În calitate de operator de date, Grand Hotels Management and Marketing Ltd are datoria de a vă informa la ce să vă așteptați atunci când vă prelucrează informațiile personale.
Transparența în prelucrarea informațiilor
I. Declarație privind politica de confidențialitate
- Conducerea Grand Hotels Management & Marketing Ltd asigură prin prezenta respectarea legislației UE și a statelor membre privind prelucrarea datelor cu caracter personal și protecția „drepturilor și libertăților” persoanelor ale căror date cu caracter personal Grand Hotels Management & Marketing Ltd le colectează și le prelucrează în conformitate cu Regulamentul general privind protecția datelor [Regulamentul (UE) 2016/679].
- În conformitate cu Regulamentul general, în prezenta politică sunt descrise alte documente relevante și procesele și procedurile aferente.
- Această politică se aplică tuturor activităților de prelucrare a datelor cu caracter personal, inclusiv celor desfășurate în legătură cu datele cu caracter personal ale clienților, angajaților, furnizorilor și partenerilor și cu orice alte date cu caracter personal pe care organizația Grand Hotels Management and Marketing Ltd le prelucrează dintr-o varietate de surse.
- Operatorul ține un registru (registre) al (ale) activităților de prelucrare. În cazul în care a fost desemnat un responsabil cu protecția datelor/responsabil cu protecția datelor pentru menținerea registrului (registrelor), acesta (acestea) este (sunt) responsabil(e) de introducerea în registrul (registrele) respectiv(e) a oricăror modificări ale activităților Grand Hotels Management and Marketing Ltd, precum și a oricăror alte cerințe suplimentare, inclusiv a evaluărilor impactului asupra protecției datelor. Acest registru trebuie să fie disponibil la cererea autorității de supraveghere.
- Această politică se aplică tuturor angajaților/lucrătorilor (și părților interesate) ai Grand Hotels Management and Marketing Ltd, precum și procesatorilor și membrilor personalului acestora. Orice încălcare a regulamentelor generale va fi tratată ca o încălcare a disciplinei de muncă și, în cazul în care există o acuzație de infracțiune penală, problema va fi înaintată autorităților guvernamentale competente pentru examinare cât mai curând posibil.
- Terțele părți care lucrează cu sau pentru Grand Hotels Management and Marketing Ltd, inclusiv partenerii, furnizorii externi, clienții etc., și care au sau pot avea acces la datele cu caracter personal ale operatorului, sunt obligate să citească și să respecte prezenta politică. Operatorul este obligat să încheie un acord de confidențialitate a datelor cu orice parte terță căreia îi acordă acces la datele cu caracter personal prelucrate de acesta, care dă dreptul Grand Hotels Management & Marketing Ltd să efectueze verificări privind respectarea obligațiilor impuse de acord, cu excepția cazului în care prelucrarea este impusă de legislația UE sau a unui stat membru.
II. Obligații și responsabilități în temeiul Regulamentului (UE) 2016/679
- Grand Hotels Management and Marketing Ltd este un operator de date în temeiul Regulamentului (UE) 2016/679 și își asumă toate responsabilitățile și riscurile legate de orice nerespectare a cerințelor GDPR, inclusiv responsabilitatea pentru dezvoltarea și promovarea bunelor practici de prelucrare a datelor la Grand Hotels Management and Marketing Ltd.
- Un operator de date cu caracter personal este orice persoană din afara organizației operatorului care prelucrează direct date cu caracter personal în numele operatorului – stochează, digitalizează, cataloghează etc. toate informațiile.
- Responsabilul cu protecția datelor sau persoana care, în temeiul unei fișe de post sau al unei atribuții, îndeplinește sarcini legate de protecția datelor cu caracter personal (responsabil cu protecția datelor/persoană responsabilă) participă la reuniunile conducerii operatorului în cadrul cărora sunt discutate aspecte legate de protecția datelor și consiliază operatorul pentru a demonstra conformitatea cu legislația privind protecția datelor și cu bunele practici.
Această raportare către DPO include:
- dezvoltarea și punerea în aplicare a cerințelor Regulamentului (UE) 2016/679, astfel cum se prevede în prezenta politică;
- securitatea și gestionarea riscurilor în ceea ce privește respectarea politicii.
- Responsabilul cu protecția datelor, care trebuie să fie adecvat, calificat și experimentat, este selectat de organul de conducere al operatorului (în funcție de structura și forma juridică a acestuia). Responsabilul cu protecția datelor consiliază și informează operatorul cu privire la aplicarea RGPD și a altor acte legislative naționale și europene privind protecția datelor, în conformitate cu obligațiile sale contractuale și conform cerințelor RGPD, inclusiv monitorizarea punerii în aplicare a prezentei politici.
- Responsabilul cu protecția datelor are, de asemenea, îndatoriri specifice în temeiul RGPD – acesta este punctul de contact pentru angajații operatorului care solicită clarificări cu privire la orice aspect al respectării protecției datelor. Responsabilul cu protecția datelor este, de asemenea, persoana de contact pentru autoritatea de supraveghere.
- Respectarea legislației privind protecția datelor este responsabilitatea tuturor angajaților operatorului care prelucrează date cu caracter personal.
- Politica de formare a Grand Hotels Management and Marketing Ltd (Politica de formare) stabilește cerințele specifice de formare și sensibilizare în legătură cu rolurile specifice ale angajaților/lucrătorilor companiei.
III. Principiile protecției datelor
Prelucrarea datelor cu caracter personal se realizează în conformitate cu principiile de protecție a datelor stabilite la articolul 5 din Regulamentul (UE) 2016/679. Politicile și procedurile Grand Hotels Management and Marketing Ltd sunt concepute pentru a asigura conformitatea cu aceste principii.
- Datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent
Legalitate – identificarea unui temei legal înainte de prelucrarea datelor cu caracter personal. Acestea sunt așa-numitele „motive de prelucrare”, de exemplu „consimțământul”. Consimțământul persoanei vizate este unul dintre motivele pentru prelucrarea datelor cu caracter personal. Acesta poate fi, de asemenea, executarea unui contract sau interesul legitim al operatorului, cazuri în care consimțământul nu trebuie să fie dat.
Corect – pentru ca prelucrarea să fie corectă, operatorul de date trebuie să furnizeze persoanelor vizate anumite informații care sunt necesare în fiecare caz particular și în fiecare scop particular, într-un mod inteligibil, concis și accesibil pentru persoana vizată. Acest lucru se aplică indiferent dacă datele cu caracter personal sunt obținute direct de la persoanele vizate sau din alte surse.
Transparență – Regulamentul (UE) 2016/679 stabilește cerințe privind informațiile care trebuie puse la dispoziția persoanelor vizate, care intră sub incidența principiului „transparenței” reglementat la articolele 12, 13 și 14 din GDPR. În conformitate cu dispozițiile citate din GDPR, informațiile trebuie comunicate persoanei vizate într-o formă inteligibilă, utilizând un limbaj clar și ușor de înțeles, adică declarațiile de confidențialitate care trebuie semnate de persoanele vizate trebuie să fie detaliate și specifice, ușor de înțeles și accesibile. Regulile de notificare a persoanei vizate de către Grand Hotels Management and Marketing Ltd sunt stabilite în procedura de transparență relevantă, notificarea fiind făcută prin intermediul unei declarații de confidențialitate.
Специфичната информация, която дружеството предоставя на субекта на данните, включва като минимум: данни, които идентифицират администратора и данните за контакт на администратора и контактите на ДЛЗД, ако има такова; целите на обработването, за което личните данни са предназначени както и правното основание за обработването; периода, за който ще се съхраняват личните данни; съществуването на следните права – да поиска достъп до данните, коригиране, изтриване (право „да бъдеш забравен“), ограничаване на обработването, както право на възражение срещу у
- Datele cu caracter personal pot fi colectate numai în scopuri specificate, explicite și legitime
Datele obținute în scopuri specifice nu vor fi utilizate în alte scopuri decât cele declarate oficial ca parte a Registrului activităților de prelucrare a datelor(articolul 30 din GDPR) ale Grand Hotels Management and Marketing Ltd. O procedură privind transparența prelucrării datelor stabilește normele relevante.
- Datele cu caracter personal pe care operatorul le colectează trebuie limitate la ceea ce este necesar pentru scopul prelucrării în cauză (principiul minimizării datelor care pot fi prelucrate pentru un anumit subiect)
- Responsabilul cu protecția datelor se asigură că sunt colectate numai informațiile strict necesare pentru scopul prelucrării.
- Toate formularele de colectare a datelor (electronice sau pe hârtie), inclusiv cerințele privind colectarea datelor în noile sisteme informatice, ar trebui să includă o declarație de prelucrare de bună-credință sau un link către o declarație de confidențialitate (notificare privind tratamentul confidențial al datelor cu caracter personal) și să fie aprobate de persoana responsabilă, cu excepția cazului în care sunt disponibile public pe site-urile web ale societății.
- Responsabilul cu protecția datelor are obligația de a efectua verificări periodice cel puțin o dată pe an pentru a se asigura că datele colectate rămân adecvate, relevante și neexcesive.
- Datele cu caracter personal trebuie să fie exacte și actualizate în orice moment și trebuie depuse eforturi rezonabile pentru a permite ștergerea sau corectarea lor fără întârziere (în limitele soluțiilor tehnice posibile).
- Datele deținute de operatorul de date trebuie să fie revizuite și actualizate după cum este necesar. Datele nu trebuie stocate în cazul în care sunt susceptibile de a fi inexacte.
- Responsabilul cu protecția datelor/responsabilul cu protecția datelor trebuie să se asigure că tot personalul este instruit cu privire la importanța colectării și actualizării corecte a datelor.
- De asemenea, este de datoria persoanei vizate să declare că datele pe care le transmite pentru a fi stocate de Grand Hotels Management and Marketing Ltd. sunt exacte și actualizate. Completarea de către persoana vizată a unui formular destinat operatorului va include o declarație conform căreia datele conținute în acesta sunt exacte la data transmiterii.
- Angajații, clienții și toți ceilalți sunt obligați să notifice Grand Hotels Management and Marketing Ltd cu privire la orice modificare a circumstanțelor, astfel încât înregistrările de date cu caracter personal să poată fi actualizate. Este responsabilitatea Grand Hotels Management and Marketing Ltd să se asigure că orice notificare privind o schimbare a circumstanțelor este înregistrată și că se iau măsurile corespunzătoare.
- Responsabilul cu protecția datelor/responsabilul cu protecția datelor se asigură că există proceduri și politici adecvate pentru a menține acuratețea și actualitatea datelor cu caracter personal, luând în considerare volumul de date colectate, viteza cu care acestea se pot modifica, alți factori relevanți.
- Cel puțin o dată pe an, responsabilul cu protecția datelor / responsabilul cu protecția datelor va revizui perioadele de păstrare a tuturor datelor cu caracter personal prelucrate de Grand Hotels Management and Marketing Ltd prin referire la inventarul datelor și va identifica orice date care nu mai sunt necesare în contextul scopului înregistrat. Aceste date sunt distruse în mod corespunzător, în conformitate cu procedurile și politicile operatorului.
- Responsabilul cu protecția datelor/responsabilul cu protecția datelor se asigură că se răspunde la cererile de corectare a datelor în termen de o lună. Acest termen poate fi prelungit cu încă două luni pentru cererile complexe. În cazul în care Grand Hotels Management and Marketing Ltd decide să nu dea curs solicitării, responsabilul cu protecția datelor/responsabilul cu protecția datelor trebuie să răspundă persoanei vizate pentru a explica motivele refuzului și pentru a o informa cu privire la dreptul său de a depune o plângere la autoritatea de supraveghere și de a solicita despăgubiri.
- Responsabilul cu protecția datelor/responsabilul cu protecția datelor ar trebui să informeze toate părțile terțe cărora le-au fost furnizate date cu caracter personal inexacte sau învechite că informațiile sunt inexacte sau învechite și să nu le utilizeze pentru a lua decizii cu privire la persoanele vizate și să trimită orice corectare a datelor cu caracter personal către părți terțe, dacă este necesar.
- Datele cu caracter personal trebuie păstrate în așa fel încât persoana vizată să poată fi identificată numai atât timp cât este necesar pentru prelucrare.
- În cazul în care datele cu caracter personal sunt păstrate după data prelucrării, acestea sunt stocate într-un mod adecvat (minimizate, criptate, pseudonimizate) pentru a proteja identitatea persoanei vizate în cazul unei încălcări a securității datelor.
- Datele cu caracter personal sunt stocate în conformitate cu procedura de păstrare și distrugere a datelor și, după ce perioada de păstrare a fost depășită, sunt distruse în siguranță în conformitate cu procedurile stabilite în procedura respectivă.
- Responsabilul cu protecția datelor / responsabilul cu protecția datelor trebuie să aprobe în mod specific orice păstrare a datelor care depășește perioada de păstrare definită în procedura relevantă și trebuie să se asigure că justificarea este clar definită și respectă cerințele legislației privind protecția datelor. Această aprobare trebuie să fie în scris.
- Datele cu caracter personal trebuie prelucrate într-un mod care să asigure securitatea corespunzătoare (articolul 24, articolul 32 din RGPD)
Responsabilul cu protecția datelor va efectua o evaluare inițială a impactului atunci când este necesară, luând în considerare toate circumstanțele legate de operațiunile de prelucrare a datelor ale Grand Hotels Management and Marketing Ltd. În orice caz specific în care există o încălcare a securității datelor cu caracter personal, responsabilul cu protecția datelor, în calitate de persoană responsabilă în cadrul activității operatorului, ar trebui să efectueze o evaluare a riscurilor și, în cazul în care este identificat un risc ridicat, să notifice autoritatea de supraveghere și/sau persoana vizată. Atunci când analizează riscul într-un anumit caz, responsabilul cu protecția datelor ar trebui să ia în considerare amploarea oricărui prejudiciu sau a oricărei pierderi care ar putea fi cauzate persoanelor fizice (de exemplu, personalului sau clienților) în cazul unei încălcări, orice prejudiciu probabil adus reputației operatorului, inclusiv orice pierdere a încrederii clienților etc. Asigurarea securității datelor cu caracter personal implică, de asemenea, luarea de măsuri tehnice adecvate, pe care responsabilul cu protecția datelor trebuie să le asigure și care pot include, cel puțin
- Protecție prin parolă;
- Blocarea automată a stațiilor de lucru inactive din rețea;
- Eliminarea drepturilor de acces pentru USB și alte medii de stocare portabile (poate exista o excepție dacă se asigură verificarea obligatorie a virușilor și înregistrarea transferului de date);
- Software antivirus și firewall-uri;
- Drepturile de acces bazate pe roluri, inclusiv cele ale personalului desemnat temporar
- Protecția dispozitivelor care părăsesc incinta organizației, cum ar fi laptopurile sau altele;
- Securitatea rețelelor locale și extinse;
- Tehnologii de îmbunătățire a confidențialității, cum ar fi pseudonimizarea și anonimizarea;
- Identificarea standardelor internaționale de securitate adecvate pentru Grand Hotels Management and Marketing Ltd.
La evaluarea măsurilor organizatorice adecvate, responsabilul cu protecția datelor va lua în considerare următoarele:
- Nivelurile de formare corespunzătoare la Grand Hotels Management and Marketing Ltd;
- Măsuri care iau în considerare fiabilitatea angajaților (de exemplu, evaluări, referințe etc.);
- Includerea protecției datelor în contractele de muncă;
- Identificarea măsurilor disciplinare pentru încălcarea normelor de prelucrare a datelor;
- Verificarea periodică a conformității personalului cu standardele de securitate relevante;
- Controlul accesului fizic la înregistrările electronice și pe suport de hârtie;
- Adoptarea unei politici de „curățenie la locul de muncă” – la plecarea de la locul de muncă, toate documentele de lucru ar trebui îndepărtate sau depozitate în zone adecvate și restricționate – dulapuri speciale, camere închise, distrugerea documentelor care nu mai sunt necesare etc;
- Depozitați baza de date pe hârtie în dulapuri de perete care pot fi încuiate;
- Limitați utilizarea dispozitivelor electronice portabile în afara locului de muncă;
- Limitați utilizarea de către angajați a dispozitivelor personale la locul de muncă;
- Adoptați reguli clare pentru crearea și utilizarea parolelor;
- Efectuarea în mod regulat de copii de siguranță ale datelor personale și stocarea fizică a mediilor cu copii în afara locației;
- să impună obligații contractuale organizațiilor contrapărți pentru a lua măsuri de securitate adecvate atunci când transferă date în afara UE.
Evaluarea măsurilor adecvate ia în considerare riscurile identificate la adresa datelor cu caracter personal, precum și posibilitatea ca persoanele vizate să sufere prejudicii.
- Respectarea principiului responsabilității
Regulamentul (UE) 2016/679 include dispoziții care promovează responsabilitatea și capacitatea de gestionare și completează cerințele de transparență. Principiul responsabilității de la articolul 5 alineatul (2) impune operatorului să demonstreze că respectă celelalte principii din RGPD și precizează în mod explicit că aceasta este responsabilitatea sa.
Grand Hotels Management and Marketing Ltd. demonstrează conformitatea cu principiile de protecție a datelor prin punerea în aplicare a politicilor de protecție a datelor, subscrierea la coduri de conduită, punerea în aplicare a măsurilor tehnice și organizaționale adecvate și adoptarea tehnicilor de protecție a datelor în etapa de proiectare și protecția datelor în mod implicit, evaluarea impactului asupra protecției datelor, procedura de notificare a încălcării securității datelor etc.
IV. Drepturile persoanelor vizate
- Conform GDPR, persoana vizată are următoarele drepturi în ceea ce privește prelucrarea datelor sale cu caracter personal:
- Să obțină informații cu privire la datele cu caracter personal care îl privesc și care sunt prelucrate de operator și scopul pentru care sunt prelucrate, inclusiv accesul la date, precum și informații cu privire la destinatarii datelor și la terții cărora le sunt transferate datele.
- să solicite operatorului o copie a datelor lor cu caracter personal;
- Să solicitați operatorului să corecteze datele cu caracter personal atunci când acestea sunt inexacte sau nu mai sunt actualizate;
- Solicitați operatorului să șteargă datele cu caracter personal (dreptul de a fi uitat);
- să solicitați operatorului să restricționeze prelucrarea datelor cu caracter personal, caz în care datele vor fi doar stocate, dar nu prelucrate;
- Să se opună prelucrării datelor sale cu caracter personal;
- Să se opună prelucrării datelor cu caracter personal care îl privesc în scopuri de marketing direct.
- Să depună o plângere la o autoritate de supraveghere în cazul în care consideră că oricare dintre dispozițiile GDPR a fost încălcată;
- Să solicitați și să vi se furnizeze date cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat;
- Să retrageți consimțământul pentru prelucrarea datelor cu caracter personal în orice moment printr-o cerere separată adresată operatorului;
- să nu facă obiectul unor decizii automatizate care îl afectează într-o măsură semnificativă, fără posibilitatea intervenției umane;
- Să se opună elaborării automate de profiluri fără consimțământul lor;
- Grand Hotels Management and Marketing Ltd. va furniza condiții pentru a se asigura că persoana vizată își exercită drepturile menționate mai sus:
- Persoanele vizate pot depune cereri de acces la date, astfel cum este descris în procedura relevantă, care descrie, de asemenea, modul în care Grand Hotels Management and Marketing Ltd se va asigura că răspunsul la cererea persoanei vizate îndeplinește cerințele Regulamentului general.
- În cazul în care solicitările unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Grand Hotels Management and Marketing Ltd poate fie să perceapă o taxă rezonabilă, luând în considerare costurile administrative ale furnizării informațiilor, comunicării sau luării măsurilor solicitate, fie să refuze să dea curs solicitării.
- Persoanele vizate au dreptul de a depune obiecții la Grand Hotels Management and Marketing Ltd cu privire la prelucrarea datelor lor cu caracter personal. Prelucrarea unei cereri a persoanei vizate și depunerea de obiecții de către persoana vizată se efectuează în conformitate cu normele adoptate de societate. Autoritatea de supraveghere din Bulgaria este Comisia pentru protecția datelor cu caracter personal, adresa. Autoritatea pentru protecția datelor este responsabilă de protecția datelor cu caracter personal, Sofia, Bulgaria, 1592 Sofia Blvd. „1595 Prof. 2(cpdp.bg).
V. Consimțământ
- Prin „consimțământ”, Grand Hotels Management and Marketing Ltd. înțelege orice manifestare liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate, prin intermediul unei declarații sau al unei acțiuni clar confirmative, care exprimă consimțământul persoanei vizate cu privire la prelucrarea datelor cu caracter personal care o privesc. Persoana vizată își poate retrage consimțământul în orice moment. Consimțământul persoanei vizate este necesar atunci când nu există niciun alt temei juridic pentru prelucrare.
- Grand Hotels Management and Marketing Ltd. înțelege prin „consimțământ” doar acele cazuri în care persoana vizată a fost pe deplin informată cu privire la prelucrarea prevăzută și și-a exprimat consimțământul fără a fi supusă la presiuni. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va fi un temei valabil pentru prelucrarea datelor cu caracter personal.
- Consimțământul nu poate fi dedus din absența unui răspuns la o comunicare către persoana vizată. Pentru ca consimțământul să existe, trebuie să existe o comunicare activă între operator și persoana vizată. Operatorul solicită și obține consimțământul pentru activitățile de prelucrare atunci când consimțământul este necesar pentru aceste activități.
- Pentru categoriile speciale de date, trebuie obținut consimțământul explicit scris în conformitate cu Procedura de obținere a consimțământului pentru prelucrarea datelor cu caracter personal ale persoanelor vizate, cu excepția cazului în care există un alt temei legal pentru prelucrare.
- Consimțământul persoanei vizate pentru prelucrarea datelor cu caracter personal sau a categoriilor speciale de date este dat – pe baza documentului de consimțământ relevant furnizat de persoana vizată operatorului pentru fiecare scop specific al prelucrării. În cazul în care persoana vizată semnează un contract, consimțământul nu este necesar, deoarece datele sale sunt colectate pe un alt temei legal.
- Atunci când Grand Hotels Management and Marketing Ltd prelucrează datele cu caracter personal ale copiilor, aceasta obține permisiunea părinților care exercită dreptul (părinți, tutori etc.). Această cerință se aplică copiilor sub vârsta de 16 ani.
VI. Securitatea datelor
- Angajații operatorului care, în conformitate cu fișele lor de post, au obligația de a prelucra anumite date cu caracter personal în numele operatorului sunt obligați să asigure securitatea prelucrării și stocării datelor, inclusiv să se asigure că nu divulgă datele către terți, cu excepția cazului în care Grand Hotels Management and Marketing Ltd a acordat acestor terți drepturi de acces la date.
- Datele cu caracter personal sau o parte a acestora trebuie să fie accesibile numai celor care au obligația de a le prelucra/stoca, iar accesul poate fi acordat numai în conformitate cu normele de control al accesului stabilite. Toate datele cu caracter personal trebuie să fie stocate, de exemplu:
- într-o încăpere cu acces controlat; și/sau într-un dulap sau fișet încuiat; și/sau
- în cazul în care sunt informatizate, protejate prin parolă, în conformitate cu cerințele interne prevăzute în măsurile organizatorice și tehnice de control al accesului la informații (de exemplu, reguli de control al accesului); și/sau
- stocate pe suporturi informatice portabile care sunt protejate în conformitate cu măsurile organizatorice și tehnice de control al accesului la informații.
- Să ia măsuri pentru a se asigura că ecranele calculatoarelor și terminalele nu pot fi vizualizate decât de către angajații/lucrătorii autorizați ai Grand Hotels Management and Marketing Ltd . Toți angajații/lucrătorii trebuie să fie instruiți și să accepte clauzele/declarațiile contractuale relevante pentru a respecta măsurile organizatorice și tehnice de acces, precum și normele de blocare a stațiilor de lucru înainte de a li se acorda acces la informații de orice fel.
- Documentele pe suport de hârtie nu trebuie lăsate acolo unde pot fi accesate de persoane neautorizate și nu trebuie scoase din birourile desemnate fără permisiune expresă. De îndată ce înregistrările pe suport de hârtie nu mai sunt necesare pentru activitatea curentă de asistență pentru clienți, acestea trebuie distruse în conformitate cu o procedură/regulă stabilită și cu protocolul corespunzător.
- Datele cu caracter personal pot fi șterse sau distruse numai în conformitate cu procedura adoptată. Documentele pe suport de hârtie pentru care perioada de păstrare (arhivare) a expirat ar trebui să fie mărunțite și distruse ca „deșeuri confidențiale”. Datele de pe hard disk-urile PC-urilor redundante trebuie șterse sau hard disk-urile trebuie distruse în conformitate cu politicile/procedurile stabilite.
- Prelucrarea datelor cu caracter personal „off-site” prezintă un risc potențial mai mare de pierdere, furt sau încălcare a datelor cu caracter personal. Personalul este autorizat în mod specific să prelucreze date în afara locației.
VII. Divulgarea datelor
- Grand Hotels Management and Marketing Ltd trebuie să se asigure că datele cu caracter personal nu sunt divulgate unor terți neautorizați, inclusiv membrilor familiei, prietenilor, autorităților guvernamentale, chiar și celor care efectuează investigații, în cazul în care există îndoieli rezonabile că acest lucru nu este cerut de procedura stabilită. Toți angajații/lucrătorii trebuie să fie precauți atunci când li se cere să divulge unei părți terțe date cu caracter personal deținute despre o altă persoană. Este important să se aibă în vedere dacă divulgarea informațiilor este sau nu relevantă pentru nevoile activității desfășurate de organizație. Angajații trebuie să beneficieze de formare specifică și de informări periodice pentru a evita riscul unei astfel de încălcări.
- Toate cererile de furnizare de date din partea terților trebuie să fie susținute de documentația corespunzătoare și toate aceste dezvăluiri trebuie să fie coordonate cu responsabilul cu protecția datelor / responsabilul cu protecția datelor pentru un aviz.
- Datele cu caracter personal vor fi furnizate autorităților publice competente în exercitarea și exercitarea competențelor acestora.
VIII. Stocarea și distrugerea datelor
- Grand Hotels Management and Marketing Ltd. nu păstrează datele cu caracter personal într-o formă care permite identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar în raport cu scopurile pentru care au fost colectate datele.
- Grand Hotels Management and Marketing Ltd poate păstra datele pentru perioade mai lungi numai în cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare, de interes public, de cercetare științifică sau istorică și în scopuri statistice și numai în cazul în care au fost implementate măsuri tehnice și organizatorice adecvate pentru a proteja drepturile și libertățile persoanei vizate.
- Perioada de păstrare pentru fiecare categorie de date cu caracter personal este stabilită într-o procedură de păstrare și distrugere a datelor, precum și criteriile utilizate pentru a determina perioada respectivă, inclusiv orice obligații legale care impun Grand Hotels Management and Marketing Ltd să păstreze datele.
- Procedura de stocare și distrugere a datelor și normele de distrugere a informațiilor de pe suporturile de înregistrare neutilizate se aplică în toate cazurile.
- Datele cu caracter personal trebuie distruse în conformitate cu principiul asigurării unui nivel adecvat de securitate[articolul 5 alineatul (1) litera (f) din Regulamentul general] – inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, aplicând măsuri tehnice sau organizatorice adecvate („integritate și confidențialitate”);
IX. Transferul de date
Orice export de date din UE către țări din afara UE (denumite în Regulamentul general „țări terțe”) este ilegal, cu excepția cazului în care există un „nivel adecvat de protecție a drepturilor fundamentale ale persoanelor vizate”.
Transferul de date cu caracter personal în afara UE este interzis, cu excepția cazului în care se aplică una sau mai multe dintre garanțiile sau excepțiile specificate:
- Decizia de adecvare
Comisia Europeană poate evalua țări terțe, teritorii și/sau sectoare specifice din țări terțe pentru a stabili dacă există un nivel adecvat de protecție a drepturilor și libertăților persoanelor fizice. Țările care sunt membre ale Spațiului Economic European (SEE), dar nu ale UE, sunt presupuse a fi eligibile pentru o decizie de adecvare.
- Norme obligatorii ale societății
Grand Hotels Management and Marketing Ltd poate adopta politici corporative obligatorii aprobate pentru transferul de date în afara UE, după caz. Acest lucru necesită prezentarea acestora autorității de supraveghere competente pentru aprobare.
- Clauze contractuale standard
Operatorul poate adopta clauze contractuale standard de protecție a datelor stabilite pentru transferurile de date în afara Spațiului Economic European. În cazul în care Grand Hotels Management and Marketing Ltd acceptă clauze contractuale standard aprobate de autoritatea de supraveghere competentă, există o recunoaștere automată a caracterului adecvat.
- Excepții
În absența unei decizii de adecvare, a unor norme corporative obligatorii și/sau a unor clauze contractuale, un transfer de date cu caracter personal către o țară terță sau către o organizație internațională are loc numai în una dintre următoarele condiții: persoana vizată a consimțit în mod explicit la transferul propus, după ce a fost informată cu privire la riscurile posibile ale unor astfel de transferuri; transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru executarea măsurilor precontractuale luate la cererea persoanei vizate; transferul este necesar pentru
X. Registrul de prelucrare a datelor (inventarul datelor)
- Grand Hotels Management and Marketing Ltd a stabilit un proces de inventariere a datelor ca parte a abordării riscurilor și oportunităților în procesul de respectare a politicii de conformitate cu Regulamentul (UE) 2016/679. Inventarul datelor și fluxul de lucru al Grand Hotels Management and Marketing Ltd au identificat:
- procesele de afaceri care utilizează date cu caracter personal;
- sursele de date cu caracter personal;
- numărul de persoane vizate;
- o descriere a categoriilor de date cu caracter personal și a elementelor din cadrul fiecărei categorii;
- activități de prelucrare;
- scopurile prelucrării pentru care sunt destinate datele cu caracter personal;
- temeiul juridic pentru prelucrare;
- destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
- principalele sisteme și locații de depozitare;
- toate datele cu caracter personal care fac obiectul unor transferuri în afara UE;
- perioadele de păstrare și ștergere.
- Grand Hotels Management and Marketing Ltd este conștientă de riscurile asociate cu prelucrarea anumitor tipuri de date cu caracter personal.
- Grand Hotels Management and Marketing Ltd evaluează nivelul de risc pentru persoane asociat cu prelucrarea datelor lor cu caracter personal. Acolo unde este obligatoriu, se efectuează evaluări ale impactului asupra protecției datelor în legătură cu prelucrarea datelor cu caracter personal de către Grand Hotels Management & Marketing Ltd și în legătură cu prelucrarea efectuată de alte organizații în numele Grand Hotels Management & Marketing Ltd.
- Grand Hotels Management and Marketing Ltd gestionează orice risc identificat prin evaluarea impactului pentru a reduce probabilitatea de nerespectare a prezentelor norme. În cazul în care un tip de prelucrare este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, în special prin utilizarea noilor tehnologii, și ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, Grand Hotels Management & Marketing Ltd efectuează, de asemenea, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal înainte de a proceda la prelucrare. O evaluare generală a impactului poate lua în considerare o serie de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.
- În cazul în care, ca urmare a evaluării impactului, este clar că Grand Hotels Management and Marketing Ltd va începe să prelucreze date cu caracter personal care, din cauza riscului ridicat, ar putea cauza prejudicii persoanelor vizate, decizia de a continua sau nu prelucrarea va fi transmisă responsabilului cu protecția datelor / responsabilului cu protecția datelor pentru revizuire.
- În cazul în care responsabilul cu protecția datelor/responsabilul cu protecția datelor are motive serioase de îngrijorare cu privire fie la prejudiciul sau pericolul potențial, fie la volumul de date implicat, acesta trebuie să sesizeze autoritatea de supraveghere.
- Responsabilul cu protecția datelor revizuiește periodic datele inventariate inițial, revizuiește informațiile înregistrate în „Registrul activităților de prelucrare” în funcție de orice modificări ale activităților Grand Hotels Management and Marketing Ltd.
INFORMAȚII SUPLIMENTARE LA POLITICA DE CONFIDENȚIALITATE
- Regulamentul general privind protecția datelor
Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor) înlocuiește Directiva 95/46/CE privind protecția datelor. Acesta are efect direct și implică o modificare a legislației statelor membre privind protecția datelor. Scopul său este de a proteja „drepturile și libertățile” persoanelor fizice și de a garanta că datele cu caracter personal nu sunt prelucrate fără știrea acestora și, atunci când este posibil, că sunt prelucrate cu consimțământul lor.
- Domeniul de aplicare definit de Regulamentul general privind protecția datelor
Domeniul de aplicare material– Prezentul regulament se aplică prelucrării datelor cu caracter personal, integral sau parțial, prin mijloace automate și prelucrării prin alte mijloace a datelor cu caracter personal care fac parte dintr-un fișier de date cu caracter personal sau care sunt destinate să facă parte dintr-un fișier de date cu caracter personal.
Domeniul de aplicare teritorial – Normele din Regulamentul general se vor aplica tuturor operatorilor de date stabiliți în UE care prelucrează date cu caracter personal ale persoanelor fizice în contextul activităților lor. Acestea se vor aplica, de asemenea, operatorilor din afara UE care prelucrează date cu caracter personal pentru a oferi bunuri și servicii sau dacă monitorizează comportamentul persoanelor vizate care locuiesc în UE.
- Concepte
„Date cu caracter personal” înseamnă orice informații referitoare la o persoană fizică identificată sau la o persoană fizică identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective.
„Categorii speciale de date cu caracter personal” – date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice sau apartenența sindicală și prelucrarea datelor genetice, a datelor biometrice care identifică în mod unic o persoană, a datelor privind sănătatea sau a datelor privind viața sexuală sau orientarea sexuală a unei persoane.
„prelucrareînseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal sau asupra unui set de date cu caracter personal, prin mijloace automate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„administrator”. – orice persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei astfel de prelucrări sunt determinate prin dreptul Uniunii sau al statelor membre, operatorul sau criteriile specifice pentru determinarea acestuia pot fi stabilite în dreptul Uniunii sau al statelor membre;
„subiect al datelor” – orice persoană fizică în viață care face obiectul datelor cu caracter personal deținute de operator.
„Consimțământul persoanei vizate” – orice manifestare liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate, prin intermediul unei declarații sau al unei acțiuni afirmative clare, care indică consimțământul acesteia la prelucrarea datelor cu caracter personal care o privesc;
„Copil”. – Regulamentul general definește un copil ca fiind orice persoană cu vârsta sub 16 ani, iar în conformitate cu legislația națională, orice persoană cu vârsta sub 18 ani. Prelucrarea datelor cu caracter personal ale unui copil este legală numai în cazul în care un părinte, tutore sau curator și-a dat consimțământul. Operatorul depune eforturi rezonabile pentru a verifica, în astfel de cazuri, dacă titularul răspunderii părintești pentru copil a dat sau este autorizat să dea consimțământul.
Contact cu operatorul de date:
Site web: www.grandhotel.bg
E-mail:
Telefon: 02 8199 221