Политика за поверителност

Политика за поверителност

КОИ СМЕ НИЕ?

„ЕВРОПЕЙСКИ ЦИФРОВ ИНОВАЦИОНЕН ХЪБ В СЕКТОР СТРОИТЕЛСТВО“ е сдружение с нестопанска цел за осъществяване на общественополезна дейност, учредено от Камарата на строителите в България, Камара на архитектите в България, Висше строително училище „Любен Каравелов“, Институт по Механика – БАН, Българска асоциация по управление на проекти в строителството, „Клийнтех България“ ООД, „Планекс“ ЕООД, „Геострой“ АД, „Баумит България“ ООД и „ЕСРИ България“ ООД. Сдружението е вписано в Търговския регистър и регистъра на юридическите лица с нестопанска цел към Агенцията по вписванията, с ЕИК: 206538214. Основната цел на Сдружението е извършване на изследвания, проучвания и анализи, свързани с въвеждането на цифрови иновации в строителния сектор, да консултира и подпомага бизнеса и публичните власти при подготовката и изпълнението на проекти и разработването на иновативни решения, насочени към цифровата трансформация на бизнес проекти в сектор строителство, провеждане на специализирани акселераторски и менторски програми и форми на бизнес инкубиране и развитие и др.

 

ОСНОВАНИЕ за въвеждането на настоящата ПОЛИТИКА

Настоящата Политика е приета на основание чл.6, пар.1 от „Общ регламент относно защита на данните“ (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.) и Закон за защита на личните данни на Република България /ЗЗЛД/. В зависимост от конкретната ситуация, Сдружението може да обработва лични данни в качеството на администратор и/или обработващ.

 

ОПРЕДЕЛЕНИЯ

 

· „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност;

 

· „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване, заснемане или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

 

· „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Европейския съюз или правото на държава-членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

 

· „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или

друга структура, която обработва лични данни от името на администратора;

 

· „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

 

· „Надзорен орган“ означава независим публичен орган, създаден от държава-членка и отговорен за наблюдението на прилагането на Регламент (ЕС) 2016/679. За Република България надзорният орган е Комисия за защита на личните данни.

 

· § 48 от Регламента: Администратори, които представляват част от група предприятия или институции, свързани с централен орган, могат да имат законен интерес да предават лични данни в рамките на групата предприятия за вътрешни административни цели, включващи обработването на лични данни на клиенти или служители. Общите принципи на предаването на лични данни на предприятие, разположено в трета държава, в рамките на група предприятия, остават непроменени;

ЦЕЛИ НА НАСТОЯЩАТА ПОЛИТИКА И ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Настоящата ПОЛИТИКА има за цел да информира всички субекти на лични данни, които имат взаимоотношения със Сдружението за начина, по който се обработват техните лични данни, какви лични данни се обработват, кога е необходимо да се разкриват на трети лица, както и правата на субектите, в съответствие с Регламента.

Личните данни в Сдружението се събират, обработват, съхраняват и предават законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:

 

  1. Субектът на данните се информира предварително
    за обработването на неговите лични данни;
  2. Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
  3. Обемът на личните данни съответства на целите, за които се събират;
  4. Личните данни трябва да са точни и при необходимост да се актуализират;
  5. Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
  6. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия за целите, за които тези данни се обработват.

СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

Сдружението събира, обработва и съхранява лични данни в качеството си на работодател и контрагент и при съблюдаване изискванията на приложимото законодателство, легитимните интереси на Сдружението и договорни условия, договорени в конкретното договорно правоотношение.

Субектите на данни, чиито лични данни се обработват, са предимно кандидатстващи за работа, служители, лица на които е възложено управлението или контрола, собственици, участници в конкурси и събития, организирани от Сдружението, контрагенти и доставчици, спонсорирани и надарени лица.

  1. От лица, кандидати за работа, с цел подбор и координация с кандидатстващия се събират следните лични данни:
  • Идентификация: име, постоянен и/или настоящ адрес, телефон, електронен адрес;
  • Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения(СУ).
  • Други, ако това изрично е предвидено във вътрешните правила и процедури на Сдружението.
  1. От лицата, заети по трудови правоотношения и договори за управление и контрол в Сдружението и с цел – сключване на трудов договор или договор за управление или контрол, се събират законосъобразно минимално необходимите при назначаване, следните лични данни:
  • Идентификация: телефон, електронен адрес, данни по лична карта или паспортни данни – име; ЕГН,ЛНЧ , (дата на раждане), постоянен и/или настоящ адрес, № и дата на издаване на лична карта.
  • Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения (трудови книжки, копие от дипломи, квалификации, свързани със съответната позиция);
  • Здравни данни: Сдружението обработва чувствителни данни, само доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на трудовото и осигурително законодателство и социалните придобивки и плащания;
  • Други данни:

– данни относно социален статус – семейно положение, брой деца до 18 годишна възраст.

– свидетелство за съдимост, само когато със закон или нормативен акт се изисква удостоверяване на съдебно минало;

– видео образ, фотографски снимки и други данни, чието обработване е необходимо за изпълнение на правата и задълженията на администраторите от Сдружението в качеството му на работодател и/или за защита на легитимен интерес.

  1. От физически лица – клиенти на Сдружението, се събират лични данни, които са необходими за сключването и изпълнението на съответния договор:
  • Идентификация: име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон за връзка, електронен адрес и длъжност.
  1. От физически лица, доставчици на услуги на Сдружението, се събират лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги на Сдружението от външни доставчици, както следва:
  • Идентификация: име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, електронен адрес.
  1. Лични данни, събирани при осъществяване на охрана на имуществото на Сдружението и пропускателен режим в сгради/помещения, използвани от Сдружението – видеоизображения, идентификация – име, длъжност, организация/предприятие.

АВТОМАТИЗИРАНО ВЗЕМАНЕ НА РЕШЕНИЯ И ПРОФИЛИРАНЕ

Сдружението не използва получените данни за автоматизирано вземане на решения посредством компютърни алгоритми, заменящи човешката преценка, включително чрез извършване на профилиране.

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Администраторите и обработващите от Сдружението са взели необходимите технически и организационни мерки, предвидени в Регламент (ЕС) 2016/679 и Закона за защита на личните данни, и прилагат най-добрите практики от международните стандарти. С цел максимална сигурност при обработка, пренос и съхранение на лични данни, се използват всички надеждни механизми за защита на личните данни от загуба, кражба и злоупотреба, както и от неоторизиран достъп, разкриване, промяна или унищожаване.

ДОСТЪП ДО ЛИЧНИТЕ ДАННИ

Администраторите от Сдружението може при необходимост да предоставят лични данни на трети лица като компетентни държавни и/или общински органи и институции, когато това се изисква от законодателството, както и на Обработващи, въз основа на изричен договор, като всички субекти, чиито лични данни се предоставят на друг обработващ се информират за това.

В случаите на предоставяне на личните данни на служители, включително по договори за управление и контрол, клиенти или доставчици на услуги на обработващ, конкретният Администратор:

  • изисква достатъчно гаранции от обработващия за спазване на законовите изисквания и добрите практики за обработка и защита на личните данни;
  • сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия и отговаря на изискванията на чл. 28 от Регламент (ЕС) 2016/679 и действащото приложимо българско законодателство;
  • информира физическите лица, чиито данни ще бъдат предоставени на обработващ. Достъп до личните данни могат да имат и съответните държавни или общински органи – съд, следствие, прокуратура, ревизиращи органи, общински администрации и др. Гореспоменатите могат да изискат данните по надлежен ред във връзка с изпълнението на техните правомощия.

ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ДЪРЖАВИ ИЗВЪН ЕВРОПЕЙСКИЯ СЪЮЗ

Трансфер на лични данни към страни извън ЕС/ЕИП е допустим само, когато:

  • Европейската Комисия е приела решение, потвърждаващо, че страната, към която се извършва трансфера, осигурява адекватно ниво на защита на правата и свободите на субектите на данни;
  • Налице са подходящи мерки за защита – като например Обвързващи Корпоративни Правила (ОКП), стандартни договорни клаузи, одобрен кодекс за поведение или сертификационен механизъм одобрени от Комисия за защита на лични данни и/или Европейската Комисия;
  • Субектът на данни е дал своето изрично съгласие за трансфера, след като е информиран за възможните рискове,

или

  • Трансферът е необходим за бизнес целите, включително изпълнението на договор със субекта, защита на обществения интерес, установяване и защита на правни спорове, защита на жизненоважните интереси на субекта на данни в случаите, когато той е физически или юридически неспособен да даде съгласие.

 

СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ НА ЛИЧНИТЕ ДАННИ

Личните данни се съхраняват съгласно определените в нормативната уредба срокове. Конкретните периоди са регламентирани в съответните регистри за лични данни, според вида данни и целите, за които се обработват. Когато личните данни, вече не са необходими за упоменатите цели и/или сроковете са изтекли администраторът и обработващият (по указания на администратора) ги заличава или ги унищожава по друг надежден начин.

ЛИЦА, ОТГОВАРЯЩИ ЗА СЪБИРАНЕТО, ОБРАБОТКАТА И СЪХРАНЕНИЕТО НА ЛИЧНИТЕ ДАННИ

Събирането, обработката, съхранението и защитата на личните данни се извършва само от лица, на които това е изрично указано и чиито служебни задължения или конкретно възложена задача налагат това.

Лицата, отговорни за защитата на личните данни и лицата, обработващи личните данни от името на администратора и/или обработващия са физически лица, предварително поели задължение за поверителност, притежаващи необходимата компетентност и назначени и/или упълномощени със съответен писмен акт.

 

ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Субектите на лични данни имат следните конкретни права във връзка с обработването на личните им данни:

  1. Право на достъп на лицето до отнасящи се за него лични данни

Физическите лица имат право на достъп до отнасящи се за тях лични данни по всяко време на обработването, без забавяне, в законоустановения срок, безплатно и съобразно установения от Сдружението ред.

  1. Право на възражение             

Субектите на данни могат по всяко време да подадат възражение срещу обработване на личните им данни от страна на Сдружението или обработващ лични данни.

  1. Право на коригиране:

Субектите на данни имат право да поискат коригиране на техните лични данни, ако те са неправилни, включително допълване на непълни лични данни.

  1. Право на изтриване (право „да бъдеш забравен“)

Субектите на данни имат правото да поискат от Сдружението изтриване на личните им данни без ненужно забавяне, в случаите когато:

  • Личните данни повече не са необходими за целите, за които са били събрани или са обработвани по друг начин;
  • Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
  • Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
  • Личните данни са били обработвани незаконосъобразно;
  • Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава-членка, което се прилага спрямо администратора;
  • Администраторът може да откаже изтриване на данни, в случаите, когато има законово задължение да съхранява тези данни.
  1. Право на преносимост на личните данни

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото тези данни са били предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.

  1. Право на ограничаване на обработването

Субектът на данните има право да изиска ограничаване на обработването на личните му данни, когато:

  • точността на личните данни се оспорва от субекта на данните, като обработването се ограничава за определен законосъобразен срок, който ще позволи на администратора да провери точността на личните данни;
  • обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  • субектът на данните е възразил срещу обработване:

– необходимо за изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора, или

– необходимо за целите на легитимните интереси на администратора или на трета страна

– в очакване на проверка и отговор, дали законните основания за тяхното обработване имат преимущество пред интересите на субекта на данните;

Субектите на данни имат също правото да:

  • Бъдат информирани и да дадат своето съгласие за обработване на лични данни, когато такова е необходимо, като съгласието на физическите лица е свободно изразен, конкретен, информиран, недвусмислен и осъзнат акт за желанието им относно обработване на техните лични данни от страна на Сдружението, като тяхно право е и да го оттеглят по всяко време;
  • Изискат информация за основанието, въз основа на което личните им данни са предоставени за обработване на трета страна;
  • Възразят срещу решение, взето изцяло на база на автоматизирано обработване, включително профилиране, ако това е приложимо;
  • Бъдат уведомени за нарушение на сигурността на личните данни, което е вероятно да породи висок риск за техните права и свободи;
  • Подават жалби до регулаторния орган;
  • В някои случаи да получат или да поискат техните лични данни да бъдат трансферирани до държави извън Европейския Съюз в структуриран, общо използван формат, подходящ за машинно четене (право на преносимост);
  • Бъдат уведомени какви ще са последиците при не предоставяне на лични данни.

УПРАЖНЯВАНЕ НА ПРАВАТА

Отговорник по защита на лични данни

Всяко заинтересовано лице може да се свърже със Сдружението по някой от следните начини:

  • писмено на адрес: гр. София, кв. Полигона, ул. „Михаил Тенев“ № 6
  • на телефонен номер: 02/80 62 430
  • на е-mail: office@edih-construction.bg
  • интернет сайт: www.edih-construction.bg

ПРАВО НА ПОДАВАНЕ НА ЖАЛБА КЪМ НАДЗОРЕН ОРГАН:

Всеки, който смята, че в Сдружението се обработват негови лични данни по незаконосъобразен начин, може да се свърже с отговорника по защита на лични данни на посочения по-горе електронен адрес. Също така субектът на данни има право да подаде жалба до надзорния орган в Република България – Комисия за защита на личните данни.

АКТУАЛИЗАЦИЯ

Политиката периодично се актуализира, вследствие на промени във външната или вътрешна среда. При промяна в Политиката за защита на личните данни актуалната версия винаги ще е достъпна на корпоративния уебсайт на Сдружението.