Политика—Политика за защита на данните GDPR
Трябва да прочетете тази политика, защото тя дава важна информация за:
-
принципите за защита на данните, които Фирмата трябва да спазва;
-
какво се разбира под лична информация (или данни) и чувствителна лична информация (или данни);
-
как събираме, използваме и (в крайна сметка) изтриваме лична информация и чувствителна лична информация в съответствие с принципите за защита на данните;
-
къде може да бъде намерена по-подробна информация за поверителност, например за личната информация, която събираме и използваме за вас, как се използва, съхранява и прехвърля, за какви цели, стъпките, предприети за запазване на тази информация в безопасност и колко дълго се съхранява;
-
вашите права и задължения във връзка със защитата на данните; и
-
последиците от неспазване на тази политика.
-
Въведение
-
Фирмата получава, съхранява и използва лична информация (наричана също данни) за кандидати за работа и за настоящи и бивши служители, временни работници и работници чрез агенции, изпълнители, стажанти, доброволци и чираци за редица конкретни законови цели, както е посочено в Известия за поверителност на защитата на данните на фирмата, свързани с набирането на персонал и заетостта.
-
Тази политика определя как спазваме нашите задължения за защита на данните и се стремим да защитим личната информация, свързана с нашата работна сила. Неговата цел е също така да гарантира, че служителите разбират и спазват правилата, уреждащи събирането, използването и изтриването на лична информация, до която могат да имат достъп в хода на работата си.
-
Ние се ангажираме да спазваме нашите задължения за защита на данните и да бъдем кратки, ясни и прозрачни за това как получаваме и използваме лична информация, свързана с нашата работна сила, и как (и кога) изтриваме тази информация, след като вече не е необходима.
-
Длъжностното лице по защита на данните на Фирмата е отговорно за информирането и консултирането на Фирмата и нейния персонал относно нейните задължения за защита на данните и за наблюдение на спазването на тези задължения и с политиките на Фирмата. Ако имате въпроси или коментари относно съдържанието на тази политика или ако се нуждаете от допълнителна информация, трябва да се свържете с длъжностното лице по защита на данните по имейл:dpo@confirmsend.co.
-
Обхват
-
Тази политика се прилага за личната информация на кандидатите за работа и настоящите и бившите служители, включително служители, временни работници и работници, наети чрез агенции, стажанти, доброволци и чираци.
-
Персоналът трябва да се запознае с Декларацията за поверителност на защитата на данните на Фирмата и, когато е подходящо, с други нейни съответни политики, включително във връзка с интернет, електронна поща и комуникации, наблюдение, социални медии, информационна сигурност, задържане на данни и информация за съдимост, които съдържат допълнителна информация относно защитата на личната информация в тези контексти.
-
Ще преглеждаме и актуализираме тази политика редовно в съответствие с нашите задължения за защита на данните. Той не е част от трудовия договор на служител и ние можем да го изменяме, актуализираме или допълваме от време на време. Ние ще разпространим всяка нова или променена политика сред персонала, преди да бъде приета.
-
Дефиниции
-
Информация за криминални досиета
означава лична информация, свързана с наказателни присъди и престъпления, обвинения, производства и свързани мерки за сигурност;
-
Нарушение на данните
означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лична информация;
-
Субект на данни
означава лицето, за което се отнася личната информация;
-
Лична информация
(понякога известни като лични данни) означава информация, свързана с физическо лице, което може да бъде идентифицирано (пряко или непряко) от тази информация;
-
Обработка на информация
означава получаване, записване, организиране, съхраняване, промяна, извличане, разкриване и/или унищожаване на информация или използване или правене на нещо с нея;
-
Псевдонимизиран
означава процесът, чрез който личната информация се обработва по такъв начин, че да не може да се използва за идентифициране на физическо лице без използването на допълнителна информация, която се съхранява отделно и подлежи на технически и организационни мерки, за да се гарантира, че личната информация не може да бъде приписана на физическо лице, което може да бъде идентифицирано;
-
Чувствителна лична информация
(понякога известни като „специални категории лични данни“ или „чувствителни лични данни“) означава лична информация за раса, етнически произход, политически възгледи, религиозни или философски убеждения, членство (или нечленуване) в профсъюзи, генетична информация, биометрична информация (когато се използва за идентифициране на физическо лице) и информация относно здравето, сексуалния живот или сексуалната ориентация на дадено лице.
-
Принципи за защита на данните
-
Фирмата ще спазва следните принципи за защита на данните при обработката на лична информация:
-
ние ще обработваме личната информация законосъобразно, справедливо и по прозрачен начин;
-
ние ще събираме лична информация само за определени, изрични и легитимни цели и няма да я обработваме по начин, който е несъвместим с тези легитимни цели;
-
ние ще обработваме само лична информация, която е адекватна, подходяща и необходима за съответните цели;
-
ще поддържаме точна и актуална лична информация и ще предприемем разумни стъпки, за да гарантираме, че неточната лична информация ще бъде изтрита или коригирана без забавяне;
-
ние ще съхраняваме личната информация във форма, която позволява идентифициране на субектите на данни за период не по-дълъг от необходимото за целите, за които информацията се обработва; и
-
ние ще предприемем подходящи технически и организационни мерки, за да гарантираме, че личната информация се съхранява сигурно и защитена срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване или повреда.
-
Основание за обработка на лична информация
-
Във връзка с всяка дейност по обработване ние ще, преди обработването да започне за първи път и след това редовно, докато продължава:
-
прегледайте целите на конкретната дейност по обработване и изберете най-подходящото правно основание (или основания) за това обработване, т.е.
-
че субектът на данните е дал съгласие за обработката;
-
че обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за да се предприемат стъпки по искане на субекта на данните преди сключването на договор;
-
че обработването е необходимо за спазване на правно задължение, на което се подчинява Фирмата;
-
че обработването е необходимо за защитата на жизненоважните интереси на субекта на данните или на друго физическо лице;
-
че обработването е необходимо за изпълнението на задача, изпълнявана в обществен интерес
-
че обработването е необходимо за целите на законните интереси на Фирмата или на трета страна, освен когато тези интереси са по-важни от интересите на основните права и свободи на субекта на данните - вижте точка 5.2 по-долу.
-
освен когато обработването се основава на съгласие, да се уверим, че обработването е необходимо за целите на съответното правно основание (т.е. че няма друг разумен начин за постигане на тази цел);
-
документираме нашето решение кое правно основание се прилага, за да помогнем да демонстрираме нашето съответствие с принципите за защита на данните;
-
да включим информация както за целите на обработката, така и за правното основание за нея в нашите съответни известия(ия) за поверителност;
-
когато се обработва чувствителна лична информация, също така идентифицирайте законно специално условие за обработка на тази информация (вижте параграф 6.2.2 по-долу) и го документирайте; и
-
когато се обработва информация за криминални престъпления, също така идентифицирайте законово условие за обработка на тази информация и го документирайте.
-
Когато определяме дали законните интереси на Фирмата са най-подходящата основа за законосъобразна обработка, ние ще:
-
извършване на оценка на легитимните интереси (LIA) и водене на запис за нея, за да сме сигурни, че можем да обосновем нашето решение;
-
ако LIA идентифицира значително въздействие върху поверителността, помислете дали трябва да извършим и оценка на въздействието върху защитата на данните (DPIA)
-
преразглеждайте LIA и го повтаряйте, ако обстоятелствата се променят; и
-
да включим информация за нашите легитимни интереси в съответните ни известия(я) за поверителност.
-
Чувствителна лична информация
-
Чувствителната лична информация понякога се нарича „специални категории лични данни“ или „чувствителни лични данни“.
-
Фирмата може от време на време да се наложи да обработва чувствителна лична информация. Ще обработваме чувствителна лична информация само ако:
-
имаме законово основание за това, както е посочено в параграф 5.1.1 по-горе, напр. необходимо е за изпълнението на трудовия договор, за спазване на правните задължения на Фирмата или за целите на легитимните интереси на Фирмата; и
-
се прилага едно от специалните условия за обработка на чувствителна лична информация, напр.
-
субектът на данните е дал е дал изрично съгласие;
-
обработването е необходимо за целите на упражняване на правата или задълженията по трудовото право на Дружеството или субекта на данните;
-
обработването е необходимо за защита на жизненоважни интереси на субекта на данните и субектът на данните е физически неспособен да даде съгласие;
-
обработването се отнася до лични данни, които явно са оповестени публично от субекта на данните;
-
обработването е необходимо за установяване, упражняване или защита на правни претенции; или
-
обработването е необходимо по причини от съществен обществен интерес.
-
Преди да обработи каквато и да е чувствителна лична информация, служителите трябва да уведомят длъжностното лице по защита на данните за предложената обработка, за да може длъжностното лице по защита на данните да прецени дали обработката отговаря на посочените по-горе критерии.
-
Чувствителната лична информация няма да бъде обработвана, докато:
-
е извършена оценката, посочена в параграф 6.3; и
-
физическото лице е надлежно информирано (чрез съобщение за поверителност или по друг начин) за естеството на обработката, целите, за които се извършва и правното основание за нея.
-
Фирмата няма да извършва автоматизирано вземане на решения (включително профилиране) въз основа на чувствителна лична информация на което и да е лице.
-
Декларацията за поверителност на защитата на данните на Фирмата определя видовете чувствителна лична информация, която Фирмата обработва, за какво се използва и законното основание за обработката.
-
Във връзка с чувствителната лична информация, Фирмата ще спазва процедурите, изложени в параграфи 6.8 и 6.9 по-долу, за да се увери, че отговаря на принципите за защита на данните, посочени в параграф 4 по-горе.
-
По време на процеса на набиране: Мениджърът на длъжностното лице, с насоки от длъжностното лице по защита на данните, ще гарантира, че (освен когато законът разрешава друго):
-
по време на подбора, интервюто и етапите на вземане на решение не се задават въпроси, свързани с чувствителна лична информация, напр. раса или етнически произход, членство в профсъюзи или здраве;
-
ако бъде получена чувствителна лична информация, напр. кандидатът я предоставя, без да бъде поискана в автобиографията си или по време на интервюто, не се съхранява запис за нея и всяко позоваване на нея незабавно се изтрива или редактира
-
всеки попълнен формуляр за наблюдение на равните възможности се съхранява отделно от формуляра за кандидатстване на лицето и не се вижда от лицето, съставящо списък, интервюиращо или вземащо решение за наемане на работа;
-
Проверките за „право на работа“ се извършват преди предложението за работа да бъде направено безусловно, а не по време на по-ранните етапи на подбор, интервю или вземане на решение;
-
ние няма да задаваме здравни въпроси във връзка с наемане на персонал или ще задаваме здравни въпроси само след като е направено предложение за работа.
-
По време на работа: Офис мениджърът, с насоки от длъжностното лице по защита на данните, ще обработва:
-
Здравна информация за целите на администриране на заплащане по болест, водене на досиета за отсъствия по болест, наблюдение на присъствието на персонала и улесняване на свързани със заетостта обезщетения за здраве и болест;
-
чувствителна лична информация за целите на наблюдението на равните възможности и отчитането на равното заплащане. Когато е възможно, тази информация ще бъде анонимизирана; и
-
информация за членството в профсъюзи за целите на администрирането на персонала и администрирането на „отметка“.
-
Информация за съдимост
-
Информацията от регистрите за съдимост ще бъде обработена в съответствие с Политиката за информация за регистрите за съдимост на фирмата.
-
Оценки на въздействието върху защитата на данните (DPIA)
-
Когато обработването има вероятност да доведе до висок риск за правата на лицето за защита на данните (напр. когато Фирмата планира да използва нова форма на технология), ние, преди да започнем обработването, ще извършим DPIA, за да оценим:
-
дали обработването е необходимо и пропорционално по отношение на неговата цел;
-
рисковете за индивидите; и
-
какви мерки могат да бъдат въведени за справяне с тези рискове и защита на личната информация.
-
Преди да бъде въведена каквато и да е нова форма на технология, отговорният мениджър следва да се свърже с длъжностното лице по защита на данните, за да може да се извърши ОВЗП.
-
По време на всяко ОВЗП Партньорът ще потърси съвет от длъжностното лице по защита на данните и мненията на всички други заинтересовани страни.
-
Документация и записи
-
Ние ще съхраняваме писмени записи на дейности по обработване, които са с висок риск, т.е. които могат да доведат до риск за правата и свободите на лицата или включват чувствителна лична информация или информация от регистрите за съдимост, включително:
-
името и подробностите за организацията на работодателя (и, когато е приложимо, на други администратори, представител на работодателя и DPO)
-
целите на обработката;
-
описание на категориите лица и категориите лични данни;
-
категории получатели на лични данни;
-
когато е уместно, подробности за трансферите към трети държави, включително документация за въведените предпазни мерки на механизма за трансфер;
-
когато е възможно, графици за задържане; и
-
когато е възможно, описание на техническите и организационни мерки за сигурност.
-
Като част от нашия запис на дейностите по обработка, ние документираме или правим връзка към документация на:
-
информация, необходима за съобщения за поверителност;
-
записи на съгласие;
-
договори между администратор и процесор;
-
местоположението на личната информация;
-
DPIAs; и
-
записи за нарушения на данните.
-
Ако обработваме чувствителна лична информация или информация от криминални регистри, ние ще съхраняваме писмени записи за:
-
съответната(ите) цел(и), за които се извършва обработването, включително (когато е необходимо защо е необходимо за тази цел);
-
законното основание за нашата обработка; и
-
дали запазваме и изтриваме личната информация в съответствие с нашия документ за политика и, ако не, причините да не спазваме нашата политика.
-
Ще извършваме редовни прегледи на личната информация, която обработваме, и съответно ще актуализираме нашата документация. Това може да включва:
-
извършване на информационни одити, за да се установи каква лична информация притежава Фирмата;
-
разпространение на въпросници и разговори със служители във фирмата, за да получите по-пълна картина на нашите дейности по обработка; и
-
преглед на нашите политики, процедури, договори и споразумения за справяне с области като запазване, сигурност и споделяне на данни.
-
Съобщение за поверителност
-
Фирмата ще издава от време на време известия за поверителност, като ви информира за личната информация, която събираме и съхраняваме, свързана с вас, как можете да очаквате вашата лична информация да бъде използвана и за какви цели.
-
Ние ще предприемем подходящи мерки, за да предоставим информация в известията за поверителност в кратка, прозрачна, разбираема и лесно достъпна форма, използвайки ясен и ясен език.
-
Индивидуални права
-
Вие (както и други субекти на данни) имате следните права във връзка с вашата лична информация:
-
да бъдете информирани за това как, защо и на какво основание се обработва тази информация - вижте Уведомлението за поверителност на защитата на данните на Фирмата;
-
за да получите потвърждение, че вашата информация се обработва и да получите достъп до нея и до определена друга информация, като направите заявка за достъп на субект – вижте Политиката на Фирмата за искане за достъп на субект;
-
да бъдат коригирани данните, ако са неточни или непълни;
-
да бъдат изтрити данните, ако вече не са необходими за целта, за която първоначално са били събрани/обработени, или ако няма по-важни законови основания за обработката (това понякога е известно като „правото да бъдеш забравен“);
-
за ограничаване на обработването на лична информация, когато точността на информацията се оспорва или обработката е незаконна (но не искате данните да бъдат изтрити), или когато работодателят вече не се нуждае от личната информация, но вие изисквате данните, за да установяване, упражняване или защита на правен иск; и
-
за временно ограничаване на обработването на лична информация, когато смятате, че не е точна (и работодателят проверява дали е точна), или когато сте възразили срещу обработката (и работодателят обмисля дали законните основания на организацията имат предимство пред вашите интереси ).
-
Ако искате да упражните някое от правата в параграфи 11.1.3 до 11.1.6, моля, свържете се с длъжностното лице по защита на данните.
-
Индивидуални задължения
-
Физическите лица са отговорни да помагат на Фирмата да поддържа актуална тяхната лична информация. Трябва да уведомите офис мениджъра, ако информацията, която сте предоставили на фирмата, се промени, например ако се преместите или промените данните на банковата сметка или сметката на строително дружество, на която ви се плаща.
-
Може да имате достъп до личната информация на други членове на персонала, доставчици и клиенти на Фирмата в хода на вашата работа или ангажимент. Ако е така, Фирмата очаква от вас да помогнете за изпълнението на нейните задължения за защита на данните към тези лица. Например, трябва да сте наясно, че те също могат да се ползват от правата, посочени в параграф 11.1 по-горе
-
Ако имате достъп до лична информация, трябва:
-
достъп само до личната информация, до която имате правомощия за достъп, и само за разрешени цели;
-
позволяват на други служители на Фирмата достъп до лична информация само ако имат подходящо разрешение;
-
разрешавате на лица, които не са служители на фирмата, да имат достъп до лична информация само ако имате специално разрешение за това от длъжностното лице по защита на данните;
-
пазете личната информация защитена (напр. чрез спазване на правилата за достъп до помещения, достъп до компютър, защита с парола и сигурно съхранение и унищожаване на файлове и други предпазни мерки, посочени в Политиката за информационна сигурност на Фирмата;
-
да не премахвате лична информация или устройства, съдържащи лична информация (или които могат да се използват за достъп до нея), от помещенията на Фирмата, освен ако не са въведени подходящи мерки за сигурност (като псевдонимизация, криптиране или защита с парола) за защита на информацията и устройството; и
-
да не съхранява лична информация на локални дискове или на лични устройства, които се използват за работни цели;
-
Трябва да се свържете с длъжностното лице по защита на данните, ако сте загрижени или подозирате, че се е случило едно от следните неща (или се случва или е вероятно да се случи):
-
обработване на лични данни без законово основание за обработването им или, в случай на чувствителна лична информация, без да е изпълнено едно от условията в параграф 6.2.2;
-
всяко нарушение на сигурността на данните, както е посочено в параграф 15.1 по-долу;
-
достъп до лична информация без надлежно разрешение;
-
личната информация не се съхранява или изтрива сигурно;
-
премахване на лична информация или устройства, съдържащи лична информация (или които могат да бъдат използвани за достъп до нея), от помещенията на Фирмата, без да са налице подходящи мерки за сигурност;
-
всяко друго нарушение на тази политика или на някой от принципите за защита на данните, посочени в параграф 4.1 по-горе.
-
Информационна сигурност
-
Фирмата ще използва подходящи технически и организационни мерки в съответствие с Политиката за информационна сигурност на Фирмата, за да запази личната информация защитена и по-специално за защита срещу неоторизирано или незаконно обработване и срещу случайна загуба, унищожаване или повреда. Те могат да включват:
-
гарантиране, че когато е възможно, личната информация е псевдонимизирана или криптирана;
-
осигуряване на постоянна поверителност, цялост, наличност и устойчивост на системите и услугите за обработка;
-
гарантиране, че в случай на физически или технически инцидент наличността и достъпът до лична информация могат да бъдат възстановени своевременно; и
-
процес за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за гарантиране на сигурността на обработката.
-
Когато Фирмата използва външни организации за обработка на лична информация от нейно име, трябва да бъдат въведени допълнителни мерки за сигурност в договорите с тези организации, за да се гарантира сигурността на личната информация. По-специално договорите с външни организации трябва да предвиждат, че:
-
организацията може да действа само по писмени инструкции на Фирмата;
-
обработващите данните подлежат на задължение за поверителност;
-
са взети подходящи мерки за гарантиране сигурността на обработката;
-
подизпълнителите се ангажират само с предварителното съгласие на Фирмата и съгласно писмен договор;
-
организацията ще съдейства на Фирмата при осигуряване на достъп на субекта и позволяване на лицата да упражняват правата си във връзка със защитата на данните;
-
организацията ще съдейства на Фирмата при изпълнение на задълженията й във връзка със сигурността на обработката, уведомяването за нарушения на сигурността на данните и оценките на въздействието върху защитата на данните;
-
организацията ще изтрие или върне цялата лична информация на Фирмата, както е поискано в края на договора; и
-
организацията ще се подложи на одити и инспекции, ще предостави на Фирмата каквато и да е информация, от която се нуждае, за да се увери, че и двамата изпълняват задълженията си за защита на данните, и ще уведоми Фирмата незабавно, ако бъде помолена да направи нещо, което нарушава закона за защита на данните.
-
Преди да бъде сключено ново споразумение, включващо обработка на лична информация от външна организация, или преди да бъде променено съществуващо споразумение, съответният персонал трябва да поиска одобрение на неговите условия от длъжностното лице по защита на данните;
-
Съхранение и задържане на лична информация
-
Личната информация (и чувствителната лична информация) ще се съхранява сигурно в съответствие с Политиката за информационна сигурност на Фирмата.
-
Личната информация (и чувствителната лична информация) не трябва да се съхранява по-дълго от необходимото. Продължителността на времето, през което данните трябва да се съхраняват, ще зависи от обстоятелствата, включително причините, поради които личната информация е получена. Персоналът трябва да следва Политиката за съхранение на записи на фирмата, която определя съответния период на съхранение или критериите, които трябва да се използват за определяне на периода на съхранение. Когато има някаква несигурност, служителите трябва да се консултират с [длъжностното лице по защита на данните;
-
Лична информация (и чувствителна лична информация), която вече не е необходима, ще бъде изтрита за постоянно от нашите информационни системи и всички хартиени копия ще бъдат унищожени по сигурен начин.
-
Нарушения на данните
-
Нарушението на данните може да приеме много различни форми, например:
-
загуба или кражба на данни или оборудване, на което се съхранява лична информация;
-
неоторизиран достъп до или използване на лична информация от член на персонала или трета страна;
-
загуба на данни в резултат на повреда на оборудване или системи (включително хардуер и софтуер);
-
човешка грешка, като случайно изтриване или промяна на данни;
-
непредвидени обстоятелства, като пожар или наводнение;
-
умишлени атаки срещу ИТ системи, като хакерство, вируси или фишинг измами; и
-
„blagging“ престъпления, при които информацията е получена чрез измама на организацията, която я притежава.
-
Фирмата ще:
-
да направи необходимия доклад за нарушение на данните до Службата на комисаря по информацията без неоправдано забавяне и, когато е възможно, в рамките на 72 часа от узнаването му, ако има вероятност то да доведе до риск за правата и свободите на лицата; и
-
уведомяват засегнатите лица, ако нарушението на данните има вероятност да доведе до висок риск за техните права и свободи и уведомяването се изисква от закона.
-
Международни трансфери
-
Фирмата може да прехвърля лична информация извън Европейското икономическо пространство (ЕИП) (което включва страните в Европейския съюз и Исландия, Лихтенщайн и Норвегия) въз основа на това, че тази държава, територия или организация е определена като притежаваща адекватно ниво на защита или че организацията, получаваща информацията, е предоставила адекватни гаранции чрез обвързващи корпоративни правила или стандартни клаузи за защита на данните или спазване на одобрен кодекс за поведение, или с изричното съгласие на клиента.
-
обучение
-
Фирмата ще гарантира, че персоналът е подходящо обучен по отношение на техните отговорности за защита на данните. Лицата, чиито роли изискват редовен достъп до лична информация или които отговарят за прилагането на тази политика или отговарят на заявки за достъп на субекти съгласно тази политика, ще получат допълнително обучение, което да им помогне да разберат своите задължения и как да ги спазват.
-
Последици от неспазване
-
Фирмата приема спазването на тази политика много сериозно. Неспазване на политиката:
-
излага на риск лицата, чиято лична информация се обработва; и
-
носи риск от значителни граждански и наказателни санкции за лицето и Фирмата; и
-
може, при някои обстоятелства, да представлява престъпление от лицето.
-
Поради важността на тази политика, неспазването от страна на служител на което и да е изискване от нея може да доведе до дисциплинарни действия съгласно нашите процедури и това действие може да доведе до уволнение поради грубо нарушение. Ако лице, което не е служител, наруши тази политика, договорът му може да бъде прекратен с незабавен ефект.
-
Ако имате някакви въпроси или притеснения относно нещо в тази политика, не се колебайте да се свържете с длъжностното лице по защита на данните;
Прочетох и разбрах тази политика и се съгласявам да спазвам нейните условия.
Подписано................................................. ................................................. .