Политика за защита на личните данни

1. Кои сме ние?

„Царевец 56“ ЕООД – дружество, регистрирано на територията на Република България, със седалище и адрес на управление: гр. Велико Търново, ул. „Читалищна“ № 21, ЕИК: 202967426, тел.: +359 62 601 885; +359 62 601 886 и email: office@spa-hoteltsarevets.com.


Във връзка с дейността си – хотелиерска дейност – „Дружеството“ обработва данни, някои от които лични данни, според Закона за защита на личните данни и Регламент (ЕС) 2016/679, поради което има качеството администратор на лични данни.
Настоящата политика има за цел да информира потребителите на www.spa-hoteltsarevets.com за начина, по който се обработват техните лични данни, за техните права, методите за защита на лични данни, които използва администраторът, на кого Дружеството има право да предоставя събираните личнни данни, както и методите за упражняване на правата на субектите на данни.


2. Въведение:

GDPR е общият регламент за защита на личните данни (Регламент 2016/679 на Европейския парламент и Съвета). Регламентът чувствително увеличава правата на европейските граждани и съответно възлага повече задължения на организациите, които събират и обработват лични данни. Той влиза в сила на 25.05.2018г и ще се прилага във всички държави членки на Европейския съюз.
Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. Обработването се извършва законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.


3. Цели и обхват на политиката:

С настоящата Политика за защита на личните данни „Царевец 56“ ЕООД отчита поверителността и неприкосновеността на личните данни. В съответствие със законодателството и добрите практики Дружеството прилага изисканите технически и организационни мерки за защита на личните данни на физическите лица.

С настоящата Политиката за защита на личните данни Дружеството цели да информира физическите лица за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните и последиците за отказ за предоставянето им, информация за правото на достъп и коригиране на събраните данни.


4. Речник на понятията:

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„генетични данни“ означава лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното лице;

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенчески характеристики на дадено физическо лице и които позволяват или потвърждават уникална идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„представител“ означава физическо или юридическо лице, установено в Съюза, което назначено от администратора или обработващия лични данни в писмена форма съгласно чл. 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по Регламент (ЕС) 2016/679;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

„надзорен орган“ означава независим публичен орган, създаден от държава членка и отговорен за наблюдението на прилагането на Регламент (ЕС) 2016/679.

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични качества, свързани с физическо лице, и по – конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;


5. Основни принципи свързани с обработването на лични данни, които ние спазваме:

- законосъобразно, добросъвестно и прозрачно обработване на личните данни
- обработване на личните данни за конкретни цели
- свеждане на данните до минимум
- точност и поддръжка в актуален вид
- ограничение на съхранението
- цялостност и поверителност
- отчетност


6. Цел на обработката:

„Царевец 56“ ЕООД обработва личните данни за осъществяване на търговска дейност – хотелиерстка дейност.
Личните данни се събират за конкретни, точно определени от закона цели, трябва да се обработват законосъобразно и добросъвестно. Данните не се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.

Друго главно основание за събиране на лични данни е директен маркетинг. Дружеството събира лични данни, с цел маркетинг и реклама. Данните се събират единствено и само с изрично свободно, ясно и информирано съгласие на потребителя което той е отбелязал при прочитане на настоящата политика за защита на личните данни. Всяко физическо лице, което е дало съгласието си да бъде обект на директен маркетинг на Дружеството, има възможност по всяко време да оттегли съгласието си, по лесен и удобен начин, на принципа на прозрачност, залегнал като основен принцип в Регламента.

Извън рамките на горепосочените цели и във връзка с принципите посочени в чл. 5 от Регламент (ЕС) 2016/679, „Царевец 56“ ЕООД не събира и не обработва други лични данни на своите работници/служители, партньори и клиенти. Дружеството не обработва лични данни с цел автоматизирано вземане на решения, вкл. „профилиране“. Организацията събира данните от субекта на данни.


7. Дружеството обработва лични данни само, когато:

- е получило ясно, свободно, информирано и недвусмислено съгласието от субектите на данни, които предварително са запознати за какво ще се използват личните им данни с настоящата политика;
- когато е налице договорно задължение, с цел изпълнение на договор, като едната страна е физическото лице (когато Дружеството обработва данни на своите работници/служители) и за упражняване, установяване и защита на права и законни интереси;
- когато обработването е необходимо за изпълнение на задача, изпълнявана от обществен интерес (съгласно законодателството на ЕС или националното законодателство);
- е получило изрично съгласие от физическото лице, с цел директен маркетинг (напр. изпращане на имейл реклама).


8. Какви данни се събират и обработват:

Важно: „Царевец 56“ ЕООД не събира и не обработва чувствителни лични данни на своите клиенти и потребители на сайта www.spa-hoteltsarevets.com.

Важно: „Царевец 56“ ЕООД не съхранява данни за банкови карти на своите клиенти и потребители на сайта www.spa-hoteltsarevets.com.

Данните, които се събират и обработват са:

Име и фамилия на клиента - с цел идентифициране на подателя;
Електронен адрес - за бърза и лесна кореспонденция;
Телефонен номер - за директна връзка със субекта на данни;

Подателят на лични данни има право да не споделя всички изисквани от него лични данни. В случаите, в които тези лични данни са необходими за изпълнение на конкретна услуга, определена специализирана функция или ефективен отговор на дадено запитване (изкл. директен маркетинг) - „Царевец 56“ ЕООД не би могъл да изпълни заявката, поради липса на данни, за което потребителят е изрично уведомен, чрез политиката за лични данни.

Когато във връзка с дейността на Дружеството се налага да се обработват или съхраняват данни на лица под 18-годишна възраст, това става чрез изричното съгласие на родителя/настойника.


9. Получатели на лични данни, пред които Дружеството има право да разкрие данните:

Фирмата предоставя личните данни на компетентните държавни органи и институции, когато това се изисква от законодателството на страната и в съответствие с определените в него правила (например: Национална агенция за приходите, Национален осигурителен институт, Агенция по заетостта, съдебни правораздавателни и разследващи органи, здравни заведения и др.). Също така предоставя личните данни на физическите лица на счетоводни къщи, банкови институции, HR агенции и мобилни оператори за законоустановени цели или такива, посочени в договор, сключен с лицата.

Личните данни на потребителите на www.spa-hoteltsarevets.com не се предоставят на трети лица, извън рамките на законовите изисквания. Организацията не предоставя личните данни на страни, извън рамките на Европейския съюз.


10. Права на физическите лица-субекти на данни:

Предприетите мерки за защита на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679, са насочени към осигуряване защита на правата на субектите на лични данни, а именно:

- Право на достъп;
- Право на коригиране на неточни или непълни данни;
- Право на изтриване (правото „да бъдеш забравен“), ако са приложими условията на чл. 17 от Регламент (ЕС) 2016/679;
- Право на ограничение на обработването;
- Право на преносимост на данните, ако са налице условията за преносимост по чл. 20 от Регламент (ЕС) 2016/679;
- Право на възражение, ако са налице условията на чл. 21 от Регламент (ЕС) 2016/679;
- Право на жалба до Комисия за защита на личните данни или Районен съд
- Право субектът на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;


Когато се обработват лични данни за целите на директния маркетинг, потребителят има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг. Потребителят се уведомява предварително за съществуването на правото на възражение, което му се предоставя, чрез уведомление по ясен начин и отделно от всяка друга информация.


11. Срок на съхранение на данните:

Като администратор на лични данни „Царевец 56“ ЕООД обработва данни за период съгласно предвиденото в действащото законодателство и в съответствие с принципа за ограничаване на съхранението.
Останалите данни се съхраняват в различни срокове, според вида на данните, определящи законовото задължение за обработването, включително съхраняването им.

Критериите за съхранение са:

- при подаване на данни за резервация – данните се пазят 5 години от извършването на съответната резервация.
- данни за регистъра за настанените туристи по смисъла на чл. 116 от Закона за туризма - данните се пазят съгласно срока предвиден в Закона за туризма и подзаконовата нормативна уредба ред.
- при подаване на данни от контактна форма – данните се пазят 2 години или докато подателят не получи удовлетворяваща изискванията му услуга.
- финансово-счетоводни документи и фактури – данните се пазят до 10 години.
- личните данни на работниците/служителите на „Царевец 56“ ЕООД – се съхраняват и обработват за по-дълъг срок с оглед изискването на Закон за счетоводството.
- при видеонаблюдение на обекта – данните се пазят 2 месеца.


12. Отговорност на Дружеството за защита на личните данни:

Във връзка с отговорността на администратора на лични данни въведена с Регламент (ЕС) 2016/679 и Закон за защита на личните данни, и за осигуряване на адекватна защита на данните, Дружеството прилага всички необходими организационни и технически мерки за защита на личните данни на физическите лица. С цел максимална сигурност при обработка, пренос и съхранение на лични данни, организацията използва механизми за защита на данните съхранявани както в електронен вид, така и на хартиен носител.

Компютърен достъп през локалната мрежа към файлове, съдържащи лични данни, се осъществява само от служители на „Царевец 56“ ЕООД или от длъжностното лице по защитата на данните, оторизиран с регламентирани права, единствено от тяхното физическо работно място, от специално определения за целта компютър и след идентификация чрез име и парола към системата. При приключване на работното време служителите изключват локалния си компютър.

С цел повишаване сигурността на достъпа до информация, служителите задължително променят използваните от тях пароли на определен от „Царевец 56“ ЕООД период, не по-дълъг от 2 месеца. За осъществяване на функциите по защита на данните, Дружеството използва изцяло лицензирана операционна система. Всякакъв друг софтуер с нелицензиран произход е забранено да се използва.
Инсталирането на програмни продукти на служебните компютри става единствено от специализирано за целта лице – IT-специалист.


13. Промени в политиката:

Дружеството има право да актуализира, изменя и допълва политиката за защита на личните данни по всяко време в бъдеще, когато обстоятелствата го налагат.


14. Данни за контакт с администратора на лични данни:

адрес: гр. Велико Търново, ул. „Читалищна“ № 21
телефон за връзка: +359 62 601 885; +359 62 601 886
eлектронна поща: office@spa-hoteltsarevets.com


15. Надзорен орган по защита на данните:

Надзорният орган по защита на данните на национално ниво е Комисия за защита на личните данни. Тя следи за правилното прилагане на Регламент (ЕС) 2016/679, като всяко физическо лице, което счете, че са нарушени неговите права във връзка с обработването на личните му данни, може да подаде жалба до Комисията на следния адрес:

адрес: гр. София, ул. “Проф. Цветан Лазаров” № 2
телефон: 02/91-53-555
електронна поща: kzld@cpdp.bg
Интернет страница: http://www.cpdp.bg

 

За правилното функциониране на този уеб сайт се използват бисквитки(cookies). Запознах се с политика за използване на „бисквитки“ и приемам условията.