ОБЩИ ПОЛОЖЕНИЯ
„МЕДИКА НАРЕЧЕНСКИ БАНИ” ЕООД е администратор на лични данни по смисъла на Закона за защита на личните данни (ЗЗЛД) и Регламент (ЕС) 2016/679 на Евр. парламент и на Съвета от 27 април 2016г. относно защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламента)
Настоящата Политика се прилага за лични данни по смисъла на ЗЗЛД и Регламента. Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
В „МЕДИКА НАРЕЧЕНСКИ БАНИ” ЕООД се извършва допустимо обработване на лични данни в изпълнение на нормативно установено задължение на администратора на лични данни.
Групите лица, за които се обработват данни са:
- 1. Клиенти – това са лица, ползващи услугите, предоставяни в Балнеохотел „Медика – Наречен”. Регистрацията на лице, като клиент на хотела се осъществява на рецепцията. За да бъде настанен клиент е необходимо да впише във формуляр „Адресна карта” – трите си имена, ЕГН (ЛНЧ), вид на документ за самоличност, други данни от документ за самоличност. Данните са необходими за регистриране на клиентите в „Регистър за настанени туристи”. Воденето на този регистър е законово регламентирано в Закона за туризма.
- 2. Служителите/работници – това са лицата, кандидатстващи за работа в „МЕДИКА НАРЕЧЕНСКИ БАНИ” ЕООД, назначените по трудов договор и изпълнителите по граждански договори, когато са физически лица. Данните, които предоставя тази категория лица са: данни от документ за самоличност, тел. за връзка, образование, актуален съдебен статус, здравословно състояние.
Личните данни се събират за конкретни, точно определени и законни цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели. Предвид дейността, осъществявана в хотела, съхраняваните и обработвани лични данни на клиентите се предоставят на държавни институции на база функциите, които са им възложени. Такива структури са – МВР, НАП, Общински служби. Съхраняваните и обработвани лични данни на кандидатстващи за работа, назначените по трудов договор и изпълнителите по граждански договор се предоставят на контролни органи по спазване на трудовото и осигурително законодателство – при осъществяване на функциите им.
В Балнеохотел „МЕДИКА – НАРЕЧЕН”се осъществява видеонаблюдение с цел защита, упражняване или запазване на законовите права, неприкосновеността, безопасността или собствеността на администратора, неговите служители/работници, както и за обезпечаване безопасността, неприкосновеността и сигурността на гостите на хотела. Записи от видеонаблюдението се съхраняват за срок от 20 дни. Достъп до данните имат определени служители в рамките на изпълняваните от тях служебни задължения. Целта на събирането на лични данни е идентифициране на физически лица, с цел контрол на достъпа.
ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА, ЗА КОИТО СЕ ОТНАСЯТ ДАННИТЕ
Физическото лице:
- има право да получи данни, които идентифицират администратора и длъжностното лице по защита на данните, както и контакти за връзка с тях;
- има право да изисква ограничаване обработването на лични данни, когато това не е свързано с легитимен интерес;
- има право да получи данни относно целите на обработването, за което личните данни са предназначени
- има право да получи данни относно получателя на обработените лични данни. Лицето има право да бъде уведомено от администратора, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име, като му бъде предоставена възможност да възрази срещу такова разкриване или използване
- има право да получи информация относно срока, за който ще се съхраняват личните данни
- може да възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
- при упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
- потвърждение за това дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
- съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
- информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него.
- може да поиска коригиране, изтриване или ограничаване на обработването на личните му данни, както и прехвърляне на обработването им на друг администратор, ако са налице законови основания за това;
- има право да подаде жалба до надзорния орган – Комисия за защита на личните данни в РБ
СРОК ЗА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ
Документация, в която се съдържат лични данни на клиентите се съхранява за срок не по-дълъг от изискванията на действащото законодателство.
Документацията, съдържаща лични данни на служителите/работниците се съхраняват 50 години (ведомости за заплати, оригинал на трудов договор, доп.споразумения за преназначаване, заповед за освобождаване, заповед за неплатен отпуск над 30 работни дни) и 3 години (трудово досие).
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
Мерките следва да са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
Мерките се реализират чрез използването на подходящ софтуерен продукт, който покрива техническите мерки и нормативни изисквания.
При установяване нарушение на сигурността на личните данни администраторът уведомява Надзорния орган – КЗЛД в срок от 72 часа.
Администраторът обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните с цел разграничаване на конкретните им задължения.
Обработването на данните се извършва от обработващ лични данни, определен от администратора – служителите, назначени на позици „Рецепционист”. Администраторът осигурява достатъчни гаранции за защита на данните. В длъжностната характеристика на съответния служител се определя обема на задълженията, възложени от администратора на обработващия данните.
Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.
След постигане целта на обработване на личните данни администраторът е длъжен да ги:
- унищожи, или
- прехвърли на друг администратор, като предварително уведоми за това комисията по защита на личните данни, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването;
- съхранява – само ако е предвидено в закон.