Като част от своята социална отговорност „ЕН ДИ БИ ЕООД “(„Дружеството“) се ангажира с международното спазване на законите за защита на данните, основаващо се на глобално приетите основни принципи в тази връзка. Осигуряване на защита на данните е основата на надеждните бизнес отношения и репутацията на „ЕН ДИ БИ“
ЕООД като привлекателен работодател и бизнес партньор.
Правно основание и цели на обработването
Лични данни се обработват в съответствие с разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на данните, и Закона за защита на личните данни. В хода на нашите трудово-управленчески процедури се обработват следните лични данни: три имена, ЕГН, титли, място и дата на раждане, местоживеене, адрес за данъчни цели, имейл-адрес, семейно положение, данни за валидна банкова сметка, автобиография, както и специални категории данни съгласно член 9 от Регламента, като например: свидетелство за съдимост – в предвидените в закона случаи или ако бъде доброволно предоставено, членство в синдикални организации (членство в синдикални секции, молба за приспадане на членски внос), данни за здравето (документи, удостоверяващи инвалидност, болнични, информация за увреждания и майчинство, данни за годност за изпълнение на определени задължения), данни от лична карта или друг документ за самоличност, телефон, образование, професионална квалификация, позиция, работно време, начало и край на трудовото отношение, трудов стаж, трудово възнаграждение, организационно звено, ръководител, чужди езици, User Name, Password, IP-адрес, личен, служебен номер.
Дружеството обработва чувствителни лични данни – снимки и видео записи, само с изричното съгласие на субекта на данните. Обработване на чувствителни лични данни е забранено, когато това обработване противоречи на изисквания, предвидени в специален закон или ако обработването не е свързано, не е съотносимо с или надхвърля целите, за които се извършва.
С това не се засяга правото на администратора на лични данни да обработва други лични данни, когато това задължение произтича по закон или когато общественият интерес налага това.
Лични данни ще бъдат обработвани с помощта на хартиени, електронни или телекомуникационни носители за следните цели:
- регламентиране на трудовите отношения, по-конкретно за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите отношения - за изготвяне на всякакви документи в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни);
- установяване на връзка с работниците и служителите по телефон, за кореспонденция, отнасяща се до изпълнение на трудовите задължения;
- счетоводната отчетност (изчисляване и изплащане на трудови възнаграждения, данъци и социални осигуровки);
- пенсионното и здравно осигуряване;
- Планиране на периодични медицински прегледи на служители;
- Спазване на законови и договорни задължения, включително колективни задължения, свързани с с трудовата заетост.
Правното основание за обработването е сключването, изпълнението и прекратяването на трудовите договори в Дружеството, както и задълженията, свързани и/или пряко и/или непряко произтичащи от трудовите отношения.
Дефиниции
„Лични данни“
означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име,
идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Чувствителни лични данни“
Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения; членство в професионална организация; генетични данни, биометрични данни, обработвани единствено с цел идентификацията на субекта като човешко същество; данни за здравословното състояние; данни за
сексуалния живот или сексуалната ориентация на дадено лице;
„Администратор на лични данни“
е „ЕН ДИ БИ“ ЕООД, ЕИК 831660083, което само или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Обработване на лични данни“
означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Съгласие“
на субекта на даннитe означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Естество на обработката
Работниците и служителите предоставят данните си във връзка с всички изисквания, произтичащи от законовите и договорни задължения. Поради това отказ на работник/служител да предостави такива данни изцяло или частично може да попречи на Дружеството да изпълнява трудовото правоотношение или да изпълнява задълженията си по подходящ начин, включително тези за заплащане на трудово възнаграждение, социални осигуровки, данъци и застраховки, свързани с трудовите отношения.
Предоставянето на допълнителни лични данни, които не са изрично изисквани от закона или от други нормативни актове, може да е необходимо, ако тези лични данни са свързани със сключването, изпълнението или продължаването на трудовите отношения; в този случай отказът на служителя да предоставите тези данни може да направи невъзможно правилното изпълнение на действащия трудов договор.
Метод на обработване
Обработването ще се извършва посредством използването на подходящи инструменти за гарантиране на сигурността и поверителността на данните, в съответствие с разпоредбите на Глава II (Принципи) и глава IV (Администратор и обработващ лични данни) от Регламента.
Обработването може да се извърши и с помощта на автоматизирани инструменти, които могат да съхраняват, управляват или предават данните, но с разбирането, че то ще се извършва в съответствие с разпоредбите на Регламента.
В случай на събиране на данни, определени със закон като "специални категории лични данни", т.е. данни, които могат да разкрият, включително, но не само, информация за здравето (напр. документи, събрани по време на назначаване и в хода на трудовото отношение, свързани с инвалидност, бременност, увреждане и т.н.), членство в синдикални организации (напр. синдикални секции, искания за приспадане на синдикален членски внос и т.н.), същите ще бъдат обработвани в съответствие с общите разпоредби, приложими към всички данни, както е посочено по-горе, и в съответствие с разпоредбите на член 9 от Регламента.
Специални категории лични данни, отнасящи се до здравето, които се обработват от Служба „Трудова медицина“ с цел извършване на предварителни и периодичните медицински прегледи, ще се обработват от Служба „Трудова медицина“ или от застраховател при наличие на застрахователни полици.
Дружеството може да обработва лични данни, отнасящи се до членове на семейството или партньори, включително непълнолетни лица, напр. за да се оправдае отсъствие от работа или да се даде възможност за отпускане на семейни помощи, данъчни облекчения и/или други обезщетения, които трябва да бъдат получени по закон или съгласно разпоредбите на трудовия договор.
Гореизложеното ще се прилага и за всички лица, които служителят посочва за бенефициенти на застрахователни, здравни или пенсионни схеми, управлявани от Дружеството.
Вашите лични данни се обработват чрез извършване на действията, посочени в член 4 (2) от Регламента, към който трябва да се направи позоваване при необходимост.
За да се гарантира, че Вашите данни се обработват по подходящ начин, Вие трябва своевременно да уведомите Администратора за всякакви промени в предоставените от Вас данни.
Степен на разкриване на данни
Вашите данни могат да бъдат предоставяни на:
Следните организации/лица ще получат личните ви данни:
- "(с допълнително уведомление) на външен администратор или обработващ с цел обработване на данни, свързани с лични данни, ведомости за заплати, трудови възнаграждения, образование и управление на изпълнението;
- Контрагенти на дружеството при подготовка на оферти или договори, осъществяване на дейността или инвестиции, извършване на обучения, проучване на дружеството от външни лица;
- Съответните консултанти и счетоводители;
- профсъюз, по Ваше конкретно обосновано искане;
- Службата по трудова медицина и/или застрахователно дружество, ако е приложимо, и брокер, чрез който са сключени застрахователни полици във Ваша полза; фондове за социално осигуряване и здравеопазване, включително частни;
- Всички кредитни институции, в които се превежда Вашето трудово възнаграждение и всички суми, дължими от Администратора;
- Асоциации, дружества и организации за професионални, транспортни, образователни, културни и развлекателни цели, организатори на събития;
- Логистични дружества с оглед изпълнение на договорните задължения за доставка на стоки и куриери с оглед доставка на пратки и поща;
- Охранителни фирми, за достъп и охрана;
- Дружества, асоциации или професионални фирми, които предоставят консултантски или помощни услуги или предоставят услуги на Дружеството, като напр., но не само: технологични, счетоводни, административни, правни, данъчни и финансови въпроси.
В допълнение, Вашите данни могат да бъдат разкривани на следните групи лица в качеството им на обработващи данните: служители „Човешки ресурси“, служители в администрацията, служители с превантивни и защитни функции и др.
Лица, асоциации или експертни дружества, които предоставят консултантски или подпомагащи услуги на Дружеството, включително, но не само: технологични, счетоводни, административни, правни, данъчни и финансови услуги, ще бъдат изрично определени от Администратора като външни обработващи лични данни лица съгласно член 28 от Регламента, уточнявайки методите на обработка, както и мерките за сигурност, които те трябва да въведат, за да обработват и съхраняват личните данни, по отношение на които Дружеството действа като администратор на лични данни.
Пълният списък на дружествата, на които се прехвърлят или могат да бъдат прехвърлени Вашите лични данни, е на Ваше разположение за преглед. За тази цел трябва да изпратите заявка по имейл на: bogdena@ndb.bg .
Без Вашето изрично съгласие (съгласно член 6, букви б) и в) от Регламента) Администраторът може за целите по член 1 да разкрие чрез предаване Вашите данни на надзорни органи, съдебни органи, както и на всички други субекти, на които Вашите данни трябва да бъдат разкрити със закон за постигане на гореспоменатите цели."
Процедура по подбор на персонала
Личните данни на кандидатите за работа се обработват само за административни цели (при извършване на подбора).
За съгласие на кандидата се счита предаването на въпросника, попълнен от кандидата преди подписването на трудовия договор, предаване на автобиография и неговото предаване на фирмата. За съгласие на кандидата за работа за обработването на личните му данни се счита и предоставеното от него по законоустановения ред съгласие за обработка на личните му данни на Бюрото по труда при Министерство на труда и социалната политика на Република България, агенциите по заетостта или уеб порталите за търсене на работа, с които дружеството има договор за услуги. Дружеството информира кандидатите за работа за обработката на техните лични данни за целите на вътрешната администрация на служителите и за други цели, определени в тази политика.
Личните данни на кандидатите за работа ще се съхраняват до приключване на процеса на набиране на персонал, освен ако не бъдат назначени. След приключване на подбора на персонала данните на неуспелите кандидати ще бъдат обработвани само с неговото/нейното предварително съгласие или заличени в едноседмичен срок от вземането на решението, но във всички случаи не по-дълъг от 6 месеца
Съхранение на данни. Срок на съхранение
Личните данни, необходими за целите на пенсионното осигуряване, се съхраняват за срок от 50 години.
Личните данни, обработвани с цел сключване и изпълнение на договор с клиенти, партньори, логистични дружества се съхраняват за срока на действие на договора и до 5 години от прекратяване или изтичане срока на действие на договора с оглед защита на легитимните интереси на Дружеството.
Личните данни, обработвани на основание трудови договори, се съхраняват до изтичане на 3 (три) години от прекратяване на съответния трудов договор с оглед защита на легитимните интереси на дружеството.
Лични данни, обработвани във връзка с Болнични листа, Епикризи, ТЕЛК/НЕЛК решения на работници и служители на дружеството, се съхраняват за срок от три години, считано от 01.01. на годината, следващата годината на издаване на съответния медицински документ.
Личните данни, обработвани с цел сключване на граждански договори за изпълнение на определена работа, се съхраняват за срока на действие на договора и до 5 години от прекратяване или изтичане срока на действие на договора с оглед защита на легитимните интереси на Дружеството.
Като общо правило, документи, съдържащи лични данни, се съхраняват за определения по закон съответен срок, а когато такъв не е предвиден – за периода, необходим за защита на материалните и процесуални права на Дружеството.
Съхранение на данни. Срок на съхранение
Личните данни, необходими за целите на пенсионното осигуряване, се съхраняват за срок от 50 години.
Вашите данни ще бъдат управлявани и съхранявани на сървъри, разположени в рамките на Европейския съюз, собственост на Администратора или на трети лица - дружества, ангажирани като обработващи лични данни.
Понастоящем Вашите данни няма да бъдат прехвърляни извън Европейския съюз.
Във всеки случай се разбира, че Администраторът, ако е необходимо, има право да премести местоположението на тези сървъри в рамките на Европейския съюз и/или страни извън ЕС. В този случай Администраторът се задължава да гарантира, че всяко прехвърляне на данни извън ЕС ще бъде в съответствие с разпоредбите на член 44 и сл. от Регламента и приложимите закони, изпълнявайки, при необходимост, споразумения, целящи да осигурят подходящо ниво на сигурност.
Чл. 72 и сл. от Закона за личните данни се прилагат съответно.
Права на субекта на данни
Моля, имайте предвид, че по отношение на данните, обработвани от Дружеството, Вие можете по всяко време да упражнявате правата съгласно членове 15, 16, 17, 18, 20 и 21 от Регламента.
За тази цел можете да се свържете с администратора на данни, като изпратите писмено искане до Дружеството, съдържащо дата и подпис, на: bogdena@ndb.bg.
Права на субекта на данни
(a)Вие имате право да получите от Администратора потвърждение дали съществуват лични данни за Вас и ако е така, да получите достъп до следната информация:
- Цел на обработката;
- Категориите обработвани лични данни;
- Получателите или категориите получатели, на които личните данни са били или ще бъдат разкрити, и по-специално получатели на трети страни или международни организации;
- Предвиденият период, за който ще се съхраняват личните данни или, ако не е възможно, критериите, използвани за определяне на този период;
- Когато личните данни не са събрани от субекта на данните, наличната информация за техния източник;
- дали са налице автоматизирани процеси на вземан
(б)Освен това Вие имате право:
- на достъп до личните данни;
- на ограничаване на обработването на личните данни в законоустановените случаи;
- да се уверите, че Вашите данни са актуализирани, коригирани или изменени, да искате тяхното заличаване - доколкото това е позволено от закона - или деперсонализация, ограничаване на обработката, както и право на възражение, изцяло или отчасти и за законни цели, срещу обработването на Вашите лични данни;
- на преносимост на данни, обработвани по електронен път, които се предоставят въз основа на съгласие или по договорни клаузи;
- да оттеглите Вашето съгласие, ако е необходимо;
- на жалба до Комисията по защита на личните данни.
Моля, имайте предвид, че "ЕН ДИ БИ" ЕООД се ангажира да отговори на Вашите искания в рамките на и не по-късно от един месец от получаване на молбата Ви, освен ако те са особено сложни, в който случай може да са необходими до 3 месеца. Във всеки случай Дружеството ще обясни причината за изчакване в срок от един месец от Вашето искане.
Резултатът от молбата Ви ще бъде предоставен в писмен вид или по електронен път. Ако се нуждаете от коригиране, изтриване на данни и ограничаване на обработването, Дружеството се задължава да съобщи резултатите от Вашите искания на всеки получател на Вашите данни, освен ако това се окаже невъзможно или води до непропорционални усилия.
Моля, не забравяйте, че ако оттеглите Вашето съгласие, когато това е уместно, законосъобразността на обработването въз основа на съгласие, дадено преди оттеглянето, няма да бъде засегната.
Моля имайте предвид, че може да бъдете помолени да платите такса, ако заявките Ви се окажат явно необосновани, прекомерни или повтарящи се. За тази цел Дружеството ще запази дневник, за да проследи Вашите искания за действие.
Как да упражнявате правата си
Можете да упражнявате правата си по горепосочения начин по всяко време, като изпратите:
- I. препоръчано писмо с обратна разписка до "ЕН ДИ БИ" ЕООД, гр. София 1510, ж.к. „Хаджи Димитър“, бул. „Владимир Вазов“ № 9, ет. 8, чрез Богдена Благоева; или II. имейл на: bogdena@ndb.bg.
или
Как да упражнявате правата си
Третиране на нарушенията при обработване на лични данни Лицата, имащи достъп до лични данни, уведомяват Администратора и ИТ мениджъра без ненужно забавяне за всяко нарушение на сигурността на личните данни или за какъвто и да било друг инцидент, свързан със сигурността на данните въобще. Данните за контакт, необходими за уведомлението, се записват във вътрешния Регистър на нарушенията. В съобщението до администратора и ИТ мениджъра се посочват всички необходими подробности за осъщественото нарушение. Съобщението следва да бъде в писмена форма.
Администраторът прави преценка дали е необходимо да се уведоми надзорния орган за нарушението. Не се изпраща такова уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. За целта Администраторът извършва оценка на въздействието на нарушението.
Ако установи, че съществува риск за правата и свободите на субектите на данни, администраторът уведомява надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и не по-късно от 72 часа след като е узнал за него.
Администраторът документира в Регистър на нарушенията всички нарушения на сигурността на личните данни, като посочва отнасящите се до тях факти, последиците и предприетите мерки за смекчаване на тяхното въздействие.
Администратор на лични данни Администратор на лични данни е "ЕН ДИ БИ" ЕООД, гр. София 1510, ж.к. „Хаджи Димитър“, бул. „Владимир Вазов“ № 9, ет. 8. Дружеството определи лице за контакт Богдена Гечева Благоева, заместник-управител, която помага на Администратора на данни да прилага установените защитни мерки.
По всички въпроси, свързани с обработката на вашите данни, можете да се свържете с Дружеството на следния адрес: bogdena@ndb.bg.
Промени в тази Политика
Промени в тази Политика Тази политика може да бъде променяна. Ето защо се препоръчва да проверявате редовно текста на тази Политика и да се позовавате на най-новата версия. Всеки път, когато текстът се актуализира, той ще бъде публикуван на корпоративните табла и в интранет.
