ПОЛИТИКА ЗА РАБОТАТА С ЛИЧНИ ДАННИ
от служителите на Хил Трейдинг ЕООД


Настоящият документ има за цел да регламентира:

• воденето, поддържането и защитата на „РЕГИСТЪР НА КОНТРАГЕНТИТЕ НА Хил Трейдинг ЕООД”
• задълженията на длъжностните лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения;
• необходимите технически и организационни мерки за защита личните данни на посочените по-горе лица от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Регистърът набира и съхранява лични данни на клиенти и доставчици на Хил Трейдинг ЕООД , във връзка с извършваните търговски сделки, с оглед:

• индивидуализирането и идентифицирането им при осъществяване на сделки, както и при отправянето на предложения за бъдещи сделки;
• изпълнение на нормативните изисквания на Закона за защита на потребителя,  Закона за счетоводството, Закона за държавния архив, Общите условия на Хил Трейдинг ЕООД и др.;
• използване на събраните данни за съответните лица за служебни цели;
• за всички дейности, свързани със съществуване, изменение и прекратяване на търговски взаимоотношения – за изготвяне на всякакви документи на лицата в тази връзка (фактури, складови разписки, договори, допълнителни споразумения, транспортни документи, анотации, служебни бележки, справки, удостоверения и др. подобни);
• за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по търговски или други договори;
• за водене на счетоводна отчетност;

Регистърът се води на електронен носител. Достъп до информацията имат само служителите извършващи търговски сделки с клиенти или доставчици, както и счетоводния отдел на фирмата или външна счетоводна организация, доколкото те са им необходими за водене на счетоводните документи на фирмата. Възможността за предоставяне на други лица на достъп до личните данни при обработката им е ограничена и изрично регламентирана в този документ.

При водене на регистъра на технически носител, личните данни се въвеждат на твърд диск, на изолиран компютър/компютри.
Компютърът може да бъде свързан в мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на обработващите лични данни. При работа с данните се използват софтуерни продукти по обработка на данните, относно обслужването на клиенти, данъчно и счетоводно отчитане. Софтуерните продукти са адаптирани към специфичните нужди на администратора на лични данни.

Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми и периодично архивиране на данните на отделни дискове.

В регистъра могат да се поддържат следните видове данни:

• имена
• пол
• възраст
• занимание
• образование
• ЕГН
• адрес
• телефон
• електронна поща;

Събирането на посочените по-горе видове данни не е задължително по условие, като конкретно събираните лични данни от всяко лице се определят от текущо прилаганата търговска политика на фирмата или по преценка на служителя обработващ лични данни.
Личните данни в регистъра се набират с постъпване на поръчка и/или регистрация в интернет системата на сайта на Хил Трейдинг ЕООД.
Лични данни могат да се набират и при завеждане на доставка в търговската система.

Освен посочените лица и при посочените случаи, ограничен достъп до лични данни има касиерът при обработване лични данни на лицата, относно изготвяне на разплащателни документи, свързани с получаване, изплащане или преводи на суми. При необходимост от поправка на личните данни, лицата предоставят такива на длъжностното лице /обработващ лични данни по собствено искане или ги нанасят саморъчно в електронната клиентска система на интернет сайта на фирмата.


Клиенти и доставчици имат право на достъп до личните си данни съхранявани в регистъра в електронната клиентска система на интернет сайта на фирмата или чрез подаване на писмено заявление до Управителя на фирмата. Подаването на заявлението е безплатно и може да бъде извършено и чрез електронна поща. Заявлението съдържа име на лицето и други данни, които го идентифицират – ЕГН, адрес, телефон, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес за кореспонденция; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на фирмата.


Достъп до данните на лицето се осигурява под формата на:

• устна справка;
• писмена справка;
• предоставяне на копие от исканата информация.

При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя, лично, по пощата, по факс или чрез имейл. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.


Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите лични данни с паролата за достъп до информацията.
Освен на длъжностните лица Обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата – управител, главен счетоводител, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите – счетоводител, касиер. Обработващите лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.


Личните данни не се изнасят извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до данните, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен. Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.


Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи – писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до личните данни на контрагентите.


При промени в статута на дружеството (преобразуване, ликвидация и други), налагащи прехвърляне на регистрите за лични данни от дружеството на друг администратор на лични данни, предаването на регистъра се извършва след разрешение на Комисията за защита на лични данни и съгласно посочения по-горе ред за внасяне на съответното искане. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.


При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

За неизпълнение на задълженията, вменени на съответните длъжностни лица по този правилник и по Закона за защита на личните данни, се налагат дисциплинарни наказания по Кодекса на труда, а когато неизпълнението на съответното задължение е констатирано и установено от надлежен орган – предвиденото в Закона за защита на личните данни административно наказание – глоба. Ако в резултат действията на съответното длъжностно лице по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Архивиране на личните данни на технически носител се извършва периодично най-много на 30 (дни). Същото се извършва на дискове, достъп до които имат само обработващите лични данни и управителя на фирмата.