Въведение и представяне
- Цветелина Стоянова Тодорова и МБ Хоум ЕООД (ЕИК 175179970) са съвместни администратори по смисъла на член 26 параграф 1 от Регламент (ЕС) 2016/679. За целите на настоящия документ те ще бъдат наричани за краткост Администраторите.
- Контактна информация:
- Адрес: гр. София, кв. Левски, ул. „Княгиня Тамара“ №40, партер.
- Интернет адреси: www.finansovoplanirane.bg
- Телефони: 0897 937 186, 0878 200 075.
Дефиниции
- Всички термини, използвани в този документ, са в смисъла на дефинирането им в член 4 на Регламент (ЕС) 2016/679 на Европейския Парламент (Общ регламент относно защитата на данните – ОРЗД).
- Други термини, невключени в ОРЗД:
- B2B – business to business – означава бизнес взаимоотношенията на Администраторите с други бизнеси
- B2C – business to customers – означава взаимоотношенията на Администраторите с физически лица, потребители на услугите им.
Категории субекти на данни
В бизнес дейността си Администраторите имат взаимодействие със следните категории субекти на данни:
- Представители на юридически лица, информацията за които е публично достъпна в регистрите на Агенцията по вписванията (В2В)
- Физически лица – потребители на услугите на Администраторите или потенциални такива (В2С)
- Физически лица, наети по трудови договори в Администраторите или в други договорни отношения с тях.
Категории лични данни
Съобразно нуждите на дейността си Администраторите събират и обработват следните категории лични данни:
- Обикновени лични данни – имена, адрес, електронна поща, IP адрес
- Единен граждански номер, когато това се изисква за сключване на различни договорни отношения
- Данни за месторабота, длъжност, професия
- Данни за семейното положение, брой членове на семейството
- Данни за икономическото състояние – например доходи, притежавано имущество, задължения по кредити, публични задължения
Администраторите не събират и не обработват чувствителни лични данни.
Всички категории лични данни са описани подробно в Регстър на дейностите по обработването на лични данни.
Правни основания за обработване на данните
- Съгласие:
- Администраторите поддържат информация за данните, събрани въз основа на съгласие на субекта, като за всеки един случай може да докаже, че даденото съгласие е:
- свободно изразено – не дадено под натиск или заплаха от неблагоприятни последици;
- конкретно – отделно съгласие за всяка конкретно определена цел, а когато е относимо – и за конкретна категория лични данни;
- информирано – дадено на основата на пълна, точна и лесно разбираема информация;
- недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето;
- изрично изявление или ясно потвърждаващо действие –не се приема за съгласие мълчанието на даден субект на данни.
- Администраторите поддържат документация (на хартия или в електронен вид) за изразеното съгласие с цел доказване пред компетентните органи.
- Администраторите са подсигурили възможност за оттегляне на даденото съгласие по всяко време толкова лесно, колкото е дадено.
- Администраторите поддържат информация за данните, събрани въз основа на съгласие на субекта, като за всеки един случай може да докаже, че даденото съгласие е:
2. Сключване или изпълнение на договор. Предоставянето на личните данни е доброволно, когато тези данни са необходими за сключването на договор с Администраторите. В случай че данните не бъдат предоставени, Администраторите няма да бъдат в състояние да предоставят продукт или услуга. При вече установени търговски или професионални отношения с Администраторите, предоставянето на лични данни може да представлява договорно или законово изискване. В тези случаи непредоставянето на данните може да доведе до прекратяване на сключения договор или на установените търговски отношения.
3. Законово задължение
Цели на обработването на данни
Администраторите обработват лични данни с цел изпълнение на задълженията си по договори за възлагане от страна на клиенти.
Предоставяне на личните данни
Администраторите предоставят данни на следните лица:
- Публични органи – НАП, НОИ
- На други обработващи лични данни съобразно нуждите на бизнес дейността:
- Счетоводна кантора
- IT компании, поддържащи интернет сайтовете на Администраторите, имейл платформата и информационната система
Трансфер на данните
- Администраторите не осъществяват трансфер на данни.
- Изключения: прехвърляне на лични данни в трета страна или международна организация се извършва само при едно от следните условия:
- предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;
- предаването е необходимо поради важни причини от обществен интерес;
- предаването е необходимо за установяването, упражняването или защитата на правни претенции;
- предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
- предаването се извършва от регистър, който съгласно правото на ЕС или правото на държавите членки е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.
Съхранение и унищожение на данните
- Администраторите събират и обработват електронни адреси на потенциални и настоящи клиенти чрез платформата GetResponse, собственост на полската фирма GetResponse Sp. z o.o., с адрес Arkońska 6, A3, ZIP/Postal Code: 80-387, Гданск, Полша, VAT PL9581468984 Администраторите не съхраняват лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
- Администраторите може да съхраняват данни за по-дълги периоди единствено ако личните данни ще бъдат обработвани за целите на архивиране, за цели в обществен интерес, и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.
- Процедура за съхраняване и унищожаване на данните, приета от Администраторите се прилага във всички случаи.
- Личните данни ще бъдат унищожени сигурно, съгласно принципа за гарантиране подходящо ниво на сигурност (чл. 5, пар. 1 б. е) от Общия регламент) – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
Практическо упражняване на права от субектите на данните
- Администраторите осигуряват практическа възможност за упражняване на правата, които Регламент 2016/679 предоставя на субектите на данни:
- право на достъп до личните данни, които се обработват от дружеството/организацията;
- право на коригиране или допълване на неточни или непълни лични данни;
- право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
- право на ограничаване на обработването – при наличие на правен спор между дружеството/организацията и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;
- право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат. Ако е технически осъществимо, прехвърлянето на данните може да стане пряко от един администратор към друг. Правото на преносимост обхваща само данни, предоставени лично от субекта на данни, както и лични данни, генерирани и събрани от неговата дейност.
- право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;
- право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.
- Администраторите имат разписани вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика.