Категории

Защита на личните данни

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ СМ ГАЗ ЕООД

 

Като се вземат предвид задълженията, произтичащи от чл. 25 и чл. 32 на Регламент (ЕО) № 2016/679 на Европейския парламент и на Съвета (ЕС) от 27.04.2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и в отмяна на Директива 95/46/ЕО (общ регламент за защита на данните) (ОВ L 119, стр. 1), за да се гарантира, че личните данни в СМ ГАЗ ЕООД, гр. Велико Търново, ул. Мизия 36, ЕИК 202137067, накратко СМ ГАЗ, се обработват и съхраняват съгласно законовите разпоредби чрез прилагане на подходящи технически и организационни мерки, предназначени да прилагат ефективно принципите за защита на данните и да осигурят необходимите гаранции при обработката; СМ ГАЗ гарантира, че по подразбиране се обработват само лични данни, които са необходими за постигането на определена цел.

§ 1 Общи положения

1.1. Администратор на лични данни е СМ ГАЗ ЕООД, гр. Велико Търново, ул. Мизия 36, ЕИК 202137067. Политиката определя принципите за обработка и защита на личните данни в СМ ГАЗ, за да се гарантира сигурност на обработката съгласно изискванията на GDPR. Политиката е основана на правилата, процедурите и принципите за защита на личните данни, приложени в СМ ГАЗ. Правилата включват:(а) описание на правилата за защита на данните на СМ ГАЗ;

(б) набор от процедури, инструкции и подробни правила относно обработката на лични данни в СМ ГАЗ по отношение на специфични сфери за защита на личните данни, които са приложени към Политиката.

1.2. Правилата се отнасят за всички служители и сътрудници на СМ ГАЗ. За спазване на конкретните разпоредби отговорност носят:

(а) СМ ГАЗ;

(б) организационните отдели наСМ ГАЗ , в които се обработват лични данни;

(в) служителите и партньорите.

1.3. За ефективно прилагане на Политиката, като се вземат предвид обхвата, смисъла и целите на обработката, както и риска от нарушаване на правата и свободите на лицата, СМ ГАЗ предвижда:

(а) прилагане на подходящи технически и организационни мерки за гарантиране спазването при обработката на лични данни с изискванията на закона и необходимата защита на обработваните лични данни;

(б) непрекъснат мониторинг на обработката на лични данни, така че процесът да се извършва съгласно законовите изисквания, както и да се прилагат мерките, посочени в параграф 1.3 (а);

(в) контрол и надзор върху обработката на лични данни.

1.4. Надзорът за спазването на Политиката се осигурява от Спас Митев, собственик на компанията. Надзорът, посочен в предходното изречение, цели да гарантира, че дейностите, свързани с обработката на лични данни в СМ ГАЗ, са в съответствие с изискванията на закона и разпоредбите на Политиката.

1.5. СМ ГАЗ гарантира спазването на правилата не само от страна на компанията, но и от всички партньори, с който сътрудничи. Всички те следва да изпълняват разпоредбите на Политиката в съответния обхват във всички случаи, при които лични данни се предават за обработка и съхранение.

1.6. Политиката се съхранява и се предоставя на хартиен и електронен носител в офиса на СМ ГАЗ.

1.7. Политиката е достъпна за:

(а) задължително за всички лица, упълномощени да обработват лични данни в СМ ГАЗ, за да ги информира относно принципите и изискванията за обработка на лични данни в СМ ГАЗ;

(б) на заинтересованите лица, в частност лицата, за които се отнасят данните - по тяхно искане.

§ 2 Речник на понятията

2.1. Когато в настоящата Политика се използват следните определения или фрази, следва да им се даде следното значение:

(а) Политика - означава тази политика;

(б) Лични данни - означава информация за идентифицирано или идентифицируемо физическо лице, като например име, идентификационен номер, данни за местоположението, интернет идентификатор или един или повече конкретни фактора, определящи физическата, физиологичната, генетичната, психологическата, икономическата, културната или социалната идентичност на физическо лице; посочени в чл. 4 т.1 от GDPR;

(в) GDPR - означава Регламент (ЕО) № 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и отмяната на Директива 95/46/ЕО (общ регламент за защита на данните) (ОВ L 119, стр. 1);

(г) Оправомощено лице - означава лице, упълномощено от СМ ГАЗ да обработва лични данни в определен обхват;

(д) Обработка - означава операция или поредица от операции, извършвани с лични данни или набори от лични данни по автоматизиран или неавтоматизиран начин, като например събиране, записване, организиране, поръчване, съхранение, адаптиране или модифициране, изтегляне, гледане, използване, разкриване чрез изпращане, разпространение или друг вид споделяне, съвпадение или сливане, ограничаване, изтриване или унищожаване, както е посочено в чл. 4, точка 2 GDPR;

(е) набор от данни - означава всеки структуриран набор от лични данни, наличен според конкретни критерии;

(ж) обработваща организация - означава всяко физическо или юридическо лице, публичен орган, субект или друго лице, което обработва лични данни от името на СМ ГАЗ;

(з) Регистър - означава Регистър за обработка на лични данни на СМ ГАЗ;

(и) удостоверяване - означава дейност, чиято цел е да се провери декларираната от потребителя идентичност;

(й) СМ ГАЗ - означава СМ ГАЗ ЕООД, гр. Велико Търново, ул. Мизия 36, ЕИК 202137067, имейл адрес: office@smgas-bg.com, телефонен номер: +359889438255;

(к) Служители - означава както лица, наети на работа в СМ ГАЗ въз основа на трудово правоотношение, така и физически лица, които си сътрудничат с СМ ГАЗ по Гражданскоправно споразумение;

(л) Клиенти - означава физически лица, действащи от свое име, както и физически лица, действащи от името и в полза на субекти, независимо от тяхната организационна и правна форма, като си сътрудничат с СМ ГАЗ, по-конкретно доставчици, дистрибутори, доставчици на услуги , получатели на услуги;

(м) Система - Системата за защита на личните данни на СМ ГАЗ, посочена в §5 от Политиката;

(н) Поверителни данни - означава лични данни, посочени в чл. 9 GDPR.

§ 3 Лични данни

3.1. СМ ГАЗ обработва лични данни с цел:

(а) даване възможност на клиента да подаде заявление за оферта и да се запознае с офертата на СМ ГАЗ, както и да изпълни договора, включително доставката (член 6, параграф 1, буква б) от GDPR);

(б) спазване задълженията на СМ ГАЗ, произтичащи от закона, включително Закона за счетоводството и наредбата за данъчното облагане (член 6, параграф 1, буква в) от GDPR);

(в) осъществяване законните интереси на СМ ГАЗ, включително предявяване на претенции и защита срещу искове (член 6, параграф 1, буква е) от GDPR);

(г) популяризиране продуктите и услугите на СМ ГАЗ (член 6, параграф 1, букви а) и е) от GDPR).

3.2. СМ ГАЗ обработва лични данни, събрани в бази от данни.

3.3. Актуализирането или разширяването на списъка на базите данни се съпровожда от предварителен анализ на последствията и рисковете при обработката на лични данни за правата и свободите на физическите лица, включени в базата от данни.

3.4. СМ ГАЗ не предприема никакви действия по обработка, които биха могли да доведат до значителен риск от нарушаване на правата и свободите на лицата, чиито лични данни се използват. В случай на планиране на дейностите, посочени в предходния член, СМ ГАЗ задължително извършва предварителна оценка на въздействието от обработката, посочено в чл. 35 GDPR.

3.5. По подразбиране личните данни се обработват в офиса на СМ ГАЗ, намиращ се в България, гр. Велико Търново, ул. Мизия 36. Други места, на които се обработват лични данни, са всички преносими компютри и други носители на данни, разположени извън мястото, посочено в предходното изречение.

§ 4 Основини принципи при защитата на лични данни в СМ ГАЗ

4.1. СМ ГАЗ осигурява прилагането на технически и организационни мерки, необходими за гарантиране на поверителността, цялостта, отчетността и непрекъснатостта на обработваните данни.

4.2. Оторизираните лица и всички други лица, на които се предоставят лични данни в СМ ГАЗ, са задължени да ги обработват в съответствие със законовите изисквания и в съответствие с разпоредбите на Политиката, както и с други вътрешни правила на СМ ГАЗ или вътрешни процедури, свързани с обработката на лични данни.

4.3. При наемане на служители и по време на работа, СМ ГАЗ гарантира, че:

(а) Служителите, преди да започнат служебните си задължения, получават адекватни познания относно принципите за обработка и защита на личните данни в СМ ГАЗ;

(б) всеки служител има писмено разрешение да обработва личните данни в необходимата степен;

(в) всеки служител е длъжен да опазва конфиденциалността и цялостта на личните данни, като служителите са задължени в следното:

- стриктно спазване на обхвата на разрешението;

- спазване на законовите изисквания и разпоредбите на Политиката по отношение на обработката;

- запазване на личните данни в тайна;

- запазване поверителността и цялостта на личните данни;

- ведомява незабавно СМ ГАЗ, ако се случи инцидент, свързан с нарушаване на сигурността на личните данни.

4.4. СМ ГАЗ гарантира, че личните данни, обработвани в СМ ГАЗ, са:

(а) обработени справедливо и при пълна прозрачност, в съответствие със закона;

(б) събрани за конкретни, изрични и легитимни цели и не се обработват по начин, несъвместим с тези цели;

(в) адекватни, уместни и ограничени до това, което е необходимо за целите, за които се обработват;

(г) верни и актуализирани; трябва да се вземат всички мерки, за да се гарантира, че личните данни, които са неверни с оглед на целите, за които се обработват, незабавно се отстраняват или коригират;

(д) се съхраняват във форма, която позволява идентифициране на субекта на данните не по-дълго от необходимото за целите, за които се обработват данните;

(е) обработени по начин, който гарантира адекватна сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и случай на загуба, унищожаване или повреда, чрез подходящи технически или организационни мерки.

4.5. При осигуряване на обработката на лични данни в съответствие с принципите, изложени в параграф 4.1 по-горе, СМ ГАЗ базира обработката на следните основания;

(а) Законност - СМ ГАЗ се грижи за защитата на личния живот и процесите свързани с лични данни, изисквани от закона;

(б) Сигурност - СМ ГАЗ осигурява адекватно ниво на защита на личните данни, като постоянно предприема действия в тази област;

(в) Правата на предприятието - СМ ГАЗ позволява на лицата, чиито лични данни се обработват, да упражняват правата си и да ги изпълняват;

(г) Отчетност - СМ ГАЗ предоставя подходяща документация за спазването на задълженията за защита на данните.

§ 5 Система за защита на личните данни

5.1. СМ ГАЗ гарантира съответствие със законовите изисквания за обработката на лични данни чрез проектиране, внедряване и поддръжка на системата. Системата се състои от организационни и технически мерки за защита, оценени на нивото на риска, идентифициран за отделните категориите от бази данни. Системата включва следните мерки:

(а) ограничаване на достъпа до помещенията, в които се обработват лични данни, само на оправомощени лица и гарантиране, че други лица могат да останат в помещения, използвани за обработка на лични данни, само в присъствието на оправомощено лице;

(б) затваряне на помещенията, формиращи зоната, посочена в параграф 3.4 от Политиката в случай на отсъствие на служителите, по начин, който възпрепятства достъпа до тези помещения от трети страни;

(в) осигуряване на сигурността на зоната, посочена в параграф 3.4 от Политиката, срещу случайни фактори като пожар или наводнение;

(г) използване на шкафове, чекмеджета или други технически ресурси, за да се предотврати достъпа на неупълномощени лица до съхранените в тях лични данни;

(д) прилагане на принципа на „чисто бюро“;

(е) изпълнение на процедурата за отваряне и затваряне на сгради и офис помещения;

(ж) осигуряване на ефективно отстраняване или унищожаване на документи, съдържащи лична информация по начин, който възпрепятства тяхното последващо възпроизвеждане;

(з) осигуряване на хардуерната и софтуерната сигурност, включително:

- защита на локалната мрежа срещу външен неоторизиран достъп;

- гарантира, че използваният софтуер е актуален;

- осигуряване на хардуера, използван в СМ ГАЗ, срещу злонамерен софтуер;

- осигуряване на постоянно и повтарящо се резервно копие на данни, съхранявани на компютри, сървъра и мрежата на СМ ГАЗ;

- ограничаване на достъпа до хардуера, сървъра и локалната мрежа чрез прилагане на правила за достъп;

(и) извършване на анализ на риска за дейностите по обработка на данни или бази данни;

(й) прилагане на стандартите за проверка и подбор на лицата, обработващи данни, както и условията за поверяване на обработката на данни на отделните лица;

(к) наблюдение на промените в обработката на лични данни в СМ ГАЗ и постоянно управление на промените, засягащи защитата на личните данни в СМ ГАЗ.

§ 6 Регистър

6.1. Регистърът включва категории бази от лични данни в учреждението. Чрез дигиталния регистър се документира обработката на лични данни и инвентаризация и се следи начина, по който се използват лични данни.

6.2. Чрез регистъра, по-специално вписваните в регистъра общи мерки за защита на личните данни, обхванати от определена обработваща дейност, СМ ГАЗ се стреми също така да докаже съответствието на обработката на лични данни със законовите изисквания.

6.3. В регистъра, поотделно за всяка категория, се идентифицира обработката на лични данни, най-малко за:

(а) наименованието на дейността;

(б) целта на обработката;

(в) описание на категориите лица, чиито лични данни се обработват като част от дадена дейност;

(г) описание на категориите лични данни, обработвани в хода на дейността;

(д) правното основание за обработката, като се уточнява за кои категории от законните интереси на СМ ГАЗ се касае;

(е) описание на категориите получатели на данните, включително обработващите лични данни,

(ж) информация относно възможното предаване на лични данни извън Европейския съюз или Европейското икономическо пространство;

(з) общо описание на техническите и организационните мерки за защита на личните данни, приложими към дейността.

6.4. В случай на надграждане или разширяване на категорията обработка на лични данни, СМ ГАЗ незабавно актуализира регистъра, за да гарантира, че Регистърът отговаря на актуалното състояние и обхват на обработката на лични данни в СМ ГАЗ. 6.5. Разпоредбите на параграф. 6.3 по-горе не изключват възможността да се добави допълнителна информация в регистъра, да се увеличи точността или четливостта на регистъра или да се улесни управлението на защитата на личните данни със законовите изисквания и прилагането на принципа на отчетност.

6.6. СМ ГАЗ документира в Регистъра правните основания за обработка на данни за конкретната дейност, като посочват общото правно основание за обработка, като например: съгласие, договор, законно задължение, наложено на СМ ГАЗ, законна цел на СМ ГАЗ.

§ 7 Отговорности към лицата, чиито лични данни са регистрирани

7.1. СМ ГАЗ прилага методи за управление на съгласието, които позволяват регистрирането и потвърждаването на съгласието на лицето за обработка на конкретни данни за конкретна цел, съгласие за дистанционна комуникация (имейл, телефон, текстови съобщения) и регистрация на отказ от съгласие, оттегляне на съгласие и подобни действия като възражение или ограничаване на обработката.

7.2. СМ ГАЗ се грижи за четливостта и стила на предадената информация и комуникацията с хората, чиито лични данни се обработват.

7.3. СМ ГАЗ публикува на уеб сайта си:

(а) Политиката;

(б) информация за правата на субектите на данни;

(в) информация за обхвата на обработваните за специфични цели лични данни;

(г) методите за връзка с СМ ГАЗ относно личните данни;

7.4. С оглед правата на лицето, чиито лични данни се обработват, СМ ГАЗ осигурява процедури и механизми за идентифициране на данните на конкретни лица, обработвани от СМ ГАЗ, интегрира тези данни, прави промени и ги изтрива по интегриран подход.

7.5. СМ ГАЗ документира спазването на задълженията за информираност, известия и искания от страна на лицата, като уведомява субекта на данните:

(а) относно обработката на събраните от него данни;

(б) относно обработката на неговите данни при косвено събиране на данните;

(в) относно планираната промяна на целта на обработката на данни;

(г) преди да отмени ограничението за обработка;

(д) относно поправяне, заличаване или ограничаване на обработката на данни (освен ако това не е невъзможно);

(е) относно правото на отказ от обработка на данни – това става при първия контакт с лицето.

7.6. СМ ГАЗ информира лично лицето за нарушаването на защитата на личните данни без неоснователно забавяне, ако това може да доведе до висок риск от нарушаване на правата или свободите на това лице.

7.7. По искане на лица относно достъпа до данни, СМ ГАЗ информира лицето/а, дали се обработват данните му и информира лицето/а за подробностите по обработката, в съответствие с чл. 15 GDPR, а също така дава на лицето/а достъп до данните му/им. Достъпът до данните може да се извърши чрез издаване на копие от данните.

7.8. СМ ГАЗ издава на лицето копие от неговите данни, като отбелязва това първо копие на данните.

7.9. СМ ГАЗ коригира неверни данни по искане на лицето, чиито лични данни се обработват. СМ ГАЗ има правото да откаже да коригира данните, ако лицето не удостовери нередностите на данните, които той или тя изисква. Ако данните бъдат коригирани, СМ ГАЗ информира лицето за получателите на данните.

7.10. СМ ГАЗ допълва и актуализира данните по искане на лицето, за чиито лични данни се отнасят корекцията или актуализацията. СМ ГАЗ има право да откаже да допълни данните, ако корекцията е несъвместима с целите на обработката на данни. СМ ГАЗ може да поиска изявление на лицето за попълване на данните, освен ако това не нарушава процедурите, приети от СМ ГАЗ, законът или при преценка, че твърдението е ненадеждно.

7.11. Като се има предвид параграф 7.12 по-долу, по искане на лице, СМ ГАЗ изтрива данни, когато:

(а) данните не са необходими за целите, за които са били събрани или обработени за други цели;

(б) съгласието за тяхната обработка е оттеглено и няма друго правно основание за обработка;

(в) лицето е подало възражение срещу обработката на такива данни;

(г) данните са били обработвани незаконно;

(д) необходимостта от премахване се дължи на правно задължение;

(е) искането се отнася до данните на дете и са събрани въз основа на съгласието да се предоставят услуги за информиране на обществото, предлагани пряко на детето.

7.12. СМ ГАЗ взема под внимание отстраняването на лични данни, за да гарантира ефективното прилагане на този закон, като същевременно спазва всички принципи за защита на данните, включително сигурността, и проверява дали няма изключения, посочени в член 17, 3 GDPR.

7.13. Ако данните, които ще бъдат изтрити, са били публично оповестени от СМ ГАЗ, СМ ГАЗ предприема разумни стъпки, включително технически мерки, за да информира другите администратори, които обработват тези лични данни, за необходимостта от изтриване и достъп до данните. В случай на заличаване на данни, СМ ГАЗ информира лицето за получателите на данните по искане на това лице.

7.14. СМ ГАЗ ограничава обработката на данни по искане на лице, когато:

(а) лицето поставя под въпрос точността на данните - за период, който позволява да се провери тяхната точност,

(б) обработването е незаконно и субектът на данните се противопоставя на премахването на лични данни, като вместо това иска да ограничи тяхното използване,

(в) СМ ГАЗ вече не се нуждае от лични данни, но е необходимо субектът на данните да установи, утвърди или да предяви претенции;

(г) лицето се е противопоставило на обработката по причини, свързани със специфичното му положение - докато не се установи, че има основателни причини за СМ ГАЗ, които да отменят основанията за възражение.

7.15. По време на прекратяването на обработката СМ ГАЗ съхранява данни, но не ги обработва (не ги използва, не ги предава) без съгласието на субекта на данни, освен ако не установи, разследва или защитава претенции или не защитава правата на друго физическо или юридическо лице или поради важни съображения от обществен интерес. СМ ГАЗ уведомява лицето преди да отмени ограничението за обработка. В случай на ограничаване на обработката на данните, СМ ГАЗ уведомява лицето за получателите на данни по искане на това лице.

7.16. По искане на лицето, СМ ГАЗ публикува структурирани данни, във формат, подходящ за машинно четене или прехвърля на друго лице, ако е възможно, данни за лицето, предоставени от СМ ГАЗ и обработени въз основа на съгласието на това лице, за да се извърши сключване на договор или изпълнение на договор, съдържащ съответната информация.

7.17. Ако дадено лице се противопостави мотивирано на обработката на данните му по чл. 21 от GDPR и данните се обработват от СМ ГАЗ въз основа на законния интерес на М ГАЗ или във връзка с поставена задача от обществена значимост, СМ ГАЗ се ангажира да вземе предвид възраженията, освен ако СМ ГАЗ няма важни основателни причини за обработка, които заменят интересите, правата и свободата на лицето, отказващо това.

7.18. Ако лицето възразява срещу обработката на данните си от СМ ГАЗ за целите на директния маркетинг, СМ ГАЗ ще вземе предвид противопоставянето и ще прекрати такава обработка.

§ 8 Минимизиране на данните

8.1. СМ ГАЗ прилага процедури основаващи се на принципа за минимизиране на обработваните лични данни по отношение на:

(а) адекватността на личните данни за целите на обработката, включително ограничаването на обема обработвани лични данни и обхвата на обработката;

(б) ограничаване на достъпа до лични данни само на оправомощени лица, за които използването на лични данни в определен обхват е необходимо за правилното изпълнение на задълженията;

(в) ограничаване на времето за съхранение на лични данни до периода, за който е необходимо съхраняването им поради изпълнението на конкретна цел.

8.2. СМ ГАЗ извършва периодичен преглед на обема на обработените данни и обхвата на тяхната обработка, най-малко веднъж годишно.

8.3. СМ ГАЗ ограничава достъпа до лични данни, като прилага:

(а) ангажимент на служителите за поверителност, включително на лични данни;

(б) проверка на кръга от вътрешни получатели на лични данни чрез даване на отделните служители на конкретни разрешения за обработка на лични данни;

(в) прилагане на адекватни технически мерки за защита на личните данни чрез ограничаване на достъпа до системите, софтуера и мрежовите ресурси, използвани в обработката на лични данни;

(г) прилагане на физически технически мерки за защита на личните данни, посочени в параграф 5.1, (г) на Политиката.

8.4. СМ ГАЗ актуализира разрешенията за достъп за нанасяне на промени в състава на персонала и промени в позициите на хората, както и промени в хората, които обработват информацията. СМ ГАЗ прави периодичен преглед на установените потребители на системата и ги актуализира най-малко веднъж годишно.

8.5. Подробни правила за контролиране на физическия и логическия достъп се съдържат в процедурите за физическа сигурност и информационна сигурност на СМ ГАЗ.

8.6. СМ ГАЗ обработва лични данни, като взема предвид критериите, посочени в регистъра. СМ ГАЗ прилага механизмите за контрол на жизнения цикъл на личните данни в СМ ГАЗ, включително проверка на по-нататъшната пригодност на данните спрямо датите и контролните пунктове, посочени в регистъра.

8.7. Данните, чийто обхват на употреба е ограничен с течение на времето, се премахват от системите на СМ ГАЗ, както и от мобилните, така и от главните файлове. Такива данни могат да бъдат архивирани и разположени върху резервни копия на системи и информация, обработени от СМ ГАЗ. Процедурите за архивиране и използване на архиви, създаване и използване на резервни копия отчитат изискванията за контролиране на жизнения цикъл на данните, включително изискванията за изтриване на данни.

§ 9 Защита на личните данни

9.1. Вземайки предвид състоянието на техническите познания, разходите за изпълнение и естеството, обхвата, смисъла и целите на обработката и риска от нарушаване на правата или свободите на лица с различна вероятност за възникване и риск от смърт, СМ ГАЗ прилага технически и организационни мерки осигуряване на адекватна защита на личните данни, съответстваща на риска от нарушаване на правата и свободите на лицата, дължащи се на обработката на лични данни от СМ ГАЗ.

9.2. СМ ГАЗ осъществява и документира анализа на адекватността на мерките за сигурност на личните данни. За тази цел:

(а) СМ ГАЗ категоризира данните и обработва дейностите и рисковете, които представляват;

(б) СМ ГАЗ извършва анализи на риска от нарушаване на правата или свободите на физическите лица за дейности по обработка на данни или категории данни. СМ ГАЗ анализира възможните ситуации и сценарии за нарушаване на личните данни, като взема предвид естеството, обхвата, смисъла и целите на обработката, риска от нарушаване на правата или свободите на лица с различна вероятност за възникване и заплаха;

9.3. СМ ГАЗ прилага мерки за осигуряване на непрекъсваемост на дейностите на дадена компания и предотвратяване на последиците от бедствия, т.е. способността бързо да възстанови наличието на лични данни и достъп до тях в случай на физически или технически инциденти.

§ 10 Нарушаване на защитата на личните данни

10.1. Нарушаването или опитът за нарушаване на условията за обработка и защита на личните данни се разглежда по-специално, но не изключва:

(а) Нарушаване на сигурността на информационните системи, в които се обработват личните данни;

(б) разкриване на лични данни от неупълномощени лица;

(в) обработването на лични данни, което не е в съответствие с предполагаемия обхват и целта на тяхната обработка;

(г) неразрешено или случайно повреждане, загуба, унищожаване или промяна на лични данни.

10.2. В случай на нарушаване на защитата на личните данни, СМ ГАЗ оценява дали нарушението може да има възможност да наруши правата или свободите на физическите лица и оценява мащаба на риска.

10.3. В случай на нарушаване на защитата на личните данни, СМ ГАЗ трябва, без н забавяне - ако е възможно, не по-късно от 72 часа след откриването на нарушението - да го докладва на съответния надзорен орган, освен ако е малко вероятно нарушението да доведе до риска от нарушаване на правата или свободите на физическите лица.

10.4. Ако рискът от нарушаване на правата и свободите на лицето е висок, СМ ГАЗ също уведомява лицето за инцидента:

(а) СМ ГАЗ ще прилага подходящи технически и организационни мерки за сигурност и тези мерки са приложени към личните данни, засегнати от нарушението, като предотвратяват достъпа на неупълномощени лица до такива лични данни;

(б) след това СМ ГАЗ ще прилага мерки за премахване на вероятността от висок риск от нарушаване на правата или свободите на субекта на данните или това би изисквало големи усилия.

(в) В този случай се изпраща публично съобщение или се въвежда мярка, с която субектите на данни се информират по еднакъв ефективен начин.

10.5. Независимо от задълженията, посочени в параграфи 10.2-10.4 по-горе, СМ ГАЗ документира всяко нарушение на защитата на личните данни, включително условията на нарушаване на личните данни, последиците от тях и предприетите корективни действия.

§11 Възлагане на обработката

11.1. СМ ГАЗ може да възложи Обработката на лични данни на обработващ субект само чрез споразумение, сключено писмено, в съответствие с изискванията, посочени в чл. 28, ал. 3 GDPR.

11.2. СМ ГАЗ използва само услугите на такива обработчици на данни, които осигуряват достатъчно гаранции, че се прилагат подходящи технически и организационни мерки, за да се гарантира, че обработката отговаря на изискванията на настоящия регламент и защитава правата на субектите на данни. За да се провери изпълнението на задължението, посочено в предходното изречение, СМ ГАЗ преди да възложи обработката на потенциален обработващ обект, ако е възможно, получава информация за принципите за защита на личните данни, прилагани от потенциален обработващ орган, и за практики на това лице относно защитата на личните данни.

§ 12 Предаване на данни до трета държава

12.1. СМ ГАЗ не прехвърля лични данни в трета държава, разположена извън територията на Европейския съюз или в Европейското икономическо пространство, освен в случаите, когато това е по искане на лицето, за което се отнасят личните данни.

12.2. За да се избегне износът на неразрешени данни, особено във връзка с използването на обществено достъпни виртуални „облачни” услуги, СМ ГАЗ периодично проверява поведението на потребителите и по възможност предлага еквивалентни решения на закона за защита на данните.

§ 13 Бисквитки и уеб анализи

13.1. СМ ГАЗ използва "бисквитки" на своя уеб сайт (http://onlineshop.smgas-bg.com/). "Бисквитките" са малки текстови файлове, които се записват автоматично в крайното устройство на потребителя. Някои бисквитки, използвани от нас, се изтриват след края на сесията на уеб браузъра, т.е. след нейното затваряне (така наречените "сесийни" бисквитки). Други "бисквитки" се съхраняват на крайното устройство и позволяват на СМ ГАЗ да разпознава браузъра на потребителя при следващия достъп до него (постоянни "бисквитки"). Времето за съхранение е дадено в настройките на интернет браузъра на потребителя. Браузърът може да бъде конфигуриран по този начин, за да получава информация за използването на "бисквитки" и да може да вземе решение за тяхното приемане или отхвърляне в конкретни случаи или изцяло.

13.2. Обработка на лични данни e продиктувана от необходимостта от:

(а) предоставянето на услуги;

(б) адаптиране на съдържанието на уебсайтове и приложения към предпочитанията на потребителя и оптимизиране на използването на уеб сайтове; например "бисквитките" позволяват по-специално да се разпознава устройството на потребителя и да показва правилно уебсайта, адаптиран към индивидуалните нужди;

(в) представяне на рекламата, включително по начин, който отчита интересите на потребителя или мястото му на пребиваване (индивидуализиране на рекламното послание) и с гаранция за изключване на възможността многократно да се представя същата реклама на потребителя;

(г) извършването на проучвания - по-специално, за да се избегне многократното представяне на същия въпросник на същия получател и да се представят проучвания по начин, отчитащ интересите на получателите;

13.3. Потребителят доброволно се съгласява с използването на "бисквитки". Ако не сте съгласни с използването на "бисквитки", функционалността на уебсайта на СМ ГАЗ може да бъде ограничена.

§ 14 Заключителни разпоредби

14.1. Тази Политика влиза в сила в деня на обявяването й.

14.2. По въпроси, които не са обхванати от Политиката, се прилагат съответно разпоредбите на GDRP и общоприложимите разпоредби на българското и европейското право.

14.3. Всички промени или допълнения към Политиката следва да са в писмена форма, за да влязат в сила, в противен случай те са нищожни. Промените или допълненията към Политиката влизат в сила не по-рано от 7 дни от датата на публикуването им.