Правила за упражняване правата на субектите на лични данни

Настоящите правила („Правила“) определят условията и реда, по който физическите лица, чиито лични данни се обработват от Аркитема ООД („Arkithema“ или „Ние“), могат да упражняват правата си съгласно законодателството за защита на личните данни.

Част 1: Общи принципи

1.1 Arkithema обработва и защитава личните данни, събрани при изпълнение на дейността му честно, законосъобразно и съобразно на целите, за които данните са събрани.

1.2 Служителите, които обработват лични данни за целите на споделяне на нашия опит, събран в нашите е-Наръчници за Обзавеждане на Дома и в други наши разработки, изпращане на маркетингови материали относно дейността и услугите на Arkithema; изпълнение на нашите услуги и на задълженията ни по договорите ни с клиенти, спазват следните принципи при обработка на лични данни:

  1. Личните данни се обработват законосъобразно и добросъвестно.
  2. Личните данни се обработват по прозрачен начин.
  3. Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели.
  4. Личните данни, които се събират и обработват при управлението на човешките ресурси, са съотносими, свързани със и ненадхвърлящи целите, за които се обработват.
  5. Личните данни са точни и при необходимост се актуализират.
  6. Личните данни се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват.
  7. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.

1.3 Служителите, които обработват лични данни преминават първоначално и периодични обучения за поверителност и се запознават с приложимото законодателство.

Част 2: Дефиниции

2.1 Изброените по-долу дефиниции имат следното значение: 

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Приложимо законодателство“ означава законодателство на Европейския съюз и на Република България, което е относимо към защитата на личните данни;

Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„Субект на данни“ означава физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Регламент (ЕС) 2016/679“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), обнародван в Официален вестник на Европейския съюз на 4 май 2016 г.

Част 3: Права на субектите на лични данни

3.1 Субектите на лични данни имат следните права относно техните лични данни:

  1. Право на информация
  2. Право на достъп;
  3. Право на коригиране;
  4. Право на изтриване (право „да бъдеш забравен“);
  5. Право на преносимост на данните;
  6. Право да се иска ограничаване на обработването;
  7. Право на възражение срещу обработването на лични данни;
  8. Право на субекта на лични данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

Право на информация

3.2 Правото на информация обхваща задължението на Arkithema да предоставя на субектите на данни точна, пълна и справедлива информация за обработването.

Право на достъп

3.3 При поискване, Arkithema предоставя на субекта на лични данни следната информация:

  1. потвърждение дали Arkithema обработва личните данни на лицето или не;
  2. копие от личните данни на лицето, които се обработват от Arkithema, и
  3. обяснение относно обработваните данни. Обяснението включва следната информация относно обработваните от Arkithema лични данни:
  • целите на обработването;
  • съответните категории лични данни;
  • получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
  • когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
  • съществуването на право да се изиска коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
  • правото на жалба до надзорен орган;
  • когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
  • съществуването на автоматизирано вземане на решения, включително профилиране, и информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
  • когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции във връзка с предаването.

3.4 Обяснението относно обработваните данни включва информацията, която Arkithema предоставя на субектите на данни посредством Декларация за поверителност.

3.5 При искане от субекта на лични данни, Arkithema може да предостави копие от личните данни, които са в процес на обработване.

3.6 При предоставяне на копие от лични данни, Arkithema не може да разкрива следните категории данни:

  1. лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това;
  2. данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация;
  3. друга информация, която е защитена съгласно приложимото законодателство.

3.7 Предоставянето на достъп на субекти на лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на Arkithema.

3.8 Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, Arkithema може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп.

3.9 Arkithema преценява за всеки отделен случай, дали дадено искане е явно неоснователно или прекомерно.

3.10 При отказ за предоставяне на достъп до лични данни, Arkithema аргументира отказа си и информира субекта на данни за правото му да подаде жалба до КЗЛД.

Правото на коригиране

3.11 Субекти на данни могат да поискат личните им данни, обработвани от Arkithema, да бъдат коригирани, в случай че последните са неточни или непълни. При удовлетворено искане за коригиране на лични данни, Architema уведомява другите получатели, на които са били разкрити данните (например държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.

Право на изтриване (право „да бъдеш забравен“)

3.12 При поискване, Arkithema е задължено да изтрие лични данни, ако е налице някое от следните основания:

  1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  2. субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
  3. субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
  4. субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;
  5. личните данни са били обработвани незаконосъобразно;
  6. личните данни трябва да бъдат изтрити с цел спазването на правно задължение на Architema;
  7. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца по смисъла на член 8, параграф 1 от Регламент (ЕС) 2016/679.

3.13 Arkithema не е задължено да изтрие личните данни, доколкото обработването е необходимо:

  1. за упражняване на правото на свобода на изразяването и правото на информация;
  2. за спазване на правно задължение на Arkithema;
  3. по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3 от Регламент (ЕС) 2016/679;
  4. за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1 от Регламент (ЕС) 2016/679, доколкото съществува вероятност правото на изтриване да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или
  5. за установяването, упражняването или защитата на правни претенции.

Право на ограничаване на обработването

3.14 Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следните основания:

  1. точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
  2. обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  3. администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  4. субектът на данните е възразил срещу обработването на основание легитимния интерес на Arkithema и тече проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

3.15 Arkithema може да обработва лични данни, чието обработване е ограничено, само за следните цели:

  1. за съхранение на данните
  2. със съгласието на субекта на данните;
  3. за установяването, упражняването или защитата на правни претенции;
  4. за защита на правата на друго физическо лице, или
  5. поради важни основания от обществен интерес.

Правото на преносимост на данните

3.16 Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Arkithema, в структуриран, широко използван и пригоден за машинно четене формат. При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо. Субектът на личните данни може да упражни правото на преносимост в следните случаи:

  1. обработването е основано на съгласието на субекта на данните;
  2. обработването е основано на договорно задължение;
  3. обработването се извършва по автоматизиран начин.

Право на възражение

3.17 Субектът на данните има право да възрази срещу обработване на негови лични данни от Arkithema, ако данните се обработват на едно от следните основания:

  1. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
  2. обработването е необходимо за цели, свързани с легитимните интереси на Arkithema или на трета страна;
  3. обработването на данни включва профилиране.

Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Право на възражение срещу лични данни за целите на директния маркетинг

3.18 Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

Част 4: Ред за упражняване на правата на субектите на лични данни

4.1 Субектите на лични данни могат да упражнят правата съгласно тези Правила като подадат искане на упражняване на съответното право. Бланки на исканията са качени на сайта на Arkithema.

4.2 Искане за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:

  1. По електронен път на следния имейл адрес hello@arkithema.com, или
  2. По пощата на адреса на Arkithema: гр. София 1528, ул. Поручик Христо Топракчиев No 10

4.3 Искането за упражняване на права на лични данни следва да съдържа следната информация:

  1. Идентификация на лицето
  2. Контакти за обратна връзка – адрес, телефон, електронна поща
  3. Искане – описание на искането

4.4 Arkithema предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок до един месец от получаване на искането.

4.5 При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Arkithema информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.

4.6 Arkithema не е задължено да отговори на искане, ако не е в състояние да идентифицира субекта на данните.

4.7 Arkithema може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.

4.8 Когато искането е подадено с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.