Защита на лични данни – Политика

Съдържание

1. Предназначение
2. Обхват
3. Термини, определения, съкращения
4. Общи положения
4.1 Принципи за работа с лични данни
4.2 Права на субектите на данни
4.2.1 Право на информираност
4.2.2 Право на достъп
4.2.3 Право на коригиране
4.2.4 Право на изтриване
4.2.5 Право на преносимост на данните
4.2.6 Право на възражение
4.2.7 Права при автоматизирано вземане на индивидуални решения, профилиране
5. Регистри на дейности по обработване
5.1 Списък регистри
5.2 Съдържание на регистър
6. Изисквания към персонала работещ с лични данни.
6.1 Общи изисквания
6.2 Длъжностното лице по защита на данни
6.2.1 Общи положения
6.2.1 Права и задължения
7. Комисия за жалби, запитвания и искания за лични данни
8. Оценка на въздействие върху защитата на личните данни
8.1 Общи положения
8.2 Изпълнение
9. Осигуряване сигурност за личните данни
9.1 Общи положения
9.2 Действия при нарушения на сигурността

Утвърдил: Иво Йорданов

1.               Предназначение

Настоящата политика съдържа основните принципи, правила и подходи за организиране и осъществяване на дейностите, свързани със събиране, преработка, съхранение, комуникиране, използване и защита на лични данни на физически лица в Куриер тудей ООД, ЕИК 131393307 (ACS COURIER). Адрес за кореспорденция: гр. София-1404, ж.к.“Манастирски ливади-изток“, бул. „България“ № 73, вх. А, магазин 1; имейл: info@acscourier.bg, dpo@acscourier.bg.

Тази политика има за цел да осигури изпълнението на Закона за защита на лични данни и изискванията на Регламент № 2016/679 на ЕП и ЕС в рамките на бизнес процесите на дружеството.

2.               Обхват

Всички служители на Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) трябва да прилагат в ежедневната си работа указанията на настоящата политика. Това се отнася с особена важност за служителите, работещи с лични данни.

Настоящата политика се прилага за личните данни на служителите на дружеството и за личните данни на други физически лица, спрямо които Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) се явява в ролята на администратор или обработващ.

Настоящата политика се прилага за личните данни на служителите на дружеството и за личните данни

3.               Термини, определения, съкращения

В текста на тази политика са използвани термини и определения в смисъла, в който те са използвани в Закона за защита на личните данни и Регламент № 2016/679 на ЕП (Член 4)

За краткост в политиката са използвани следните съкращения:

  • ЗЗЛД – Закона за защита на личните данни
  • Регламент – Регламент № 2016/679 на ЕП, известен като GDPR (General Data Protection Regulation)
  • Дружество – Куриер тудей ООД, ЕИК 131393307
  • ИД – Изпълнителен Директор
  • ДЛЗД – Длъжностно лице па защита на данни
  • КЗЛД – Комисия за защита на лични данни
  • ОВЗД – Оценката на въздействието върху защитата на данните

4.               Общи положения

4.1           Принципи за работа с лични данни

При работа с лични данни Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) се придържа към следните принципи:

1) Законосъобразност, добросъвестност и прозрачност

Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните

2) Ограничение на целите

Лични данни се събират и/или обработват само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

3) Свеждане на данните до минимум

Събират се и се обработват само подходящи лични данни, свързани със целите и ограничени до необходимото във връзка с целите, за които се обработват

4) Точност

Личните данни се поддържат точни и актуални, за да са пригодни за постигане целите, за които те се обработват

5) Ограничение на съхранението

Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите

6) Цялостност и поверителност

Личните данни се събират, съхраняват и обработват при подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки

7) Отчетност

Дружеството прилага в своята работа изброените до тук принципи и поддържа необходимите документи и записи като доказателство за това.

4.2           Права на субектите на данни

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) осигурява правата на субектите на данните при изпълнение задълженията си като администратор или обработващ на тези данни. Тези права са слените:

4.2.1       Право на информираност

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на администратор на лични данни изпълнява слените действия по информиране субектите на данни относно:

  • Техните права по отношение на данните, като прави това преди или в момента на събиране на данните или при последваща промяна в целите на обработката.
  • Целите на обработването и правното им основание;
  • Получателите или категориите получатели на личните данни, ако има такива;
  • Срока за съхранение или критериите за определяне на този срок;
  • Данни и координати за връзка с по въпросите на личните данни

4.2.2       Право на достъп

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на администратор, осигурява на субекта на потвърждение дали се обработват негови лични данни и ако това е така, му осигурява  достъп до данните и следната информация:

  • Целите на обработването и правното им основание;
  • Категориите лични данни;
  • Срока за съхранение или критериите за определяне на този срок;
  • Получателите или категориите получатели на личните данни, ако има такива;
  • Съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
  • Правото на жалба до надзорен орган;
  • Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
  • Съществуването на автоматизирано вземане на решения, включително профилирането, ако се прилага такова

4.2.3       Право на коригиране

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска корекция без ненужно забавяне неточните лични данни, свързани с него.

Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

4.2.4       Право на изтриване

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на администратор на лични данни, осигурява възможност субектът на данни да поиска изтриване на свързаните с него лични данни без ненужно забавяне.

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

  • Не са необходими повече за целите, за които са събрани;
  • Субектът оттегли съгласието си (ако е давал такова);
  • При възражение за обработване и доказване за липса на законно основание;
  • При незаконосъобразно обработване.

При се извършва на изтриване, Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

4.2.5       Право на преносимост на данните

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) в ролята на администратор на лични данни, осигурява  преносимост на данните, ако са изпълнени условията, предвидени за това (Чл.20, ал.1 на Регламента), като предава без възпрепятстване на субекта неговите лични данни в структуриран, широко използван и пригоден за машинно четене формат

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) може пряко да прехвърли личните данни на друг администратор, когато това е технически осъществимо. Право на възражение срещу обработване

4.2.6       Право на възражение

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) в ролята на администратор осигурява възможност на субектът на данните по всяко време и на основания, свързани с неговата конкретна ситуация, да представи възражение срещу обработване на лични данни, отнасящи се до него, включително профилиране.

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) се задължава да прекратява обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг

Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

4.2.7       Права при автоматизирано вземане на индивидуални решения, профилиране

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на администратор, уведомява субекта (ако това реално се извършва) за съществуването на автоматизирано вземане на решения, включително профилирането (Чл. 22 на Регламента), както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг

5.               Регистри на дейности по обработване

5.1           Списък регистри

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на администратор, създава и поддържа следните основни вътрешни регистри на дейности по обработване:

  • Регистър Персонал
  • Регистър Кандидати за работа
  • Регистър Лични данни за
  • Регистър Видеонаблюдение
  • Регистър Посетители на офиси в София
  • Регистър Граждански договори

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), в ролята на обработващ, създава и поддържа и друи вътрешни регистри в зависимост от договорените условия с адеминистартори на лични данни.

5.2           Съдържание на регистър

Вътрешните регистри на дейностите по обработване на лични данни в дружеството съдържат следната информация:

  • Името и координатите за връзка на администратора / обработващия и, когато това е приложимо, на всички съвместни администратори / обработващи на представителя на администратора и на Длъжностното лице по защита на данните, ако има такива;
  • Целите на обработването;
  • Описание на категориите субекти на данни и на категориите лични данни;
  • Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
  • Когато е приложимо – предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции;
  • Предвидените срокове за изтриване на различните категории данни;
  • Общо описание на техническите и организационни мерки за сигурност.

6.               Изисквания към персонала работещ с лични данни

6.1           Общи изисквания

Всеки служител на Куриер тудей ООД, ЕИК 131393307 (ACS COURIER), който е ангажиран с обработка на лични данни е задължена:

  • Да обработва лични данни законосъобразно и добросъвестно;
  • Да използва личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;
  • Да изпълнява точно и навременно своите задължения (ако има такива) по актуализация или изтриване на личните данни;
  • Да прилага всички необходими мерки за защита на личните данни, с кои то се осигурява тяхната постоянна поверителност, цялостност, наличност както и устойчивост на системите и услугите за обработване;
  • Да докладва незабавно, съобразно установения ред, за слабости и събития, свързани със сигурността на личните данни;
  • При възникване на спорни въпроси по отношение на личните данни, преди да предприеме каквито и да е действия, да потърси съдействие от компетентните служители на дружеството, в т.ч. от ДЛЗД, ако има такова.
  • Да познава и спазва актуалните външни нормативни документи, регламентиращи работата с лични данни;
  • Да познава и спазва вътрешните за дружеството документи, свързани с управлението на лични данни;
  • Да участва във всички мероприятия, свързани с обучение, повишаване на квалификация или поддържане нивото на осведоменост и компетентност по отношение на личните данни.

6.2           Длъжностното лице по защита на данни

6.2.1       Общи положения

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) определя Длъжностното лице по защита на (лични) данни (ДЛЗД)

ДЛЗД  може да изпълнява и други задачи и да има други служебни задължения, които задължително не водят до конфликт на интереси

Дружеството гарантира, че ДЛЗД участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване

Дружеството подпомага ДЛЗД при изпълнението на неговите специфични задачи като поддържат неговите експертни знания.

Дружеството прави необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи с оглед неговата независимост и безпристрастност.

Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от ръководството на Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) за изпълнението на своите задачи.

Длъжностното лице по защита на данните се отчита пряко пред Главния Изпълнителен Директор. .

Субектите на данни могат да се обръщат към ДЛЗД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

6.2.1       Права и задължения

Длъжностното лице за защита на данни има следните правомощия:

  • Да информира и съветва служителите, които извършват обработване, за техните задължения съгласно актуалните законови изисквания и Регламента;
  • Да наблюдава спазването на Регламента, на други разпоредби за защитата на данни в България и ЕС и вътрешните документи на Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) по отношение на защитата на личните данни;
  • Да наблюдава и контролира възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване и съответните одити;
  • При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
  • Да сътрудничи с надзорния орган – КЗЛД;
  • Да действа като точка за контакт за КЗЛД по въпроси, свързани с обработването, включително предварителната консултация, и когато е целесъобразно да се консултира по всякакви други въпроси;
  • Да отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката;
  • Да спазва секретността или поверителността на изпълняваните от него задачи.

7.               Комисия за жалби, запитвания  и искания  за лични данни

Комисията е помощен орган, който има задачата да управлява процеса по обработка на жалби от клинети, запитвания от държавни органи и искания по лични данни, свързани с предлаганите от дружеството услуги.

Комисията се назначава със заповед на ИД и има примерен състав, който може да се разширява и уточнява допълнително:

  • Председател –  Елена Йорданова
  • Член – Дора Чавдарова
  • Член – Георги Нотев
  • Член – Ивелина Иванова

Комисията се събира, поне веднъж месечно и при необходимост. Комисията кани на заседанията и ангажира с действия специалисти, когато това се налага.

Комисията има следните задължения:

  • Разглежда постъпилите искания, жалби, запитвания и взема решения за тяхното изпълнение;
  • Контролира сроковете за изпълнение;
  • Преглежда и предлага за утвърждаване отговори на постъпили искания, жалби, запитвания
  • Поддържа регистър с постъпили жалби, запитвани и искания
  • Изясняван спорни въпроси;
  • Търси съдействие от юридически консултанти или КЗЛД;
  • Търси съдействие от ДЛЗД (ако има такова);
  • Предприема мерки за подобряване на процеса

 

 

8.               Оценка на въздействие върху защитата на личните данни

8.1           Общи положения

ОВЗД се извършва задължително, когато:

  • Обработването попада в Списък на видовете операции по обработване, за които се изисква ОВЗД, изготвен и оповестен от КЗЛД;
  • Обработването е с цел профилиране;
  • Съществува висок риск за правата и свободите на физическите лица, породен от:
    • Използване на нови технологии;
    • Естеството, обхвата и контекста на обработването;
    • Целите на обработването

При извършването на ОВЗД се изисква становището на ДЛЗД, когато такова е определено.

При ОВЗД се ползват указанията на стандарт ISO/IEC 29134 Information technology. Security techniques. Guidelines for privacy impact assessment.

Когато резултатът от ОВЗД показва, че обработването ще породи висок риск за правата и свободите на физическите лица, Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) задължително извършва:

  • Консултация с КЗЛД преди обработването;
  • Предприеме мерки за ограничаване на риска.

ОВЗД се прилага в дружеството и като:

  • Форма на ранно предупреждение за идентифициране на скрити до момента слабости в обработката на лични данни
  • Метод за идентифицираме проблемите преди контролните органи или конкуренцията

8.2           Изпълнение

ОВЗД включва следните действия:

  1. Изготвяне системен опис на предвидените операции по обработване;
  2. Изготвяне опис на целите на обработването;
  3. Установяване основанията за законност на обработването
  4. Оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  5. Оценка на рисковете за правата и свободите на субектите на данни;
  6. Установяване на мерките за справяне с рисковете и постигане съответствие с изискванията на Регламента.

При ОВЗД се отчита спазването на одобрените Кодекси за поведение (Член 40 на Регламента), ако такива са приети от Куриер тудей ООД, ЕИК 131393307 (ACS COURIER).

Ако е целесъобразно и приложимо, Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) може да се обърне към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) извършва преглед, за да прецени дали обработването е в съответствие с ОВЗД, когато има промяна на риска, свързан с операциите по обработване.

9.               Осигуряване сигурност за личните данни

9.1           Общи положения

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) прилага технически и организационни мерки за осигуряване необходимото ниво на сигурност за личните данни, които обработва

Дружеството осигурява доказано висока степен на защита и гаранции за :

  • Основните свойства на информацията – поверителност, цялостност, наличност;
  • Устойчивост на системите и услугите за обработване – непрекъсваемост, наличност, надеждност;
  • Поддържане нивото на сигурност чрез редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;
  • Предотвратяване неправомерен достъп до лични данни с прилагане на адекватни мерки, където е необходимо – псевдонимизация, криптиране, анонимност, рандомизация

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) поддържа сертификати за съответствие към стандарти по информационна сигурност, основните от които са за PCI DSS и ISO 27001.

Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) прилага ефективен метод за оценка на рисковете за правата и свободите на субектите на данни при обработването на личните им данни. Основни рискове са насочени към:

  • Случайно или неправомерно унищожаване на данни;
  • Загуба на данни без възможност за възстановяване;
  • Неразрешена или грешна промяна на данни;
  • Неразрешено разкриване или достъп до данни

Дружеството гарантира, че неговите служители, обработващи лични данни, има необходимата квалификация и опит както за да извършават тази обработка по сигурен начин и според законовите изисквания и вътрешните правила на дружеството.

Дружеството поддържа документи и записи, осигуряващи и доказващи съответствие с изискванията на Регламента.

9.2           Действия при нарушения на сигурността

Дружеството използва автоматизирани средства за наблюдение на дейностите по обработка на данни и навременно идентифициране на сладости, събития и инциденти по тяхната сигурност. Тези средства осигуряват документиране на  всяко нарушение на сигурността на личните данни, включително специфичните за него данни, последиците, предприетите действия за справяне с него.

В случай на нарушение на сигурността на личните данни, което може да доведе до нарушаване правата и свободите на субектите на данни, Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) уведомява КЗЛД в рамките на 72 часа след установяването на това нарушение.

В случай на нарушение на сигурността на личните данни Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) уведомява съответния администратор (ако има такъв) незабавно след установяването на това нарушение.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Куриер тудей ООД, ЕИК 131393307 (ACS COURIER) незабавно извършва:

  • Обективна преценка дали предварително предприетите мерки за защита на данните гарантират, че тяхната поверителност ще се запази;
  • Предприемане последващи мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;
  • Оценка на усилията, необходими за уведомяване на всеки един субект на данни, засегнат от нарушението.;
  • В зависимост от резултатите на описаните по-горе действия и спазвайки изискванията на Регламента, предприема едно от следните действия:
    • Не предприема действия за уведомяване субектите на данни;
    • Незабавно уведомява субектите на данни за нарушението;
    • Прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Управление на жалби, запитвания и искания за лични данни
Процедура

Съдържание

1. Предназначение
2. Обхват
3. Отговорности и пълномощия
4. Термини, определения, съкращения
5. Процедура
5.1 Общи положения
5.2 Подаване на жалби, запитвания и искания
5.3 Обработка на документи
5.3.1 Общи положения
5.3.2 Обработка на жалби
5.3.3 Обработка на запитвания
5.3.4 Обработка на искания от субект на лични данни
5.3.5 Обработка на искания от администратор на лични данни
5.3.6 Обработка на искания за оттегляне на съгласие на субекта на данни
6. Документи / записи

Утвърдил: Иво Йорданов

1.               Предназначение

Настоящата процедура има за цел да даде указания за действията, които трябва да се извършат в Куриер тудей ООД (ACS COURIER) с цел управление на:

  • Искания на субекти на лични данни, свързани с осигуряване на техните права и свободи, както и на искания от страна на администратори на лични данни;
  • Жалби, спорове и запитвания
  • Запитвания от държавни и разследващи органи, касаещи предлаганите от дружеството услуги.

Прилагането на тези указания ще гарантира изпълнение на Регламент 2016/679 и други местни нормативни документи, ще намали рисковете за правата и свободите на субектите на данни и ще повиши доверието и степента на удовлетвореност на клиентите.

2.               Обхват

Процедурата описва действията, документите и отговорностите, свързани с приемането, обработката и връщане обратна информация по:

  • Искания на субекти на лични данни
  • Искания от страна на администратори на лични данни.
  • Жалби, спорове, запитвания на
  • Запитвания от държавни и разследващи органи, касаещи предлаганите от дружеството услуги

Процедурата се прилага към искания, свързани с всички услуги, предлагани от Куриер тудей ООД (ACS COURIER), които са свързани с обработка на лични данни.

Към прилагане на настоящата процедурата може да се привлече всеки служител на дружеството или служител на трети страни, с която има съответна договореност.

3.               Отговорности и пълномощия

Процедурата се прилага основно от служителите в отдел Администрация.

Всички служители на дружеството са задължени да оказват съдействие при прилагането на настоящата процедура, чрез осигуряване на необходимите оригинални и копия от документи, данни на изискващ се носител и в необходим формат, писмени отговори и становища и други.

Ръководството на Куриер тудей ООД (ACS COURIER) осигурява необходимите ресурси, комуникации, организация и контрол върху осъществяването на процедурата.

4.               Термини, определения, съкращения

В текста на тази политика са използвани термини и определения в смисъла, в който те са използвани в Закона за защита на личните данни и Регламент № 2016/679 на ЕП (Член 4)

Искане от субект на лични данни (ИСЛД)

Официално изявено желание от страна на субект на лични данни относно реализиране на неговите права и свободи, касаещи неговите лични данни, обработвани от дружеството.

Искане от администратор на лични данни (ИАЛД)

Официално изявено желание от страна на администратор на лични данни, относно предоставени такива данни на дружеството в качеството му на обработващо, което е свързано с реализиране права и свободи на субекта на тези данни.

Жалба (complaint)

Изразяване на недоволство, направено към организация, свързано с нейните продукти или услуги или към  самия процес на управление на жалби, където явно или неявно се очаква отговор или решение

Запитване

Официално запитване от страна на държавен или разследващ орган (прокуратура, следствие, полиция) към Куриер тудей ООД (ACS COURIER) , относно данни и оригинални документи, свързани с предоставяните от дружеството услуги

Декларация за съгласие (съгласие на субекта на данните)

Всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени (Регламент 2016/679, Чл.4(11))

За краткост в процедурата са използвани и следните съкращения:

  • Регламент – Регламент № 2016/679 на ЕП и ЕС, известен като GDPR (General Data Protection Regulation)
  • Дружество – Куриер тудей ООД (ACS COURIER)
  • ДЛЗД – Длъжностно лице па защита на данни
  • КЗЛД – Комисия за защита на лични данни
  • КЖЗИ – Комисия за жалби, запитвания и искания  за лични данни. Назначава се със заповед на ГИД

5.               Процедура

5.1           Общи положения

Всеки клиент на Куриер тудей ООД (ACS COURIER) има правото да подаде искане или жалба относно предоставяните му от дружеството услуги.

При обработката на исканията, жалбите и запитванията се спазват всички законови изисквания.

При подаване на искания, жалби и запитвания задължително се използва комуникационен канал, който осигурява надеждни доказателства за дата, час на подаване и идентификация на подателя.

На подадените само по телефона искания, жалби и запитвания може да се отговори аналогично само по телефон, ако подателят изрично е поискал това и при доказана самоличност с надеждни средства. (Чл.12(1))

Исканият, жалбите и запитванията задължително трябва да се представят в писмен вид – на хартиен носител или e-mail, ако преди това е използван друг начин за предявяване.

Информацията за искания, жалби и запитвания да се съхранява с цел преглеждане, анализ, осигуряване на доказателство и изготвяне на справки при необходимост.

5.2           Подаване на жалби, запитвания и искания

Жалби, запитвани и искания могат да се подадат на:

  • Пощенски адрес: гр. София-1404, ж.к.“Манастирски ливади-изток“, бул. „България“ № 73, вх. А, магазин 1;

Електронна поща: info@acscourier.bg, dpo@acscourier.bg.

За съдействие по въпросите на Регламент 2016/679, да се търси съдействие от Длъжностно лице за защита на данните (ДЛЗД) в Куриер тудей ООД (ACS COURIER): (Чл.38(4), Чл.39(1д))

5.3           Обработка на документи

5.3.1       Общи положения

Жалбите, запитванията и исканията, подадени чрез електронна поща или на хартиен носител, се препращат незабавно към Председателя на Комисия за жалби, запитвания  и искания  за лични данни (КЖЗИ).

Председателят преценява необходимостта и при необходимост свиква КЖЗИ за  разглеждане на документа и вземане на решение.

Председателят насочва постъпилия документ за изпълнение според вида му както е посочено в настоящата процедура.

Обработката на документите протича при спазване на следната обща последователност на действия:

  1. Изяснява се формулировката и съдържанието на документа;
  2. Установяват се обстоятелствата и причините, породили документа;
  3. Събират се допълнителни данни, ако това е необходимо;
  4. При необходимост се ангажират отговорни служители или привличат външни такива за съдействие и консултации, ако това е необходимо;
  5. При необходимост се търси съдействие от юридически консултанти, КЗЛД или ДЛЗД;
  6. Подготвя се изчерпателен отговор;
  7. Отговорът се съгласува в КЖЗИ;
  8. Отговорът се утвърждава и изпраща на подателя на документа.

5.3.2       Обработка на жалби

Жалбите се обработват при следната последователност на действия:

  1. Жалбата се насочва към собственика на услугата, с която е свързана или друго компетентно лице, което познава тази услуга;
  2. Изяснява се формулировката и съдържанието на жалбата;
  3. Установяват се обстоятелствата, породили жалбата;
  4. Събират се допълнителни данни;
  5. Ангажират се отговорни служители или привличат външни такива за съдействие и консултации, ако това е необходимо;
  6. Подготвя се изчерпателен отговор;
  7. Отговорът се съгласува с членовете на КЖЗИ;
  8. Отговорът се утвърждава от Иво Йорданов или друг упълномощен законен представител на Куриер тудей ООД (ACS COURIER);
  9. Отговорът се изпраща на подателя на жалбата и на други заинтересовани страни;
  10. Осигурява се обратна информация за това, доколко подателят на жалбата е задоволен от отговора;
  11. Ако е необходимо, се изготвя заявка за изменение или дефинира проблем за разрешаване.

Всяка подадена жалба се разглежда и се връща отговор във възможно най-кратък срок, като възприетият краен срок е една календарна седмица от датата на получаване.

5.3.3       Обработка на запитвания

Запитванията се обработват при следната последователност на действия:

  1. Запитването се насочва към собственика на услугата, с която е свързано или друго компетентно лице, което познава тази услуга;
  2. Изяснява се формулировката и съдържанието на запитването;
  3. Проверява се наличието на необходимата входна информация: № на товарителница, име на физическо лице или фирма, ЕГН или ЕИК и др.
  4. За запитване, свързано с товарителница, то се препраща за изпълнение в Архив от оторизиран за това служител, който извършва описаните по-долу действия:
    • Установява се разположението на документите в архива;
    • Установяват се обстоятелствата – изпращана ли е пратката, наличен ли е Договор и съпътстващите го документи.
    • Изготвя се отговор на запитването.
    • Подготвят се копия на оригиналните документи.
    • Ако се изискват оригинали на документи, копия от тях се оставят в архив, придружени с бележка за причината за изваждането на оригиналите от архива, на коя дата е направено, на кого са предадени и какъв е бил поводът за това;
  5. За други запитвания се идентифицират оригиналните документи и при наличието на такива се изготвят заверени техни копия.
  6. Отговорът на запитването и приложените документи към него се изпращат за съгласуване в отдел „Правен“;
  7. Отговорът се съгласува с Председателя на КЖЗИ, който преценява необходимостта от съгласуване на отговора с останалите членове на КЖЗИ;
  8. Отговорът на запитването и приложените документи към него се изпращат за утвърждаване от ГИД или друг упълномощен законен представител на Куриер тудей ООД (ACS COURIER).
  9. Отговорът на запитването и приложените документи към него се комплектуват окончателно, извеждат се в деловодната система и се изпращат на подателя на запитването по начин, гарантиращ поверителност, цялост и наличност на информацията.

При предоставяне на данни, свързани със запитване на държавен или разследващ орган, срокът за отговор се съобразява с посочения в запитването или ако няма такъв – във възможно най-кратък срок, но не повече от един календарен месец от датата на постъпване.

5.3.4       Обработка на искания от субект на лични данни

Исканията от субект на лични данни (ИСЛД) се разглеждат при следната последователност на действия:

1. Искането се насочва към собственика на услугата, с която е свързано или друго компетентно лице, което познава тази услуга;
2. Изяснява се формулировката и съдържанието на искането, като се обръща особено внимание на:

  • Възможността за идентифициране субекта на данните (Чл.12(2))
  • Законността на искането: (Чл.15÷21):
    • Право на достъп (Чл.15);
    • Право на коригиране (Чл.16);
    • Право на изтриване (Чл.17);
    • Право на ограничаване на обработването (Чл.18);
    • Уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването (Чл.19);
    • Право на преносимост (Чл.20);
    • Право на възражение (Чл.21);
    • Наличие на ограничения за изпълнение на искането (например Чл.6(1), Чл.17(2г), Чл.17(3), Чл.20(3), Чл.21(1), Чл.21(6))
    • Обстоятелствата, породили искането;
    • Необходимостта от насочване на искане към обработващ лични данни;
    • На лице ли е явна неоснователност или прекомерна повторяемост на искането (Чл.12(5))
    • Събират се допълнителни данни, ако са необходими (Чл.12(6));
    • При необходимост, искането се разглежда на заседание на КЖЗИ и се търси  външно съдействие от юридически консултанти, КЗЛД;
    • Ангажират се специалисти на дружеството, които да осигурят необходимите данни и в необходимия вид;
    • Подава се искане към обработващ лични данни, ако това се налага;
    • Подготвя се изчерпателен отговор от собственика на услугата, съгласувано с отдел Правен“. Отговорите на искания за лични данни трябва да бъдат в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства или по друг, изрично поискан от субекта начин; (Чл.12(1)(3)(7))
    • Ако дружеството не предприеме действия по искането, субектът на данни се уведомява без забавяне и най-късно в срок от един календарен месец от дата на постъпване на искането, за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред; (Чл.12(4)(5б)).
    • Отговорът се съгласува с членовете на КЖЗИ;
  • Отговорът се утвърждава от Иво Йорданов или друг упълномощен законен представител на Куриер тудей ООД (ACS COURIER);
  • Проверява се необходимостта от заплащане на такса (Чл.12(5а));
  • Отговорът се изпраща на подателя на искането по установения от Регламента и съгласувания със субекта начин;

3. Осигурява се обратна информация за това, доколко подателят на искането е задоволен от отговора;
4. Ако е необходимо, се изготвя заявка за изменение или дефинира проблем за разрешаване.

Всяко подадено искане се разглежда и се връща отговор във възможно най-кратък срок, но не повече от един календарен месец от датата на постъпване. При забавяне повече от месец, отговорът трябва да съдържа и пояснение за това забавяне.(Чл.12(3))

5.3.5       Обработка на искания от администратор на лични данни

Исканията от администратор на лични данни (ИАЛД) се разглеждат при следната последователност на действия: (Чл.28(3д))

  1. Искането се насочва към собственика на услугата, с която е свързано или друго компетентно лице, което познава тази услуга;
  2. Изяснява се формулировката и съдържанието на искането, като се обръща особено внимание на:
    • Възможността за идентифициране субекта на данните; (Чл.12(2))
    • Законността на искането; (Чл.15÷21):
    • Дали искането съответства на договореностите с администратора;
  3. При необходимост, искането се разглежда на заседание на КЖЗИ и се търси  външно съдействие от юридически консултанти, КЗЛД;
  4. Ангажират се специалисти на дружеството, които да осигурят необходимите данни и в необходимия вид;
  5. Подава се искане към друг обработващ лични данни, ако това се налага;
  6. Подготвя се изчерпателен отговор от собственика на услугата, съгласувано с отдел Правен“, във вида, който се изисква от администратора;
  7. Ако дружеството не предприеме действия по искането, администраторът на данните се уведомява без забавяне и най-късно в срок от една календарна седмица от дата на постъпване на искането (ако не са договорени други срокове), за причините да не предприеме действия.
  8. Отговорът се съгласува с членовете на КЖЗИ;
  9. Отговорът се утвърждава от ГИД или друг упълномощен законен представител на Куриер тудей ООД (ACS COURIER);
  10. Отговорът се изпраща на подателя на искането по установения от Регламента и договорения начин;
  11. Ако е необходимо, се изготвя заявка за изменение или дефинира проблем за разрешаване.

Всяко подадено искане се разглежда и се връща отговор във възможно най-кратък срок, но не повече от един календарен месец от датата на постъпване, ако с администратора няма друг договорен срок за това. При забавяне повече от месец, ситуацията трябва да се съгласува своевременно с администратора.

5.3.6       Обработка на искания за оттегляне на съгласие на субекта на данни

Тук се разглеждат случаите, когато е поискано и дадено съгласие от страна на субект на лични данни (ИСЛД) за обработване на неговите лични данни (Чл.7).

Исканията от страна на ИСЛД за оттегляне на дадено съгласие за обработване (пълно или частично), се разглеждат при следната последователност на действия:

  1. Искането се насочва към собственика на услугата, с която е свързано или друго компетентно лице, което познава тази услуга;
  2. Изяснява се формулировката и съдържанието на искането, като се обръща особено внимание на:
    • Възможността за идентифициране субекта на данните (Чл.12(2))
    • Основателността на искането:
      • Сравнение с подадено по-рано съгласие.
      • Наличие на ограничения за изпълнение на искането
      • Приложимост на съгласието, ако се касае за съгласие на дете (Чл.8)
      • Обстоятелствата, породили искането;
    • Необходимостта от насочване на искане към обработващ лични данни;
  3. Събират се допълнителни данни, ако са необходими (Чл.12(6));
  4. При необходимост, искането се разглежда на заседание на КЖЗИ и се търси  външно съдействие от юридически консултанти, КЗЛД;
  5. Ангажират се специалисти на дружеството, които да осигурят необходимите данни и в необходимия вид;
  6. Подава се искане към обработващ лични данни, ако това се налага;
  7. Изпълнява се искането, за което се полагат всички възможни усилия това да стане без ненужно забавяне;
  8. Подготвя се изчерпателен отговор от собственика на услугата, съгласувано с отдел Правен“. Отговорите трябва да бъдат в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства или по друг, изрично поискан от субекта начин;
  9. Ако дружеството не предприеме действия по искането, субектът на данни се уведомява без забавяне и най-късно в срок от един календарен месец от дата на постъпване на искането, за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред; (Чл.12(4)(5б)).
  10. Отговорът се съгласува с членовете на КЖЗИ;
  11. Отговорът се утвърждава от Иво Йорданов или друг упълномощен законен представител на Куриер тудей ООД (ACS COURIER);
  12. Отговорът се изпраща на подателя на искането по установения от Регламента и съгласувания със субекта начин;
  13. Осигурява се обратна информация за това, доколко подателят на искането е задоволен от отговора;
  14. Ако е необходимо, се изготвя заявка за изменение или дефинира проблем за разрешаване.

Всяко подадено искане се разглежда и се връща отговор във възможно най-кратък срок, но не повече от един календарен месец от датата на постъпване. При забавяне повече от месец, отговорът трябва да съдържа и пояснение за това забавяне.

6.               Документи / записи

Приложение 1
Приложение 2