ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ № 2 / 11.09.2025 г.
„СКИЛО“ ЕООД
ОБЩИ ПОЛОЖЕНИЯ
Нормативна основа и вътрешни документи
(1) Настоящата Политика за защита на личните данни („Политика“) се приема от дружеството „СКИЛО“ ЕООД, с ЕИК 205082213 („СКИЛО“), в качеството му на администратор на лични данни, с оглед привеждането на дейността на дружеството в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Регламента“ или „ОРЗД“) и приложимото национално законодателство на Република България.
(2) В допълнение и в съответствие с настоящата Политика „СКИЛО” приема отделни детайлни процедури, декларации за поверителност, регистри, формуляри и други документи съгласно изискванията на приложимото законодателство.
(3) Настоящата Политика и приетите процедури се довеждат до знанието на всички настоящи и бъдещи служители на „СКИЛО“, които от своя страна се задължават да я спазват. Всяко нарушение на Политиката и приложимото законодателство по защита на данните може да доведе до ангажиране на дисциплинарна отговорност.
Дефиниции
Използваните в Политика понятията по-долу имат следното значение:
„администратор“ означава всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„субект на данните“ означава всяко физическо лице, чиито лични данни се обработват от администратор на лични данни;
„дете“ означава физическо лице на възраст под 16 години, доколкото в националното законодателство не е предвидена по-ниска възраст. В случай че българският Закон за защита на лични данни предвиди по-ниска възраст (например 14 г.), последната ще е приложима;
„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация;
„служители“ - служителите/работниците, наети от администратора на лични данни по трудови правоотношения, както и изпълнителите по граждански договори (извънтрудови правоотношения);
„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
„профилиране" означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, включително потребителски навици, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„получател" означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
„трета страна“ означава всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.
Предмет на Политиката
Настоящата Политика се приема с цел да регламентира вътрешните правила на “СКИЛО” относно:
Правата и задълженията на длъжностното лице по защита на данните/служителят по защита на данните (Глава II);
Принципите на обработване на личните данни (Глава III);
Правата на субектите на данните (Глава IV);
Технически и организационни мерки за сигурност на данните (Глава V)
Поверителност на данните (Глава VI)
Правила за трансфер на лични данни към страни извън ЕС (Глава VII)
Правила за обработващи лични данни (Глава VIII);
Видове поддържани регистри (Глава IX)
Уведомяване за нарушение на сигурността на личните данни (Глава X)
Дейности по обработване
Политиката се прилага по отношение на всички дейности по обработване на лични данни на всички субекти на данни, които „СКИЛО“ обработва, включително в качеството си на лице, притежаващо лиценз за извършване на посредническа дейност по наемане на работа.
ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИ. СЛУЖИТЕЛ ПО ЗАЩИТА НА ДАННИ
Отговорни лица
(1) Когато приложимото законодателство предвижда задължително назначаване на длъжностно лице по защита на данните („ДЛЗД“), „СКИЛО” предприема необходимите действия за назначаване на ДЛЗД, което може да изпълнява задачите си по трудово правоотношение или да бъде външен консултант въз основа на договор за услуги.
(2) ДЛЗД следва да е независимо от висшето ръководство и не може да заема и други длъжности в „СКИЛО“, които биха го поставили в конфликт на интереси с неговата независима роля.
(3) Когато Регламентът не предвижда задължително назначаване на ДЛЗД, „СКИЛО“ може да определи служител по защита на данните („СЗД“) или друго упълномощено лице, което също може да е част от персонала или да е външен консултант въз основа на граждански договор за услуги.
(4) Когато не е назначено ДЛЗД, лицето, което е назначено за СЗД, или друго упълномощено лице, упражнява правомощията на ДЛЗД, предвидени в настоящата Политика и всички приети от „СКИЛО“ процедури и други документи за защита на личните данни.
(5) Към момента на приемане на настоящата политика и съгласно приложимите нормативни изисквания, назначаването на ДЛЗД на „СКИЛО“ не е необходимо и не се извършва. За целите на настоящата политика ДЛЗД и СЗД са взаимно заменими в текста, доколкото това е възможно без постигане на противоречие.
Назначаване на един ДЛЗД на група дружества
В случай че „СКИЛО“ е част от група дружества и доколкото е осигурен лесен достъп от всяко от дружествата, може да бъде назначено едно ДЛЗД на групата дружества.
Отчетност
(1) ДЛЗД трябва да се отчита пред висшето ръководство на „СКИЛО“ за управлението на личните данни в рамките на дружеството и за гарантирането на възможността за доказване на съответствието със законодателството за защита на данните и добрите практики.
(2) Тази отчетност включва:
разработване и въвеждане на изискванията на Регламента в съответствие с настоящата Политика;
управление на сигурността и риска по отношение на съответствието с Политиката.
Изисквания към ДЛЗД
(1) Висшето ръководство определя за ДЛЗД лице, което е подходящо, квалифицирано и опитно, за да поеме отговорността за съответствието на „СКИЛО” с тази Политика.
(2) ДЛЗД е задължено да осигурява актуални експертни познания и съвети за прилагане на законодателството и добрите практики за защита на данните, както и други професионални качества и квалификации, за да гарантира, че „СКИЛО” отговаря на изискванията на Регламента и приложимото национално законодателство.
Задължения на ДЛЗД
ДЛЗД е задължено да осъществява следните дейности:
Консултира и обучава всички служители относно задълженията им при обработването на лични данни по Регламента, националното законодателство, както и приетите от дружеството Политика, процедури и други документи за защита на личните данни;
Контролира спазването от страна на всички служители и висшето ръководство на Регламента, на националното законодателство, както и приетите от дружеството Политика, процедури и документи за защита на личните данни;
Консултира и информира за оценката на въздействието върху защитата на данните (ОВЗД), включително наблюдение на изпълнението на тази оценка в съответствие с изискванията Регламента;
Осъществява контакт и сътрудничество с надзорния орган (КЗЛД);
Действа като точка за контакт за КЗЛД по въпроси, свързани с обработването, включително предварителната консултация, посочена в член 36 от Регламента, и по целесъобразност да се консултира по всякакви други въпроси;
Съдейства за разработването и актуализирането на всички политики, процедури и други документи за защита на данните на дружеството;
Консултира висшето ръководството относно разпределението на вътрешните отговорности, за да се осигури текущото съответствие на изискванията на Регламента и националното законодателство;
Извършва периодични одити на процесите, свързани с управлението на личните данни, и докладва на висшето ръководство;
Действа като точка за контакт за субектите на данни по отношение на обработката на техните лични данни;
Отговаря за уведомяване при нарушения на сигурността на личните данни по чл. 33 и чл. 34 от Регламента;
Отговаря за дейностите, изисквани съгласно процедурите и правилата на „СКИЛО” за управление на исканията и жалбите на субектите на данни;
Консултира и контролира защитата на данните съгласно процедурата и правилата на „СКИЛО” за съхраняване и унищожаване на данните.
Осигурява воденето на регистъра на дейностите по обработване на личните данни в съответствие с член 30 от Регламента, регистъра за нарушения на сигурността и регистъра на исканията на субектите на данните.
Осигуряване на достъп за изпълнение на задълженията
ДЛЗД има право на достъп до всички обекти и системи в „СКИЛО”, свързани със обработката и съхранението на лични данни, с цел оценка на управлението и сигурността на личните данни.
ПРИНЦИПИ ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Принципи
Обработването на лични данни в „СКИЛО” се извършва при спазването на принципите, посочени в член 5 от Регламента.
Законосъобразност
(1) „СКИЛО” определя правното основание за обработване, преди да започне да обработва лични данни.
(2) Правните основания, на които „СКИЛО” обработва лични данни, са следните:
Съгласие;
Изпълнение на сключен договор или предприемане на стъпки преди сключване на договор;
Законово задължение на администратора;
Защита на жизненоважни интереси на субекта на данните или друго физическо лице;
Легитимните интереси на администратора.
(3) По правило „СКИЛО” не обработва специални категории лични данни, освен при наличието на поне едно от следните правни основания:
Съгласие;
Обработването е необходимо за изпълнение на задълженията и правата на „СКИЛО” в областта на трудовото право, социалното осигуряване и социалната защита;
Защита на жизненоважните интереси на субекта на данните;
Обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
Обработването е необходимо за установяване, упражняване или защита на правна претенция.
Добросъвестност
„СКИЛО” предоставя изискваната от Регламента информация на субектите на данни, доколкото това е практически възможно, независимо дали личните данни са получени директно от субектите на данни или от други източници.
Прозрачност
(1) Когато „СКИЛО” предоставя информация на субектите на данни, тя следва да е подробна и конкретна, като се използва ясен и разбираем език.
(2) С оглед спазването на принципа на прозрачност „СКИЛО” приема Декларация за поверителност на личните данни, която предоставя на разположение на субектите на данните преди или при получаване на данните по електронен път или на хартиен носител.
Конкретни и законни цели
(1) Личните данни се събират само за конкретни, изрично указани и законни цели и не се обработват за цел, която се различава от тази, за която са събрани.
(2) Преди или при събирането на личните данни, „СКИЛО” следва да определи целта на обработката, да я съобщи на субектите на лични данни, и след събирането личните данни да се обработват само по начин, съвместим със съобщената цел.
(3) В случай че „СКИЛО” възнамерява да използва личните данни и за други цели, законосъобразността на обработването следва да бъде предварително съгласувана с ДЛЗД, при наличието на такъв, или съобразно законовите разпоредби, след което на субекта да бъде предоставена надлежна информация във връзка с новите цели.
Обработване на минимално необходим обем данни
(1) Личните данни трябва да бъдат в подходящ обем, относими и ограничени само до това, което е необходимо за обработването им за конкретната цел (принцип на минимално необходимото).
(2) ДЛЗД е отговорен да осигури „СКИЛО” да не събира информация, която не е строго необходима за целта, за която тя е получена.
(3) Когато субект на данни попълва образец за събиране на данни (на електронен или на хартиен носител), той следва да бъде информиран за целта на обработването чрез предоставяне на достъп до Декларация за поверителност на данните.
(4) ДЛЗД отговаря за извършването на периодични прегледи дали събраните данни продължават да бъдат в подходящ обем, относими и ограничени само до това, което е необходимо за обработването им за конкретната цел.
Точни и актуални данни
(1) Личните данни трябва да бъдат точни и актуализирани при необходимост. „СКИЛО” предприема необходимите мерки, за да е възможно своевременно изтриване или коригиране на неточните/непълни данни.
(2) „СКИЛО” по своя преценка изисква от субектите да уведомяват за всякакви промени в данните с оглед необходимостта да се поддържат точни и актуални обработваните лични данни.
(3) ДЛЗД e задължено да отговори на искане за корекция от субект на данни в рамките на един месец. Срокът може да се удължи с още два месеца за сложни искания. В случай че „СКИЛО” вземе решение да не се съобразява с искането, ДЛЗД подава отговор на субекта на данните, в който му обяснява мотивите за решението и го информира за правото му да подаде жалба до КЗЛД, както и да потърси правна защита.
Ограничен срок на съхранение
(1) Личните данни трябва да се съхраняват за срок не по-дълъг от необходимото за целите на обработването („ограничение на съхранението“). Лични данни не се съхраняват за неограничен период от време, освен в случай на изрично задължение съгласно приложимото законодателство.
(2) Личните данни се съхраняват на хартия, на служебен компютър или на облачен носител („cloud“) в съответствие с приетата от „СКИЛО” Процедура за съхраняване и унищожаване на данните, като след изтичане на срока на съхранение, те се унищожават или изтриват по указания в процедурата ред.
Поверителност и сигурност на данните
(1) Личните данни се обработват по начин, който гарантира тяхната поверителност и сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки съгласно чл. 24 и чл. 32 от Регламента.
(2) При определяне на подходящите технически и организационни мерки, ДЛЗД извършва оценка на риска, като взима предвид всички обстоятелства, свързани обработването на данни от „СКИЛО”.
Отчетност
Обработването на лични данни в „СКИЛО” се извършва при спазване на принципа на отчетност, съгласно който администраторът носи отговорност и е в състояние да докаже че дейностите по обработване на лични данни се извършват в съответствие с принципите на Регламента и националното законодателство.
Съгласие
(1) „СКИЛО” изисква изрично съгласие за обработване на лични данни, винаги когато не е налице друго основание за обработване.
(2) „СКИЛО” счита за валидно основание за обработване на лични данни само съгласие, което е дадено доброволно, конкретно, информирано и недвусмислено. Съгласието трябва да е представлява изрично изявление или ясно активно потвърждаващо действие, че субектът е съгласен конкретно предоставените данни да бъдат обработени за конкретни цели.
(2) „СКИЛО” информира субекта и му предоставя възможност да оттегли съгласието си по всяко време.
(3) В случай че субектът оттегли съгласието за обработване на лични данни, „СКИЛО” прекратява обработването на личните му данни, доколкото не е налице друго основание за обработване на данните.
Специални правила
(1) „СКИЛО” не обработва лични данни на деца. В случай на извънредно обработване на лични данни на деца, съгласие трябва да бъде получено от упражняващите родителските права (родители, настойници и т.н.). Това изискване се прилага за деца на възраст под 14 години.
(2) „СКИЛО” осигурява при поискване достъп до лични данни на починало лице, включително предоставя копие от тях, на наследниците му или на други лица с правен интерес, в сроковете по чл. 12, параграфи 3 и 4, и при условията на параграфи 5 и 6 от Регламент (ЕС) 2016/679, освен ако друго не е предвидено в закон.
Оценка на въздействието върху защитата на данните
(1) Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, „СКИЛО” извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.
(2) В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.
(3) „СКИЛО” е утвърдило методология, по която се извършва преценка дали обработването представлява висок риск, съответно дали трябва да се извърши оценка на въздействието. Методологията се съдържа в Процедура по извършване на оценка за въздействие върху данните.
ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Информация, предоставяна при събиране на лични данни
(1) В момента на получаване на лични данни, „СКИЛО” предоставя на субекта на данните поне следната информация:
данните за администратора и координати за връзка с него;
координати за връзка с ДЛЗД, когато е назначено такова;
целите и правното основание за обработването;
законните интереси на администратора, когато обработването се извършва само въз основа на тях;
лицата, на които може да се разкриват личните данни;
предаването на лични данни на трета държава и международна организация, когато е приложимо;
срока, за който се съхраняват личните данни, а ако е невъзможно критериите за определяне на срока;
дали предоставянето на лични данни е законово или договорно изискване, както и дали субектът е длъжен да ги предостави, съответно последиците от непредоставяне;
съществуване на автоматизирано вземане на решения;
информация относно следните права на субекта: достъп, предоставяне на копие от данните, коригиране, изтриване, ограничаване на обработването на данните, възражение срещу обработването (включително възражение срещу обработване за целите на директния маркетинг), правото на преносимост на данните, правото на оттегляне на съгласието, правото на жалба, правото на субекта да бъде обект на автоматизирано обработване на данните.
(2) Информацията по ал. 1 се предоставя в писмен вид и/или чрез електронни средства (включително и устно, когато субектът е съгласен с това) под формата на Декларация за поверителност на данните или друг подходящ начин.
Съдействие за упражняване на правата
(1) „СКИЛО” съдейства за упражняването на горепосочените права на субектите на данните.
(2) Редът за предоставяне на съдействие за упражняването на правата на субектите на данните е подробно описан в утвърдена от „СКИЛО” Процедура за управление на исканията и жалбите на субектите на данните.
ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ НА ДАННИТЕ
Задължени лица
Висшето ръководство и всички служители на „СКИЛО” са задължени да са запознати и да следят за спазването на въведените технически и организационни мерки за сигурност на данните съгласно тази Политика.
Технически и организационни мерки
(1) „СКИЛО” въвежда следните технически мерки за защита на личните данни:
Защита на компютърните устройства с парола;
Автоматично заключване на бездействащи компютърни устройства;
Криптиране файлове с чувствителни данни, както и на бази данни с мащабен обем лични данни;
Осигуряване на физическа сигурност на хартиените носители на лични данни чрез съхраняването им в заключващи се шкафове и забрана да бъдат изваждани от офисните помещения без изрично разрешение;
Осигуряване на офис пространство, защитено от двадесет и четири часова охрана.
(2) „СКИЛО” въвежда следните организационни мерки за защита на данните:
Въвеждане на ръководни принципи за обработка на личните данни (ограничение на целта; минимизиране на данните; качество на данните; ограничение на периода на съхранение; предоставяне на възможност за упражняване на права на субектите);
Въвеждане на политики, процедури и правила, които са в съответствие с ръководните принципи за обработката на личните данни;
Обучение на служителите относно отговорностите им по защита на личните данни;
Периодична проверка за спазване на Политиката и процедурите за защита на данните;
Ограничаване на правото на достъп на служителите до лични данни, само и доколкото данните са необходими за изпълнение на конкретни служебни задължения;
Забрана за съхраняването на лични данни на лични компютри, използвани за работни цели, като всички съхранявани от „СКИЛО“ лични данни се намират единствено и само на служебните компютри на дружеството, на посочен от дружеството облачен носител или на физически на хартия в офиса на „СКИЛО“;
Разкриване на лични данни на външни обработващи лични данни, само ако предварително е сключен договор/клауза за поверителност за защита на личните данни;
Мерки за сигурност при изтриване/унищожаване
(1) Личните данни на хартиен носител, по отношение на които е изтекъл срокът за съхранение (включително не е налице легитимен интерес или законово задължение за съхранение), се унищожават чрез специално устройство тип „шредер“, а данните върху твърдите дискове на компютърните устройства се изтриват.
(2) Подробно описание на правилата за съхранение, изтриване и унищожаване на личните данни се съдържа в Процедурата за съхраняване и унищожаване на данните.
Обработване на лични данни извън работни помещения
Обработването на лични данни извън работните помещения на администратора представлява потенциално по-голям риск от загуба, кражба или нарушение на сигурността на личните данни. За обработване на лични данни извън работни помещения, служителите трябва да получат изрично разрешение.
ПОВЕРИТЕЛНОСТ НА ДАННИТЕ
Забрана за разкриване
(1) Личните данни, които се обработват от „СКИЛО”, са поверителни и не се разкриват на неупълномощени трети страни, включително но не само: членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. Всички служителите са задължени да подхождат максимално предпазливо, когато им бъде поискано да разкрият съхранявани лични данни за друго лице на трета страна.
(2) С цел избягване на подобно нарушение, служителите са задължени да спазват поверителност на обработваните лични данни и да се запознаят с настоящата Политика и въведените процедури за защита на данните.
Разрешение
Всички искания от трети страни за предоставяне на данни трябва да бъдат придружени с подходяща документация, като всяко евентуално разкриване на данни следва да бъде разрешено от „СКИЛО” след съгласуване с ДЛЗД.
ТРАНСФЕР НА ДАННИ
Предаване извън ЕС
Предаването на лични данни към страни извън ЕС (посочени в Регламента като "трети страни") е незаконно, освен в изрично предвидените в Регламента случаи, в които предаването е позволено.
Позволено предаване
(1) Предаването на лични данни извън ЕС е позволено, когато Европейската комисия е приела решение за адекватност, съгласно което съответната държава осигурява адекватно ниво на защита.
(2) Държавите, които са членки на Европейската икономическа зона (ЕИЗ), но не и на ЕС, се приемат като отговарящи на условията за решение за адекватност.
Предаване в САЩ
(1) Предаването на лични данни извън ЕС на трета страна в САЩ се извършва съгласно правилата на сключеното споразумение между Европейския съюз и САЩ „Privacy Shield“.
(2) Преди предаване на лични данни на организация в САЩ, „СКИЛО” ООД проверява дали съответната организация е подписала Рамковото споразумение „Privacy Shield“ с Министерство на търговията на САЩ. Американското министерство на търговията отговаря за управлението и администрирането на Privacy Shield и гарантира, че компаниите изпълняват своите ангажименти. За да могат да се сертифицират пред министерството, фирмите трябва да имат политика за защита на личните данни в съответствие с принципите на Регламента, напр. използват, съхраняват и прехвърлят личните данни в съответствие набор от строги правила и предпазни мерки за защита на данните.
Задължителни корпоративни правила или утвърдени стандартни договорни клаузи
„СКИЛО” може да предава лични данни извън ЕС въз основа на одобрени задължителни корпоративни правила или утвърдени стандартни договорни клаузи, които следва да бъдат одобрени от съответния компетентен орган в съответствие с Регламента.
Изключения
При липса на посочените по-горе основания в тази глава, „СКИЛО” може да предава лични данни само при наличието на поне едно от следните условия:
субектът на данните изрично се е съгласил с предложеното прехвърляне, след като е бил информиран за възможните рискове от такива прехвърляния;
предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;
предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;
предаването е необходимо поради важни причини от обществен интерес;
предаването е необходимо за установяването, упражняването или защитата на правни претенции;
предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
предаването се извършва от регистър, който съгласно правото на ЕС или правото на държавите членки е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.
ОБРАБОТВАЩ ЛИЧНИ ДАННИ
Отношения с обработващ лични данни
(1) Когато обработването на лични данни се извършва от външен обработващ от името на „СКИЛО”, в качеството му на администратор, „СКИЛО” използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки, че обработването се извършва в съответствие с Регламента и националното законодателство.
(2) Обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено съгласие на „СКИЛО”.
(3) Отношенията между обработващия и „СКИЛО” се уреждат с писмен договор съгласно изискванията на член 28 от Регламента, който урежда най-малко следното:
предмета и срока на обработването;
естеството и целта на обработването;
вида лични данни и категориите субекти на данни;
задълженията и правата на администратора и обработващия.
Обработване само по указанията на администратора
Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се налага от нормативно задължение.
ВИДОВЕ РЕГИСТРИ
Поддържани регистри
(1) „СКИЛО” поддържа следните регистри във връзка със задълженията си по Регламента:
регистри по дейностите на обработване на лични данни;
регистър на исканията на субектите на данни;
регистър на нарушенията на сигурността на личните данни.
(2) ДЛЗД е задължено да води и съхранява регистрите.
Регистър на дейностите по обработване на лични данни
Регистърът на дейностите по обработване на лични данни съдържа най-малко следните данни:
името и координатите на администратора и длъжностното лице по защита на данните, когато такова е назначено;
целите на обработването;
описание на категориите субекти на данни;
описание на категориите лични данни;
получателите или категориите получатели на личните данни;
правното основание за обработването;
източниците на лични данни;
дали личните данни на съответната категория субекти подлежат на трансфери извън ЕС;
сроковете за съхранение и унищожаване на личните данни;
технически и организационни мерки за защита на данните;
дали е необходима, съответно дали е извършена оценка на въздействието върху защитата на данните.
(2) При поискване регистърът се предоставя на надзорния орган за извършване на проверка дали са спазени изискванията на Регламента и националното законодателство.
Регистър на исканията на субектите на данни
(1) В регистъра на исканията на субекти на данните се документира всяко едно искане на субект на данни, като се описват идентифициращата информация и всички други важни за разглеждане на искането данни.
(2) При поискване регистърът се предоставя на надзорния орган за извършване на проверка дали са спазени изискванията на Регламента и националното законодателство.
Регистър на нарушенията на сигурността на данните
(1) В регистъра за нарушенията на сигурността на данните се документира всяко едно нарушение, като се описват най-малко:
фактите, свързани с нарушението;
време на узнаване и предполагаемо време на възникване;
последиците от нарушението;
предприетите мерки за справяне с нарушението.
(2) При поискване регистърът се предоставя на надзорния орган за извършване на проверка дали са спазени изискванията на Регламента и националното законодателство.
УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Задължение за уведомяване на ръководството
Всички служители са длъжни да уведомят незабавно висшето ръководство на „СКИЛО”, както и ДЛЗД, при констатирано нарушение на сигурността на данните.
Преценка за уведомяване на надзорния орган
(1) При получаване на данните за нарушението на сигурността „СКИЛО” ООД, след съгласуване с ДЛЗД, преценява дали е необходимо да се уведоми надзорния орган за нарушението.
(2) При вземане на решението се преценява естеството на нарушението и евентуалния риск на субектите на данни, като се отчита изискването на Регламента, съгласно което не е необходимо да се изпраща уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
Уведомление до надзорния орган и документиране на нарушението
(1) Ако установи, че съществува риск за правата и свободите на субектите на данни, „СКИЛО”, без ненужно забавяне и не по-късно от 72 часа след като е разбрало за нарушението, уведомява Комисията за защита на личните данни.
(2) В уведомлението се съдържа най-малко следното:
описание на естеството на нарушението;
категориите и приблизителният брой на засегнатите субекти на данни;
категориите и приблизителното количество на засегнатите записи на лични данни;
името и координатите за връзка на длъжностното лице по защита на данните или на друго лице, от което да се получи повече информация;
имена и контакти на длъжностното лице по защита на данните;
описание на евентуалните последици от нарушението;
описание на предприетите или предложените от администратора мерки за справяне с нарушението.
(3) За нарушенията на сигурността на данните се води регистър.
(4) Лицата, упълномощени за обработване на лични данни, включително ДЛЗД, са длъжни незабавно да предприемат мерки за ограничаване на последствията от нарушението, както и да впишат необходимите данни в регистъра.
Преценка за уведомяване на субекта на данни
Когато администраторът прецени, че има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на субектите на данни, „СКИЛО” без ненужно забавяне съобщава на субекта на данните за нарушението.
Уведомление до субекта на данни
(1) В съобщението до субекта се описва нарушението и се посочва най-малко информация относно:
името и координатите за връзка на длъжностното лице по защита на данните или на друго лице, от което да се получи повече информация;
описание на естеството на нарушението;
категориите и приблизителният брой на засегнатите субекти на данни;
категориите и приблизителното количество на засегнатите записи на лични данни;
описание на евентуалните последици от нарушението;
описание на предприетите или предложените от администратора мерки за справяне с нарушението.
(2) Информацията в уведомлението до субекта на данни се описва на максимално ясен и разбираем език.
Политиката влиза в сила на 11.09.2025 г. и е утвърдена със Заповед на законния представител на „СКИЛО”.
