Како контролор на лични податоци, Grand Hotels Management and Marketing EOOD има обврска да ве информира што да очекувате при обработката на вашите лични информации.
Транспарентност во обработката на информациите
I. Декларација за политиката за заштита на личните податоци
- Со овој документ, менаџментот на Grand Hotels Management and Marketing EOOD обезбедува усогласеност со законодавството на ЕУ и земјите-членки во однос на обработката на личните податоци и заштитата на „правата и слободите“ на лицата чии лични податоци Grand Hotels Management и маркетинг EOOD собира и обработува според Општата регулатива за заштита на податоци (Регулатива (ЕУ) 2016/679).
- Во согласност со Општата регулатива, други релевантни документи, како и поврзаните процеси и процедури се опишани во оваа политика.
- Оваа политика се однесува на сите активности за обработка на лични податоци, вклучително и оние што се вршат во врска со личните податоци на клиентите, вработените, добавувачите и партнерите и сите други лични податоци што организацијата Гранд Хотели за управување и маркетинг EOOD ги обработува од различни извори.
- Администраторот води Регистар/и на активности за обработка. Во случаите кога водењето на регистарот е доделено на лице за заштита на податоци/службеник за заштита на лични податоци, тој/таа е одговорен за внесување во овој регистар/и какви било промени во активностите на Grand Hotels Management and Marketing EOOD, како и како и сите други дополнителни барања, вкл. проценки на влијанието на заштитата на податоците. Овој регистар ќе биде достапен на барање на надзорниот орган.
- Оваа политика се однесува на сите вработени/вработени (и заинтересирани страни) на Grand Hotels Management and Marketing EOOD, како и на преработувачите и нивните членови на персоналот. Секое прекршување на Општата регулатива ќе се смета за повреда на работната дисциплина, а во случај да се претпостави дека е сторено кривично дело, предметот во најкраток можен рок ќе се достави на разгледување до надлежните државни органи.
- Трети страни кои работат со или за Grand Hotels Management and Marketing EOOD, вклучувајќи од партнерите, надворешните добавувачи, клиентите итн., како и оние кои имаат или можеби имаат пристап до личните податоци на администраторот, се бара да се запознаат и да се придржуваат кон оваа политика. Администраторот е должен да склучи договор за доверливост на податоците со која било трета страна на која и дозволува пристап до личните податоци обработени од него, што му дава право на Гранд Хотелс Менаџмент и Маркетинг ЕООД да врши проверки за усогласеноста со обврските наметнати со договорот , освен ако обработката не е потребна со правото на ЕУ или со законот на земја-членка.
II. Обврски и одговорности според Регулативата (ЕУ) 2016/679
- Менаџмент и маркетинг на Grand Hotels EOOD е контролор на податоци во согласност со Регулативата (ЕУ) 2016/679 и ја сноси целата одговорност и ризиците од можна неусогласеност со барањата на GDPR, вклучително и одговорноста за развивање и промовирање добри практики во областа на обработката на личните податоци во Grand Hotels Management and Marketing Ltd.
- Обработувач на лични податоци е секое лице надвор од организацијата на администраторот кое директно ги обработува личните податоци во име на администраторот – складира, дигитализира, каталогизира итн. сите информации.
- Службеникот за заштита на податоци, одд. лицето кое по опис на работното место или задача врши работи поврзани со заштитата на личните податоци (одговорно лице/службеник за заштита на податоци), учествува на состаноците на раководството на администраторот, на кои се разговара за прашања од областа на личната заштита на податоците и го советува контролорот да покаже усогласеност со законодавството и добрата практика за заштита на податоците.
Ова известување од страна на Службеникот за заштита на податоци вклучува:
- развивање и спроведување на барањата од РЕГУЛАЦИЈАТА (ЕУ) 2016/679 како што се бара со оваа политика;
- безбедност и управување со ризик во однос на усогласеноста со политиката.
- Службеникот за заштита на податоци, кој треба да биде соодветен, квалификуван и искусен, го избира раководното тело на контролорот (во зависност од неговата структура и правната организациона форма). Службеникот за заштита на податоци е должен да го советува и информира контролорот за спроведувањето на GDPR и другите акти од домашното и европското законодавство од областа на заштитата на личните податоци, во согласност со неговите обврски од договорот и според барањата на GDPR, вклучително и следење на спроведувањето на оваа политика.
- Службеникот за заштита на податоци има и специфични обврски според GDPR – сите барања на субјектот на податоци се упатени до него според Процедурата за управување со барање за субјекти на податоци и е точка на контакт за вработените на контролорот кои бараат појаснување за кој било аспект на усогласеноста на податоците. Службеникот за заштита на податоци е и лице за контакт на надзорниот орган.
- Усогласеноста со законодавството за заштита на податоците е одговорност на сите вработени во контролорот кои обработуваат лични податоци.
- Политиката за обука на Grand Hotels Management and Marketing Ltd. (Training Policy) ги дефинира специфичните барања за обука и свесност во однос на специфичните улоги на вработените/работниците на компанијата.
III. Принципи за заштита на податоците
Обработката на личните податоци се врши во согласност со принципите за заштита на податоците утврдени во член 5 од Регулативата (ЕУ) 2016/679. Политиките и процедурите на Grand Hotels Management and Marketing Ltd. имаат за цел да обезбедат усогласеност со овие принципи.
- Личните податоци мора да се обработуваат законски, со добра волја и транспарентно
Законски – да се идентификува законска основа пред да се обработат личните податоци. Тоа се таканаречени „основи за обработка“, на пример „согласност“. Согласноста на субјектот е една од основите за обработка на личните податоци. Ова може да биде и извршување на договор или легитимен интерес на администраторот, во кои случаи не е потребно да се даде согласност.
Добронамерно – за обработката да биде со добра волја, контролорот на податоците мора да обезбеди одредени информации на субјектите на податоците неопходни во секој конкретен случај и за секоја конкретна цел, на разбирлив, концизен и достапен начин за субјектот на податоците. Ова се однесува без разлика дали личните податоци се добиени директно од субјектите на податоците или од други извори.
Транспарентно – Регулативата (ЕУ) 2016/679 поставува барања во врска со тоа кои информации мора да им бидат достапни на субјектите на податоците, што е покриено со принципот на „транспарентност“ регулиран во членовите 12 , 13 и 14 од GDPR. Според цитираните одредби на GDPR, информациите мора да му се соопштат на субјектот на податоците во разбирлива форма, користејќи јасен и разбирлив јазик, т.е. изјавите за приватност потпишани од субјектите на податоците мора да бидат детални и конкретни, разбирливи и достапни. Правилата за известување на субјектот на податоците од Гранд Хотелс Менаџмент и Маркетинг ЕООД се дефинирани во соодветната процедура за транспарентност, а известувањето се врши преку известување за доверлив третман на личните податоци.
Конкретните информации што компанијата ги дава на субјектот на податоците вклучуваат како минимум: податоци што го идентификуваат контролорот и детали за контакт на контролорот и контакти на контролорот на податоците, доколку ги има; целите на обработката за кои се наменети личните податоци како и правната основа за обработка; периодот за кој ќе се чуваат личните податоци; постоењето на следните права – да се бара пристап до податоците, корекција, бришење (право да се заборави), ограничување на обработката, како и право на приговор на условите (или недостаток од нив) во врска со остварувањето на овие права; категориите на лични податоци; примателите или категориите приматели на лични податоци, каде што е применливо; каде што е применливо, дали контролорот има намера да ги пренесе личните податоци на примател во трета земја и нивото на заштита на податоците; сите дополнителни информации потребни за да се обезбеди правична обработка.
- Личните податоци може да се собираат само за специфични, експлицитно наведени и законски цели
Податоците добиени за специфични цели не се користат за цели кои се разликуваат од оние официјално објавени како дел од Регистарот за активности за обработка на податоци ( чл. 30 GDPR ) на Grand Hotels Management and Marketing EOOD. Постапката за транспарентност во обработката на личните податоци ги дефинира релевантните правила.
- Личните податоци што администраторот ги собира мора да бидат ограничени на она што е неопходно за соодветната цел на обработка (принцип на минимизирање на податоците што можат да се обработат за конкретниот субјект)
- Лицето одговорно за заштита на податоците гарантира дека се собираат само оние информации кои се строго неопходни за целите на обработката.
- Сите обрасци за собирање податоци (електронски или хартиени), вклучувајќи ги барањата за собирање податоци во новите информациски системи, треба да вклучуваат изјава за обработка со добра волја или врска до Политика за приватност (известување за доверлив третман на личните податоци) и да бидат одобрени од одговорното лице , освен ако тие се јавни на сајтовите на компанијата.
- Службеникот за заштита на податоци има обврска да врши периодични проверки најмалку еднаш годишно за да се осигура дека собраните податоци и понатаму се соодветни, релевантни и не претерани.
- Личните податоци мора да бидат точни и ажурирани во секое време, а направени се неопходни напори за да се овозможи итно (во рамките на можни технички решенија) бришење или корекција.
- Податоците што ги чува контролорот на податоци мора да се прегледаат и ажурираат по потреба. Податоците не треба да се чуваат во случаи каде што е веројатно да се неточни.
- Службеникот за заштита на податоци / службеникот за заштита на податоци мора да обезбеди дека целиот персонал е обучен за важноста на собирање и одржување на точни податоци.
- Исто така, должност на субјектот на податоците е да изјави дека податоците што ги пренесува за складирање од Grand Hotels Management and Marketing EOOD се точни и ажурирани. Пополнувањето на формуларот од субјектот на податоците наменет за контролорот ќе вклучува изјава дека податоците содржани во него се точни од датумот на поднесување.
- Вработените, клиентите и сите други се обврзани да го известат Grand Hotels Management and Marketing Ltd. за какви било промени во околностите за да може да се ажурираат записите на личните податоци. Одговорност на Grand Hotels Management and Marketing Ltd. е да се осигура дека секое известување за промена на околностите е евидентирано и преземање соодветни мерки.
- Службеникот за заштита на податоци / Службеникот за заштита на податоци ќе се погрижи да има соодветни процедури и политики за одржување на точноста и ажурираноста на личните податоци, земајќи го предвид обемот на собраните податоци, брзината со која тие може да се менуваат, други релевантни фактори.
- Најмалку еднаш годишно, Службеникот за заштита на податоци / Службеникот за заштита на податоци ќе ги прегледа периодите на задржување на сите лични податоци обработени од Grand Hotels Management and Marketing EOOD, повикувајќи се на пописот на податоците и идентификувајќи ги сите податоци што повеќе не се потребни во контекстот на регистрираната намена. Овие податоци се правилно уништени во согласност со процедурите и политиките на администраторот.
- Службеникот за заштита на податоци / службеникот за заштита на податоци гарантира дека барањата за корекција на податоците се одговорени во рок од еден месец. Овој рок може да се продолжи за уште два месеци за сложени барања. Доколку Grand Hotels Management and Marketing EOOD одлучи да не го исполни барањето, службеникот за заштита на податоци / службеникот за заштита на податоци мора да одговори на субјектот на податоците за да ги објасни причините за одбивањето и да го информира за неговото право да поднесе жалба до надзорниот орган , и да побараат правна помош.
- Службеникот за заштита на податоци/Службеникот за заштита на податоци ќе ги информира сите трети страни на кои им се доставени неточни или застарени лични податоци дека информациите се неточни или застарени и дека не се користат за донесување одлуки за субјектите на податоците и за испраќање каква било корекција на личните податоци. податоци до трети лица каде што е потребно.
- Личните податоци мора да се чуваат во таква форма што субјектот на податоците може да се идентификува само онолку колку што е потребно за обработка.
- Кога личните податоци се задржуваат по датумот на обработка, тие се чуваат на соодветен начин ( минимизирани, шифрирани, псевдонимизирани ) за да се заштити идентитетот на субјектот на податоците во случај на прекршување на податоците.
- Личните податоци се чуваат во согласност со Процедурата за задржување и уништување на податоците и откако ќе помине периодот на нивното чување, тие мора веродостојно да се уништат во согласност со упатствата во оваа постапка.
- Службеникот за заштита на податоци / Службеникот за заштита на податоци мора конкретно да одобри секое задржување на податоци што го надминува периодот на задржување дефиниран во соодветната постапка и мора да се погрижи дека образложението е јасно дефинирано и е во согласност со барањата на законодавството за заштита на податоците на податоците. Ова одобрение мора да биде во писмена форма.
- Личните податоци мора да се обработуваат на начин кој гарантира соодветна безбедност (чл. 24, чл. 32 од GDPR)
Службеникот за заштита на податоци ќе изврши првична проценка на влијанието кога е потребно, земајќи ги предвид сите околности поврзани со операциите за обработка на податоците на Grand Hotels Management and Marketing EOOD. Во секој конкретен случај кога има повреда на заштитата на личните податоци, службеникот за заштита на податоци како одговорно лице во претпријатието на контролорот треба да изврши проценка на ризикот и, во случај на висок ризик, да го извести надзорниот орган и/или податоците предмет. При разгледување на ризикот во конкретниот случај, ДПО треба да го земе предвид степенот на потенцијална штета или загуба што може да биде предизвикана на поединци (на пр. персонал или клиенти) доколку дојде до нарушување на безбедноста, каква било веројатна штета на угледот на администраторот, вклучително и можните губење на довербата на клиентите итн. Обезбедувањето на безбедноста на личните податоци е поврзано и со спроведувањето на соодветни технички мерки, кои службеникот за заштита на податоци ги следи и кои може да вклучуваат најмалку:
- Заштита со лозинка;
- Автоматско заклучување на неактивен работни станици во мрежата;
- Отстранување на правата за пристап за USB и други преносни медиуми за складирање (може да има исклучок доколку се обезбеди задолжителна проверка на вируси и евиденција за пренос на податоци);
- Антивирусен софтвер и заштитен ѕид;
- Права за пристап засновани на улоги, вклучувајќи ги и оние на назначениот привремен персонал
- Заштита на уреди кои ги напуштаат просториите на организацијата, како што се лаптопи или други;
- Безбедност на локални и широки мрежи;
- Технологии за подобрување на приватноста како што се псевдонимизација и анонимизација;
- Идентификација на соодветни меѓународни безбедносни стандарди погодни за Grand Hotels Management and Marketing Ltd.
При оценувањето на соодветните организациски мерки, Службеникот за заштита на податоци ќе го земе предвид следново:
- Нивоата на соодветна обука во Grand Hotels Management and Marketing EOOD;
- Мерките што ја земаат предвид доверливоста на вработените (на пример, оценки за атестирање, референци итн.);
- Вклучување на заштитата на податоците во договорите за вработување;
- Идентификување на дисциплински мерки за прекршоци во врска со обработката на податоците;
- Редовна инспекција на персоналот за усогласеност со релевантните безбедносни стандарди;
- Физичка контрола на пристап до електронски и хартиени записи;
- Усвојување на политика за „чисто работно место“ – по напуштањето на работното место, целата работна документација треба да се отстрани или чува на соодветни места со ограничен пристап – специјални кабинети, заклучени простории, уништување на непотребни документи итн.;
- Складирање на хартија од базата на податоци во ѕидни кабинети што се заклучуваат;
- Ограничување на употребата на преносливи електронски уреди надвор од работното место;
- Ограничување на употребата на лични уреди од вработените на работното место;
- Прифаќање јасни правила за креирање и користење лозинки;
- Редовно креирање на резервни копии на лични податоци и физичко складирање на медиум со копии надвор од канцеларијата;
- Наметнување договорни обврски на организациите од друга страна да преземат соодветни безбедносни мерки при пренос на податоци надвор од ЕУ.
При проценката на соодветните мерки се земаат предвид идентификуваните ризици за личните податоци, како и можноста за оштетување на лицата чии податоци се обработуваат.
- Усогласеност со принципот на одговорност
Регулативата (ЕУ) 2016/679 вклучува одредби кои промовираат одговорност и управување и ги надополнуваат барањата за транспарентност. Принципот на одговорност во чл. 5, став. 2 бара од администраторот да докаже дека е во согласност со другите принципи во GDPR и изрично наведува дека тоа е негова одговорност.
Менаџмент и маркетинг на Grand Hotels EOOD демонстрира усогласеност со принципите за заштита на податоците преку имплементација на политики за заштита на податоците, придржување до кодекси на однесување, спроведување на соодветни технички и организациски мерки и усвојување техники за заштита на податоците во фазата на дизајнирање и стандардна заштита на податоците, проценка на влијанието врз приватноста, постапка за известување за прекршување на лични податоци итн.
IV. Права на субјектите на податоци
- Според GDPR, субјектот на податоците ги има следните права во врска со обработката на неговите лични податоци:
- Да добие информации за личните податоци поврзани со него, кои ги обработува администраторот и целта за која се обработуваат, вклучително и да се добие пристап до податоците, како и информации кои се приматели на овие податоци и трети лица на кого се доставени податоците пренесуваат.
- Да побарате копија од вашите лични податоци од администраторот;
- Да побара од администраторот да ги коригира личните податоци кога се неточни, како и кога веќе не се ажурирани;
- Да бара од администраторот бришење на личните податоци („право да се биде заборавен“);
- Да побарате од администраторот да ја ограничи обработката на личните податоци, во тој случај податоците само ќе се чуваат, но нема да се обработуваат.;
- Да се спротивстави на обработката на неговите лични податоци;
- Да се спротивстави на обработката на личните податоци што се однесуваат на него за цели на директен маркетинг.
- Да поднесе жалба до надзорен орган доколку смета дека е прекршена некоја од одредбите на GDPR;
- Да бара и да им се обезбедат лични податоци во структуриран, широко користен и машински читлив формат;
- Да ја повлече согласноста за обработка на лични податоци во секое време со посебно барање упатено до администраторот;
- Да не биде предмет на автоматизирани одлуки кои значително го засегаат, без можност за човечка интервенција;
- Да се спротивстави на автоматското профилирање кое се случува без негова согласност;
- Менаџмент и маркетинг на Grand Hotels EOOD обезбедува услови за гарантирање на остварувањето на овие права од страна на субјектот на податоците:
- Субјектите на податоците можат да поднесат барања за пристап до податоци како што е опишано во соодветната процедура, којашто постапка исто така опишува како Grand Hotels Management and Marketing EOOD ќе обезбеди дека одговорот на барањето на субјектот на податоците ги исполнува барањата од Општата регулатива.
- Кога барањата на субјектот на податоците се очигледно неосновани или прекумерни, особено поради нивното повторување, Grand Hotels Management and Marketing EOOD може или да наложи разумна такса, земајќи ги предвид административните трошоци за обезбедување на информации, комуникација или преземање на бараното дејство, или да одбие да постапи по барањето.
- Субјектите на податоците имаат право да поднесат приговори до Grand Hotels Management and Marketing EOOD поврзани со обработката на нивните лични податоци. Обработката на барање од субјектот на податоците и поднесувањето приговори од субјектот на податоците се врши во согласност со правилата прифатени во компанијата. Надзорен орган во Бугарија е Комисијата за заштита на личните податоци, адреса: Софија 1592, „Проф. Цветан Лазаров“ бр. 2 ( cpdp.bg ).
V. Согласност
- Со „согласност“, Гранд Хотелс Менаџмент и Маркетинг ЕООД го разбира секое слободно изразено, специфично, информирано и недвосмислено укажување на волјата на субјектот на податоците, преку изјава или јасна афирмативна акција, со која се изразува неговата согласност за личните податоци поврзани на него се обработуваат. Субјектот на податоците може да ја повлече својата согласност во секое време. Согласноста на субјектот на личните податоци е потребна секогаш кога не постои алтернативна правна основа за обработка.
- Менаџмент и маркетинг на Гранд Хотелс ЕООД со „согласност“ ги разбира само оние случаи во кои субјектот на податоците бил целосно информиран за планираната обработка и ја изразил својата согласност без да се изврши никаков притисок врз него. Согласноста добиена под принуда или врз основа на погрешни информации нема да биде валидна основа за обработка на лични податоци.
- Согласноста не може да се заклучи од недостаток на одговор на порака до субјектот на податоците. За да постои согласност мора да има активна комуникација помеѓу контролорот и субјектот. Администраторот бара и добива согласност за активности за обработка каде што е потребна согласност за овие активности.
- За посебни категории на податоци, мора да се добие изречна писмена согласност според Процедурата за согласност за обработка на лични податоци на субјектите на податоци, освен ако не постои алтернативна законска основа за обработка.
- Согласноста на субјектот за обработка на лични или посебни категории на податоци се дава – врз основа на релевантниот документ за согласност обезбеден од субјектот на податоците до контролорот за секоја конкретна цел на обработка. Кога субјектот потпишува договор, согласноста не е неопходна бидејќи неговите податоци се собираат на друга правна основа.
- Кога Grand Hotels Management and Marketing EOOD обработува лични податоци на децата, добива дозвола од оние што ги користат родителските права (родители, старатели итн.). Ова барање се однесува на деца под 16-годишна возраст.
VI. Безбедност на податоците
- Вработените на администраторот кои, според описот на нивните работни места, имаат обврска да обработат одредени лични податоци во име на администраторот се должни да обезбедат безбедност на обработката и складирањето на податоците од нивна страна, вклучително и обезбедување дека нема да ги откријат податоците на трети страни, освен ако Grand Hotels Management and Marketing EOOD не додели такви права на оваа трета страна за пристап до податоците.
- Личните податоци или дел од нив мора да бидат достапни само за оние кои имаат обврска да ги обработат/чуваат, а пристап може да се дозволи само во согласност со утврдените правила за контрола на пристап. Сите лични податоци мора да се чуваат на пример:
- во просторија со контролиран пристап; и/или во заклучен кабинет или кабинет за поднесување документи; и/или
- ако е компјутеризиран, заштитен со лозинка во согласност со внатрешните барања наведени во организациските и техничките мерки за контрола на пристапот до информации (на пример, правила за контрола на пристап); и/или
- складирани на преносни компјутерски медиуми кои се заштитени во согласност со организациски и технички мерки за контрола на пристапот до информации.
- Да се создаде организација за да се осигура дека компјутерските екрани и терминали не може да ги гледа никој друг освен овластените вработени/работници на Grand Hotels Management and Marketing EOOD. Од сите вработени/работници се бара да бидат обучени и да ги прифатат релевантните договорни клаузули/декларации за усогласеност со организациските и техничките мерки за пристап, како и правилата за заклучување на работните станици, пред да добијат пристап до информации од кој било вид.
- Хартиените записи не смеат да се оставаат таму каде што може да им пристапат неовластени лица и не можат да се отстранат од одредени канцелариски простории без изречна дозвола. Штом веќе не се потребни хартиени документи за тековната работа за поддршка на клиентите, тие мора да се уништат во согласност со утврдената процедура/правила и протокол.
- Личните податоци може да се избришат или уништат само во согласност со прифатената процедура. Хартиените записи на кои им е истечен рокот треба да се сечат и уништат како „доверлив отпад“. Податоците на хард дисковите на вишокот персонални компјутери мора да се избришат или дисковите да се уништат според утврдените правила/процедури.
- Обработката на лични податоци „надвор од канцеларија“ претставува потенцијално поголем ризик од губење, кражба или прекршување на личните податоци. Персоналот е посебно овластен да ги обработува податоците надвор од просториите на контролорот.
VII. Откривање на податоци
- Менаџмент и маркетинг на Grand Hotels EOOD мора да обезбеди услови под кои личните податоци не се откриваат на неовластени трети страни, кои вклучуваат членови на семејството, пријатели, владини органи, дури и истражни, доколку постои основано сомневање дека тие не се бараат во утврдениот редослед. Сите вработени/вработени треба да бидат претпазливи кога се бара да ги откријат личните податоци за друго лице на трето лице. Важно е да се разгледа дали откривањето на информациите е поврзано или не со потребите на активноста што ја спроведува организацијата. Потребно е на вработените да им се обезбеди посебна обука и периодични брифинзи за да се избегне ризикот од такво прекршување.
- Сите барања од трети страни за давање податоци мора да бидат поддржани со соодветна документација и сите такви обелоденувања на податоци мора да се координираат со Службеникот за заштита на податоци/Службеникот за заштита на податоци за да се даде мислење.
- Личните податоци ќе бидат доставени до надлежните јавни органи за време и по повод вршењето на нивните службени овластувања.
VIII. Чување и уништување на податоци
- Гранд Хотелс Менаџмент и маркетинг ЕООД не складира лични податоци во форма што овозможува идентификација на субјектите подолг период отколку што е потребно, во однос на целите за кои се собрани податоците.
- Менаџмент и маркетинг на Гранд Хотелс ЕООД може да складира податоци на подолги периоди само доколку личните податоци се обработуваат за архивирање, за цели од јавен интерес, научни или историски истражувања и за статистички цели и само при спроведување на соодветни технички и организациски мерки за ги гарантира правата и слободите на субјектот на податоците.
- Периодот на складирање за секоја категорија на лични податоци е наведен во Процедурата за складирање и уништување на податоци, како и критериумите што се користат за одредување на овој период, вклучувајќи ги сите законски обврски кои бараат Grand Hotels Management and Marketing EOOD да ги задржат податоците.
- Постапката за чување и уништување податоци, како и правилата за уништување на информации на неискористени медиуми за снимање, се применуваат во сите случаи.
- Личните податоци мора да се уништат, во согласност со принципот за обезбедување соодветно ниво на безбедност ( член 5, став 1 б. ѓ ) од Општата регулатива) – вклучувајќи заштита од неовластена или незаконска обработка и од случајна загуба, уништување или оштетување, со спроведување на соодветни технички или организациски мерки („интегритет и доверливост“);
IX. Пренос на податоци
Секое извоз на податоци од рамките на ЕУ во земји надвор од ЕУ (наведени во Општата регулатива како „трети земји“) се нелегални освен ако не постои соодветно „ниво на заштита на основните права на субјектите на податоците.
Преносот на лични податоци надвор од ЕУ е забранет, освен ако не се применуваат една или повеќе од наведените заштитни мерки или исклучоци:
- Одлука за адекватност
Европската комисија може да процени трети земји, територија и/или специфични сектори во трети земји за да оцени дали постои соодветно ниво на заштита на правата и слободите на физичките лица. Во овие случаи, не е потребно овластување Земјите кои се членки на Европската економска зона (ЕЕА), но не и ЕУ, се сметаат за подобни за одлука за соодветност.
- Задолжителни правила на компанијата
Grand Hotels Management and Marketing Ltd. може да усвои одобрени задолжителни корпоративни правила за пренос на податоци надвор од ЕУ, онаму каде што е применливо. Ова бара нивно доставување до соодветниот надзорен орган за одобрување.
- Стандардни договорни клаузули
Администраторот може да донесе воспоставени стандардни договорни клаузули за заштита на податоците при пренос на податоци надвор од Европската економска област. Доколку Grand Hotels Management and Marketing Ltd. прифати стандардни договорни клаузули одобрени од релевантниот надзорен орган, постои автоматско признавање на соодветноста.
- Исклучоци
Во отсуство на одлука за соодветност, задолжителни правила на компанијата и/или договорни клаузули, преносот на лични податоци на трета земја или меѓународна организација ќе се изврши само под еден од следниве услови: субјектот на податоците изречно се согласил на предложениот пренос откако ќе бидат информирани за можните ризици од таквите трансфери; преносот е неопходен за извршување на договор помеѓу субјектот на податоците и администраторот или за извршување на преддоговорни мерки преземени на барање на субјектот на податоците; преносот е неопходен за склучување или извршување на договор склучен во интерес на субјектот на податоците помеѓу администраторот и друго физичко или правно лице; преносот е неопходен од важни причини од јавен интерес; преносот е неопходен за основање, остварување или одбрана на правни побарувања; преносот е неопходен за заштита на виталните интереси на субјектот на податоците или на други лица, кога субјектот на податоците физички или законски не е во можност да даде согласност; преносот е направен од регистар кој, според правото на ЕУ или правото на земјите-членки, има за цел да обезбеди информации за јавноста и е достапен за повикување на јавноста во принцип или на секое лице кое може да покаже дека има легитимно интерес за тоа, но само доколку референтните услови утврдени во правото на Унијата или правото на земјите-членки се исполнети во конкретниот случај.
X. Регистар на обработка на податоци (инвентар на податоци)
- Grand Hotels Management and Marketing Ltd. создаде процес на попис на податоци како дел од својот пристап за справување со ризиците и можностите во процесот на усогласување со политиката за усогласеност со Регулативата (ЕУ) 2016/679. При пописот на податоците во Гранд Хотелс Менаџмент и Маркетинг ЕООД и во работниот тек на податоци се утврдуваат:
- деловните процеси кои користат лични податоци;
- изворите на лични податоци;
- бројот на субјекти на податоци;
- опис на категориите на лични податоци и елементите на секоја категорија;
- активности за обработка;
- целите на обработката за кои се наменети личните податоци;
- правната основа за обработка;
- примателите или категориите приматели на личните податоци;
- главните системи и локации за складирање;
- какви било лични податоци кои се предмет на трансфери надвор од ЕУ;
- периоди на складирање и бришење.
- Менаџмент и маркетинг на Grand Hotels EOOD е свесен за ризиците поврзани со обработката на одредени видови лични податоци.
- Менаџмент и маркетинг на Grand Hotels EOOD го проценува нивото на ризик за поединци поврзани со обработката на нивните лични податоци. Кога се задолжителни, проценките на влијанието на заштитата на податоците се вршат во врска со обработката на личните податоци од Grand Hotels Management and Marketing EOOD и во врска со обработката преземена од други организации во име на Grand Hotels Management and Marketing EOOD.
- Менаџмент и маркетинг на Grand Hotels EOOD управува со сите ризици идентификувани со проценката на влијанието со цел да се намали веројатноста за неусогласеност со овие правила. Кога еден вид обработка може да доведе до висок ризик за правата и слободите на физичките лица, особено со употребата на нови технологии и земајќи ја предвид природата, опсегот, контекстот и целите на обработката, пред да се продолжи со обработката Гранд Управување со хотели и маркетинг EOOD исто така го оценува влијанието на планираните операции за обработка врз заштитата на личните податоци. Заедничката проценка на влијанието може да земе предвид збир на слични операции за обработка кои претставуваат слични високи ризици.
- Кога, како резултат на оцената на влијанието, ќе биде јасно дека Grand Hotels Management and Marketing EOOD ќе започне со обработка на лични податоци кои, поради висок ризик, може да предизвикаат штета на субјектите на податоците, одлуката дали да се продолжи или не со обработката ќе бидат префрлени на преглед од страна на Службеникот за заштита на податоци / Службеникот за заштита на податоци.
- Доколку службеникот за заштита на податоци / службеникот за заштита на податоци има сериозни грижи или за потенцијалната штета или опасност, или за количината на податоци засегнати, тие треба да го упатат прашањето до надзорниот орган.
- Службеникот за заштита на податоци прави периодичен преглед на првично пописните податоци, ги ревидира информациите внесени во „Регистарот на активности за обработка“ во светло на какви било промени во активностите на Гранд Хотелс Менаџмент и маркетинг ЕООД.
ДОПОЛНИТЕЛНИ ИНФОРМАЦИИ ЗА ПОЛИТИКАТА ЗА ПРИВАТНОСТ
- Општа регулатива за заштита на личните податоци
Регулативата (ЕУ) 2016/679 (Општа регулатива за заштита на податоците) ја заменува Директивата за заштита на податоците 95/46/ЕЗ. Има директно дејство и подразбира промена на законодавството на земјите членки во областа на заштитата на личните податоци. Неговата цел е да ги заштити „правата и слободите“ на поединците и да обезбеди личните податоци да не се обработуваат без нивно знаење и, каде што е можно, да се обработуваат со нивна согласност.
- Опсег наведен со Општата регулатива за заштита на податоците
Материјален опсег – оваа регулатива се однесува на обработката на личните податоци во целост или делумно со автоматско средство, како и на обработката со други средства на лични податоци кои се дел од регистарот на лични податоци или кои се наменети да бидат дел од регистар на лични податоци .
Територијален опфат – правилата од Општата регулатива ќе важат за сите контролори на податоци основани во ЕУ кои обработуваат лични податоци на физички лица во контекст на нивната активност. Исто така, ќе важи и за контролори кои не се членки на ЕУ кои обработуваат лични податоци со цел да понудат стоки и услуги или ако го следат однесувањето на субјектите на податоци кои живеат во ЕУ.
- Концепти
„Лични податоци“ – секоја информација која се однесува на идентификувано физичко лице или физичко лице кое може да се идентификува („субјект на податоци“); физичко лице што може да се идентификува е лице кое може да се идентификува, директно или индиректно, особено со идентификатор како што се име, идентификациски број, податоци за локација, онлајн идентификатор или со една или повеќе карактеристики специфични за физичките, физиолошките, генетски, психички, ментален, економски, културен или социјален идентитет на тоа физичко лице;
„Посебни категории на лични податоци“ – лични податоци кои откриваат расно или етничко потекло, политички ставови, религиозни или филозофски убедувања или членство во синдикати и обработка на генетски податоци, биометриски податоци за единствена идентификација на физичко лице, податоци кои се однесуваат на здравје или податоци во врска со сексуалниот живот или сексуалната ориентација на поединецот.
„Обработка “ – значи секоја операција или збир на операции извршени врз лични податоци или збир на лични податоци со автоматско или други средства како што се собирање, снимање, организација, структурирање, складирање, прилагодување или модификација, пронаоѓање, консултација, употреба, откривање од пренос, дистрибуција или друг начин на кој податоците се ставаат достапни, уредени или комбинирани, ограничени, избришани или уништени;
„Администратор“ – секое физичко или правно лице, јавен орган, агенција или друга структура што сам или заедно со други ги определува целите и средствата за обработка на личните податоци кога целите и средствата за таква обработка се утврдени со правото на ЕУ или законот на земја-членка, контролорот или посебните критериуми за нејзино назначување може да се утврдат во правото на Унијата или во правото на земја-членка;
„Субјект на податоци“ – секое живо физичко лице кое е предмет на личните податоци што ги чува администраторот.
„Согласност на субјектот на податоците“ – секое слободно изразено, конкретно, информирано и недвосмислено укажување на волјата на субјектот на податоците, преку изјава или јасно потврдно дејство, со кое се изразува неговата согласност личните податоци поврзани со него да бидат обработени;
„Дете“ – Општата регулатива го дефинира детето како секој помлад од 16 години, а според националното законодавство секој кој е под 18-годишна возраст. Обработката на личните податоци на детето е законска само доколку родителот, старателот или старателот дале согласност. Администраторот прави разумни напори да потврди во такви случаи дали носителот на родителската одговорност за детето дал или е овластен да даде согласност.
Контактирајте со администраторот за лични податоци:
Веб-страница: www.grandhotel.bg
Е-пошта:
Телефон: 02 8199 221