработват (принцип на точност при обработването);

·    личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;

·    личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, разкриване, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

·    прилаганите организационни и технически мерки осигуряват постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на личните данни.

3.2. Категории субекти на данни. Категории лични данни и цели на обработването. Видеонаблюдение

3.2.1. Администраторът има право да обработва лични данни относно своите клиенти и други субекти на данни, както следва:

i.    клиенти (физически лица) на Дружеството като търговец, по отношение на които могат да се обработват лични данни като три имена, ЕГН, IP адрес, и-мейл, телефонен номер, MAC адрес и др. Обработването на лични данни се основава на принципа за свеждане на данните до минимум, в зависимост от и за целите на предоставяне на услугите, които ползва съответният клиент, ползване на он-лайн системата на Дружеството за закупуване на стоки (IP адрес; и-мейл; телефон; данни, свързани с навиците и предпочитанията), ползване на wi-fi в търговските помощения на Дружеството (MAC адрес) и др. Целите на обработване включват: (i). продажбата на стоки и/или предоставянето на допълнителните услуги, включително он-лайн закупуването на стоки и ползването на уеб-сайта на Дружеството; (ii). съхранение на данъчен и счетоводен регистър; (iii). изпълнение на законодателни изисквания; (iv). предоставяне на отстъпки на редовни клиенти; (v). цели, свързани с легитимните интереси на Дружеството по смисъла на Регламента; 

ii.    клиенти (физически лица) на Дружеството като търговец, по отношение на които могат да се обработват лични данни като три имена, ЕГН, данни от лични документи (лична карта или паспорт при сключване на договор), данни и документи, необходими за целите на полицейски проверки или проверки от съответен публичен орган, и/или други видове разрешителни документи, информация за семейни връзки и взаимоотношения, информация за банкови сметки (IBAN, при плащане по банков път), информация от значение за сключване на застраховки, във вид и обем, каквито са изисквани от съответното/ите застрахователно/и дружество/а и/или закона, информация за контакти (напр. e-mail адрес, адрес за контакти, телефонен номер), както и други данни, като IP адрес, МАC на устройство и др. Обработването на лични данни се основава изцяло на принципа на свеждане на данните до минимум, в зависимост от и за целите на предоставяне на стоките и/или услугите, които ползва съответния клиент, като ползване на wi-fi в търговските помощения на Дружеството (MAC), ползване на уебсайта на Дружеството (IP адрес; данни, свързани с навиците и предпочитанията) и др. Целите на обработване включват: (i). предоставяне на заявената стока и/или услуга, включително ползването на уеб-сайта на Дружеството; (ii). съхранение на данъчен и счетоводен регистър; (iii). изпълнение на законодателни изисквания; (iv). предоставяне на отстъпки на редовни клиенти; (v). директен маркетинг; (vi). цели, свързани с легитимните интереси на Дружеството по смисъла на Регламента;

iii.    потенциални, настоящи и/или бивши служители на Дружеството;

iv.    други физически лица и физически лица-представители или лица за контакт на юридически лица, които имат контакт с Дружеството (включително, но не само доставчици, бизнес контакти, подизпълнители, други контрагенти и бизнес партньори и др. под.) за целите на изпълнение и/или управление на дейността на Дружеството;

v.    други физически лица, представители по закон или пълномощие, на физически лица – клиенти на Дружеството.

3.2.2. Дружеството е създало и поддържа регистър на дейностите по обработване на лични данни като администратор, съгласно чл. 30 от Регламента (наричан по-долу „Регистърът”). Регистърът е описан подробно в т. 7. от Политиката и съдържа информацията, посочена в Регламента, включително и конкретните категории субекти на данни, категориите лични данни, целите и срока на обработване, категоризирани по дейности.

3.2.3. Дружеството запазва личните данни за по-дългия измежду периодите, необходими или за спазване на приложимите закони и подзаконови нормативни актове, или друг период съгласно изискванията, приложими към търговската дейност на Дружеството. Обработването на личните данни се основава на принципа за свеждане на данните до минимум, в зависимост от и за целите на предоставяне на стоките и/или услугите, които ползва съответният клиент, (като напр. търговски отстъпки за постоянни клиенти и др.) Част от данните могат да се съхраняват и след завършване на заявената от клиента стока и/или услуга за целите на предоставянето на отстъпки на редовни клиенти.

3.2.4. Дружеството извършва видеонаблюдение на публично достъпни зони в търговските си обекти и офиси. Видеонаблюдението се извършва съгласно правила за осъществяване на видеонаблюдение на Администратора.

4. Категории получатели на данни

Администраторът може да разкрива лични данни на следните лица:

•    доставчици на услуги – консултанти, адвокати, счетоводители, одитори, IT специалисти и др., във връзка със сключване на договорите от основната дейност на Дружеството, изпълнение на законови изисквания, техническа поддръжка и др. Подобно разкриване се извършва въз основа на писмено споразумение със съответния доставчик на услуги с цел да се гарантира същият да осигури адекватно ниво на защита и спазването на законодателството в областта на личните данни;

•    подизпълнители – при предоставяне на услуги от името на Администратора (търговски представители и др.) на и извън територията на Република България, във връзка със сключване и изпълнение на договорите за покупко-пдодажба на стоки или предоставянето на услуги. Подобно разкриване се извършва въз основа на писмено споразумение със съответния подизпълнител с цел да се гарантира същият да осигури адекватно ниво на защита и спазването на законодателството в областта на личните данни;

•    лица, предоставящи услуги по предоставяне и поддържане на оборудване, софтуер и хардуер, използвани за обработка (включително съхранение) на лични данни, за отчитане на разплащания и др.

•    банки, за обслужване на плащанията от страна на субектите на данни на продаваните стоки или извършването на допълнителни услуги;

•    охранителни дружества, които предоставят услуги по частна охранителна дейност, във връзка с извършване на видеонаблюдение на публично достъпни зони в търговските обекти на Администратора;

•    публични или съдебни органи, в и до обема, разрешен и/или изискуем съгласно закона;

•    застрахователни дружества – във връзка със сключването на застраховки за целите на покупко-продажбата на стоки и/или предоставянето на допълнителни услуги;

•    други администратори на лични данни, в случаите, когато Дружеството действа като обработващ от тяхно име.

5. Задължения на Администратора

Администраторът има следните задължения:

·    определя политиките и процедурите за защита на обработваните лични данни, спазва изискванията на Регламента, законодателството на ЕС и националното законодателство в областта защита на личните данни;

·    осигурява организацията по водене на Регистъра, съгласно предвидените мерки за гарантиране на адекватна защита;
 
·    въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните;

·    осигурява упражняването на правата на физическите лица за защита на личните данни;

·    въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва съобразно изискванията на Регламента;

·    въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност;

·    осъществява контрол по спазване на изискванията за защита на Регистъра, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване;

·    актуализира поддържаните регистри;

·    поддържа личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;

·    периодично информира и провежда по целесъобразност обучения на персонала по въпросите на защитата на личните данни;

·    оказва съдействие при осъществяването на контролните функции на Комисията за защита на личните данни в качеството й на надзорен орган по чл. 51 от Регламента (наричана по-долу от „КЗЛД”), подпомага установяването на обстоятелства, свързани със защитата на личните данни;

·    определя правата на служителите за достъп до лични данни в информационните системи съобразно целите на обработване, така че да се гарантира законосъобразност и да се спазят принципите на обработване;

·    използва обработващи лични данни, които предоставят достатъчни гаранции посредством прилагането на подходящи технически и организационни мерки за защита;

·    спазва определени правила в случай на нарушение на сигурността на личните данни;

·    документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него;

·    извършва оценка на риска, съгласно изискванията на Регламента, респективно оценка на въздействието, когато съгласно Регламента са налице условията за това.

6. Задължения на служителите на Администратора. Отговорност. Декларации за поверителност

6.1. Служителите на Администратора започват да обработват лични данни след запознаване с:

•    нормативната уредба в областта на защитата на личните данни, включително Регламента и Закона за защита на личните данни (наричан по-долу „ЗЗЛД”);

•    Политиката и другите вътрешни актове на Администратора, свързани със защитата на личните данни;

•    опасностите за личните данни, обработвани от Администратора.

Служителите на Администратора са длъжни:

•    да спазват изискванията на Регламента, другото приложимо законодателство в областта на защита на личните данни, Политиката и другите вътрешни актове на Администратора, свързани със защитата на личните данни;

•    да обработват личните данни само при наличие на условие за законосъобразно обработване (правно основание), а именно: основание за обработване на лични данни, което произтича от закона; или основание за обработване на лични данни, което произтича от договорните отношения с лицето; или основание за обработване на лични данни, което произтича от изрично съгласие на лицето; или основание за обработване на лични данни, което произтича от легитимния интерес на Администратора или на трета страна и който легитимен интерес има преимущество пред интересите, основните права и свободи на субекта на данните, които изискват защита на личните данни.

•    да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

•    да не използват личните данни, до които имат достъп в качеството им на служители на Администратора, за каквито и да било лични цели;
    
•    да спазват правилото за избягване на възможността за нерегламентиран достъп до лични данни и за оставяне на достъпни лични данни без надзор на съответното работно място. В помещения, до които имат достъп външни лица, съответните служители са задължени да предприемат мерки, така че външните лица да нямат какъвто и да е неправомерен достъп до документи, съдържащи лични данни, включително да могат да ги преглеждат, копират или фотографират с техническо средство;

•    когато изпълнението на съответната дейност позволява, да ограничат използваните лични данни до максимална степен;
 
•    да осигуряват и гарантират спазването на правата на физическите лица във връзка с обработването на лични данни;

•    да не допускат, подпомагат или създават условия за нарушения на сигурността при обработването на лични данни;

•    да не споделят или предоставят помежду си или на трети лица информация от съществено значение за сигурността на данните (потребителските си имена, пароли и др.);

•    да не копират файлове с корпоративна информация, съдържаща лични данни, върху преносим носител в некриптиран (или в незащитен с парола) вид;

•    да не изпращат по електронна поща към имейл адреси извън Дружеството информация, съдържаща съществени обеми от лични данни или каквито и да е специални категории лични данни или други лични данни, неправомерния достъп до които може да съставлява висок риск за правата и интересите на субектите на данни, за които се отнасят, в незащитени с парола файлове;
 
•    да не публикуват лични данни за клиенти или служители на Дружеството в публични сайтове, и др., без наличие на адекватно правно основание за това;
 
•    да оказват съдействие на длъжностното лице по защита на данните при изпълнение на неговите правомощия.

6.2. Отговорност на служителите

6.2.1. Всички действия, които водят или могат да доведат до нерегламентирано изтриване, унищожаване или изменение на постъпили лични данни при Администратора в електронен вид или на хартиен носител, както и нерегламентирано споделяне/ разкриване на лични данни, от страна на служители на Дружеството е забранено и може да доведе до реализирането на отговорността на съответния служител.

6.2.2. За неспазването на разпоредбите на Регламента и/или ЗЗЛД, и/или Политиката, и/или другите приложими вътрешни актове на Администратора, служителите на Администратора носят дисциплинарна отговорност.

6.2.3. Отделно от дисциплинарната отговорност, може да бъде реализирана и административно-наказателната и/или наказателната отговорност спрямо съответния служител, ако стореното представлява деяние, за което се предвижда наказателна или административно-наказателна отговорност;

6.2.4. Отделно от дисциплинарната, административно-наказателната и наказателната отговорност, съответният служител носи и спрямо него може да бъде реализирана и гражданска отговорност, ако са налице предпоставките за това.

6.3. Администраторът:

·    осигурява подписването на декларация за поверителност и неразпространение на лични данни от всички служители, които обработват лични данни за него.

·    поддържа информация за изпълнение на задълженията си за обучение на служителите, които обработват лични данни, и за обучение на персонала за събития, застрашаващи сигурността на личните данни.

7. Поддържане на регистър на дейностите по обработване на лични данни като администратор

Съгласно изискванията на чл. 30, пар. 1 от Регламента, Дружеството води Регистър за дейностите по обработване в качеството на администратор, който съдържа името и координатите за връзка на Администратора. Регистърът включва детайлно описание на всички дейности по обработване на лични данни съгласно чл. 30, пар. 1 от Регламента, включително със следните характеристики:

·    наименование на дейността (бизнес процеса, функцията) по обработване на лични данни;

·    целите и основанията за обработването на лични данни;

·    категориите физически лица, за които се обработват лични данни (клиенти, служители, лица за контакти на юридически лица и др.);

·    категориите лични данни, които се обработват в съответната дейност;

·    обработване на специални категории данни (напр. информация за здравословно състояние, ако е приложимо);

·    източниците на лични данни;

·    трети страни, които получават или по друг начин участват в обработването на лични данни в съответната дейност;

·    местоположение (съхранение) на личните данни;

·    предвидените срокове за съхранение и изтриване на различните категории лични данни, когато е възможно;

·    общо описание на техническите и организационни мерки за сигурност, когато е възможно.

8. Поддържане на регистри на дейностите по обработване на лични данни като обработващ

За определени дейности по обработване на лични данни Дружеството  е възможно да действа по възлагане, т.е. от името на други лица – администратори на лични данни, напр. застрахователни дружества. В такива случаи на обработване Дружеството действа като обработващ личните данни. В изпълнение на изискванията на чл. 30, пар. 2 от Регламента, Дружеството води Регистър за дейностите по обработване на лични данни като обработващ, който съдържа името и координатите за връзка Дружеството и на администратора, от чието име обработва данните. Регистърът включва детайлно описание на всички дейности (бизнес процеси, функции) по обработване на лични данни съобразно изискванията на чл. 30, пар. 2 от Регламента най-малко със следните характеристики:

·    категориите обработване, извършвано от името на всеки администратор;

·    трети страни, които получават или по друг начин участват в обработването на лични данни в съответната дейност;

·    когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, респективно за подходящите гаранции (когато това се изисква);

·    общо описание на техническите и организационни мерки за сигурност, когато е приложимо и възможно.

9. Права на субектите на данни

Администраторът предприема необходимите мерки за предоставяне на информация на субектите на данни относно обработването на лични данни в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15-22 от Регламента.

В случаите, в които исканията на субект на данни са очевидно неоснователни или прекомерни (по-специално поради своята повторяемост), Администраторът може да откаже да предприеме действия.

Администраторът осигурява по-специално упражняването на следните права на субектите на данни:

•    право на информация, при събиране на личните данни от субекта на данни или от трети страни;
 
•    право на достъп до данните на субекта на данни и по-конкретно: (i). потвърждение дали лични данни на този субект на данни се обработват от Дружеството; (ii). предоставяне на достъп до данните чрез копие от данните, които са в процес на обработване, както и информация относно целите на обработването; категориите лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; сроковете за съхранение на личните данни; съществуването на право на коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, или на възражение срещу обработването; правото на жалба до Надзорен орган (който в Република България е КЗЛД); източниците на лични данни; съществуването на автоматизирано вземане на решения, включително профилиране.

•    право на коригиране - да изисква коригирането или попълването на личните му данни, ако същите са неточни или непълни;

•    право на изтриване на личните данни, когато са налице предвидените в регламента основания;

•    право на ограничаване на обработването;

•    право на преносимост на данните;

•    право на възражение;

•    право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последици или по друг начин го засяга в съществена степен;

•    даване, промяна или оттегляне на съгласие за обработване на лични данни, когато основание за обработването е съгласието на субекта на данни.

Субектите на данни могат да упражняват своите права чрез подаване на писмено заявление до Администратора, по един от следните начини:

·    лично, от законен представител или чрез упълномощен с нотариално заверено пълномощно представител на субекта на данни, в офиса на Дружеството, находящ се в гр. София 1000, на ул. „Цар Иван Шишман” № 17, след идентифицирането на субекта на данни или на съответния представител от служител на Администратора;
 
·    по електронна поща на следния и-мейл адрес: office@vigsauto.bg , чрез квалифициран електронен подпис, съгласно Закона за електронния документ и електронните удостоверителни услуги (наричан по-долу „КЕП”);

·    по пощата с изпращането на нотариално заверено заявление с цел осигуряване идентификация на заявителя.

Всички заявления, подадени горепосочения офис на Дружеството или по пощата, се разглеждат от Дружеството без необосновано забавяне. В срок от един месец от подаване на заявлението, Дружеството уведомява субекта на данни за действията, предприети по заявлението, респективно за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ако бъдат предприети действия във връзка със заявлението, срокът за уведомяване на субекта на данни за тези действия може да се удължи до общо три месеца, като се вземе предвид сложността и броят на заявленията. В този случай Дружеството уведомява субекта на данни за удължаването на срока в рамките на първоначалния едномесечен срок.

Информацията (която може да варира в зависимост от това кое право на субекта на данни е упражнено със заявлението) се предоставя на хартиен носител лично на субекта на данни или на негов законен или упълномощен с изрично нотариално заверено пълномощно представител. Ако заявлението е подадено по електронна поща, информацията се предоставя също посредством електронна поща на и-мейл адреса, от който изхожда подаденото заявление. В този случай информацията се изпраща в защитени с парола файлове.

10. Съгласие на субекта на данни като основание за обработване на лични данни.

10.1. Основание

На основание чл. 6, пар. 1, б. „а“ от Регламента съгласието от лицето е едно от правните основания за законосъобразност на обработването на лични данни. Съгласие следва да се дава лично чрез писмена декларация, в електронна форма или друг определен от Администратора начин, с който да се гарантира, че съгласието е:

•    свободно дадено; и
•    конкретно; и
•    информирано; и
•    недвусмислено,

10.2. Субекти на данни

Дружеството може да събира съгласия за всички категории субекти на данни, за които се извършва обработване на лични данни, включително клиенти и служители.

Съгласията от субектите на данни следва да се събират само в писмена форма, чрез декларации за съгласие, след като е извършена идентификация на лицето, за да се докаже при необходимост наличието на съгласие за съответната дейност по обработване. Съгласието е отделно основание за обработване на лични данни и конкретните цели на обработване са посочени в него.

10.3. Оттегляне

Дружеството осигурява възможност на субектите на данни по лесен начин да променят или оттеглят съгласието си, без това да поражда неблагоприятни правни последици за тях, когато обективно е налице възможност за това. Промени или оттегляне на съгласие се осъществяват от субектите на данни по реда за събиране на съгласия. В случай на частично или пълно оттегляне на съгласие, когато обработването на лични данни се извършва на това основание, Дружеството може да се окаже в невъзможност да предостави заявената от Клиента стока и/или услуга.

10.4. Събиране на съгласия от клиенти

Съгласията на бивши, настоящи клиенти и техни представители се събират по един от следните начини:

•    лично, във всеки офис или представителство на Дружеството;

•    онлайн, чрез уебсайтът на Дружеството;

•    чрез лицензиран пощенски оператор с нотариална заверка на изявлението за съгласие; или

•    подписано с КЕП изявление за съгласие, изпратено по електронна поща до Дружеството.

10.5. Събиране на съгласия от служители

Съгласията на бивши, настоящи служители и кандидати за работа се събират по един от следните начини:

•    лично, в звеното за управление на човешките ресурси;

•    по електронната служебна поща - за настоящи служители;

•    подписано с КЕП изявление за съгласие, изпратено по електронна поща до Дружеството – за бивши служители и кандидати за работа; или
 
•    чрез лицензиран пощенски оператор с нотариална заверка на изявлението за съгласие.

10.6. Даване и оттегляне на съгласия онлайн

При наличие на случаи, в които получаването на съгласие за обработване на лични данни от Дружеството се изисква с оглед предоставяни от Дружеството стоки и/или услуги, които се заявяват или ползват онлайн, това съгласие се получава (съответно, оттегля) също онлайн, при спазване на отделни правила за това.

10.7. Съхранение

Всички съгласия за обработване на лични данни се регистрират и съхраняват от Администратора.

11. Обработване на лични данни от Администратора посредством обработващ лични данни

За извършването на своята дейност Дружеството може да използва трети страни (подизпълнители, търговски представители, доставчици на услуги и др.), действащи от негово име при обработването на лични данни и явяващи се обработващи лични данни по смисъла на чл. 4, т. 8 от Регламента. Такива обработващи могат да бъдат:

    търговски дружества;
    физически лица, наети на граждански договори.

При възлагане обработването на лични данни на обработващ лични данни Администраторът спазва следните изисквания:

•    избират се обработващи, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки за защита на личните данни;

•    условията за защита на личните данни се уреждат в отделно писмено споразумение или в основния писмен договор между Администратора и обработващия;

Договорите (респективно споразуменията), които Администраторът сключва с обработващите лични данни, определят и уреждат най-малко:

•    предмета и срока на действие на обработването;

•    целите и естеството на обработването;

•    категориите субекти на данни, по отношение данните на които се осъществява обработването;

•    вида на личните данни, които обработващият ще обработва от името на Администратора;

•    правата и задълженията на Администратора и обработващия;

•    изискванията към техническите и организационните мерки за защита на личните данни, които обработващият следва да прилага, съобразно спецификите и обхвата на конкретното възлагане. Независимо от конкретните уговорки в такива договори, не се допуска отклонение от и съответно прилагане на по-ниско ниво на защита на личните данни от това, предвидено в тази Политика;

•    задължение за обработващия за съдействие на Администратора за изпълнение на задълженията му съгласно чл. 31-36 от Регламента;

•    задължение за обработващия да уведоми Администратора без ненужно забавяне след узнаването за наличие на нарушаване сигурността на лични данни;

•    изисквания към обработващия и други задължителни условия, съгласно чл. 28, т. 3 от Регламента.
 
12. Правила за реагиране в случай на нарушаване сигурността на личните данни

12.1. Основание

Правилата за реагиране в случай на нарушаване сигурността на личните данни се основават на изискванията в чл. 33 и чл. 34 от Регламента.

12.2. Откриване на нарушение на сигурността от служител

При наличие на случай на нарушение на сигурността, открито от служител на Администратора, съответният служител съобщава незабавно за това на Дружеството в писмена форма (а при възможност – и в устна – лично или по телефона), като предоставя и всички подробности (доколкото има информация за това) за естеството на нарушението, за предполагаемото време на настъпване / извършване на нарушението и др.

12.3. Сигнали за нарушение на сигурността от трети лица

Сигнали за наличие на случай на нарушение на сигурността от трети лица се приемат от Администратора по един от следните начини:

·    лично в офиса на Дружеството, находящ се в гр. София 1000, ул. „Цар Иван Шишман” № 17, след идентифицирането на лицето от служител на Администратора;

·    по електронна поща до Дружеството, на следния и-мейл адрес: office@vigsauto.bg, чрез квалифициран електронен подпис, съгласно Закона за електронния документ и електронните удостоверителни услуги;

·    по пощата с изпращането на нотариално заверен сигнал.

12.4. Проучване на нарушението на сигурността и мерки

Без необосновано забавяне Дружеството сформира комисия за проучване на случая, състояща се от служители на Администратора с подходяща квалификация, в зависимост от конкретния случай. Комисията следва да проучи фактическата обстановка, да извърши анализ и оценка на тежестта на нарушението, с оглед риска за правата и свободите на физическите лица, броя засегнати субекти на данни и др., и да предложи по целесъобразност подходящи мерки за отстраняване, а където това е невъзможно – за минимизиране на идентифицираните рисковете и евентуалните неблагоприятни последици.   

12.5. Уведомяване на КЗЛД

При наличие на случай на нарушение на сигурността, Администраторът информира за това КЗЛД в срок до 72 часа от установяването, освен ако в конкретния случай не е налице каквато и да било вероятност нарушението на сигурността да породи риск за правата и свободите на физическите лица.

12.6. Уведомяване на субектите на данни

Когато нарушението на сигурността може да доведе до висок риск за правата и свободите на физическите лица, Администраторът съобщава за нарушението на сигурността на