Политика за защита на личните данни

„Инфинит Тръст” ООД с ЕИК 205461957, наричано по-нататък за краткост Дружеството, прие настоящата Политика за Защита на Личните Данни, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), наричана по-нататък за краткост Политиката, в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016, наричан по-нататък за краткост Регламента, Законът за Защита на Личните Данни и Наредба 1 от 30.01.2013 г., касаеща Мерките за Защита на Личните Данни

Политиката е приета съобразно:

– вероятността и тежестта на риска за правата и свободите на физическите лица, чиито лични данни се обработват;

– необходимите и подходящи технически и организационни мерки;

– постиженията на техническия прогрес и разумните разходи за защита,

с оглед на естеството, обхвата, контекста и целта на обработваните лични данни.

Политиката се основава на следните принципи:

– законосъобразност и добросъвестност при обработка на лични данни;

– прозрачност – всяка информация да бъде в кратка, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки;

– ограничаване на целите, за които се събират лични данни, до тези, които са реално нужни за дейността;

– свеждане до минимум на събираните за дейността лични данни;

– точност и актуалност на обработваните лични данни;

– минимален достъп до лични данни;

– контролиран и проследим достъп до лични данни;

– минимален срок за съхранение;

– надеждно съхранение;

– отчетност за доказване спазването на Регламента.

Политиката се подчинява на следните права на физическите лица:

– право на информираност за какво се обработват лични данни;

– право на достъп до личните данни;

– право на коригиране;

– право на изтриване (правото ”да бъдеш забравен”);

– право на ограничаване на обработването;

– право на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването;

– право на преносимост на данните;

– право на възражение срещу обработване на лични данни;

– право да не са обект на автоматично вземане на решение, включващо профилиране.

I. ПРИНЦИПИ ПРИ ОБРАБОТКА НА ЛИЧНИ ДАННИ

Спазване разпоредбите на Регламента

чл.1.1. Политиката на Дружеството, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), има за цел да осигури спазването на разпоредбите на Регламента.

Лични данни се събират и обработват законосъобразно и добросъвестно

чл.1.2. Дружеството събира и обработва лични данни законосъобразно, добросъвестно и в съответствие с принципите и правата на физическите лица във връзка с обработването на техните лични данни.

Личните данни се обработват прозрачно

чл.1.3. Дружеството осигурява прозрачност в комуникацията за събираните и обработваните лични данни като информацията за това е в кратка, прозрачна, разбираема и лесно достъпна форма, и се използват ясни и недвусмислени формулировки

Лични данни се събират и обработват само за определени цели

чл.1.4. Дружеството обработва лични данни на физически лица само в следните случаи:

1.  обработването е необходимо за спазване на законово задължение на Дружеството;

2. обработването е необходимо за изпълнение на договор (в т.ч. поръчка) с Дружеството, по който физическо лице е страна, или за предприемане на стъпки по искане от физическо лице преди сключване на договор, когато е нужна неговата идентификация;

3. физическо лице е дало своето недвусмислено съгласие за разбираема и прозрачно дефинирана цел от страна на Дружеството, за която е нужно обработване на неговите лични данни;

4. обработването е необходимо, за да бъдат защитени жизнено важни интереси на физическото лице, чиито лични данни се обработват или на друго физическо лице;

5. обработването е необходимо за целите на легитимните интереси на Дружеството или на трета страна, съгласно разпоредбите на Регламента;

6. другите случаи, предвидени в Регламента.

Не се събират и обработват ненужни за дейността лични данни

чл.1.5. Дружеството не събира и не обработва лични данни на физически лица, които надхвърлят неговите задължения по закон или неговите нужди за правене на бизнес.

Събрани лични данни се обработват за други цели само след съгласие на лицата

чл.1.6. Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, Дружеството уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.

За обработка се събират минимално необходимите лични данни

чл.1.7. Дружеството събира и обработва само минимум необходимите лични данни на физически лица, които:

1. са предвидени в закон;

2. са нужни за изпълняване на договор;

3. са нужни за изпълняване на целите, за които се събират.

Обработвани лични данни са точни и актуални

чл.1.8. Дружеството осигурява обработването личните данни на физически лица да се извършва с максимална точност и по възможност винаги в актуалност.

Личните данни се обработват от минимум необходимия брой лица

чл.1.9. Дружеството осигурява достъпът и обработката на личните данни на физически лица да се извършва от минимално необходимия брой лица (оператори), които имат нужната компетентност за тяхната обработка и нужната ангажираност за тяхното опазване.

Личните данни се съхраняват за минимално необходимото време

чл.1.10. Дружеството съхранява лични данни за минимално необходимото време:

1. нужно по закон;

2. нужно да се изпълни договор (в т.ч. поръчка) и отговорността по него;

3. нужно да се изпълни целта, за която данните са събрани и обработени; или

4. до поискване от физическо лицето за тяхното изтриване,

след което те се унищожават без излишно забавяне.

Във всички случаи Дружеството осигурява поне веднъж годишно да се прави преглед на събираните и обработваните лични данни и тези от тях, които попадат в някоя от горните хипотези се изтриват без излишно забавяне.

II. ПРАВИЛА ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

Личните данни се обработват с необходимите нива и мерки за защита

чл.2.1. Дружеството осигурява необходимите нива на физическа, организационна и технологична защита с оглед на:

1. естеството, обхвата, контекста и целта на обработваните лични данни;

2. вероятността, нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните лични данни;

3. своите финансови и организационни възможности.

Дружеството осигурява и всички необходими мерки за своевременно възстановяване на събирани и обработени лични данни при тяхна загуба в резултат на случайни, злонамерени или форсмажорни събития.

Личните данни се обработват с контролиран и проследим достъп

чл.2.2. Дружеството осигурява необходимите и подходящи технически, организационни и технологични мерки за контролиран и проследим достъп до личните данни на физически лица.

Личните данни се обработват с нужната отчетност за спазване на Регламента

чл.2.3. Дружеството осигурява необходимата отчетност и регистри, за да е в състояние да докаже, че разпоредбите на Регламента са спазени.

Спазване правата на физическите лица, чиито лични данни се обработват

чл.2.4. Дружеството осигурява спазването правата на физическите лица, чиито лични данни се събират и обработват, което включва:

1. право на информираност за обработка на лични данни;

2. право на достъп до личните данни – с какви данни се разполага;

3. право на коригиране на неточни лични данни;

4. право на изтриване на лични данни – правото ”да бъдеш забравен”;

5. право на ограничаване на обработваните лични данни;

6. правото на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването на лични данни;

7. право на преносимост на данните;

8. право на възражение срещу обработване на лични данни;

9. право да не са обект на автоматично вземане на решение, включващо профилиране.

III. ЗАДЪЛЖЕНИЯ НА РЪКОВОДСТВОТО

Периодична оценка на нивата на въздействие при нарушаване на сигурността

чл.3.1. Дружеството прави периодичен преглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, с оглед предприетите нива и мерки за защита на лични данни да съответстват на тези нива и тежест на риска.

Периодичен преглед на адекватността на нивата и мерките за защита

чл.3.2. Дружеството прави периодичен преглед на адекватността на нивата и ефективността на прилаганите мерки за защита на обработваните лични данни, с оглед на тяхното съответствие с нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни.

Изборът на подизпълнители, обработващи лични данни, да отговаря на Регламента

чл.3.3. За случаите, в които обработка на лични данни се възлага на подизпълнител, обработващ лични данни, Дружеството осигурява неговият избор да се основава на достатъчни гаранции, предоставени от обработващия личните данни (подизпълнителя), за прилагане на Регламента, в т.ч. сключването на договор с подробно разписани предмет, срок, начин на обработка на личните данни, задълженията и отговорностите на обработващия в тази връзка.

Обработката на лични данни се извършва само по начина указан от Администратора

чл.3.4. Когато лични данни се обработват в качеството на обработващ, това се извършва само по начина, който е указан от Администратора на личните данни.

Отговорник за защита на личните данни

чл.3.5. Дружеството определя Отговорник за защитата на личните данни, което:

– притежава нужната компетентност;

– разполага с нужните подкрепа, ресурси и достъп;

– се ползва с независимост;

– е в състояние да изпълни своите задачи за защита на личните данни.

Спазване на Кодекс за Поведение

чл.3.6. Ако Комисията за Защита на Личните Данни одобри Кодекс за Поведение за бранша или индустрията, в която Дружеството работи, то се ангажира да приеме този Кодекс за Поведение и да преработи в съответствие с него Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

Всяко нарушение на сигурността на личните данни се документира

чл.3.7. Всяко нарушение на сигурността на събираните и обработваните лични данни се документира и в срок до 72 часа от узнаването се уведомява Комисията за Защита на Личните Данни, освен ако нарушаването в сигурността на личните данни няма да предизвика риск за правата и свободите на засегнатите физически лица.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физически лица, Дружеството без ненужно забавяне съобщава това на засегнатите физически лица.

Обучения на персонала, отговорен за обработка на лични данни

чл.3.8. Дружеството осигурява необходимите встъпителни и периодични обучения на своя персонал, който е отговорен за обработката на лични данни на физически лица, но не по-малко при постъпване на работа и поне два пъти годишно.

Обучението се провежда по план съобразно правата на достъп до лични данни, целите за тяхната обработка на лични данни, начина за тяхното обработване и ползване, и всичко друго, което е приложимо.

Всяко обучение се документира по подходящ начин.

Лицата, обработващи лични данни поемат ангажимент за поверителност

чл.3.9. Дружеството осигурява лицата, на които е възложена обработката на лични данни на физически лица да поемат ангажимент за поверителност, който може да бъде оформен в договора за възлагане на работата или с нарочна декларация.

Всички служители и външни доставчици с достъп до лични данни са отговорни

чл.3.10. Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се прилагат за всички служители на Дружеството, както и за всички външни доставчици, които имат достъп и/или са опериращи с лични данни, които Дружеството администрира или обработва.

Всички изброени лица носят отговорност за спазването на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

Всяко нарушение при обработка на лични данни се санкционира

чл.3.11. Всяко нарушение на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се разглежда, като нарушение на трудовата дисциплина, правото на ЕС и гражданското законодателство на Република България, в т.ч. се разглежда и като престъпление, ако деянието се санкционира от Наказателния Кодекс.

Видеонаблюдение

чл.3.12. На територията на Дружеството не се осъществява видеонаблюдение.

IV. ПРЕДМЕТ И ОРГАНИЗАЦИЯ НА ДЕЙНОСТТА

Предмет на дейност:

• Предоставяне на финансови консултации и финансово посредничество в сектора на застраховането или осигуряването.

Административен офис:

• гр. София, р-н Възраждане, бул. „Тодор Александров” No 18, ет. 5, офис 5А

V. ОБРАБОТВАНИ ЛИЧНИ ДАННИ

Обработвани Лични Данни в Качеството на Администратор:

• на Служители;

• на Клиенти Физически Лица;

• на Потенциални Клиенти Физически Лица

Обработваните Лични Данни се Получават:

• Лично от Субектите на Данни

Обработват се Следните Чувствителни Лични Данни:

• Данни за Здравословното Състояние на Служители;

• Данни за Присъди и Нарушения, Съдържащи се в Свидетелство за Съдимост.

• Данни за Икономическото и Семейното Състояние на Клиенти

VI. ЦЕЛИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

Лични Данни в Дружеството се Обработват за Следните Цели:

• за Изчисляване Работните Заплати и Обезщетения на Служители;

• за Доставка на Услуги на Клиенти;

VII. НИВО НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност

Оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността на обработваните лични данни в Дружеството, за различните групи лични данни, е както следва:

  • за Служители – средно ниво

• за Клиенти Физически Лица –средно;

• за Потенциални Клиенти Физически Лица – ниско;

VIII. НИВО НА ЗАЩИТА ПРИ ОБРАБОТКА НА ЛД

В следствие на оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лица при нарушаване на сигурността, нивото на защита при обработка на лични данни в Дружеството, за различните групи лични данни, е както следва:

• за Служители – средно ниво на защита;

• за Клиенти Физически Лица – средно ниво на защита;

• за Потенциални Клиенти Физически Лица – средно ниво на защита;

IX. ПОЛЗВАНЕ НА ПОДИЗПЪЛНИТЕЛИ за Обработка

Подизпълнители, Обработващи Лични Данни, се Използват при:

• Изчисляване на Заплатите и Обезщетенията на Персонала;

• Хостване на Данните на Дружеството, в които има Лични Данни на Служители, Клиенти;

X. ПОДДЪРЖАНИ РЕГИСТРИ С ЛИЧНИ ДАННИ

Дружеството Поддържа Следните Регистри с Лични Данни:

• Регистър на Съхранените Лични Данни на Служители;

• Регистър на Клиенти Физически Лица;

• Регистър на Потенциалните Клиенти Физически Лица

XI. ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

Лични Данни се Предават на Следните Получатели:

• НАП във Връзка с Изчисляване на Заплатите на Персонала;

• НОИ във Връзка с Изчисляване на Обезщетенията на Персонала;

• Застрахователни дружества за целите на сключване на здравни застраховки на Персонала;

• Дружество за трудова медицина във връзка със задължение за поддържане на актуален здравен статус на Персонала и осъществяване на периодични медицински прегледи;

• Подизпълнители за изпълнение на договорни задължения;

• Застрахователни дружества, Банки и други финансови институции, във връзка с изпълнението на законовите и договорните задължения на Дружеството, в качеството му на застрахователен брокер;

XII. РЕГИСТРИ ЗА ДЕЙНОСТИ ПО ОБРАБОТКА

Поддържат се Следните Регистри за Дейностите по Обработване на Лични Данни:

• Регистър по Дейностите на Обработка в Качеството на Администратор;

ХIII. ДЕФИНИЦИИ НА ПО-ВАЖНИ ТЕРМИНИ

ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

РЕГИСТЪР С ЛИЧНИ ДАННИ означава всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

ОБРАБОТВАЩ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратор на лични данни.

ПОЛУЧАТЕЛ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

СЪГЛАСИЕ НА СУБЕКТ НА ДАННИ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.

НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

ДАННИ ЗА ЗДРАВОСЛОВНОТО СЪСТОЯНИЕ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.

СПЕЦИАЛНИ КАТЕГОРИИ (ЧУВСТВИТЕЛНИ) ЛИЧНИ ДАННИ означава лични данни, свързани с расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични, биометрични или данни за здравословно състояние, данни за сексуалния живот или сексуалната ориентация на физическо лице.

ПРОФИЛИРАНЕ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

НИВА НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност на Лични Данни:

Ниско – в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.

Средно – в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица.

Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице.

Изключително Високо – в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица.

ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от 3 (три) или повече физически лица.

ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 10 000 (десет хиляди).

ОСОБЕНО ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 1 000 000 (един милион).

ШИРОКОМАЩАБНИ РЕГИСТРИ НА ЛИЧНИ ДАННИ са разпределени масиви с лични данни, чието управление не може да бъде осъществено със стандартните средства за управление на база данни.

ХIV. ПРИЛОЖИМИ ПРОЦЕДУРИ И ДОКУМЕНТИ

Във връзка с изпълнение на Политиката, Дружеството поддържа и прилага следните Процедури, в т.ч. Оперативни Документи, Регистри и Списъци към тях, и Формуляри.

чл.14.1. ПРОЦЕДУРИ, в т.ч. Оперативни Документи, Регистри и Списъци към тях:

1. Подбор на Персонал

2. Обработка на Възнаграждения от Администратор

със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър на Трудовите Договори

• Регистър на Издадените Трудови Книжки

• Регистър на Болничните Листа

• Регистър за Начален Инструктаж

• Структура, Предназначение и Получатели на Данните във Ведомост за Възнаграждения

3. Обработка на Лични Данни, Свързани с Взаимоотношения с Клиенти 

със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър Клиенти, в т.ч. Физически Лица

• Списък на Лицата, Отговорни за Взаимоотношенията с Клиенти

4. Управление на Исканията, Свързани с Обработка на Лични Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Форма за Искане на Субекта на Данните

• Регистър за Дадени Справки и Уведомления за Извършени Действия

5. Избор на Подизпълнител, Обработващ Лични Данни

6. Оценка за Въздействието при Нарушаване Сигурността на Личните Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Протокол от Оценка за Въздействието при Нарушаване на Сигурността

7. Мерки за Защита на Лични Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Списък на Лицата, Отговорни за Възнагражденията

• Списък на Лицата, Отговорни за Взаимоотношенията с Клиенти

8. Унищожаване на Лични Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Протокол за Унищожени Лични Данни 

• Регистър на Протоколите за Унищожаване на Лични Данни

9. Действия при Нарушаване Сигурността на Лични Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър за Нарушенията на Сигурността на Лични Данни

10. Отговорник по Защита на Лични Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Длъжностна Характеристика

• Препоръчителни Клаузи за Договора с Лицето

11. Регистър на Дейностите по Обработка в Роля на Администратор

със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър на Дейностите по Обработка в Роля Администратор

12. Получаване и Оттегляне на Съгласие за Обработка на Лични Данни

със следните Оперативни Документи, Регистри и Списъци към нея:

• Даване на Съгласие

• Декларация за Съгласие – Чувствителни Данни

• Оттегляне на Съгласие

• Искане за Оттегляне на Съгласие за Специални Категории Данни

• Регистър за Дадените и Оттеглените Съгласия

чл.14.2. ОБРАЗЦИ

1. Декларация за поверителност

2. План за Обучение

3. Протокол от Обучение

ХV. ПОДДЪРЖАНЕ АКТУАЛНОСТ НА ПОЛИТИКАТА

Политиката,  в т.ч. процедурите и документите към тях, ще се поддържат актуални

чл.15.1. Когато Дружеството промени:

– предметът си на дейност;

– съществено своя размер – увеличи/намали своя персонал и/или приходи;

– организацията си на дейността;

– използваната сградна инфраструктура и/или броя на локациите на дейността;

– използваната технологична инфраструктура;

– целите, за които се събират лични данни;

– вида на събираните лични данни;

– многократно обема на събирани и обработвани лични данни;

то своевременно ще преоцени, преразгледа и актуализира Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

Политиката, се преглежда за актуалност поне веднъж годишно

чл.15.2. Независимо дали има промени или не в някои от горните обстоятелства, Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се преглежда за актуалност във връзка със законодателни промени или навлезли нови добри практики, минимум веднъж годишно.

Актуализация на Оценката за Нивото на Въздействие при Нарушаване на Сигурност

чл.15.3. Дружеството веднъж на две години прави актуализация на оценката за нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, и ако се установи, че нивата и тежестта на риска са се повишили, без ненужно забавяне, се предприемат мерки за въвеждане на съответстващото им ниво на мерки за защита.

Преглед на Адекватността и Прилагането на Мерките за Защита

чл.15.4. Дружеството прави ежегоден преглед на:

1. адекватността на нивата на мерките за защита, с оглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните техни лични данни;

2. прилагането и ефективността на одобрените мерки за защита,

и ако се установи, че се налага завишаване нивата на защита или че се налагат подобрения в прилаганите мерки за защита, без ненужно забавяне, се предприема необходимото за тяхното завишаване и подобрение.

Приемане и Влизане в Сила на Промени в Политиката и Процедурите към Нея

чл.15.5. Всяка промяна в Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се извършва с нарочна заповед на управителя на Дружеството и влиза незабавно в сила.

    Полетата с * са задължителни

    Заяви безплатна консултация

      Полетата с * са задължителни