Поверителност и защита на личните данни
Настоящият документ цели да информира всички субекти на лични данни, които имат взаимоотношения с „Асарел-Медет“ АД и/или дружество от корпоративната група „Асарел“ за начина по който се обработват личните им данни, какъв вид данни се обработват, разкриването им на трети страни, техните права в съответствие с действащите изисквания на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на директива 95/46/ЕО, Закона за защита на личните данни и др. нормативни изисквания.
Основна грижа на „Асарел-Медет“ АД (Дружеството) и на дружествата от корпоративната група „Асарел“, е осигуряване на висока степен на сигурност на личните данни на физическите лица, с оглед на което са предприети всички необходими мерки за привеждане на дейността на дружеството в тази област в съответствие с най-добрите практики и законови изисквания за защита на информацията и нейната поверителност. При събирането на лични данни с оглед осъществяване на основния предмет на дейност на дружеството, се следват основните принципи за свеждане на обработваните данни до минимум, законосъобразност, прозрачност и сигурност. Дружествата от корпоративната група „Асарел“ са дъщерните, свързани или асоциирани търговски дружества, регистрирани на територията на Република България и същите са приели и подписали Междукорпоративно споразумение за обработване на лични данни в групата на Асарел. Трансферът на лични данни в корпоративната група се осъществява съгласно разписания регламент в Междукорпоративно споразумение.
Защитата на физическите лица във връзка с обработването на личните им данни е основно право, предвидено в чл. 8 от Хартата на основните права на Европейския съюз. Това право е съобразено с всички основни права и допринася за спазването на свободите и принципите, признати от Хартата. Защитата на личните данни се урежда в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ ЕО, а също и в други правни актове на Европейския съюз и в законодателствата на неговите държави членки.
В зависимост от конкретната ситуация, Дружеството има качеството на администратор и/или обработващ по отношение на личните данни, които събира и обработва. Личните данни се събират обработват и съхраняват от Дружеството в качеството му на работодател, доставчик и контрагент при стриктно съобразяване на законовите изисквания, легитимния интерес и договорните условия.
- КАТЕГОРИИ СУБЕКТИ И КАТЕГОРИИ ОБРАБОТВАНИ ЛИЧНИ ДАННИ
Обработваните лични данни касаят следните категории субекти и включват:- Кандидати за работа – събират се данни за идентификация на лицето (име, постоянен и/или настоящ адрес, телефон, имейл), образование и професионална квалификация (придобита образователна степен, лична и професионална квалификация, специфични умения, трудов опит и др.)
- Работници и служители на дружеството, заети по трудови и граждански правоотношения, както и лица, сключили договори за управление и контрол – събират се данни за идентификация (име, ЕГН, ЛНЧ, постоянен и/или настоящ адрес, № и дата на издаване на лична карта, телефон, имейл), образование и професионална квалификация (данни, свързани с образование, професионален опит, трудов стаж, професионални качества и лични умения като трудови книжки, копие от дипломи, квалификационни курсове, свързани със съответната позиция), здравни данни (обработват се чувствителни данни, доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на трудовото и осигурителното законодателство и социалните придобивки и плащания) други категории данни, свързани със: социален статус (семейно положение, деца до 18 годишна възраст), свидетелство за съдимост (когато по закон се изисква такова), видео образ, фотографски снимки и други данни, чието обработване е необходимо за изпълнение на правата и задълженията на Дружеството като администратор и/или защита на легитимен интерес.
- Клиенти, доставчици или външни изпълнители на дружеството – за тези лица се събират лични данни, които са необходими за сключването и изпълнението на съответен договор за предоставянето на услуги – за идентификация на Физическото лице (име, ЕГН, постоянен и/или настоящ адрес, телефон, имейл) .
- Външни посетители в офисите и обектите на дружеството, събирани при осъществяване на охраната и пропусквателния режим в сгради, съоръжения и контролираните от Дружеството територи и–видеообрази и данни по идентификация (име, ЕГН, постоянен и/или настоящ адрес, телефон, имейл).
- ЦЕЛИ НА ОБРАБОТВАНЕ
Дружеството като администратор обработва личните данни за постигане на следните цели, които отразяват и основанието за тяхното обработване, в зависимост от това към коя от посочените по-горе категории субекти на данни попадат съответните физически лица: Изпълнение на нормативни задължения и официални правомощия, управление на човешките ресурси и финансово-счетоводна отчетност, реализиране на различни по характер инициативи за реализиране на дарителство, спонсорство, благотворителни каузи, публични инициативи, и такива в областта на корпоративната социална отговорност като например, но не само: задължения в качеството на Работодател и Осигурител в областта на трудовото, счетоводното, данъчното и осигурителното законодателство, провеждане на процедури за подбор на персонал и управление на работниците и служителите; охрана и осъществяване на пропусквателен режим в контролираните територии, изпълнение на задълженията, произтичащи от договорите със съответните физически лица; разглеждане на оферти за предоставяне на услуги и избор на изпълнители; проверка и удостоверяване на надлежната представителна власт на лица, представляващи потенциални партньори на Дружествата; осигуряване и контрол върху спазването на приложимите в Дружествата политики, вътрешни правила и процедури и разследване на инциденти на територията на Дружествата; управление на проекти и програми; предоставяне на достъп до територията на Дружествата и гарантиране на сигурността на имуществото, активите, обектите, инфраструктурата, помещенията, служителите и системите и техническите съоръжения, включително чрез видеонаблюдение; защита на правните интереси по съдебен и извънсъдебен ред; реализиране на дарителство, спонсорство, благотворителни каузи, информационно-образователна дейност и осведомяване на различни заинтересовани страни, провеждане и участие в публични инициативи, и такива в областта на корпоративната социална отговорност. - КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИТЕ ДАННИ
Личните данни, обработвани от Дружеството, се предоставят на:- държавни органи – НАП, НОИ, Инспекция по труда, съд, следствие, МВР, прокуратура, ревизиращи органи и др., които могат да изискат данните по надлежен ред във връзка с изпълнението на техните правомощия.
- лица, имащи качеството на обработващи лични данни, с които Дружеството са сключили споразумения за обработване съобразно изискванията на Общия регламент за защита на данните (банки, счетоводни предприятия, служби по трудова медицина и др.);
- трети страни, действащи като самостоятелни администратори (напр. доставчици на различни пощенски, куриерски услуги, социални придобивки и др.).
- ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ
Общият регламент относно защитата на данните предвижда следните права на физическите лица във връзка с обработването на личните им данни:
Право на достъп и информация до собствените лични данни - Всяко лице, чиито лични данни се съхраняват и обработват има право на достъп до личните си данни; информация, относно съхранението и обработването на личните Ви данни. В частност, можете да поискате информация, относно целите на обработване; категориите лични данни; категориите получатели, на които Вашите данни ще бъдат или са били предоставени; срок за съхранение;
Право да поиска незабавно коригиране или допълване на неточни или непълни лични данни.
Право на изтриване („право да бъдеш забравен“) на личните данни, които се обработват незаконосъобразно или се съхраняват от компанията, ако обработването на тези данни не е необходимо за: 1) Упражняване на правото за свобода на словото и на информацията; 2) За спазване на правно задължение; 3) В обществен интерес; 4) За установяване, упражняване или защита на правни претенции
Право на ограничаване на обработването на личните данни, ако има наличие на правен спор с Администратора до неговото решаване и/или за установяването, упражняването или защита на правните претенции;
Право на възражение – по всяко време и на основания, свързани с конкретна ситуация , при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите и правата на субекта на данните или съдебен процес.
Право на преносимост на данните, когато същите се обработват по автоматизиран начин на основание съгласие или договор. В някои случаи лицата могат да получат или да поискат техните лични данни да бъдат трансферирани до държави извън Европейския съюз в структуриран общоизползван формат, подходящ за машинно четене.
Всяко заинтересовано лице може да упражни правата си с писмено или електронно заявление до Администратора на лични данни. В заявлението следва да се посочат данни за идентифицирането му и същото да се подаде до Координатора по изпълнение на всички необходими дейности, свързани със спазване на изискванията за защита на личните данни в „Асарел-Медет“ АД по някой от следните начини: на тел. номер 0357/60 323 или чрез e-mail: data.protection@asarel.com .
В съответствие със Закона за защита на личните данни и Общия регламент за защита на данните, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Комисията за защита на личните данни, чиито контакти са посочени на нейния уебсайт: https://www.cpdp.bg, или до друг надзорен орган, ако е приложимо съгласно Общия регламент за защита на данните. - СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ
Дружеството като Администратор съхранява обработваните лични данни съгласно нормативно определените срокове и доколкото е необходимо, за да бъдат постигнати целите, за които са събрани, или за да бъдат спазени изисквания на законодателството дадена информация да се съхранява определен период от време. След изтичане на съответните срокове, личните данни се унищожават/ изтриват, освен ако са необходими за установяване, упражняване или защита на правни претенции. - СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ
Дружеството Администратор поддържа подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни. Въведените мерки на защита осигуряват ниво на сигурност на личните данни, съответстващо на рисковете, които възникват при обработването, като се вземат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и риска за субектите на данни. Тези мерки са насочени към осигуряване на непрекъсната наличност, цялостност и поверителност на личните данни.