ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗА БИСКВИТКИТЕ
I. ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) Институт по транспортнa инфраструктура ООД (наричано по-долу за краткост „Дружеството“) е дружество, регистрирано в Търговския регистър при Агенцията по вписванията с ЕИК 202117100, със седалище и адрес на управление: Р. България, гр. София, р-н Сердика, ул. Илиянци No 78, с основен предмет на дейност: консултантска дейност в областта на строителството.
(2) Дружеството е администратор на лични данни, като обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им.
Чл. 2. Настоящата политика за поверителност и за бисквитките („Политиката“) предоставя информация за личните данни, които Дружеството обработва и за условията и реда, по който физическите лица, чиито лични данни се обработват, упражняват правата си.
Чл. 3. За целите на настоящата Политика:
1. „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2. „обработване” означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3. „ограничаване на обработването” означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
4. „псевдонимизация” означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
5. „регистър с лични данни” означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
6. „администратор” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
7. „обработващ лични данни” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
8. „получател” означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели”; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
9. „трета страна” означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
10. „съгласие на субекта на данните” означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
11. „нарушение на сигурността на лични данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
12. „надзорен орган” означава независим публичен орган, създаден от държава членка съгласно член 51 от Общия регламент относно защитата на данните.
Чл. 4. Принципите, свързани с обработването на личните данни са:
1. принцип на законосъобразност, добросъвестност и прозрачност на обработването на лични данни – събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;
2. принцип на свеждане на данните до минимум, както и на ограничение на целите и съхранението – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват за период не по-дълъг от необходимото за целите за които се обработват личните данни;
3. принцип на точност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се обработват;
4. принцип на цялостност и поверителност – личните данни трябва да се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобрано обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
Чл. 5. Лични данни на физическите лица, посетители на сайта https://conferenceroad.bg/ се обработват в подрегистър „Посетители“.
II. ПОДРЕГИСТЪР „ПОСЕТИТЕЛИ“
Чл. 6. (1) В подрегистър „ПОСЕТИТЕЛИ” се обработват следните категории лични данни:
1. име и фамилия;
2. имейл;
3.адрес;
4. пол;
5. телефон;
6. IP адрес – местоположение;
7. IBAN (при плащане на такса участие в конференция).
(2) Данните се обработват с за целите на регистрация за участие в XVI Национална конференция по транспортна инфраструктура с международно участие.
Чл. 7. Личните данни се обработват на електронен носител. Личните данни се набират от самите потребители в специално разработен софтуер за регистрация за участие в конференцията. Данните се съхраняват за период от една година, считано от датата на започване на регистрацията . След изтичане на срока за съхранение и при положение, че няма документи, подлежащи на предаване в Държавния архив, всички носители на данни от регистъра се унищожават чрез подходящ метод, вкл. и изтриване на резервните електронни копия.
Чл. 8. (1) Администраторът възлага обработването на личните данни на лица, назначени по трудово правоотношение. Правата и задълженията на отделните лица, обработващи данните, се посочват в съответната длъжностна характеристика.
(2) Достъпът до лични данни се дава и на трети лица Академика Сий Палас АД, оперираща хотела, в който се провежда Конференцията.;
(3) Достъп до лични данни се дава на юрисконсулт или адвокат, във връзка със защитата на правата на Дружеството при спор между страните и/или необходимост от консултация.
(4) Достъп до лични данни на лице се дава на трети лица по разпореждане на съд и/или на основание конкретен нормативен акт.
Чл. 9. (1) Дружествптп използва „бисквитки“. Бисквитките са малки пакети информация, изпращани от страниците на уеб сайта към браузера на потребител и се съхраняват на неговото устройство.
(2) Дружеството използва два вида бисквитки: необходими и функционални.
Чл. 10. Необходимите бисквитки отличават потребителите на сайта от ботовете.
№ по ред | Наименование на бисквитката | Доставчик | Тип | Срок за съхранение |
1 | rc::c | google.com | HTML | До изтичане на сесията |
Чл. 11. (1) Фукционалните бисквитки позволяват на уебсайта да разбира как посетителите взаимодействат с други уебсайтове посредством анонимно събиране и отчитане на информацията.
(2) Функционалните бисквитки, които Дружеството използва – негови и на трети страни-партньори, са следните:
№ по ред | Наименование на бисквитката | Доставчик | Тип | Срок за съхранение | Място на съхранение |
1 | _ga | conferenceroad.bg | HTTP | 2 години | България |
2 | _gat | conferenceroad.bg | HTTP | 1 ден | България |
3 | _gid | conferenceroad.bg | HTTP | 1 ден | България |
4 | collect | google-analytics.com | Pixel | С изтичането на сесията | САЩ |
5 | Pll_language | conferenceroad.bg | HTTP | 1 година | България |
Чл. 12. Дружеството използва следните уебсайтове и техни бисквитки, като видът и наименованието на бисквитките и мястото и срокът за съхранение на долуизброените трети лица е посочен в горните таблици:
III. ПРАВА НА СУБЕКТИТЕ НА ДАННИ И РЕД ЗА УПРАЖНЯВАНЕТО ИМ
- Google Analytics – услуга за уеб анализ, предлагана от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA, което като използва бисквитки, запаметени на компютъра на потребителя, за да направи възможен анализа на използването на сайта от потребителите. Информацията за използването на този сайт, придобита чрез бисквитки, се предава и съхранява от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA (обработващ данните) на сървъри, разположени в САЩ. Данните, които достигат до Google Analytics са псевдонимизирани на електронната платформа на дружеството по чл. 11, ал. 1 от настоящата Политика. По силата на договорното си правоотношение с Google LLC. Дружеството му възлага да използва тази информация, за да оцени използването на сайта, за съставяне на уеб-активности и предоставяне на оператора на сайта на други услуги, свързани с използването на сайта и използването на интернет към сайта на Дружеството. Google LLC. няма да свързва IP адреса, изпратен от браузъра на потребителя чрез Google Analytics с други данни, съхранявани от Google LLC. Google LLC обработва данните при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”.
Чл. 13. Субектите на лични данни имат следните права относно техните лични данни:
1. право на достъп;
2. право на коригиране;
3. право на преносимост на данните;
4. право на изтриване (право „да бъдеш забравен“);
5. право да се иска ограничаване на обработването;
6. право на възражение срещу обработването на лични данни;
7. право на субекта да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.
Чл. 14. (1) Всяко едно физическо лице, субект на лични данни, има право да получи информация за администратора на лични данни, както и за обработването на личните му данни. Тази информация включва:
1. данни, идентифициращи администратора, както и негови координати за връзка, включително координатите за връзка с длъжностното лице по защита на данните;
2. целите и правното основание е за обработването;
3. получателите или категориите получатели на личните данни, ако има такива;
4. намерението на администратора да предаде личните данни на трета страна (когато е приложимо);
5. срока на съхранение на личните данни;
6. съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова);
7. информация за всички права, които субектът има;
8. правото на жалба до надзорния орган.
(2) Информацията по ал. 1 не се предоставя, ако субектът на данни вече разполага с нея.
(3) При отправяне на искане за информация от субект на данни по реда на ал. 1, Дружеството заедно с длъжностното лице по защита на данните по чл. 23 от Политиката извършва необходимата проверка и предоставя отговор с изискуемата информация в срок до 14 (четиринадесет) дни, но не по-късно от 30 (тридесет) дни от датата на получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Искането съдържа идентификация на лицето (три имена и ЕГН за български граждани, а за всички останали лица- граждани на други държави-членки на ЕС – имена и дата на раждане), описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата, имейл, адрес за кореспонденцията и пълномощно, когато заявлението се подава от упълномощено лице. Дружеството не е задължено да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните. Искането се завежда в отделен входящ регистър на Дружеството и може да бъде подадено по един от следните начини: а) по електронен път на следния имейл: office@institute-tsi.com б) на място в офис на Дружеството, находящ се в гр. София, ул. Илиянци №78
(4) Информацията по ал. 1 се предоставя в едно копие на субекта на данни безплатно. За допълнителни копия, поискани от субекта на данни или при прекомерни искания на субекта, особено поради своята повторяемост, Дружеството може да наложи разумна такса в размер на направените административни разходи.
(5) При предоставяне на копие от лични данни Дружеството не може да разкрива следните категории данни:
1. лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това;
2. данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация;
3. друга информация, която е защитена, съгласно приложимото законодателство.
(6) Основателността и прекомерността на дадено искане се преценява отделно за всеки случай от Дружеството.
(7) При отказ за предоставяне на достъп до лични данни Дружеството аргументира отказа си и информира субекта на данни за правото му да подаде жалба до надзорния орган.
Чл. 15. (1) Субектите на данни могат да поискат личните им данни, обработвани от Дружеството, да бъдат коригирани в случай, че последните са неточни или непълни.
(2) При удовлетворено искане за коригиране на лични данни Дружеството уведомява получателите на данни, на които са били разкрити такива.
(3) Правото по ал. 1 се упражнява чрез отправяне на искане по реда на чл. 14, ал. 3 от Политиката.
Чл. 16. (1) Всяко едно физическо лице, субект на лични данни, има право да поиска изтриване на данните си, т.нар. „право да бъдеш забравен“, ако е налице едно от следните условия:
1. личните данни на лицето повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
2. субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няам друго правно основание за обработването;
3. субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
4. личните данни са били обработвани незаконосъобразно;
5. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава-членка, което се прилага спрямо администратора;
6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.
(2) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 14, ал. 3.
Чл. 17. (1) Всяко едно физическо лице, субект на лични данни, има право да ограничи обработването на личните си данни от администратора, но за целта са необходими конкретни условия, сред които:
1. точността на личните данни се оспорва от субекта на данни;
2. обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
3. администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
4. субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
(2) В случаите по ал. 1, т. 1 ограничаването на обработването е за срок, който позволява на администратора да провери точността на личните данни.
(3) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 14, ал. 3.
Чл. 18. (1) Всяко физическо лице, субект на лични данни, има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.
(2) Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
(3) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 14, ал. 3.
Чл. 19. (1) Субектът на данните има право да възрази срещу обработване на негови лични данни от Дружеството ако данните се обработват на едно от следните основания:
1. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
2. обработването е необходимо за цели, свързани с легитимните интереси на Дружеството или на трета страна;
3. обработването на данни включва профилиране.
(2) Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Чл. 20. (1) Всяко физическо лице, субект на лични данни, има право да бъде уведомено, а Дружеството е задължено да уведоми субекта в случай на нарушение на сигурността на личните му данни и когато има вероятност това нарушение да породи висок риск за правата и свободите на субекта на данни.
(2) Уведомяването по ал. 1 следва да бъде извършено без ненужно забавяне след откриването му и да съдържа описание на естеството на нарушението на сигурността на личните данни, като се посочват естеството на нарушението, име и координати за връзка с длъжностното лице по защита на данните, последиците от нарушението и предприетите мерки от Дружеството за справяне с нарушението и за намаляване на евентуалните неблагоприятните последици.
Чл. 21. В случай на нарушаване на правата Ви или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, адрес: 1592 гр. София, бул. „Проф. Цветан Лазаров“ № 2, тел. : тел. 02/91-53-518, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg