Общи условия за обработка на лични данни
I. ОБЩИ ПОЛОЖЕНИЯ
II.ОПИСАНИЕ НА ОБРАБОТКАТА
III. ЗАДЪЛЖЕНИЯ НА „АНДИ БГ“ ООД
IV. ЗАДЪЛЖЕНИЯ НА ВЪЗЛОЖИТЕЛЯ
V. СРОК
VI. ОПРЕДЕЛЕНИЯ
I.ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1)С тези Общи условия сеопределят условията заобработка на лични данни приизвършване на ремонтни и сервизнидейности на устройства, които са носителина такива данни от „АНДИ БГ“ ООД.
(2) Общитеусловия се прилагат само за дейноститеза монтаж, ремонт и сервизно обслужване,за извършването на които е необходимдостъп до данните, съхранявани насъответния вид техническо устройство,независимо дали достъпът се осъществяваот разстояние, на място при Възложителяили на място при Изпълнителя.
(3)Тези Общи условия сеиздават на основание чл. 28, ал. 3 отРегламент /ЕС/ 2016/679 на ЕвропейскияПарламент и на Съвета от 27 април 2016година относно защитата на физическителица във връзка с обработването на личниданни и относно свободното движение натакива данни и за отмяна на Директива95/46/EО (Общ регламент относно защитатана данните).
Чл. 2. (1)„АНДИ БГ“ ООД сЕИК 115820126 и седалище и адрес на управлениес. Труд, община Марица, област Пловдив,ул. „Карловско шосе“ № 16 Б, комплекс„АНДИ“ (наричано за краткост „Дружеството“или „Изпълнител“), е търговско дружествос основна дейност в областта напроектирането, доставката на оборудване,изграждането и поддръжката на системиза сигурност, слаботокови и електроинсталации.
(2) Приизвършване на основната дейност наДружеството може да се наложи обработкана лични данни при дейности по монтаж(когато е свързана с въвеждане вексплоатация), поддържане, обслужванеи сервизна дейност на:
а) интегрирани системи;
б) системи за видеонаблюдение;
в) системи за контрол надостъпа, вкл. софтуер за контрол надостъпа и работното време;
г) паркинг системи;
д) софтуер за разпознаванена лица.
(3) В посоченитев ал. 2 случаи, „АНДИ БГ“ ООД обработваданните в качеството на „обработващлични данни“. Администраторна лични данни е Възложителят (собственики/или ползвател) на съответната система.
Чл. 3. (1)Клиентите удостоверяват съгласието сис Общите условия:
а) с подписването на протоколза предаването на техническо устройство,носител на лични данни;
или
б) с предоставянена достъп до данните от разстояние.
Чл. 4. Условияразлични от тези, предвидени в настоящитеОбщи условия могат да бъдат уговоренив индивидуалните споразумения заобработка на личните данни между „АНДИБГ“ ООД и Възложителя.
Чл. 5. Общитеусловия са неразделна част от индивидуалнитедоговори, сключени между „АНДИ БГ“ ООДи възложителите.
II.ОПИСАНИЕНА ОБРАБОТКАТА.
Чл. 6. (1)Личните данни, до които„АНДИ БГ“ ООД може да има достъп приизвършване на дейностите по монтаж,ремонт и сервизно обслужване се съдържатв предоставеното техническо устройствоили в устройството, до което е предоставендостъп от разстояние. Данните ще зависятот вида на устройството и могат да бъдатнапр. записи от видеонаблюдение илиданни създадени чрез система за контролна достъпа (имена, длъжност, място, датаи час на осъществяване на достъпа ит.н.).
(2) Категориитесубекти, чиито данни ще се обработватзависят от правната и фактическата имвръзка с Възложителя. Такива категориимогат да бъдат например:
а) работници/служители наВъзложителя;
б) посетители на обектите наВъзложителя и прилежащите им зони.
(3) Приизвършване на ремонтните и сервизнидейности, Изпълнителят ще се стреми дазапази личните данни върху оригиналнияим носител, като ще се ръководи отследните правила:
Когато е технически възможно повредата да бъде отстранена без да са засегнати данните, носителят се връща на Възложителя. В този случай, Изпълнителят не предприема каквито и да е действия по обработка на личните данни, докато има фактическа власт над носителя.
Ако е необходима смяна на носителя и е технически възможно извличането на данните, Изпълнителят създава копие на личните данни и ги предоставя на Възложителя заедно с устройството след приключване на ремонтните и сервизни дейности.
Ако е необходима смяна на носителя или повредата не позволява извличане на данните, Изпълнителят се задължава да унищожи повредения носител по начин, който не позволява възстановяване на данните.
Не се унищожава носител, който подлежи на гаранционно обслужване от производителя или негов представител. В този случай носителят се предоставя на лицето, което е задължено да извърши гаранционното обслужване.
(4) „АНДИБГ“ ООД обработва лични данни, самокогато такава обработка е необходимаза извършването на дейностите по ремонти сервизно обслужване и не извършвадопълнителни дейности по обработка.
Начин на получаване на данните
Чл. 7. (1)Техническите устройства, които саносители на лични данни, се получаватслед подписване на приемо-предавателенпротокол, в който изрично е указано, чесе предава носител на лични данни.
(2) Достъпот разстояние се осъществява по исканеи след разрешение от Възложителя.
III.ЗАДЪЛЖЕНИЯНА „АНДИ БГ“ ООД.
Изисквания към лицата, които обработватличните данни
Чл. 8. (1)Изпълнителят предприема необходимитедействия, за да гарантира, че достъпътдо личните данни е ограничен до лицата,които имат нужда от достъп тях (прилаганена принципа „Необходимост да знае”).
(2) Изпълнителятгарантира, че всички лица, които обработватличните данни под негово ръководство:
а) са информирани за поверителнияхарактер на личните данни и са запознатисъс задълженията на обработващия;
б) са запознати с изискванията нанормативната уредба за защитата наличните данни;
в) са поели задължение за поверителност;
г) извършват обработката самопо начина, определен от Обработващия.
Осигуряване на цялостност и поверителностна обработваните данни
Чл. 9. (1)Изпълнителят предприема необходимитемерки, за да гарантира сигурността наобработваните от него данни.
(2) Осигуренитемерки съвпадат с изискванията на стандартISO/IEC 27001:2017, внедрен от Дружеството. „АНДИБГ“ ООД може да предприеме допълнителнимерки по своя преценка, ако такива санеобходими за гарантиране на сигурносттана обработваните данни.
Задължение за съдействиепри упражняване на права на субектитена данни
Чл. 10. (1)Вземайки предвид естеството наобработката, „АНДИ БГ“ ООД подпомагаВъзложителя при изпълнение на задължениятана последния във връзка с исканията заупражняване на права от субектите наданни.
(2) В рамкитена дейностите по подпомагане не сеизвършва допълнителна обработка наданните, дори тя да е необходима заспазване на законодателството за защитана личните данни, която попада извъндоговореното с индивидуалните договори.
(3) Изпълнителятуведомява Възложителя своевременно,ако получи искане от субект на данни,надзорния орган и/или друг компетентенорган, свързано с личните данни наВъзложителя.
Помощ при оценка на въздействиетовърху защитата на данните
Чл. 11. Изпълнителятпредоставя помощ на Възложителя приизвършване на оценки на въздействиетовърху защитата на личните данни, когатотакива се извършват от Възложителя и вслучай, че засягат обработката, извършванаот Изпълнителя.
Съдействие при извършване на одит
Чл. 12. (1)Изпълнителят предоставя при поискванеот Възложителя цялата информация,необходима за демонстриране насъответствие с настоящите условия и сизискванията на националното иевропейското законодателство за защитана личните данни.
(2) Изпълнителятпозволява и подпомага извършването наодитите, поискани от Възложителя, когатов рамките на обслужването се извършвадейност по обработка на лични данни.
Задължения при нарушаване на сигурносттана личните данни
Чл. 13. (1)Изпълнителят уведомява Възложителябез неоснователно забавяне, но непо-късно от изтичането на двадесет ичетири (24) часа, след като е узнал илиподозира за нарушение на сигурносттана личните данни.
(2) Изпълнителяте задължен да предостави на Възложителянеобходимата информация, за изпълнениена задължението на Възложителя да съобщиза нарушението на сигурността на личнитеданни на надзорния орган (Комисия зазащита на личните данни).
(3) В случайна нарушаване на сигурността на личнитеданни Изпълнителят няма да информиратрета страна, без преди това да получипредварителното писмено съгласие наВъзложителя, освен ако информиранетосе извършва въз основа на закон.
Забрана за международентрансфер на лични данни на Възложителя
Чл. 14. (1)Изпълнителят не обработва лични данни,нито разрешава на оторизиран подизпълнителда обработва личните данни на Възложителяв трета страна, освен ако не е предварителноодобрено от последния.
(2) Алинея1 не се прилага, когато за носителя наданните е валидна гаранционната поддръжкана производителя. В този случай носителятсе предава на производителя или неговпредставител със съдържащите се личниданни, ако е технически невъзможно теда бъдат премахнати от носителя.
Изтриване на лични даннина Възложителя
Чл. 15. Акое необходимо създаването на копия наличните данни, те се изтриват незабавнослед отпадане на необходимостта отсъществуването им.
IV.ЗАДЪЛЖЕНИЯНА ВЪЗЛОЖИТЕЛЯ.
Чл. 16. Загарантиране на защитата личните даннина субектите на данните при дейноститевъз основа на договора с Изпълнителя,Възложителят се задължава да:
а) уведоми субектите на данните запредаването на данните;
б) предава устройствотослед заличаване на личнитеданни, когато това е технически възможно;
в) да смени паролата за достъп,незабавно след приключването на работатана Изпълнителя в случай на предоставянена достъп от разстояние .
V.СРОК
Чл. 17.Настоящите Общи условия се прилагат допрекратяване на индивидуалните договори,сключени между “АНДИ БГ” ООД ивъзложителите.
VI. ОПРЕДЕЛЕНИЯ
§1. Терминитеса използвани със следното значение:
Субект на данните: идентифицираното или идентифицируемо (живо) физическо лице, за което се отнасят личните данни;
Лични данни: всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;
Права на субекта на данни: съвкупността от законови права, които субектите на данни имат съгласно глава III от Общия регламент относно защитата на личните данни, чрез които субектът упражнява контрол върху обработката на своите лични данни и които могат да бъдат упражнявани по всяко време срещу всеки администратор;
Обработване: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Администратор: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Обработващ: физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора и е лице, различно от администратора;
Чувствителни лични данни: лични данни, разкриващи расов или етнически произход; политически възгледи; религиозни или философски убеждения; членство в синдикални организации; генетични данни; биометрични данни за целите единствено на идентифицирането на физическо лице; данни за здравословното състояние; данни за сексуалния живот и сексуалната ориентация;
Оценка на въздействието върху защитата на данните: процес, чиято цел е да опише обработването, да оцени неговата необходимост и пропорционалност и да спомогне за управлението на рисковете за правата и свободите на физическите лица, произтичащи от обработването на лични данни, като ги оцени и определи мерки за справяне с тези рискове;
Международен трансфер на данни: предаване на лични данни на получател който е установен извън страните от Европейското Икономическо Пространство;
Нарушение на сигурността на лични данни: нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
Унищожаване на лични данни: действие, в резултат на което личните данни вече не съществуват или са във форма, която не позволява използването им;
Неправомерна промяна: действие, в резултат на което личните данни са изменени, увредени или непълни;
Загуба на лични данни: действие, в резултат на което администраторът е загубил достъп или контрол върху данните;
Неправомерно разкриване или достъп: действие, при което личните данни се предоставят или се предоставя достъп до тях на лица, които нямат право да ги обработват.