ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

В сила от 25 май 2018 г. докато не бъде отменена

1. Въведение

CGP Europe ООД (адрес на регистрация: 1024 Будапеща, Ady Endre út 19., Унгария, регистрационен номер на компанията: 01-09-965048; данъчен идентификационен номер: 23425026-2-41; номер за боравене с лични данни: NAIH-78299/2014.; (от тук нататък наричана за краткост „Администратор”) създава тази Политика за защита на личните данни наричана от тук нататък „Политика”).

Цел на администрирането на лични данни:

Администраторът предоставя услуги по „Програмата за подпомагане на служители” (ППС) на служителите на Партньорите като потребители (наричани за краткост потребители) с цел да проучат, защитят, намалят или елиминират излагането на потребителите на психосоматични рискове на техните работни места и в тяхната лична среда.

Потребителите използват доброволно услугите на ППС по тяхна лична преценка и след превеждане и приемане на условията на декларация за поверителност и тази Политиката за защита на личните данни.
Договорните отношения се установяват между Администратора и Партньорите, докато потребителите са служители на Партньорите или близки роднини на потребителите. Потребителят предоставя услугите по ППС основно по телефона или чрез онлайн платформа единствено след заявен контакт от потребителите. По искане на потребителя, Администрторът предлага персонални консултации със служител на Администратора или лице или организация, които са наети да участват в предоставянето на услуги по ППС. Въз основата на предвидените клаузи в договорите с подизпълнителите, участващи в предлаганите услуги по ППС, Администрторът гарантира, че подизпълнителите, които участват в администрирането на лични данни и тяхното трансфериране, осигуряват необходимите и подходящи гаранции при администрирането от тяхна страна на личните данни и че процедурите на подизпълнителите, участващи в ППС са напълно в съчетание с настоящите правни разпоредби и норми и най-вече с инструкциите на Общия регламент относно защитата на данните – ОРЗД.

2. Определения

Услуги по ППС: „Програмата за подпомагане на служители” е психологическа/правна и финансово ориентирана услуга, предоставяна от Администратора във връзка с проблеми на Потребителите, наети от компаниите партньори.

Партньор: Работодател, който се намира в договорни отношения с Администратора, чиито служители могат да ползват услугите по ППС.

Потребител: Личност, която отговаря на изискванията за получаване на услуги по ППС, в качеството си на служител на компания партньор или негов близък роднина.

Съгласие: Свободно предоставена, изрична, информирана и недвусмислена индикация на желанието на субект на лични данни, с което той или тя, чрез изявление или ясни потвърждаващи действия, изразяват съгласие за администриране на неговите или нейните лични данни.

Лични Данни: всяка информация, която може да насочи към идентифицирано или неидентифицирано физическо лице (субект на личните данни); идентификационно физическо лице е това, което може да бъде идентифицирано директно или не, посредством идентификационен елемент като име, идентификационен номер, адрес, онлайн идентификатор или повече фактори специфични за физическите, психологическите, генетичните, менталните, икономическите, културните или социални идентичности на физическото лице.

Лични идентификационни данни:Това са или първото и фамилното име на лицето, моминското име, пол, месторождение, майчиното първо име и фамилия по рождение, домашен адрес, адрес на пребиваване, социално-осигурителен номер, чрез които заедно или по отделно може или би могло да се идентифицира субекта, носител на личните данни;

Специални лични данни:лични данни, които разкриват раса или произход, националност, политически мнения и принадлежност към политически партии, религиозни или философски вярвания или членство в синдикални организации, и лични данни които се отнасят за сексуалния живот, както и допълнителни лични данни относно здравословното състояние, патологични пристрастености или криминално минало;

Данни, касаещи здравословното състояние: лични данни, които касаят физическото или психическо здраве на физическо лице, включително предоставянето на медицински услуги, които разкриват информация за неговото или нейното здравословно състояние.

Администратор: физическо или юридическо лице или организация без правна персонализация, които поотделно или заедно с други определя целта на боравенето с лични данни, взема и изпълнява решения отнасящи се до обработката на личните данни (включително инструментите, които се използват за това) или пък се изпълняват от нает от него/нея администратор на лични данни. Нещо повече, физически или юридически лица или организации без правна персонализация, които са упълномощени да администрират лични данни или лични идентификационни данни или специални данни и данни отнасящи в специални случаи до здравен статус, за целите определени в закон.

Администриране на лични данни: всяка операция или комбинация от операции, която се осъществява с лични данни или комбинация от лични данни, дали посредством автоматични или не средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, разкриване, консултиране, употреба, разкриване при пренасяне, разпространение, комбинация, рестрикция, изтриване или унищожение.

Обработващ данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която администрира лични данни от името на Администратора.

Трансфериране на данни: Предоставянето на лични данни на конкретна трета страна.

Нарушаване на защитата на личните данни: нарушаване на сигурността, което води до случайно или незаконно унищожение, загуба, промяна, неоторизирано разпространение на или достъп до пренасяните, съхранените или по друг начин администрирани лични данни.

Публично разпространение: Личните данни да бъдат достъпни от всички

Изтриване на лични данни: Превръщането на данните в неразпознаваеми, с невъзможност да бъдат възстановени.

Ограничение на администрирането на лични данни: Съхранение на личните данни по начин, който има за цел да ограничи боравенето с тях в бъдеще.

Близък роднина: съпруг/а, роднина по права линия, осиновено или доведено дете, осиновители или доведени родители, както и братя, сестри или партньори.

3. Цели на тази политика

Тази политика има цел да гарантира, че обработването на лични данни, осъществявано от CGP Europe ООД, е в съответствие с разпоредбите на приложимите правни разпоредби. Тази политика е разработена да определи обхвата на личните данни на потребителите, която може да се обработва от Администратора, начина, целта и правната основа на администрирането на лични данни. Също така да гарантира, че се спазват конституционните принципи за обработка на лични данни и изискванията за неприкосновеност, да защити от неоторизиран достъп и промяна или неоторизирано публично разпространение на личните данни на потребителите.
Администраторът обработва личните данни единствено за специфични цели, свързани с осъществяването на права и задължения. Всяка фаза от обработването на личните данни е в съответствие с целите на администрирането на лични данни. Личните данни са записвани и обработвани по честен и законен начин. Администраторът полага необходимите усилия да не борави с лични данни освен ако те не са необходими за постигане на целите на администрирането, както и подходящи за това. Личните данни ще бъдат обработвани до размера и за периода, необходими за постигане на тяхната цел.
Администраторът обработва личните данни след информиране на субекта на личните данни по кратък, лесно достъпен и лесно разбираем начин, както и на ясен и разбираем език. Тази политика гарантира съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Общ регламент относно защитата на данните) относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, който отмяна на Директива 95/46/ЕО.

4. Закони и регламенти свързани със защита на личните данни

Законите и регулациите от най-голяма важност за целите на тази Политика, включват:

  1. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – ОРЗД);
  2. Фундаментално право на Унгария;
  3. Част 2:42 от Закон Vот 2013 г. на Гражданския кодекс;
  4. Закон CXIIот 2011 г. за Правото на информационно самоопределение и на свобода на информацията;
  5. Закон XLVIIот 1997 г. за Администрирането и защитата на личните данни за здравеопазване и свързаните с тях лични данни;
  6. Закон CVIIIот 2001 г. за Определени въпроси свързани с дейностите на електронната търговия и услугите на информационното общество;
  7. Закон LXVIот 1992 г. за Съхранението на архивите с лични данни и адресите на гражданите;
  8. Изменения на ОРЗД и базираните на него правни практики и препоръки направени от Европейската комисия или надзорния съвет на Контрольора.

5. Принципи на обработването на лични данни

Администраторът действа в сътрудничество със субектите на личните данни в съответствие в изискванията на взаимното доверие и честността. Администраторът ще изпълнява своите права и задължения в съответствие с потребностите за тяхното постигане.
Личните данни ще бъдат третирани като лични през целия период на обработването и докато е възможно да се възстановят техните отношения с Потребителя. Възможно е да се възстановят отношенията с Потребителя, ако Администраторът разполага с техническите средства необходими за възстановяването.
По време на обработването на личните данни, Администраторът гарантира точност и пълнота на данните и ако се прецени за необходимо за целите на администрирането на личните данни, данните се актуализират и Администратора позволява идентификацията на Потребителя не повече от необходимото за целите на боравенето с лични данни.

Личните данни следва:

  1. да бъдат обработвани законно, справедливо и по прозрачен начин по отношение на субекта на личните данни („законност, честност и прозрачност”);
  2. да бъдат събирани за конкретни, определени и законни цели и да не се обработват по начин, който не е в съответствие с тези цели; допълнителното обработване на данните с цел архивиране в публичен интерес, за научни или исторически проучвания или статистически цели не следва да се приема за несъответствие с първоначалните цели („ограничение на целта”);
  3. да бъдат адекватни, свързани и ограничени до това, което е необходимо относно целите за които те са обработвани („минимизиране на обема на данните”);
  4. да бъдат точни и където е необходимо, да бъдат актуални; трябва да се предприемат незабавни стъпки да се гарантира, че лични данни, които не са точни по отношение на целите, за които са обработвани, да бъдат изтривани или коригирани без никакво закъснение („точност”);
  5. да бъдат съхранявани във форма, която позволява идентификация на субектите на личните данни за период не по-голям от необходимия за целите, за които личните данни да бъдат обработвани; личните данни могат да бъдат съхранявани за по-продължителен период единствено ако тези данни биват използвани за архивни цели в публичен интерес, за целите на научно или историческо проучване или за статистически нужди. („ограничение на съхранението”);
  6. да бъдат обработвани по начин, който да гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неоторизиран или незаконен достъп, както и случайна загуба, унищожение или повреда, като се използват подходящите техники или организационни мерки („интегрираност и конфиденциалност”).

Администраторът е отговорен за тях и следва да спазва принципите на боравенето с лични данни („отчетност”).

6. Доброволно съгласие

Администраторът администрира личните данни на Потребителите, посочени в тази Политика, на основата на доброволно предоставено, конкретно, информирано и недвусмислено съгласие предоставено от Потребителите.
Администраторът обработва специални лични данни и данни отнасящи се до здравословното състояние, както са посочени в тази Политика за зашита на личните данни, единствено на базата на искане на Потребителя и на основата на доброволно и изрично съгласие за конкретните цели и до конкретния размер, а трансферирането на тези данни се осъществява по определения в споразумението начин.

7. Получаване и трансфериране на данни

Администраторът не може да пренася данните, които той обработва към никой друг освен неговите служители, сътрудници и организации, които участват в предоставянето на услугите по ППС, а ако се наложи прехвърляне на данни то ще бъде в размер необходим за обработката на личните данни.
Всички служители, лица и организации участващи в процеса на обработка на лични данни следва да бъдат запознати от Администратора с разпоредбите на тази Политика.
Администраторът следва да гарантира, че всяко лице, участващо в трансферирането или получаването на лични данни, обработва данните само да размера необходим за тяхното администриране.
Потребителите трябва да са информирани за предаването или трансферирането на личните данни или за възможността от такова.

8. Цели на обработката на лични данни

Администраторът може да обработва лични данни за следните цели по време на използването и предоставянето на услугите:

  • За предоставяне на услуги по ППС;
  • За откриване на профили на компании партньори.

Администраторът обработва специални данни и данни отнасящи се до здравния статус при молба от страна на Потребители и след конкретно съгласие за целите на предоставяне на услуги по ППС.

9. Правна основа за обработка на лични данни

Администраторът обработва личните данни включени в тази политика на основата на свободно предоставеното и недвусмислено съгласие на физически лица Потребители в съответствие с чл. 6 (1) точка A от ОРЗД, раздел 5 (1) и раздел 6(%) от Закон CXII от 2011 г. за Правото на информационно самоопределение и на свобода на информацията и в съответствие с разпоредбите на чл. 4 от Закон XLVIIот 1997 г. за Администрирането и защитата на личните данни за здравеопазване и свързаните с тях лични данни. Институциите, органите или лицата извън здравната система (наричани по - долу за краткост: не здравни служби) могат да обработват данни отнасящи се до здравния статус и лични идентификационни данни до размер необходими за изпълнение на техните задължения.
Администраторът и обработващият личните данни трябва да пазят в конфиденциалност всички медицински тайни, които може да им станат известни, обект на изключение предвидено по закон.

10. Обхват на администрирането на личните данни от Администратора

В периода на предоставяне на услуги по ППС, Администраторът ще борави само с данни, които са необходими за осъществяване на услугите по ППС на базата на съгласие на Потребителя, приложимите правни разпоредби, както и предвидените в тази политиката за защита на личните данни правила.
При осъществяването на горепосоченото, Администраторът действа по начин, който гарантира до колкото е възможно, анонимността на Потребителите, така че нито доставчика, нито друго лице или организация, участващи в предоставянето на услугите по ППС или пък трета страна, да могат да идентифицират Потребителите. На базата на тази рамка, данните по отношение на Потребителите, които са обработвани от Администратора са ограничени до:

  • Първото име на потребителя;
  • Телефон и/или електронен адрес на потребителя
  • Уникален идентификационен номер на потребителя предоставен от Администратора, който се състои от името на компанията, в която работи Потребителя и точното време на запитването;
  • Описание на проблема или въпроса посочен от Потребителя в съответствие с доброволния му профил;
  • Специфични данни потенциално предоставени от Потребителя на Администратора, за да бъдат обработени по заявката и в съответствие с изричното и недвусмислено съгласие на Потребителя.

Целта на обработването на лични данни е да се предоставят услугите на ППС към Потребителите без идентификация на тяхната личност или разкриване на тяхната самоличност, докато се запазва тяхната лична среда и анонимност на техните данни, ако това е възможно.

11. Възможни последствия от отказ на предоставяне на лични данни

Администраторът не може да предостави услугата на Потребителя.

12. Метод на събиране на лични данни

Потребителите имат задължението да се обърнат към Администратора, като го уведомят за желанието им да се възползват от услугите на ППС. Когато такава заявка е получена, Администраторът информира Потребителя относно спецификациите на личните данни, които са необходими за обработка, за да може да се ползват услугите, периодът за който тези лични данни са необходими, целта на употреба, фактът, че данните ще бъдат трансферирани и получател я на трансферираните данни.

13. Трансфериране на лични данни

Личните данни могат да бъдат трансферирани само на основата на съгласие от страна на субекта на личните данни или при оторизация на основата на закон във всички случаи Администраторът ще трансферира лични данни, само на законна база, която е недвусмислена и целта на трансфера, както и получатели на информацията, са подробно посочени. Администраторът трябва да документира всеки случай на трансфер на лични данни по такъв начин, че процесът и законността на трансфера да бъдат видни.
Администраторът е задължен да спазва задълженията за трансфер на лични данни посочени в правните регламенти.
Освен това, трансферирането на лични данни трябва да се случва единствено при недвусмислено или конкретно съгласие от страна на субекта на личните данни.

14. Промяна и изтриване на лични данни

Субектът на лични данни трябва да има правото да получава от Администратора без ненужно закъснение промяната на неточни лични данни, които се отнасят до него или нея. Като се има предвид целите на обработката на данните, субектите на личните данни имат правото да не предоставят целия набор от лични данни, включително чрез предоставянето на допълнително волеизявление.

Субектите на лични данни имат правото да придобият от Администратора без излишно закъснение изтритите лични данни, които се отнасят до тях, а Администраторът има задължението да изтрие личните данни без необосновано закъснение при един от следните случаи:

  1. личните данни не са повече необходими във връзка с целите, за които те са събрани или обработени;
  2. субекта на личните данни оттегли съгласието си за обработване на личните данни и след което не е налице друго правно основание за обработването на данните;
  3. субектът на личните данни оспори обработването на личните данни;
  4. личните данни са обработвани незаконно;
  5. личните данни трябва да бъдат изтрити за спазване на правно задължение на Европейския съюз или закон на държава членка, субект на която е Администраторът.

Обектът на лични данни има правото да наложи на Администратора ограничение за обработване, в някой от следните случаи:

  1. точността на личните данни е оспорена от субекта на лични данни за период, който позволява на Администратора да провери точността на личните данни;
  2. обработката е незаконна и субекта на лични данни отхвърли изтриването им и поиска вместо това ограничение за тяхната употреба;
  3. Администраторът няма повече нужда от личните данни за целите на обработката, но те са необходими на субекта на личните данни за входиране, използване или защита на правни искове;
  4. субектът на личните данни е оспорил обработването на данните; в очакване на проверка дали правната основа, на която Администратора се позовава, отхвърля тази на субекта на лични данни.

15. Период на съхранение

Администраторът борави с личните данни на Потребителя за периода, за който са необходими предоставянето на услугите по ППС и свързаните с това профили на Партньорите, но не повече от три месеца.

16. Права на потребителя по отношение на обработката на техните лични данни

Потребителите може да поискат информация относно техните лични данни, които се обработват. Администраторът информира потребителите относно личните данни, които се използват, техните източници, целите, правната база и периода на съхранение, както и името и адреса на администраторите на личните данни, тяхната дейност свързана с обработката. Тази информация се предоставя без ненужно забавяне, но в рамките до един месец от получаване на искането.

17. Възможност за промяна на Политиката за защита на личните данни

Администраторът запазва правото си да изменя тази Политика. Промените както и консолидирания текст на политиката за защита на личните данни ще бъдат публикувани и комуникирани с всички страни, на които Политиката е била специално изпратена или подходящо разпространена от Администратора по същия начин и на същото място, по който тази Политика е публикувана и разпространена.

18. Мерки за сигурност на данните

Администраторът трябва да осигури сигурността на личните данни. Администраторът предприема необходимите технически и организационни мерки по отношение на съхранение на данните едновременно на инструменти от информационните технологии и на традиционен хартиен носител. Администраторът трябва да предприеме действия за въвеждане на правилата за защита на личните данни залегнали в приложимото законодателство. Администраторът трябва да гарантира сигурността на данните, да предприеме техническите и организационни мерки и да въведе правила, които са предвидени в свързани правни разпоредби, за да управлява данните с необходимата конфиденциалност и защита на личността.
Администраторът трябва да предприеме всички необходими мерки за защита на данните, в частност от неоторизиран достъп, промяна, трансфер, обществено разпространение, изтриване или унищожение и от загуба или повреда в случай на инцидент, както и ако са недостъпни в резултат на промени в използваната технология.
Когато Администраторът определи и въведе мерки за гарантиране на сигурността на личните данни, той трябва да вземе предвид състоянието на развитието на технологиите. При наличието на няколко варианта за обработка на лични данни, Администраторът трябва да избере този, който предоставя най-високото ниво на защита на личните данни, освен ако това не доведе до сериозни затруднения.
Администраторът съхранява личните данни в подходяща криптирана SQL база данни. За да предостави необходимата техническа среда за функциониране на услугите на ППС, когато сa направени запитвания през мобилни приложения, в допълнение към данните посочени в раздел 10., Администраторът също така обработва потребителското име и паролата предоставени от Потребителя, заедно с “бисквитките” (което позволява идентификация на компютъра направил заявката) използвани от онлайн средата, където запитванията или въпросите на потребителите се отправят.
“Бисквитките” са изключително широко използвани за индетифициране на компютъра използван за подаване на заявката и само съдържа настоящия номер от стъпки на подаване на заявлението като на тази фаза не се съхраняват данни на потребителите от страна на Администратора.

19. Приложими процедури в случай на нарушаване на защитата на личните данни

В случай на нарушаване на защитата на личните данни, Администраторът трябва без никакво закъснение и където е възможно, не по-късно от 72 часа след като е установил нарушението, да докладва за Нарушаването на защитата на личните данни на Надзорния орган, освен ако нарушаването на защитата на личните данни няма да доведе до риск за правата и свободите на физическите лица. Когато, информирането на Надзорния орган не е извършено в рамките на 72 часа, трябва да бъдат предоставени обяснения за закъснението.
Обработващият личните данни трябва да уведоми Администратора без излишно забавяне веднага след като е разбрал за нарушението на защитата на личните данни. Администраторът следва да документира всяко нарушаване на защитата на личните данни, събирайки фактите свързани с нарушение на защитата, ефектите от него и действията за неговото преодоляване.
Когато нарушаването на защитата на личните данни е вероятно да доведе до висок риск за правата и свободите на физическите лица, Администраторът следва да уведоми за нарушаването на защитата на личните данни с обекта на личните данни без излишно забавяне.
При комуникацията със субекта на личните данни, Администраторът трябва да опише с ясен и последователен изказ естеството на нарушение на защитата на личните данни и да съдържа най-малко информацията и мерките предвидени в ОРЗД.
Ако Администраторът все още не е информирал субекта за нарушаването на защитата на личните данни, Надзорния орган може, след като прецени дали инцидента включва висок риск, да нареди на Администратора да информира субекта за нарушението или може да определи, че той не трябва да бъде информиран.

20. Служител за защита на личните данни

Субектите на личните данни могат да комуникират със Служителя за защита на личните данни по всички въпроси свързани с боравенето с техните лични данни, както и по въпроси свързани техните права, посочени в съответни правни разпоредби.
Служителя за защита на личните данни е обвързан със секретност и конфиденциалност относно изпълнението на неговите/нейните функции.
Име и контакти на Служителя по защита на личните данни, назначен от Контрольора:
Szabolcs Sója
адрес: H-1024Budapest, Ady Endre utca 19., Hungary
електронен адрес: dpo@chestnutce.com20

21. Допълнителни правни възможности

В случай на възникнали въпроси или съображения относно боравенето или трансферирането на лични данни от CGP Europe Kft., не се колебайте да се свържете със служителя за защита на личните данни по всеки от начините посочени в част №20. Служителят за защита на личните данни ще отговори на вашите въпроси, а вашите възражения и жалби ще бъдат разследвани в сътрудничество с Администратора и ще бъдете надлежно информирани за установените факти и обстоятелства.
При нарушаване на правата за защита на личните данни, субектите на лични данни могат да се обърнат към съда и да заведат дело срещу Администратора. В случай на съдебни действия, Съдът ще се произнесе по нататък. Съдебните дела свързани със защита на личните данни са освободени от съдебни такси.
Субектите могат също така да отправят техните възражения и към Унгарската национална служба за защита на личните данни и свобода на информация. ( адрес за кореспонденция: 1534 Будапеща, Pf.: 834; cím: 1125 Будапеща, Szilágyi Erzsébet fasor 22/c)
При нарушаване на техните права, Потребителите могат да търсят допълнителни правни възможности срещу Администратора по силата на разпоредбите на Закона за информацията и Гражданския кодекс и могат да отнасят тези възражения пред съда и Националната служба за защита на личните данни и свободата на информация ( адрес за кореспонденция: 1534 Будапеща, Pf.: 834; cím: 1125 Будапеща, Szilágyi Erzsébet fasor 22/c). В случай на съдебни действия, Съдът ще се произнесе по нататък.

22. Публикуване на Политиката за защита на личните данни

Администраторът трябва да публикува тази Политика на соята електронна страница (www.eap.hu/online) и да информира Потребителите за нейната наличност. При запитване от страна на потребител, Администраторът трябва да изпрати тази Политика директно на Потребителя.
Администраторът изпраща тази Политика директно на Партньорите заедно с всички поправки към нея.

23. Заключително разпоредби

Тази политика влиза в сила след нейното подписване.
Разпоредбите на тази Политика се отнася към обработването на личните данни след влизането на политиката в сила.
Разпоредбите на тази Политика се отнасят също и към личните данни, които са в процес на обработка към момента на влиза в сила на Политиката.
За всички въпроси, които не са уредени в тази политика, следва да се прилагат разпоредбите на правните регламенти посочени в раздел 4 от тази политика.
От датата на влизане в сила, тази политика замества и отменя предходните Политики за защитата на личните данни на Администратора.


Будапеща,20 18 .05.25.