Използваме бисквитки, за да подобрим Вашето преживяване в сайта. Разглеждайки съдържанието на сайта, вие се съгласявате и с използването на бисквитки.  Научете повече
Х

Инструкция

за мерките и средствата за защита на личните данни, събирани през www.lawstore.bg, обработвани, съхранявани и предоставяни от “Лоустор ЕООД” / LawStore.Ltd.

I. Общи положения

Член 1

Настоящата Инструкция урежда организацията и вътрешния ред на “Лоустор ЕООД” / LawStore Ltd.,наричан по-нататък за краткост АДМИНИСТРАТОР, регистриран като администратор на лични данни под № 416912, както и нивото на технически и организационни мерки при обработване на лични данни и допустимия вид защита.

Член 2

Инструкцията е изготвена в съответствие с разпоредбите на Закона за защита на личните данни (ЗЗЛД) и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредба № 1) и цели защита на интересите на клиентите - физически лица, юридически лица и техните представители от незаконосъобразно и недобросъвестно обработване на личните им данни.

Член 3

За целите на настоящата Инструкция понятията по-долу имат следното значение:

1. „Лични данни” са всяка информация, отнасяща се до клиентите на АДМИНИСТРАТОРА, които са идентифицирани или чрез която същите могат да бъдат идентифицирани пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

2. „Обработване на лични данни” е всяко действие или съвкупност от действия, които АДМИНИСТРАТОРЪТ извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване и др.).

3. „Администратор на лични данни” е „Лоустор“ ЕООД / LawStore Ltd., гр. София 1407, р-н Лозенец, ж.к. Хладилника, Никола Вапцаров No 10, ет. 2, офис 6, ЕИК 203556602, представлявано от Александра Петрова Атанасова и от Атанас Георгиев Атанасов, което самостоятелно или чрез възлагане на друго лице обработва лични данни.

4. „Специфични признаци” са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

5. „Регистър на лични данни” е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на АДМИНИСТРАТОРА, която може да бъде централизирана и децентрализирана и е разпределена на функционален принцип.

6. „Съгласие на физическо лице” е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.

Член 4

(1) АДМИНИСТРАТОРЪТ обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели. Личните данни, които АДМИНИСТРАТОРЪТ събира и обработва следва да бъдат точни и при необходимост да се актуализират. Личните данни се заличават или коригират, когато се установи, че са неточни или несъответстващи на целите, за които се обработват.

(3) АДМИНИСТРАТОРЪТ спазва принципа за забрана на обработване на специални категории данни съгласно чл. 5, ал. 1 от ЗЗЛД (разкриване на расов или етнически произход; разкриване на политически, религиозни или философски убеждения; членство в политически партии или организации; сдружения с религиозни, философски, политически или синдикални цели; лични данни, които се отнасят до здравето, сексуалния живот или до човешкия геном), като изключения се допускат само в случаите, предвидени в чл. 5, ал. 2 от ЗЗЛД.

Член 5

(1) Клиентът - притежател на личните данни - изразява свободно своето съгласие относно обработването на отнасящи се за него лични данни.

(2) Клиентът има право по всяко време на обработването да поиска блокиране или унищожаване (изтриване) на събрани за него лични данни, в случаите, когато оспорва тяхната точност или обработването им е незаконосъобразно.

Член 6

АДМИНИСТРАТОРЪТ поддържа личните данни във вида и формата, които позволяват идентифициране самоличността на физическите лица за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват.

Член 7

Обработването на личните данни се извършва, когато е необходимо:

1. за изпълнение на нормативно установено задължение.

2. за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.

3. за търговски цели и директен маркетинг.

Член 8

Всички служители на АДМИНИСТРАТОРА при встъпване в длъжност се задължават да спазват конфиденциалност по отношение на базата данни с клиенти на АДМИНИСТРАТОРА, в т. ч. лични данни, както и да не разгласяват данни и информация, станали им известни при и по повод изпълнение на служебните им задължения.

Член 9

АДМИНИСТРАТОРЪТ поддържа вътрешен ред като администратор на лични данни, като осигурява технически и организационни мерки за защита.

II. Регистър

Член 10

АДМИНИСТРАТОРЪТ поддържа регистър “КЛИЕНТИ”, в който се събират, обработват и съхраняват личните данни на клиентите на АДМИНИСТРАТОРА.

Член 11

Индивидуалните данни на клиентите могат да се публикуват само ако субектът, за който се отнасят, е дал съгласие за това. Съгласието се дава в писмена форма и от него трябва да е ясно за кои данни се отнася. Лицето, за което се отнасят данните, може по всяко време да оттегли съгласието си писмено, като оттеглянето на съгласието не засяга извършените преди това действия.

Член 12

За защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване АДМИНИСТРАТОРЪТ организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.

III. Технологично описание на поддържаните регистри – носители на данни, технология на обработване, срок за съхранение и предоставени услуги

Член 13

АДМИНИСТРАТОРЪТ събира и обработва лични данни автоматизирано.

Член 14

(1) В регистър “КЛИЕНТИ” се съхраняват следните видове лични данни:

1. Име - използва се за идентифициране на посетителя при извършване на поръчка по електронен път или по телефон.

2. Адрес - използва се за доставка на стоки до адреса или до най-близкия офис на куриер.

3. Телефон - използва се за директна комуникация с потребителя.

4. E-mail адрес - използва се комуникация с потребителя и за изпращането на електронни актуализации.

(2) Личните данни в регистър “КЛИЕНТИ” се набират при подаване на поръчка на някой от предлаганите от АДМИНИСТРАТОРА продукти, услуги или комплексно решение, съчетание от продукти и услуги.

(3) Личните данни в регистър “КЛИЕНТИ” се предоставят на куриерска компания “ЕКОНТ ЕКСПРЕС” ООД, регистрирана като администратор на лични данни по № 1589, за изпълнение на договорни отношения от страна на администратора.

(4) Личните данни в регистър “КЛИЕНТИ” се предоставят на куриерска компания “СПИДИ” АД, регистрирана като администратор на лични данни по № 22842, за изпълнение на договорни отношения от страна на администратора.

Член 15

АДМИНИСТРАТОРЪТ предприема следните мерки за защита на личните данни:

1. програмно-технически – криптографски методи и средства и защита при пренасяне на информацията, надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на пренасяната информация;

2. физически – система от мерки по защита на сградите, помещенията и съоръженията, в които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях;

3. организационни и административни – регламентирани с вътрешни правила на АДМИНИСТРАТОРА;

4. нормативни, предвидени в законови и подзаконови нормативни актове.

Член 16

Личните данни в регистър “КЛИЕНТИ” се съхраняват за период не по-дълъг от 5 (пет) години.

IV. Лица, свързани с обработването и защитата на лични данни. Права и задължения

Член 17

(1) Лице по защита на личните данни при АДМИНИСТРАТОРА е управителят на дружеството Александра Петрова Атанасова.

(2) Лицето по защита има следните правомощия:

1. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

2. следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно, спецификата на водените регистри;

3. осъществява контрол по спазване на изискванията за защита на регистрите;

4. поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;

5. контролира спазването на правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;

6. специфицира техническите ресурси, прилагани за обработка на личните данни;

7. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда.

8. определя ред за съхраняване и унищожаване на информационни носители;

9. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

10. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др. ;

11. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Член 18

АДМИНИСТРАТОРЪТ определя със заповед списъка на лицата, които обработват лични данни.

Член 19

Служителите на АДМИНИСТРАТОРА са длъжни:

1. да обработват лични данни законосъобразно и добросъвестно;

2. да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

3. да актуализират регистрите на личните данни (при необходимост);

4. да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

5. да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;

Член 20

(1) За неспазването на разпоредбите на настоящата инструкция служителите на АДМИНИСТРАТОРА носят отговорност по Закона за защита на личните данни и Кодекса на труда.

(2) Ако в резултат на действията на съответен служител на АДМИНИСТРАТОРА по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Член 21

(1) Право на достъп до данните в регистър “КЛИЕНТИ” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане изразено писмено;

2. Управителите на дружеството.

3. Обработващите и операторите на лични данни, включително финансовия мениджър и мениджър отношения с клиенти.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(2) Данните от регистъра не се предават на трети лица, освен в предвидените от закона и в тази инструкция случаи.

(3) Защитата на помещенията, в които се съхраняват личните данни се постига с контролиран достъп с чип-карта, СОТ-аларма с код и ключ.

(4) Длъжностните лица, събиращи и обработващи лични данни в регистър “КЛИЕНТИ“ имат следните права и задължения:

1. да използват личните данни при изпълнение на задължения към съответния клиент по Закона за задълженията и договорите, Търговския закон и Закона за защита на потребителите;

2. да не изнасят и съхраняват личните данни извън специално определените за целта места, регламентирани с режим на специален достъп;

3. да не използват личните данни по нерегламентиран начин.

(5) Данните от регистъра могат да бъдат предавани по електронен път.

V. Оценка на въздействие и определяне на съответно ниво на защита

Член 22

(1) Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

(2) За определяне на адекватното ниво на техническите и организационни мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни.

(3) Оценката на въздействието е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

(4) Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

(5) При оценката на въздействието администраторът отчита характера на обработваните лични данни, както следва:

1. систематизиране и оценка на лични аспекти, свързани с дадено физическо лице (профилиране), за анализиране или прогнозиране, по-специално на неговото икономическо положение, местоположение, лични предпочитания, надеждност или поведение, която се основава на автоматизирано обработване и на чието основание се вземат мерки, които пораждат правни последици за лицето или го засягат в значителна степен;

2. данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, или данни, които се отнасят до здравето, сексуалния живот или до човешкия геном.

3. лични данни чрез създаване на видеозапис от видеонаблюдение на публично достъпни райони;

4. лични данни в широкомащабни регистри на лични данни;

5. данни, чието обработване съгласно решение на Комисията за защита на личните данни застрашава правата и законните интереси на физическите лица.

Член 23

За Регистър “КЛИЕНТИ” се определя степен на защита - “ниско ниво”.

VI. Технически и организационни мерки

Член 24

АДМИНИСТРАТОРЪТ е предприел мерки за защита, както технически така и организационни, а именно:

1. работата и съхранение при работата с компютърни системи е подсигурена с анти вирусни програми, пароли за достъп;

2. разполага с електронен подпис.

VI. Действия за защита при аварии, произшествия и бедствия

Член 25

АДМИНИСТРАТОРЪТ предприема превантивни действия при защита на личните данни като съставя план за действие при различните случаи на настъпили форсмажорни събития, а именно:

1. защита при аварии, независещи от АДМИНИСТРАТОРА – предприемат се конкретни действия в зависимост от конкретната ситуация;

2. защита от пожари - незабавно гасене със собствени средства /пожарогасители/и уведомяване на съответните органи;

3. защита от наводнения - предприемат действия по ограничаване на разпространението, както и се изпомпва вода или загребва със собствени подръчни средства.

VIII. Съхраняване и унищожаване на лични данни

Член 26

След постигане целите по член 7 от настоящата инструкция личните данни на физическите и юридическите лица се унищожават като се заличават от електронния регистър "КЛИЕНТИ", а когато са били възпроизведени и на хартиен носител, се унищожават физически, чрез претопяване на носителите, за което надеждно се изготвят актови протоколи за унищожаване.

Настоящата е инструкция е утвърдена от управителите на "Лоустор" ЕООД / LawStore Ltd.