Общи условия на Витоша Ауто ЕООД по програмата INFINITI COLLECTION


Общи условия на Витоша Ауто ЕООД по програмата VITOSHA AUTO COLLECTION

 

I. ОБЩИ ПОЛОЖЕНИЯ

  1. ВИТОША АУТО ЕООД, ЕИК 175039274, със седалище и адрес на управление в гр. София 1138, бул. “Цариградско шосе” № 166, е дружество, специализирано в търговията с нови и употребявани моторни превозни средства и тяхното гаранционно и извънгаранционно сервизиране и обслужване.
  2. ВИТОША АУТО ЕООД съгласно договор, имащ действие до 31 март 2020 г. е оторизиран дилър на автомобили с марка INFINITI и член на мрежата от оторизирани дилъри на Nissan International SA, Zone d’Activités La Pièce 12, 1180 Rolle, Швейцария, компания от групата Nissan Motor Co., Ltd., Япония.
  3. Програмата VITOSHA AUTO COLLECTION е разработена за целите на продажба на употребявани автомобили от ВИТОША АУТО ЕООД на негови клиенти.
  4. Клиентът получава употребявания автомобил в състоянието, в което се намира към момента на прехвърляне правото на собственост.

II. ПРЕДМЕТ НА ПРОГРАМАТА VITOSHA AUTO COLLECTION

  1. В Програмата VITOSHA AUTO COLLECTION се включва продажбата на селектирани употребявани автомобили с марка INFINITI, Jeep и Alfa Romeo и други марки, изкупени от ВИТОША АУТО ЕООД
  2. Всички употребявани автомобили INFINITI, Jeep и Alfa Romeo и други марки, включени в програмата VITOSHA AUTO COLLECTION, са преминали успешно старателна, техническа инспекция на 65 /шестдесет и пет/ ключови елемента.
  3. Прехвърлянето на собствеността върху употребяваните автомобили, включени в програмата VITOSHA AUTO COLLECTION, се извършва по предвидения от закона ред, а именно посредством сключване Договор за покупко-продажба, за който се изисква нотариална заверка на подписите. При подписване на договора за покупко-продажба ВИТОША АУТО ЕООД може да действа в лично качество като собственик на употребявания автомобил или като пълномощник на трето лице, собственик на автомобила. За документалното оформяне на сделките ВИТОША АУТО ЕООД има право да изиска, а клиентът се съгласява, да бъдат сключени съответни предварителни и окончателни договори, пълномощни, протоколи и др.
  4. Разноските по прехвърлителните сделки с автомобилите, включени в програмата VITOSHA AUTO COLLECTION, са за сметка на клиента.

 

III. ЛИЧНИ ДАННИ

  1. С цел осъществяване на сделка при настоящите Общи условия, клиентът следва да предостави на ВИТОША АУТО ЕООД следните свои лични данни: имена, ЕГН, номер, дата на издаване и дата на валидност на лична карта, постоянен или настоящ адрес, както и адрес за кореспонденция, банкова сметка.
  2. ВИТОША АУТО ЕООД обработва предоставените на оторизираните за това служители на дружеството лични данни в съответствие с приложимите норми на правото на Европейския съюз и националното право, както и със своята Политика за защита на физическите лица във връзка с обработването на лични данни, с която можете да се запознаете тук.
  3. Евентуалното непредоставяне на изискваните с цел изпълнение на сделката лични данни, освобождава ВИТОША АУТО ЕООД от ангажиментите, които Дружеството поема в изпълнение на настоящите Общи условия.

IV. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

  1. За неуредените в тези Общи условия и/или в конкретните договорни документи, сключвани в изпълнение на Програмата VITOSHA AUTO COLLECTION, въпроси се прилагат разпоредбите на действащото българско законодателство.
  2. ВИТОША АУТО ЕООД се стреми постоянно да подобрява своите продукти и услуги. Поради това е възможно настоящите Общи условия да бъдат периодично изменяни и/или допълвани от ВИТОША АУТО ЕООД, в който случай дружеството поема ангажимент за оповестяване на актуализираните Общи условия им във фирмения си сайт. Настоящите Общи условия са приети от ВИТОША АУТО ЕООД на 08.02.2016 г./в сила от 11.02.2016 г./ съответно изменени на 15.04.2016 г., на 31.01.2017 г. и на 03.2019 г.

 

ПОЛИТИКА НА ТЪРГОВСКО ДРУЖЕСТВО „ВИТОША АУТО” ЕООД за ЗАЩИТА НА ФИЗИЧЕСКИТЕ ЛИЦА ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

ПРЕАМБЮЛ

Настоящата политика за защита на физическите лица във връзка с обработването на личните данни изразява безусловната воля на „Витоша Ауто“ ЕООД да осъществява своята дейност в пълно съответствие с осъществяваната от Европейския съюз политика на защита на физическите лица при обработката на личните им данни, както и с разпоредбите на националното законодателство, като намира баланс между правата и свободите на физическите лица и своя търговски, финансов и правен интерес за успешно осъществяване на основната дейност на дружеството, както и други дейности, свързани с основата и извършвани чрез сътрудничество с други администратори и/или обработващи лични данни.

Настоящият документ съдържа практически разпоредби и уточнения по прилагане на изискванията на Регламент (ЕС) 2016/679О на Европейския парламент и на Съвета от 27 април 2016 г., наричан за краткост GDPR или Регламента, на относимите разпоредби на Закона за защита на личните данни, на подзаконовите актове по прилагането му, насоките на Комисията за защита на личните данни и Европейския комитет по защита на данните.

 

 

  1. ИНФОРМАЦИЯ ЗА „ВИТОША АУТО” ЕООД

1.1. Търговско дружество „Витоша Ауто” ЕООД действа като администратор на лични данни на своите клиенти – физически лица, на служителите си, на представителите на клиентите си юридически лица, както и по отношение на други физически лица, с които влиза в облигационни отношения.

1.2. Търговско дружество „Витоша Ауто” действа като обработващ на лични данни по отношение на личните данни за физически лица, получавани от трети лица (юридически лица – клиенти на Дружество; публична администрация; публични регистри, други физически лица, които не са клиенти на Дружеството и пр.) при и по повод своята пряка дейност на Дружеството и/или на договорно основание и/или по силата на друго основание, допустимо от Регламента.

1.3. Основната дейност на Дружеството е: продажба на нови и употребявани автомобили.

1.4. Дружеството извършва следните дейности, които съпътстват основната му дейност:

1.4.1. маркетингова и рекламна дейност (включително, но не само: изпраща оферти и проформи, да информира за индивидуални промоционални предложения, да кани и информира за маркетингови инициативи като специални събития, покани за тестови шофирания, тест-драйв по искане на клиента);

1.4.2. сервизно обслужване и гаранционна поддръжка (включително, но не само: информация и статус относно ремонти на автомобил, да информира за предстоящи рутинни прегледи и планови технически обслужвания, необходими и налагащи се на автомобил; извършване на гаранционни и извънгаранционни ремонти, извършване на сервизни кампании, предписани от производителя (включително и свързани с безопасността и без ограничение на годините в експлоатация и пробега на автомобила), съобщение за наближаваща дата за ГТП);

1.4.3. съдействие при сключване и изпълнение на застрахователни договори за различни видове рискове (включително, но не само: завеждане на щети по застрахователни събития; напомняне за падеж по застрахователна полица и/или за изтичането на срока);

1.4.4. съдействие при получаване на одобрение и сключване на лизингови договори (включително, но не само: изпращане на предложения за финансиране и лизингови предложения, изпращане и получаване на документи за кандидатстване за лизинг; напомняне за наближаващ падеж);

1.4.5. изпълняване на услугата FLY CARE, включително, но не само: изпращане на предложения и оценки за обратно изкупуване на настоящ автомобил;

1.4.6. извършване от името и за сметка на клиентите регистрация и пререгистрация на закупените от Витоша Ауто автомобили в КАТ.

2. ОСНОВНИ ПРИНЦИПИ НА ДЕЙНОСТТА НА „ВИТОША АУТО” ЕООД ПРИ  ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

2.1. Принцип на „законосъобразност, добросъвестност, прозрачност”:

Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва лични данни при наличието и/или спазването на предвидените в чл. 6 от GDPR условия, като осигурява във възможно най-висока степен защита и сигурност на обработваните данни и предоставя на субектите на данни достъп до информацията, предвидена в член 13 и/или тази, свързана с правомощията на субекта по чл. 15 от Регламента.

2.2. Принцип на „ограничение на целите”:

Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва лични данни за конкретни, изрично указани в уведомлението по член 13 от Регламента  легитимни цели, като не допуска по-нататъшно обработване по начин, несъвместим с тези цели.

2.3. Принцип на „свеждане на данните до минимум”:

Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва само такива лични данни, които са подходящи за, свързани с и ограничени до необходимото за  конкретните цели на обработването.

2.4. Принцип на „точност”:

Дружеството, чрез съдружниците и/или своите служители и/или работници, поддържа съхраняваните и обработвани от тях лични данни актуални спрямо известната им информация, като съобразно същата предприемат всички разумни и необходими мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, съобразено с целите на обработването.

2.5. Принцип на „ограничение на съхранението”:

Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва лични данни за период с минимална продължителност съгласно целите, за които са получени тези данни и съобразно предварително посочения или законоустановен срок, а при липса на такъв – непосредствено след достигане на целите, за които се обработват данните.

2.6. Принцип на „цялостност и поверителност”:

Дружеството, чрез съдружниците и/или своите служители и/или работници, обработва данните по начин, който гарантира подходящо и достатъчно ниво на сигурност чрез подходящи технически или организационни мерки, включително и по отношение на формата, които осигуряват защита, включително, но не само, срещу неразрешено и незаконосъобразно обработване, случайна загуба, унищожаване или повреждане на обработваните лични данни.

2.7. Принцип на „отчетност”

Дружеството, чрез съдружниците и/или своите служители и/или работници, поддържа нарочни регистри, бази данни и документация, чрез които се доказва спазване на принципите при обработката на лични данни, посочени по-горе.

 V. ОСНОВНИ КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ТЯХНОТО ОБРАБОТВАНЕ

3. За нуждите на своята дейност Дружеството възприема съдържанието на термина „лични данни” така както е посочено в чл. 4 т. 1 от Регламента, а именно: всяка информация, независимо от нейния обем, характер и форма, която позволява идентификацията на което и да е физическо лице (субект на данни), включително, но не само: име, идентификационен номер (единен граждански номер, личен номер на чужденец, служебен номер от регистъра на НАП или друг номер, позволяващ идентификация на лицето), данни за местонахождение, онлайн идентификатори или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

4. Дружеството чрез своята дейност изпълнява не по-малко от следните цели:

4.1. Да поддържа трудово-правни отношения със своите служители;

4.2. Да поддържа дружествените отношения с и между съдружниците;

4.3. Да поддържа договорни отношения с физически лица – клиенти/възложители  и/или физически лица, представляващи клиенти/възложители при и по повод осъществяването на основната и/или съпътстващите дейности на Дружеството;

4.4. Да поддържа партньорски отношения, договорни и/или неформални, с трети лица, за осъществяване на основната и/или която и да е от съпътстващите я дейности, включително, но не само: счетоводители, данъчна администрация, Агенция по вписванията; Служба по трудова дисциплина; Банки, Застрахователни компании и застрахователни брокери, нотариуси и пр.

4.5. Да извършва предварително проучване и предоставяне на информация с цел последващи договорни отношения на устно или писмено запитване от субект на данни.

 

5. За постигане на по-горе изброените цели, Дружеството обработва не по-малко от следните категории и конкретни видове данни, при описаните по-долу условия:

5.1.1. ОБИЧАЙНИ ДАННИ:

  • i) имена;
  • ii) адрес – постоянен, настоящ, за кореспонденция за нуждите на конкретните отношения и/или за нуждите на конкретен договор; електронна поща;
  • iii) телефонни номера – личен, служебен, на който субектът се е съгласил да получава обаждания;
  • iv) ЕГН/ЕНЧ;
  • v) номер на лична карта;
  • vi) информация за нуждите на застраховката, съобразно изискванията на застрахователя
  • viii) информация за номера на банкови сметки;
  • vii) информация за нуждите на лизинговия договор, съобразно изискванията на съответната финансираща институция;
  • ix) видеонаблюдение с цел защита на собствеността на Дружеството и сигурността на служителите, клиентите, машините, изложените и автомобили;   
  • х) ръкописен почерк – подпис и лично попълване на данните, които се предоставят от субекта.

5.1.2. Тези данни, изцяло или отделни видове, се обработват на основанията, предвидени в регламента, като най-често се обработват на следните основания: (i) изрично и недвусмислено съгласие от страна на субекта на данни; (ii) изпълнение и/или подготовка на договор, по който субектът е страна или е заявил, може и устно, че иска да бъде; (iii) в изпълнение на законово задължение на администратора (напр. идентификация по Закона за мерките срещу изпиране на пари);

5.2. СПЕЦИАЛНИ (ЧУВСТВИТЕЛНИ) ДАННИ:

5.2.1. Данните, които Регламентът определя като специални в член 9 параграф 1, се обработват от Дружеството единствено, когато е налице поне едно от следните условия:

  • i) налице е изрично съгласие на субекта, в което се посочва целта/целите на обработката и това съгласие е достатъчно, за да отмени изрична законова забрана за обработката на такива данни (независимо дали е в правото на ЕС или по силата на национална правна норма);
  • ii) субектът не е в психическо и/или физическо състояние да даде съгласие, а обработката е необходима, за да бъдат защитени негови или на друго физическо лице жизненоважни интереси;
  • iii) обработването, включително и на данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, е необходимо за изпълнение на възложените от субекта на дружеството задачи, като например установяване, упражняване и защита на правни претенции, и други подобни;

5.2.2. В случай че обработваните специални данни са направени обществено достояние от самия субект на данните, Дружеството е свободно да ги обработва свободно в изпълнение на възложените му от клиент и/или държавен орган конкретни задачи и/или функции.

5.2.3. Когато е необходимо обработването на чувствителни данни за целите на социалната закрила, респективно трудово-правни отношения с конкретния субект, както и за целите на превантивната или трудовата медицина, оценка на трудоспособността на служителя, осигуряване на лечение или други здравни и социални грижи, Дружеството осигурява обработката да се извършва от служител, обвързан със задължението за опазване на професионалната тайна (нарочен HR служител).

5.3.1. Копия от документи, включително и преписи, които съдържат нотариална заверка, се обработват от Дружеството единствено с цел изпълнение на възложената му от клиента конкретна работа.

5.3.2. Дружеството не задържа копия от документи, освен в изрично посочените от закона случаи или след недвусмислено съгласие на субекта, или в изпълнение на възложената му чрез документирано нареждане му от друг администратор, на отговорност на последния, обработка.

5.4. Обработката на данни, които се отнасят за субекти, които не са ги предоставили лично, се извършва при спазване на изискванията за уведомяване на член 14 от Регламента, респективно на резервата, която се допуска с параграф 5 от същия член.

5.5.1. Обработваните от Дружеството в качеството му на администратор лични данни се съхраняват в продължение на по-дългия измежду срока, определен в приложим нормативен акт, когато има такъв, и необходимия за осъществяване на конкретната цел, за която се обработват данните. След изтичане на срока за съхранение, определен по реда на предходното изречение, личните данни се унищожават по предвидения за това ред.

5.5.2. Обработваните от Дружеството в качеството му на обработващ лични данни се съхраняват за периода на действие на взаимоотношенията, във връзка с които се обработват данните, но не по-дълго от законно установения срок за съхранение на съответния вид данна. 

6. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ СИГУРНОСТТА И ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ НА ФИЗИЧЕСКИТЕ ЛИЦА

6.1. Обработката на всички видове данни, независимо от тяхната категория, се извършва при възможно най-висока степен на защита (техническа и/или организационна) на права и свободи и законови интереси на физическите лица във връзка с обработката на личните им данни.

6.2. Данните се съхраняват на хартиен носител, който при необходимост за изпълнение на възложената на Дружеството работа и/или в изпълнение на законова разпоредба могат да бъдат предадени на трети лица, както чрез копие на съответния хартиен носител и/или по електронен път при спазване на условията за този вид обработка, включително и при съблюдаване на приложимите технически мерки за сигурност.

6.3. Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно-регулирани технически и организационни мерки, които включват не по-малко от класифициране и архивиране в административно помещение с контролиран достъп.

6.4. Дружеството гарантира, че достъпните му при и по повод пряката му дейност и/или взаимоотношенията му с трети лица лични данни, се обработват единствено за постигане на конкретна измежду заявените по-горе цели, както и че тези данни не са общодостъпни, като само в случай на злонамерена намеса на физическо лице, в защита от  каквато са налице адекватни мерки, тяхната сигурност може да бъде засегната. В случай на посегателство срещу сигурността и защитата на личните данни, Дружеството се задължава своевременно да уведоми КЗЛД и засегнатия субект на данни, когато са налице основания за това.

6.5.1. Дружеството се ангажира да осигурява възможно най-висока степен на защита на кореспонденцията със субекта на данни и/или с трети лица по повод конкретния субект, когато тази кореспонденция съдържа такъв вид и род информация и данни, които са свързани с индивидуализирания субект или създават условия да може да бъде индивидуализиран.

6.5.2. В случаите, в които  са налице предпоставки за уведомяване на трето лице, с което Дружеството няма непосредствени, формални или не, отношения, за използване на личните му данни, кореспонденцията се извършва чрез куриер на известния на администратора адрес.

ПРОТОКОЛ НА ВЗАИМООТНОШЕНИЯ, ОТЧЕТНОСТ И КОНТРОЛ:

7. При обработването на личните данни, Дружеството се придържа към следния Протокол на взаимоотношения, отчетност и контрол:

7.1. Определя се Служител по защита на данните (СЗД), който е в трудово-правни отношения с „Витоша Ауто“ЕООД, съвместява други функции и разполага със следните задължения и компетенции:

7.1.1. Води следните регистри в електронен вариант, по одобрени от управителя образци:

а)Регистър за личните данни на служителите, които обработва Дружеството, в който се отразява информацията, която е известна на работодателя, особено, когато представлява информация за чувствителни данни (заболявания, физически особености и пр.);

б) Регистър на личните данни на физически лица, с които е в договорни отношения, различни от клиентите, в които се посочват данните и основанията за тяхната обработка;

в) Регистър на клиентите, в който се отразяват имената на физическите лица, чийто данни Дружеството обработва (независимо дали са непосредствен клиент или представител на клиент) и номера на досието, в което могат да бъдат намерени лични данни;

г) Регистър на нарушенията на сигурността на данните, в който се нанася не по-малко от следната информация: (i) в какво се състои нарушението и кратко описание на обстоятелствата около откриването му; (ii) дата на откриване на нарушението; (iii) дата на уведомяване на надзорния орган; (iv) ФЛ, което е обработило данните и от името на кого (администратор/обработващ); (v) описание на предприетите мерки за ограничаване на последствията от това нарушение; 

д)Регистър на запитванията и исканията на субектите на лични данни, респективно на предприетите от Дружеството мерки и предоставени отговори;

7.1.2. СЗД извършва периодични проверки по досиетата на клиентите и следи за спазване на принципите, в частност целево и без излишна информация, обработване на данните; за проверката се съставя протокол с направените констатации и/или препоръки и указания, копие, от който се предоставя на Управителя и засегнатите служители, които работят със съответното досие и друго копие се класира в нарочен регистър на хартиен носител;

7.1.3. СЗД изисква от IТ специалиста да извършва на всеки  шест месеца проверки на техническото състояние на мерките за сигурността на данните, включително, но не само: начините на съхранение и обработване, нива на достъп и други релевантни ; за проверката се съставя протокол, подписан от IT и от служителя по защита на данните, копие, от който се класира на хартиен носител;         

7.1.4. СЗД отчита на тримесечие в писмена форма своята дейност по контрол върху обработването на личните данни пред Управителя.    

7.2.1. В Дружеството е създадена е и се поддържа организация, при която всяко едно лице, което има досег до лични данни от името на Дружеството, включително, но не само: служители, съдружници, юристи, счетоводители, IT специалисти и пр., обработва единствено и само такива лични данни, които са пряко свързани с възложената му задача и по изключение, след изрично възлагане и/или по заместване, обработва и данни, свързани със задачата на друг колега.

7.2.2. Със заповед на Управителя се определят служителите, които имат право да обработват лични данни, включително и в какъв обем (конкретните видове данни), посочват се изрично целите, за които отделният служител може да извършва обработка.              

7.2.3. Дружеството поддържа на хартиен носител досиета на всеки свой клиент, в което досие не се съдържа повече информация, съответно лични данни, отколкото са необходими за изпълнение на основната и съпътстващите я дейности на Дружеството. В досиетата се съхраняват и данни, за чието обработване клиентът е дал своето недвусмислено съгласие.

7.3.1. Трансфер на данни между отделните служители в Дружеството се извършва съобразно разпределението на функциите и задачите между тях, като техническото средство е чрез дефинирани процеси, подробно описани във Вътрешните правила.               

7.3.2. Трансфер на данни към други администратори и/или обработващи данни се осъществява от отговорния за съответния вид данни и взаимоотношения служител съобразно уговорения в нарочен договор с другия администратор организационен и технически механизъм.

7.4. Дружеството, по отношение на всеки един етап от обработката на данни,  поддържа такива технически решения и организационни мерки, посредством, които не се позволява обработваните лични данни да са достъпни до неограничен брой лица, както и се обработват само тези лични данни, които са необходими за конкретната цел при всяко конкретно обработване, което е подробно описано във Вътрешните правила

7.5. По преценка на Дружеството, с оглед защита интересите на субекта и/или интерес от обществено значение, личните данни могат да продължат да се съхраняват и след изтичане на сроковете по т. 5.6., за което се уведомява субекта, който е свободен да се възползва от правото му на възражение и/или ограничаване на обработката, и/или коригиране, и/или изтриване, ако са налице предпоставките за това.

7.6. За всяко действие по обработване на данни, включително и по отношение на видеонаблюдението и в случаите на унищожаване, се води в подходяща форма отчет, в частност, се съставя протокол, на хартиен носител и/или в електронна форма, включително се вписва и в съответния регистър, ако е приложимо.                    

 ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО      

8.1. Дружеството се ангажира периодично да извършва Оценка на въздействието на предвидените операции по обработването на данните по отношение на тяхната сигурност.       

8.2. В случай на нововъведения, технически или организационни, Оценката ще предшества тяхното прилагане.

8.3. В случай на повишаване на риска за сигурността на данните, респективно за правата и свободите на субектите, Дружеството се ангажира да поиска незабавна консултация с КЗЛД относно необходимите мерки за ограничаване на този риск.

8.4. Независимо от горното, Дружеството се ангажира да извършва Оценка на въздействието на всяка една операция по обработването, която бъде определена като задължително подлежаща на оценка от ЗЗЛД и/или от КЗЛД

9.  МЕХАНИЗМИ, ПО КОИТО ДРУЖЕСТВОТО ОСИГУРЯВА ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ, КОИТО GDPR ПРЕДОСТАВЯ:

9.1. Относно Правото на субекта да получи информация към момента на предоставяне на личните си данни:

9.1.1. Дружеството предоставя, срещу подпис от субекта, информационен формуляр по образец (приложение 1), одобрен от Управителя, който съдържа не по-малко от следната информация:  (i) наименованието, ЕИК, координати за връзка с Дружеството; (ii) какви данни ще бъдат поискани от субекта и с каква цел, респективно на какво основание, както и дали ще подлежат на предаване на трети лица и с каква цел; (iii) за какъв срок ще бъдат обработвани данните; (iv) местата, на които има видеонаблюдение в обекта; (v) кратко описание на правата на субектите, включително и правото на жалба до надзорния орган; (vi) Към уведомлението се прилагат и бланки за съгласие и оттегляне на съгласие, по образец, одобрен от Управителя (приложение 1 и 2).

9.1.2. В случай че за изпълнение на легитимните цели на Дружеството и/или за защита на негови искови претенции, е необходимо използването на данните на субекта и след изпълнение на целите, за които са събрани и/или след изтичане на срока, за който са предвидени за съхранение данните, преди да продължи тяхното обработване, Дружеството предоставя на субекта отново посочената по-горе информация. В случай че Дружеството не може да докаже, че това уведомление е достигнало до субекта, то преустановява ползването на данните.

9.2. Относно Правото на субекта да бъде уведомен, че личните му данни се използват

В случаите, когато Дружеството обработва лични данни, които не е получило от субекта на същите данни, то то дължи на този субект уведомление, в което са записани не по-малко от информацията по т. 9.1.1от настоящия документ. Уведомление не се дължи, в случаите, когато субектът вече разполага с тази информация и/или дал е съгласието си и/или когато уведомяването изисква, най-общо казано, несъразмерно големи усилия, или пък обработката се изисква от закона.

9.3.  Относно Правото на субекта да получи потвърждение дали се обработват данни, свързани с него 

9.3.1. Дружеството приема писмени запитвания, в свободен текст, с изрично посочен адрес за получаване на отговора, подадени лично от субекта или чрез негов представител по пълномощие или по закон (ако субектът е дете или друг недееспособен);

9.3.2. Запитванията се вписват в съответния регистър;

9.3.3. Дружеството предоставя отговор на субекта в срок не по-дълъг от един месец, считано от датата на регистриране на запитването; отговорът се изпраща на посочения от субекта адрес.

9.4. Относно Правото на субекта да получи данните, свързани с него, както и същите да бъдат трансферирани към друг администратор (преносимост на данните):

9.4.1.  Дружеството приема писмени искания за предаване на данни на субекта, които той е предоставил и/или трансферирането им към друг администратор, в свободен текст, подадени лично от субекта или чрез негов представител по пълномощие или по закон (ако субектът е дете или недееспособен на друго основание); Искането следва да съдържа изрично посочване на адреса, на който да бъдат трансферирани данните и/или адреса, на който субектът да получи уведомление, че данните му са готови за предаване; В искането се посочва и обема от данни, който да бъде трансфериран, като в случай че не се съдържа уточнение, администраторът прехвърля всички данни, с които разполага и които отговарят на изискванията за преносимост, посочени по-долу в съответствие с разпоредбата на чл. 20 параграф 1 от Регламента.

9.4.2. Искането се вписва в съответния регистър;

9.4.3.  Дружеството се ангажира да предаде на субекта съхраняваните за него данни  в структуриран, широко използван и пригоден за машинно четене формат, във възможно най-кратък технологичен срок, когато данните се обработват на основание съгласие, включително и когато се отнася за чувствителни данни, или в изпълнение на задължение по договор, по който конкретният субект е страна;

9.4.4. Дружеството се ангажира, без излишно забавяне, да прехвърли съхраняваните и подлежащите на трансфер данни за конкретния субект, в поискания от него обем, на посочения в искането администратор. Дружеството има право да поиска потвърждение за получаването, както от третото лице, така и от самия субект.

9.5. Относно Правото на субекта да поиска коригиране на данните, свързани с него:

9.5.1. Дружеството отразява искането в Регистъра на запитванията, като след извършване на корекцията, Дружеството уведомява субекта на посочения в искането електронен адрес.

9.5.2. Дружеството се ангажира да извърши корекцията във възможно най-кратък технологичен срок, съобразно записаната в искането за корекция информация. Когато искането за корекция се основава на информация в официален документ, Дружеството има право да поиска за сверка този документ.

9.6. Относно Правото на субекта да поиска ограничаване на обработването

9.6.1. Искането се отразява в съответния Регистър, като Дружеството уведомява субекта за своето решение и/или действия на посочения в искането електронен адрес.

9.6.2. В случай че са налице предпоставките за ограничаване на обработката[1], Дружеството се ангажира да ограничи, ако са единствено да продължи да съхранява данните и да не ги използва без изричното съгласие на субекта, освен за установяване и защита на правни претенции или защита правата на друго ФЛ, или поради важни основания от обществен интерес; Уведомява клиента за своето решение и/или действие.

9.7. Относно Правото да бъдеш забравен:а) постигнат е резултата, за който първоначално са събрани данните;     

9.7.1. Дружеството се ангажира да заличи от собствената си база данни, независимо дали е на хартиен носител и/или в електронен вид, без ненужно забавяне, личните данни, които е посочил субекта, при наличие на поне едно от следните условия:

а) постигнат е резултата, за който първоначално са събрани данните;

б) субектът оттегля своето съгласие за обработване и няма причина обработването да продължи на друго легитимно основание;

в) субектът възразява срещу обработването, което не може да бъде оправдано със съществуването на законови основания за продължаване на обработването, които да имат предимство пред интереса на субекта или да са необходими във връзка с установяване, упражняване и защита на правни претенции.

г) обработването е незаконосъобразно;

9.7.2. Дружеството се ангажира да предприеме разумни действия да уведоми обработващите от негово име и/или трети лица, самостоятелни администратори, на които Дружеството е трансферирало изцяло или част от известните му лични данни на субекта, че последният е пожелал да бъде забравен. Дружеството ще положи възможната грижа, за да се увери и потвърди на субекта, че заличаването е факт.

9.7.3. Дружеството не се ангажира да осигури удовлетворяване на Правото да бъдеш забравен, в случаи че обработването е необходимо за упражняване правото на свобода на изразяване от името на Дружеството и правото на информация, както и за спазване на законово задължение, вменено на Дружеството от приложимото право и/или когато обработването е необходимо за установяване, упражняване и защита на правни претенции.

9.7.4. За изтриването или за отказа да бъде извършено, се прави отбелязване в съответния регистър. Отказът за изтриване е аргументиран и се връчва на посочения в искането адрес. Субектът има право да подаде сигнал до КЗЛД.

9.8. Относно Правото на възражение срещу обработването на лични данни:

9.8.1. Дружеството отразява всяко възражение в съответния регистър и го разглежда по отношение на посочените във възражението основания, свързани с конкретното положение на конкретния субект.

9.8.2. В случай че са налице предпоставките за това, Дружеството преустановява по-нататъшното обработване във възможно най-кратък срок. В случай че съществуват убедителни законови основания за продължаване на обработването, за които се твърди от страна на Дружеството, че имат предимство над правата на субекта и/или обработването е необходимо за защита на правна претенция, Дружеството временно ограничава обработването за периода до постигане на разбирателство със субекта или до произнасяне на КЗЛД.

9.9. Относно Правото на субекта да възрази срещу обработването за целите на маркетинг и/или вземане на индивидуални автоматични решения

9.9.1. Дружеството се ангажира, в случай че субектът се противопостави, да не обработва данните му за нуждите на маркетинг и/или свързаното с него профилиране.

9.9.2. Дружеството, най-късно в момента на първия контакт с конкретен субект, го уведомява изрично, ясно и точно, отделно от останалата дължима информация, че субектът има право да откаже неговите лични данни да бъдат използвани за целите на маркетинг и/или профилиране с тази цел.

9.9.3. Дружеството не осъществява действия, които пряко засягат неговите служители, клиенти и партньори и които са в резултат на автоматизирано обработване и/или профилиране, освен ако не е налице изрично съгласие за това от конкретния субект.

VI. МЕХАНИЗМИ НА ЗАЩИТА В СЛУЧАЙ НА  НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ И/ИЛИ ДРУГ ВИД НАРУШЕНИЯ

10. В случай на нарушение сигурността на личните данни, служителят по защита на данните, незабавно след узнаване за пробива, предприема следните действия:

10.1. предприема мерки, технически и/или организационни, за ограничаване на последствията и за недопускане в бъдеще на същото; едновременно с това

10.2 прави отбелязване в Регистъра на нарушенията;

10.3. в срок до 72 часа уведомява КЗЛД, освен ако нарушението не създава опасност за правата и свободите на физическите лица, чийто данни са засегнати;

10.4. ако са налице предпоставки за това[2] съобщава на субекта, чийто данни са засегнати от нарушението.

11.1. В случай че субект на данни се почувства засегнат от дейността на Дружеството по обработката да личните му данни, то Дружеството е в готовност да изслуша оплакванията и при възможност и/или основателност на оплакването, да постигне споразумение със субекта и да предприеме адекватни мерки по преустановяване на действията, от които се оплаква субекта на данни, освен в случаите когато тези мерки биха довели до нарушение на права и свободи на трети лица, до нарушение на законово задължение на Дружеството и/или до невъзможност да изпълнява свои легитимни цели.

11.2. Записаното в параграф 1 не отменя правото на всеки субект на данни да подаде жалба до КЗЛД, в случай че намира, че обработването на лични данни, които се отнасят до него, се извършва в нарушение на приложимите нормативни документи. Жалба може да бъде подадена и до надзорен орган в друга държава членка.

11.3. Всеки субект на данни има право на ефективна съдебна защита, респективно и на правото да получи справедливо обезщетение, както срещу решенията на КЗЛД, които го засягат и обвързват, така и срещу действията на Дружеството по обработване на данни, които действия са засегнали субекта и съставляват нарушение на приложимите правни норми.

VII. ВЗАИМООТНОШЕНИЯ С ДРУГИ АДМИНИСТРАТОРИ И/ИЛИ С ОБРАБОТВАЩИ ДАННИ

12.1. В случаите, в които при и по повод изпълнение на своята дейност, на Дружеството се налага сътрудничество с други администратори и/или обработващи на лични данни, Дружеството взаимодейства с тези трети лица по силата на нарочен договор и/или на основание изпълнение на законово задължение и/или правен интерес на Дружеството.

12.2. Взаимоотношенията на Дружеството с обработващите лични данни се уреждат чрез нарочен договор, освен в случаите, когато взаимоотношенията с конкретния обработващ личните данни се основават на конкретна законова разпоредба.

VIII. ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

13.1. В срок до влизане в сила на Регламента, Дружеството прави ревизия на обработваните и съхранявани лични данни, като предприема действия за заличаване и/или унищожаване на тези от данните, респективно документите, в които се съдържат, за които не е налице изрично съгласие и/или законово основание и/или правен интерес от страна на Дружеството и/или друго основание, предвидено в Регламента.

13.2. За тези от данните, които са необходими за успешно провеждане на рекламната, маркетинговата и търговската дейност на дружеството, и не е налице изрично основание за продължаващото им обработване, Дружеството изпраща изрично уведомление на съответните субекти като им указва, че могат да възразят срещу използването изцяло и/или да поискат ограничаване на обработването, респективно коригиране или изтриване. Уведомленията се изпращат до известните на дружеството електронни или пощенски адреси с изрично искане за потвърждение на получаването на същото. По отношение на субектите, за които няма данни да са получили уведомлението, се прилага процедурата по заличаване и унищожаване на хартиените носители.

14. Всеки заинтересован субект на данни, както и трети лица администратори и/или обработващи лични данни, могат да се обръщат към Служителя по защита на личните данни по въпроси, свързани с оперативната дейност по защита на сигурността на данните, на следния адрес:

Кристина Великова, gdpr@vauto.bg, 02/879 00 88

15.1. За всички неуредени в настоящия документ въпроси, Дружеството се ангажира да прилага относимите разпоредби на Регламента, Закона за личните данни, Насоки на работната група по чл. 29, Становища на КЗЛД, както и други нормативни актове, които са приложими.

15.2. Дружеството изразява воля за добронамерено и взаимноудовлетворяващо намиране на разрешение на всеки спорен въпрос, от чието разрешаване се нуждае някое физическо лице, независимо от основанието за отношенията му с Дружеството (клиент, служител, партньор, пр.)

16. Политиката на Дружеството за защита на физическите лица във връзка с обработването на личните им данни подлежи на периодична актуализация с оглед всяко относимо изменение на приложимите нормативни актове, без значение на неговия ранг и/или автор.

Настоящата Политика е одобрена от Едноличния собственик на капитала и е сведена до знанието на тези служители на Дружеството, които обработват лични данни от името на Дружеството в изпълнение на неговата дейност.

[1]                                                                      Предпоставки за основателност * ако се оспорва точността – срокът на ограничението е за времето, което е необходимо на проверка и корекция; ** обработването е неправомерно, но субектът не изисква изтриването, а само не използването; *** данните подлежат на заличаване поради изтичане на обявения за обработване период, субектът желае да бъдат съхранени във връзка с установяване и защита на правна претенция; **** субектът е възразил срещу обработката, но към момента на искането е в ход проверка от КЗЛД дали законовото основание на Дружеството надделява над интересите на субекта.

[2]                                                                      Не се изпраща съобщение до субекта, ако е изпълнено едно от следните условия: засегнатите данни са криптирани; или когато предприетите от Дружеството мерки гарантират, че няма вероятност от реални последствия за субекта; или когато личното уведомяване на всеки засегнат субект би довело до несъответстващи на проблема усилия и затова Дружеството ще направи публично оповестяване, за да се гарантира в еднаква степен ефективното уведомяване на всички засегнати субекти.