ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА РОЗЕТА ТУРС АД
Раздел I.
ПРЕДМЕТ, ЦЕЛ и обхват
1.1. “РОЗЕТА ТУРС” АД е търговец и доставчик на туристически услуги и като такъв е администратор на лични данни. Дружеството обработва личните данни самостоятелно или чрез възлагане на обработващ данните, като осигурява спазването на изискванията на Закона за защита на личните данни (ЗЗЛД), приложимото европейско законодателство (Регламент 2016/679 на Европейския парламент и на Съвета и свързани с него документи), подзаконовите нормативни актове относно защитата на личните данни, нормативната уредба в областта на туристическия отрасъл и на създадената вътрешна нормативна уредба за работа с лични данни.
1.2. Настоящата Политика за защита на личните данни на “РОЗЕТА ТУРС” АД (Политиката) определя основните принципи и правила, свързани с обработването на лични данни, правата на субектите на данни, задълженията и отговорността на “РОЗЕТА ТУРС” АД , като администратор на данни, съответно на служителите му, като оператори на данни, функциите на длъжностното лице по защита на личните данни и поддържаните от “РОЗЕТА ТУРС” АД регистри на лични данни.
1.3. Политиката е част от цялостна система от вътрешни документи, технически и организационни мерки, които “РОЗЕТА ТУРС” АД прилага, с цел да гарантира, че неговите служители, консултанти и всички други физически и юридически лица, които чрез възлагане, обработват лични данни, от името на “РОЗЕТА ТУРС” АД , стриктно ще спазват изискванията на приложимото европейско и национално законодателство и на вътрешните правила, като по този начин ще гарантират правото на физическите лица на защита на личните им данни.
1.4. Принципът за защитата на личните данни е един от принципите на етично и бизнес поведение, към които “РОЗЕТА ТУРС” АД се придържа. Спазването на принципа за защита на личните данни е задължение и отговорност на всеки служител и се споделя от всички структурни звена и йерархични нива в “РОЗЕТА ТУРС” АД. Настоящата политиката развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.
1.5. Нарушението на сигурността на личните данни може да доведе до висок риск за правата на засегнатите физическите лица и да има значителни негативни последици, както за “РОЗЕТА ТУРС” АД и нейните акционери, така и за нейните служители, нарушили изискванията на приложимата вътрешна и външна нормативна уредба. Поради това всяко неспазване на тази Политика се третира като сериозно нарушение и действие, което уронва престижа на “РОЗЕТА ТУРС” АД и подкопава доверието в нея.
Раздел II.
Определения
2.1. „Лични данни” са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“).
Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2.2. „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни, чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване, чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
2.3. „Регистър на лични данни“ e всеки структуриран набор от лични данни, достъпът до които се осъществява, съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен, съгласно функционален или географски принцип;
2.4. „Съгласие на субекта на данните“ е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
2.5. „Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
2.6. „Администратор на лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която, сама или съвместно с други, определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз (ЕС) или в правото на държава членка;
2.7. „Обработващ лични данни“ е физическо или юридическо лице, което обработва лични данни, от името на администратора на лични данни;
2.8. „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни, в рамките на конкретно разследване, в съответствие с правото на ЕС или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните, съобразно целите на обработването.
Раздел III.
ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
3. “РОЗЕТА ТУРС” АД обработва личните данни при спазване на следните принципи:
3.1. Законосъобразност, добросъвестност и прозрачност
Дружеството обработва личните данни законосъобразно, добросъвестно и по прозрачен начин, по отношение на субектите на данните.
3.1.1. Законосъобразност
Всяко обработване на лични данни от “РОЗЕТА ТУРС” АД (от нейните служители, консултанти и други оператори от името на “РОЗЕТА ТУРС” АД ) се основава на валидно правно основание и се осъществява при спазване на външната и вътрешна нормативната уредба. Спрямо правните основания се прилага принципа на алтернативност.
Законосъобразно е обработването на данните, ако:
3.1.1.1. е необходимо за спазването на законово задължение, което се прилага спрямо дейността на “РОЗЕТА ТУРС” АД ;
3.1.1.2. субектът на данните е дал съгласие за обработване на личните му данни, за една или повече конкретни цели, по смисъла на Раздел II, т. 2.4, чрез предоставяне, на Дружеството, на съответните писмени документи и/или чрез други действия и технически способи (включително по електронен път);
3.1.1.3. е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки, по искане на субекта на данните, преди сключването на договор (такива са – договора за предоставяне на туристическа /хотелиерска/ услуга, договора с туроператор, трудов договор и др.);
3.1.1.4. за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
3.1.1.5. за изпълнението на задача от обществен интерес или при изпълнението на действия по силата на законов или подзаконов нормативен акт (включително обработване, свързано с предоставяне на информация на орган на власт);
3.1.1.6. за целите на легитимните интереси на “РОЗЕТА ТУРС” АД или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
3.1.2. Законосъобразност на обработването на данни по отношение на лицата, ползващи туристически услуги, като субекти на данни:
“РОЗЕТА ТУРС” АД обработва лични данни на лицата, ползващи туристически услуги в изпълнение на законовите си задължения, на основание на:
3.1.2.1.Закона за туризма и всички други законови и подзаконови нормативни актове, приложими за дейността, като за целта сключва:
3.1.2.1.1.Договор с туроператор;
3.1.2.1.2.Договор за директно продажба на туристическа услуга и съпътстващите ги допълнителни услуги.
3.1.2.2.Документи, информация и данни за лица, потребители на туристически услуги от други доставчици на туристически услуги, във връзка с дейността на “РОЗЕТА ТУРС” АД и в изпълнение на нормативни изисквания;
3.1.2.3.Искане от орган на власт за предоставяне на лични данни на лица, ползващи туристически услуги, по силата на задължение, регламентирано в законов или подзаконов нормативен акт.
3.1.3.Законосъобразност на обработването на данни по отношение на служителите, като субекти на данни:
“РОЗЕТА ТУРС” АД обработва лични данни на своите служители на основание приложимото трудово, осигурително и данъчно законодателство, в качеството й на работодател (осигурител) и във връзка с дейността по сключването и изпълнението на трудовите договори.
3.1.4.Законосъобразност на обработването на данни по отношение на контрагентите на дружеството, като субекти на данни:
“РОЗЕТА ТУРС” АД обработва лични данни на своите контрагенти – физически лица и на представители на юридически лица на основание приложимото гражданско и търговско законодателство, както и данъчно и осигурително такова, в качеството й на възложител (осигурител) и във връзка с дейността по сключването и изпълнението на договорите и възникнали други граждански правоотношения.
3.1.5.Законосъобразност на обработването на данни по отношение на акционерите на дружеството и неговите органи на управление, като субекти на данни:
“РОЗЕТА ТУРС” АД обработва лични данни на своите акционери – физически лица и на представители на органите на управление на дружеството на основание приложимото гражданско и търговско законодателство.
3.1.6. Добросъвестност и прозрачност
В изпълнение на принципа на прозрачност при обработването на лични данни, “РОЗЕТА ТУРС” АД информира потребителите на туристически услуги, служителите си, контрагентите си и другите лица, субекти на данни, по подходящ, ясен и разбираем начин, за дейността по събиране и обработване на личните им данни, от страна на “РОЗЕТА ТУРС” АД и за техните права във връзка със защитата на личните им данни, включително чрез информация на интернет страницата си – www.historicaltours.bg
“РОЗЕТА ТУРС” АД оказва съдействие на субектите на данни за упражняване на техните права. Служителите и други лица от името на “РОЗЕТА ТУРС” АД , в качеството им на обработващи лични данни, са информирани за правата на лицата, като субекти на лични данни и се задължават да им предоставят информация, и да им оказват съдействие по реда на раздел VI.
3.2. Ограничение на целите
“РОЗЕТА ТУРС” АД събира лични данни за конкретни, изрично указани в съответните нормативни актове, и/или договори и/или други документи и формуляри, легитимни цели и не ги обработва по-нататък по начин, несъвместим с тези цели.
3.3. Свеждане на данните до минимум
“РОЗЕТА ТУРС” АД обработва лични данни, които са подходящи, свързани със и ограничени до необходимото с оглед целите, за които се обработват.
3.4. Точност
“РОЗЕТА ТУРС” АД събира и обработва точни лични данни и предприема всички разумни мерки, за да се гарантира своевременното коригиране или изтриване на неточни такива, като се имат предвид целите, за които те се обработват.
“РОЗЕТА ТУРС” АД полага усилия да поддържа личните данни в актуален вид. В изпълнение на принципа за точност на събраните данни и с цел да изпълни коректно задълженията си към лицата, “РОЗЕТА ТУРС” АД ги насърчава да я информират за промяна на техни лични данни и им оказва съдействие за актуализирането на данните им.
3.5. Ограничение на съхранението
“РОЗЕТА ТУРС” АД съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните, за период, не по-дълъг от определения с нормативен акт, а ако такъв няма, за период не по-дълъг от необходимото за целите, за които се обработват личните данни.
След постигане целта на обработване на личните данни или след изтичане на определен в нормативен акт срок на съхранение “РОЗЕТА ТУРС” АД в качеството си на администратор, е длъжно да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това Комисията за защита на личните данни (КЗЛД), ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
3.5.1. Съхранение на лични данни на потребители на туристически услуги
Съгласно общото гражданско и търговско законодателство “РОЗЕТА ТУРС” АД съхранява за целия срок не по-кратък от 5 години, считано от прекратяването на съответното правоотношение, касаещо потребителя, оригиналните документи, на хартиен носител и електронните документи.
3.5.2 Съхранение на лични данни на служителите
Съгласно изискванията на Кодекса на труда, ДОПК, Закона за счетоводството и Наредбата за трудовата книжка и трудовия стаж, “РОЗЕТА ТУРС” АД съхранява, за срок не по-кратък от 3 години, считано от прекратяването на съответното трудово правоотношение, на хартиен и/или електронен носител, трудовите досиета, а за документите, удостоверяващи изплатените възнаграждения на служителите /ведомости/ – за срок не по-кратък от 50 години.
3.5.3 Съхранение на лични данни на контрагенти
Съгласно изискванията на общото гражданско и търговско законодателство “РОЗЕТА ТУРС” АД съхранява, за целия срок на действието им, договорите с контрагентите и свързаните с тях документи, на хартиен и/или електронен носител – за целия срок не по-кратък от 5 години, считано от прекратяването на съответното правоотношение.
3.5.4 Съхранение на лични данни на акционери и ръководителите от органите на управление на дружеството
Съгласно изискванията на общото гражданско и търговско законодателство “РОЗЕТА ТУРС” АД съхранява, за целия срок на действието им, издадените книги на акционерите, респективно информацията на ръководителите и кандидатите за членове на органите на управлението на дружеството и свързаните с тях документи, на хартиен и/или електронен носител – за целия срок не по-кратък от 5 години, считано от провеждането на съответното общо събрание, респективно от заличаване на избора от Търговския регистър.
3.6. Цялостност и поверителност
“РОЗЕТА ТУРС” АД обработва личните данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.
3.7. Отчетност
“РОЗЕТА ТУРС” АД носи отговорност за спазването на принципите, изложени в този раздел и изисква тяхното спазване от своите служители и всички физически и юридически лица, които обработват лични данни, от името на “РОЗЕТА ТУРС” АД и по нейно възлагане.
Раздел IV.
ЛИЧНИ ДАННИ, КОИТО “РОЗЕТА ТУРС” АД ОБРАБОТВА
4. Лични данни в зависимост от източника на данните:
4.1. Лични данни, които са предоставени от субектите на данни
“РОЗЕТА ТУРС” АД обработва лични данни, които са предоставени от субекта на данните чрез заявление, договор, чрез друг документ по инициатива на лицето, с цел изпълнение на дейност, поискана от субекта на данни, или във връзка с упражняване на права.
Какви лични данни събира Дружеството за Вас?
За да Ви предостави ефективен достъп до нашите продукти/услуги, Дружеството събира следната информация за Вас:
Дружеството събира лични данни и след получено изрично, ясно, свободно и недвусмислено съгласие от Вас за целите на обработването – чл. 6, пар. 1-ви, б. „а“ от ОРЗД. Например за маркетингови цели и получаване на рекламни бюлетини.
Съгласието за обработване на личните Ви данни се предоставя чрез съответното маркиране на бутон на нашата Уебстраница, включително и за получаване на маркетингови съобщения и известия.
Съгласието, което предоставяте може винаги да бъде оттеглено чрез изпращане на писмено заявление на следния имейл адрес: gdpr@historicaltours.bg Съгласието, изразено чрез маркиране на бутона за получаване на маркетингови съобщения и известия, може да бъде оттеглено винаги, като върнете отговор на полученото търговско съобщения на Вашата електронна поща.
Получените от Вас лични данни ще бъдат използвани, за да можем да изпълним задълженията си към Вас, както и да помогнем за изпълнение на Ваши права, включително, но не само:
За да Ви предоставим услугите по хотелско настаняване при условията на Закона за туризма, в това число:
• За реализиране на заявяване и потвърждаване на резервация, “РОЗЕТА ТУРС” АД събира и обработва следните видове данни:
а/ При резервация, направена чрез нашия уеб-сайт или чрез платформа на наш партньор (например Booking.com): – Име и фамилия на лицето за контакт; e-mail адрес, адрес и телефон на лицето за контакт;
б/ При резервация по телефон: – телефон за обратна връзка и e-mail адрес за потвърждение на резервацията – Име и фамилия на лицето за контакт;
• За целите на настаняването на гости в места за настаняване Администраторът обработва и съхранява следните данни:
Данни за физическа идентичност – имена (на кирилица – за български граждани и на латиница – за чужди граждани или граждани на ЕС, съгласно данните в националния документ за самоличност), ЕГН / ЛНЧ или друг идентификационен номер,
данни от документ за самоличност, включително пол, гражданство, дата на раждане, номер на документа за самоличност, издаващ орган и държава на издаване;
Данните, които се събират за целите на регистрацията в хотела, се събират на основание чл. 6, пар. 1, б. „в“ от ОРЗД – за изпълнение на законово задължение, което се прилага спрямо Администратора, а именно – л. 116, ал.2 от Закона за туризма – за целите на воденето на регистър за настанените туристи.
Личните данни, събрани за целите на организирането на корпоративни или лични събития се съхраняват за срок от 5 + 1 години (т.е. общо шест години), съгласно законоустановения в Република България давностен срок за предявяване на правни претенции.
Електронен (E-mail) бюлетин и директна реклама
Когато изпратите запитване през нашия сайт или по имейлl (за ценови условия, за резервация, за уточнение относно вече направена резервация, за провеждане на събитие и/или други въпроси свързани с предоставените от нас услуги) Вие давате Вашето съгласие “РОЗЕТА ТУРС” АС, да съхранява и обработва личните данни, предоставени от Вас за целите на отправеното запитване. След изпращане на запитването си, Вие ще получите от “РОЗЕТА ТУРС” АС и предложение, да дадете своето съгласие, да обработваме Ваши данни за следните цели:
Давайки съгласието си за обработване на Ваши данни за целите на директния маркетинг, Вие не само ще получавате актуална информация за нашите най-атрактивни предложения, но и ще допринесете за подобряване на нашите услуги. Ако получим Вашето съгласие, ние ще Ви представяме информация относно преференциални условия и оферти, както и широк набор от продукти и услуги или ще насочваме вниманието Ви към тези от тях, които могат да Ви бъдат интересни. Тази информация може да съдържа справки относно специални оферти, нови продукти и нови услуги.
По какъв начин обработваме личните Ви данни?
За да предостави продукти и услуги, Дружеството обработва (събира) предоставените от Вас лични данни, относно физическата и икономическата Ви идентичност по следните начини:
4.2. Лични данни, които не са предоставени от субектите на данни
В предвидените от закона случаи и когато това е свързано със законови задължения на “РОЗЕТА ТУРС” АД , в качеството му на субект на гражданското и търговското законодателство, то обработва лични данни на лица, които получава от съответните компетентни държавни органи или от други дружества.
4.3.Лични данни, в зависимост от вида на данните (специални категории лични данни)
4.3.1. “РОЗЕТА ТУРС” АД не обработва специални категории лични данни, с изключение на:
4.3.1.1.данни за здравословното състояние на своите служители:
4.3.1.1.1.във връзка с изпълнение на законови изисквания, при тяхното назначаване;
4.3.1.1.2.за целите на трудовата медицина и здравословните и безопасни условия на труд;
4.3.1.1.3.във връзка с упражняване на правата им при временна неработоспособност;
4.3.1.1.4.във връзка с упражняване на правата им при трайно намалена работоспособност.
4.3.1.2.данни за здравословното състояние на потребители на туристически услуги, предоставени от тях в изпълнение на договорни изисквания за упражняване на права, предпочитания и интереси.
Раздел V.
ИНФОРМАЦИЯ, ПРЕДОСТАВЯНА ОТ СТРАНА НА “РОЗЕТА ТУРС” АД ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
5.1. В случаите, когато “РОЗЕТА ТУРС” АД получи лични данни от субект на данни му предоставя информация за:
5.1.1. Данните, които идентифицират “РОЗЕТА ТУРС” АД и нейните представляващи;
5.1.2. Координати за връзка с длъжностното лице по защита на данните;
5.1.3. Целите на обработването на личните данни и правното основание за обработване, когато това е приложимо;
5.1.4. Получателите или категориите получатели, на които могат да бъдат разкрити данните;
5.1.5. Информация, дали предоставянето на лични данни е задължително, или договорно изискване, или е необходимо, с цел сключване на договор или с цел изпълнение на дейност, поискана от субекта на данни, (т.е. има доброволен характер) и последиците от отказ за предоставянето им;
5.1.6. Информация за правото на достъп и правото на коригиране на събраните данни;
5.1.7 Срока, за който се съхраняват данните или критериите, които определят периода на съхранение;
5.1.8. Правото на жалба до компетентен орган.
5.2. Данните, посочени в т. 5.1. се предоставят и когато личните данни не са получени от физическото лице, за което се отнасят, освен ако физическото лице, за което се отнасят данните вече разполага с тази информация.
5.3. Когато личните данни не са получени от субекта на данните, “РОЗЕТА ТУРС” АД е длъжна да предостави на субекта на данни при поискване всякаква налична информация за техния източник.
5.4. Точки 5.1 до 5.3 от настоящия раздел не се прилагат, в случаите, когато личните данни не идват от субекта на данните, но получаването или разкриването им е изрично разрешено от правото на ЕС или българското законодателство и в което се предвиждат подходящи мерки за защита на легитимните интереси на субекта на данните.
Раздел VI.
ЗАДЪЛЖЕНИЕ НА “РОЗЕТА ТУРС” АД ЗА СЪДЕЙСТВИЕ НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ ПРИ ОСЪЩЕСТВЯВАНЕ НА ПРАВАТА ИМ
6.1. “РОЗЕТА ТУРС” АД е длъжна да предоставя прозрачно и достъпно на субектите, чиито лични данни обработва, информация за правата им, писмено, устно или по друг начин, при поискване от тяхна страна и след като се идентифицират.
6.2. “РОЗЕТА ТУРС” АД съдейства за упражняване на правата на субекта, чиито лични данни обработва, посочени в раздел VII и не може да откаже да предприеме действия по негово искане за упражняване на правата му, освен ако не е в състояние да го идентифицира;
6.3. “РОЗЕТА ТУРС” АД предоставя на субекта на данни информация относно действията, предприети по негово искане относно упражняване на правата му, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. “РОЗЕТА ТУРС” АД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.
6.4. Когато субектът на данни подава искане чрез електронни средства по възможност, информацията се предоставя по идентичен начин, освен ако субектът на данни не е поискал друго. Правото му да получи копие от информация или достъп до личните си данни чрез отдалечена достъпна защитена система не трябва да засяга, неблагоприятно, правата и свободите на другите субекти, чиито данни се обработват.
6.5. Ако “РОЗЕТА ТУРС” АД не предприеме действия по искането на субекта на данни, тя го уведомява, без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до Комисията за защита на личните данни (КЗЛД) и търсене на защита.
6.6. Информацията, предоставяна на субекта на данни, по негово искане и всяка комуникация и действия, свързани с упражняване на правата му, се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, “РОЗЕТА ТУРС” АД може:
а) да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията, или предприемането на исканите действия, или
б) да откаже да предприеме действия по искането.
6.7. Когато “РОЗЕТА ТУРС” АД има основателни съмнения във връзка със самоличността на физическото лице, което подава искане, с цел упражняване на правата си, може да поиска предоставянето на допълнителна информация и/или документи, необходима за потвърждаване на самоличността на субекта на данните.
Раздел VII.
ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Съгласно Регламент 2016/679 и приложимото българско законодателство, субектите на лични данни имат:
7.1. Право на достъп
Субектът на данните има право да получи от “РОЗЕТА ТУРС” АД информация дали “РОЗЕТА ТУРС” АД обработва негови лични данни и ако ги обработва, той има право да получи достъп до тях и информация за:
a) целите на обработването;
б) съответните категории лични данни, които се обработват;
в) получателите или категориите получатели, пред които са или могат да бъдат разкрити неговите лични данни, по-специално получателите в трети държави или международни организации;
г) предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
д) съществуването на право да се изиска от “РОЗЕТА ТУРС” АД коригиране или изтриване на негови лични данни или ограничаване на обработването им, или да се направи възражение срещу такова обработване;
е) правото на жалба до КЗЛД;
ж) източника на личните данни, която е налична в “РОЗЕТА ТУРС” АД , когато те не са събрани от субекта на данните;
з) съществуването на автоматизирано вземане на решения, включително профилирането, както и значението и предвидените последствия, от това обработване, за субекта на данните.
7.2. Право на коригиране – субектът на данни има право да поиска от “РОЗЕТА ТУРС” АД да коригира, без ненужно забавяне негови лични данни, които са неточни, както и да ги допълни, когато те са непълни.
7.3. Право на изтриване (право да „бъдеш забравен“) – Субектът на данни има правото да поиска от “РОЗЕТА ТУРС” АД изтриване на негови лични данни, а “РОЗЕТА ТУРС” АД има задължението да ги изтрие, без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:
a) личните данни повече не са необходими за целите, за които са били събрани или обработвани;
б) субектът на данните оттегля своето съгласие, въз основа на което се обработват неговите данни и няма друго правно основание за обработването им;
в) субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регламент 2016/679 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2 от Регламент 2016/679;
г) личните данни са били обработвани незаконосъобразно.
7.3.1. “РОЗЕТА ТУРС” АД прекратява обработването на личните данни, в случаите на чл. 7.3, б. „в“:
– винаги, когато получи възражение по чл. 7.7.2, за целите на директния маркетинг;
– при получено възражение по чл. 7.7.1, ако не докаже, че съществуват законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
7.3.2. Член 7.3, букви „а“, „б“ и „г“ не се прилагат, когато:
– не е изтекъл нормативно определен срок за задължително съхранение на данните;
– обработването е основано на задължение по договор между “РОЗЕТА ТУРС” АД и субекта на данните и договора не е прекратен;
– обработването е необходимо за установяването, упражняването или защитата на правни претенции;
– обработването е необходимо за спазване на задължение, което го изисква, предвидено в нормативен акт.
7.4. Право на ограничаване на обработването – субектът на данните има право да изиска от “РОЗЕТА ТУРС” АД ограничаване на обработването им, ако:
а) обработването е неправомерно, но той не желае личните му данни да бъдат изтрити, а изисква, вместо това, ограничаване на използването им;
б) “РОЗЕТА ТУРС” АД не се нуждае повече от неговите лични данни за целите на обработването им, но той ги изисква за установяването, упражняването или защитата на правни претенции;
7.4.1. Данните, чието обработване е ограничено, съгласно чл. 7.4, се обработват, само със съгласието на техния субект, с изключение на съхранението им, или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо лице, или поради важни основания от обществен интерес, за ЕС или Република България.
7.4.2. Когато субект на данните е изискал ограничаване на обработването съгласно чл. 7.4 “РОЗЕТА ТУРС” АД го информира преди отмяната на ограничаването на обработването.
При извършване на коригиране, изтриване или ограничаване на обработването на лични данни “РОЗЕТА ТУРС” АД съобщава за всяко извършено действие на всеки получател, на когото личните данни са били предоставени, освен ако това е невъзможно или изисква несъразмерно големи усилия. “РОЗЕТА ТУРС” АД информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
7.5. Право на възражение
7.5.1. Субектът на лични данни има право на възражение срещу обработването на лични данни, отнасящи се до него, ако обработването е на основание изпълнение на задача от обществен интерес или на основание упражняване на официални правомощия, които са предоставени на “РОЗЕТА ТУРС” АД или обработването е било необходимо за целите на легитимните интереси на “РОЗЕТА ТУРС” АД или на трета страна. “РОЗЕТА ТУРС” АД прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
7.7.2. Когато “РОЗЕТА ТУРС” АД обработва лични данни за целите на директния маркетинг техният субект има право по всяко време да направи възражение срещу обработването им, за този вид маркетинг, включително профилиране, доколкото то е свързано с директния маркетинг. В случай на постъпило възражение “РОЗЕТА ТУРС” АД прекратява обработването на личните данни за целите на директния маркетинг.
В момента на първото осъществяване на контакт със субекта на данните, “РОЗЕТА ТУРС” АД изрично го уведомява за правото му на възражение по чл. 7.7.1 и 7.7.2 като уведомлението му се представя, по ясен начин и отделно от всяка друга информация.
7.8. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на тяхното автоматизирано обработване, включващо профилиране, което поражда правни последствия за него или го засяга, в значителна степен.
7.9. “РОЗЕТА ТУРС” АД прилага вътрешни правила и процедури, които регламентират реда и условията за приемане, разглеждане и отговор, в едномесечен срок, на искания от физически лица за упражняване на правата им по този раздел, като субекти на лични данни.
Раздел VIII.
администратор и обработващ лични данни
8.1. Отговорност на “РОЗЕТА ТУРС” АД
В качеството си на администратор на лични данни “РОЗЕТА ТУРС” АД въвежда подходящи технически и организационни мерки, част от които е и настоящата Политика, за да гарантира и да е в състояние да докаже, че обработва лични данни, в съответствие с Регламент 2016/679 и приложимото национално законодателство, имайки предвид естеството, обхвата, контекста и целите на обработването, както и рисковете, с различна вероятност и тежест, за правата и свободите на физическите лица. Мерките се преразглеждат и при необходимост се актуализират.
8.2. Обработващ лични данни
8.2.1. Обработващи лични данни от името на “РОЗЕТА ТУРС” АД са всички служители и договорни представители на “РОЗЕТА ТУРС” АД , когато обработват лични данни, при или по повод изпълнение на служебните си или договорни задължения;
8.2.2. По смисъла на тази Политика обработващи лични данни са и всички физически и юридически лица, които въз основа на сключени с “РОЗЕТА ТУРС” АД договори извършват някоя от дейностите, посочени в дефиницията за обработка на лични данни, съгласно раздел II, т. 2.2, като доставчици на следните, неизчерпателно изброени услуги, свързани с:
8.2.3. Когато възлага обработване на лични данни, “РОЗЕТА ТУРС” АД използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент 2016/679, приложимото национално законодателство и да осигурява защита на правата на субектите на данни;
8.2.4. Обработващи лични данни, от името на “РОЗЕТА ТУРС” АД , не включват друг обработващ данни, без предварителното, конкретно или общо, писмено разрешение на “РОЗЕТА ТУРС” АД . В случай, че “РОЗЕТА ТУРС” АД предостави на обработващия лични данни общо писмено разрешение, обработващият се задължава да информира “РОЗЕТА ТУРС” АД предварително, за всякакви планирани промени за включване или замяна на лица, обработващи данни, като “РОЗЕТА ТУРС” АД си запазва правото да оспори тези промени.
8.2.5. Обработването, от страна на обработващия лични данни, се урежда с договор или с друг правен акт, съгласно правото на ЕС или приложимото българско законодателство, в който се регламентират естеството и целта на обработването, срока на обработването, вида лични данни и категориите субекти на данни, и задълженията и правата на обработващия и на “РОЗЕТА ТУРС” АД , като за обработващия лични данни, задължително се включват следните задължения:
a) да обработва личните данни, само по документирано нареждане на “РОЗЕТА ТУРС” АД , включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на ЕС или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира “РОЗЕТА ТУРС” АД за това правно изискване, преди обработването, освен ако това право забранява такова информиране, на важни основания от публичен интерес;
б) да гарантира, че лицата, оправомощени от него да обработват личните данни, във връзка с изпълнението на договора, са поели ангажимент за поверителност или са задължени, по закон, да спазват поверителност;
в) да взема всички необходими мерки за сигурност при обработването;
г) да спазва условията, споменати по-горе за включване на друг обработващ лични данни;
д) да подпомага “РОЗЕТА ТУРС” АД чрез подходящи технически и организационни мерки, като взема предвид естеството на обработването, което му е възложено и доколкото е възможно, при изпълнението на задължението на “РОЗЕТА ТУРС” АД да отговори на искания за упражняване на предвидените в Регламент 2016/679 права на субектите на данни;
е) да подпомага “РОЗЕТА ТУРС” АД при изпълнението на задълженията съгласно членове 32-36 от Регламент 2016/679, като отчита естеството на обработване, което му е възложено и информацията, до която му е осигурен достъп;
ж) да заличава или връща на “РОЗЕТА ТУРС” АД по неин избор всички лични данни след приключване на услугите по обработване, които са му възложени и да заличава/унищожава съществуващите копия, освен ако правото на ЕС или правото на държава членка не изисква тяхното съхранение;
з) да осигурява достъп на “РОЗЕТА ТУРС” АД до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и да позволява и допринася за извършването на одити, включително проверки от страна на “РОЗЕТА ТУРС” АД или друг одитор, оправомощен от него;
и) незабавно да уведомява “РОЗЕТА ТУРС” АД , ако според него, дадено нареждане нарушава Регламент 2016/679 или други разпоредби на ЕС или на националното законодателство, относно защитата на лични данни.
8.2.6. Когато обработващ лични данни, на когото е възложено обработването на лични данни от името на “РОЗЕТА ТУРС” АД чрез договор или друг правен акт, включва друг обработващ лични данни, за извършването на специфични дейности по обработване, на това друго лице се налагат същите задължения за защита на данните, като задълженията, предвидени в договора или акта, между “РОЗЕТА ТУРС” АД и обработващия лични данни. Другият обработващ лични данни се задължава да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването, което той извършва, да отговаря на законовите изисквания. При всички случаи, първоначалният обработващ данните носи пълна отговорност пред “РОЗЕТА ТУРС” АД за изпълнението на задълженията на другия обработващ лични данни, на когото той е възложил извършването на специфични дейности по обработване.
8.3. Обработване под ръководството на “РОЗЕТА ТУРС” АД или на обработващ лични данни от името на “РОЗЕТА ТУРС” АД – Обработващият лични данни и всяко лице, действащо под ръководството на или по възлагане от “РОЗЕТА ТУРС” АД или на обработващия лични данни, което има достъп до личните данни, обработва тези данни, само по указание на “РОЗЕТА ТУРС” АД , освен ако обработването не се изисква от правото на ЕС или правото на държава членка.
8.4. Сътрудничество с надзорния орган – По искане на КЗЛД, представители на “РОЗЕТА ТУРС” АД и на обработващ лични данни от името на “РОЗЕТА ТУРС” АД , си сътрудничат с КЗЛД, при изпълнението на нейните задължения.
Раздел IХ.
РЕГИСТРИ НА ЛИЧНИ ДАННИ
9.1. Информационните системи за обработка на данните на лицата са вид електронни регистри, чиито собственик е “РОЗЕТА ТУРС” АД .
9.2. “РОЗЕТА ТУРС” АД утвърждава правила за начина на събиране и съхраняване на личните данни, както и на сроковете и начина на унищожаване на данните от съответните регистри, съгласно специалните закони и приетите правила за информационна сигурност.
Раздел Х.
ВИДОВЕ РЕГИСТРИ
10.1 В качеството си на администратор на лични данни при осъществяване на дейността по предоставяне и продажба на туристически услуги “РОЗЕТА ТУРС” АД на основание Закона за туризма и актовете по прилагането му води в електронен вид за всеки, управляван от “РОЗЕТА ТУРС” АД категоризиран обект за настаняване, Регистър за настанени туристи по чл. 116, ал. 2 от Закона за туризма.
10.2. (1) В качеството си на администратор на лични данни като работодател, “РОЗЕТА ТУРС” АД води регистър, в който набира, обработва и съхранява лични данни на служителите си, както и на лицата, работещи по извънтрудови правоотношения с “РОЗЕТА ТУРС” АД :
1. за целите на индивидуализиране на трудовите и извънтрудовите правоотношения;
2. в изпълнение на нормативните изисквания на Кодекса на труда, КСО, Закона за счетоводството, Закона за данъците върху доходите на физическите лица и др.;
3. за служебни цели.
(2) “РОЗЕТА ТУРС” АД използва регистъра по ал. 1 за:
1. всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и извънтрудовите правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни);
2. комуникация със служителите и с лицата, работещи по извънтрудови правоотношения, включително по телефон, електронна поща, във връзка със задълженията им по сключените договори.
3. целите на счетоводната отчетност относно възнагражденията на посочените по-горе лица по сключените с тях договори.
Раздел ХI.
Сигурност на личните данни и НАРУШЕНИЕ НА СИГУРНОСТТА
11.1.“РОЗЕТА ТУРС” АД и обработващите лични данни от нейно име прилагат подходящи технически и организационни мерки за осигуряване ниво на сигурност, съобразено с рисковете, с различна вероятност и тежест за правата и свободите на физическите лица.
11.2.“РОЗЕТА ТУРС” АД и обработващите лични данни от нейно име предприемат действия, които да гарантират, че всяко физическо лице, действащо под ръководството на “РОЗЕТА ТУРС” АД или на обработващия лични данни, от негово име, което има достъп до лични данни, обработва тези данни, само по указание на “РОЗЕТА ТУРС” АД , освен ако от това лице не се изисква да прави това, по силата на правото на ЕС или правото на държава членка.
11.3.В случай на нарушение на сигурността на личните данни, “РОЗЕТА ТУРС” АД прилага утвърдена Процедура за действие при нарушение на сигурността на личните данни и за уведомление за нарушение;
11.4.Обработващият лични данни от името на “РОЗЕТА ТУРС” АД уведомява “РОЗЕТА ТУРС” АД , без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.
Раздел ХII.
Длъжностно лице по защита на данните
12.1. “РОЗЕТА ТУРС” АД определя длъжностно лице по защита на личните данни, публикува неговите данни за контакт на сайта на Албена и ги съобщава на КЗЛД.
12.2. “РОЗЕТА ТУРС” АД гарантира, че длъжностното лице по защита на данните участва, по подходящ начин и своевременно, при решаването на всички въпроси, свързани със защитата на личните данни.
12.3. “РОЗЕТА ТУРС” АД и обработващите лични данни от нейно име, подпомагат длъжностното лице по защита на данните при изпълнението на посочените в т. 12.8 функции, като осигуряват ресурсите, необходими за изпълнението на тези функции, осигуряват му достъп до съответните регистри, лични данни и операции по обработване. “РОЗЕТА ТУРС” АД осигурява на длъжностното лице по защита на данните възможности да развива и поддържа своите експертни знания.
12.4. “РОЗЕТА ТУРС” АД и обработващият лични данни от нейно име правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на функциите си. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от “РОЗЕТА ТУРС” АД за изпълнението на своите функции. Длъжностното лице по защита на данните отчита своята дейност пред Съвета на директорите на “РОЗЕТА ТУРС” АД .
12.5. Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права.
12.6. Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него функции в съответствие с правото на ЕС или националното законодателство.
12.7. Длъжностното лице по защита на данните може да изпълнява и други функции и задължения. “РОЗЕТА ТУРС” АД или обработващият лични данни от нейно име правят необходимото тези функции и задължения да не водят до конфликт на интереси с дейността му по защита на личните данни.
12.8. Основни функции и задължения на длъжностното лице по защита на данните:
a) информира и консултира “РОЗЕТА ТУРС” АД или обработващите лични данни от нейно име, включително служителите, които извършват обработване за техните задължения по силата на Регламент 2016/679 и на други разпоредби на европейското и национално законодателство, касаещи защитата на лични данни;
б) съблюдава за спазването на Регламент 2016/679, на други разпоредби на европейското и национално законодателство и на вътрешните правила на “РОЗЕТА ТУРС” АД или обработващия лични данни от нейно име по отношение на защитата на личните данни, включително следи за възлагането на отговорности във връзка с обработването на лични данни, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
в) при поискване, предоставя консултации по отношение на оценката на въздействието върху защитата на данните и съблюдава за извършването на оценката, съгласно чл. 35 от Регламент 2016/679;
г) сътрудничи с КЗЛД;
д) действа като точка за контакт за КЗЛД по въпроси, свързани с обработването, включително при предварителната консултация по смисъла на чл. 36 от Регламент 2016/679, както и по целесъобразност се консултира, с КЗЛД по всякакви други въпроси.
12.9. При изпълнението на своите функции длъжностното лице по защита на данните надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.
КОНТАКТИ.
Данни за администратора:
“РОЗЕТА ТУРС” АД
Единен идентификационен код (ЕИК): 205159186
Адрес за кореспонденция: гр. Варна, р-н Приморски, Добри Войников, 8, ет. 1
Телефон за контакт: 0893378348
Електронна поща: gdpr@historicaltours.bg
Данни за надзорен орган:
Комисия за защита на личните данни
Адрес: град София, бул. „Проф.Цветан Лазаров” №2, п.код.: 1592
Телефон за контакт: 02/91-53-518
Електронна поща: kzld@cpdp.bg
Тези политики за поверителност са приети от “РОЗЕТА ТУРС” АД и са в сила от 15.09.2024 г.