Политика за защита на личните данни на „НОБЕЛ ФАРМА“ ЕООД

ПРЕАМБЮЛ

A. „НОБЕЛ ФАРМА“ ЕООД, с ЕИК: 131017408, със седалище и адрес на управление: гр. София 1415, р-н „Витоша“, Околовръстен път, комплекс „Перла Парк“ № 36, ет. 4, тел.: 02/9629035, факс: 02/9629036, имейл адрес: dataprotection@nobelpharma.bg, уебсайт: nobelpharma.bg, представлявано заедно от управителите Мустафа Йълмазер и Бюлент Халдун Гюнгил, наричано по-долу също така „Администратор“ и/или „Дружество“, е търговско дружество, осъществяващо търговия на едро с фармацевтични стоки, медицинска техника и апаратура.

Б. Дружеството е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защитата на данните“), предвид това, че самостоятелно определя целите и средствата за обработването на лични данни.

В. Настоящата Политика за защита на личните данни, наричана по-долу в документа „Политика“, и всякакви последващи промени в нея могат да бъдат намерени на адреса на управление и на уебсайта на Дружеството.

I. ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА

Чл. 1. С настоящата Политика „НОБЕЛ ФАРМА“ ЕООД отчита правото на лична неприкосновеност на всяко физическо лице, като цели да гарантира ефективната защита на обработваните лични данни, подчертавайки и съблюдавайки последователно изискванията на българското и европейското законодателство.

Чл. 2. Настоящата Политика съдържа информация относно:

  • терминологията, използвана в Общия регламент за защитата на данните;
  • принципите, свързани с обработването на лични данни, към които Администраторът се придържа при обработването на лични данни;
  • регистрите на дейностите по обработване съгласно чл. 30 от Общия регламент за защитата на данните, които Администраторът поддържа в зависимост от категориите субекти на данни, чиито лични данни обработва, и категориите лични данни, които подлежат на обработване от него;
  • приложимите основания за обработване на лични данни съгласно чл. 6 от Общия регламент за защитата на данните;
  • приложимите срокове за обработване на личните данни от Аминистратора;
  • категориите получатели, пред които се разкриват личните данни, включително получателите в трети държави;
  • правата на субектите на данни и реда за упражняването им;
  • общи задължения на Администратора;
  • задължения на Администратора при нарушение на сигурността на личните данни, които обработва.

II. УСТАНОВЕНА ТЕРМИНОЛОГИЯ СЪГЛАСНО ОБЩИЯ РЕГЛАМЕНТ ЗА ЗАЩИТАТА НА ДАННИТЕ

Чл. 3. По смисъла на настоящата Политика термините, посочени по-долу, имат следните дефиниции:

  • „лични данни“ е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
  • „обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  • „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
  • „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждности, поведение, местоположение или движение;
  • „регистър с лични данни“ е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
  • „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора;
  • „получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;
  • „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, Администратора, обработващия лични данни и лицата, които под прякото ръководство на Администратора или на обработващия лични данни имат право да обработват личните данни;
  • „съгласие на субекта на данните“ е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
  • „нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
  • „генетични данни“ означава лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;
  • „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;
  • „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
  • „надзорен орган“ е независим публичен орган, който е отговорен за наблюдението на прилагането на съответните разпоредби, за да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни. За територията на Република България надзорният орган по смисъла на чл. 51 от Общия регламент за защитата на данните е Комисия за защита на личните данни, с адрес: София 1592, бул. „Проф. Цветан Лазаров“ № 2.

III. ПРИНЦИПИ, ПРИЛАГАНИ ОТ „НОБЕЛ ФАРМА“ ЕООД ПРИ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Чл. 4. При изпълнение на дейностите си като администратор на лични данни, „НОБЕЛ ФАРМА“ ЕООД обработва лични данни при спазване на следните принципи:

  1. принцип на законосъобразност, добросъвестност и прозрачност, т.е. личните данни са обработвани от Администратора законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните;
  2. принцип на ограничение на целите, т.е. личните данни са събирани от Администратора за конкретни, изрично указани и легитимни цели и не се обработват по начин, несъвместим с тези цели;
  3. принцип на свеждане на данните до минимум, т.е. личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват;
  4. принцип на точност, т.е. личните данни са точни и поддържани от Администратора в актуален вид, като се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
  5. принцип на ограничение на съхранението, т.е. личните данни са съхранявани от Администратора във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;
  6. принцип на цялостност и поверителност, т.е. личните данни са обработвани от Администратора по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
  7. принцип на отчетност, т.е. Администраторът е в състояние да докаже спазването на предходните принципи.

IV. РЕГИСТРИ НА „НОБЕЛ ФАРМА“ ЕООД ЗА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 5. (1) Администраторът поддържа отделен регистър за всяка дейност по обработване на лични данни, за които отговаря.

(2) Регистрите по ал. 1 съдържат:

  • името и координатите за връзка на Администратора и на длъжностното лице по защита на данните (когато е приложимо);
  • целите на обработването;
  • описание на категориите субекти на данни и на категориите лични данни;
  • категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави;
  • предаването на лични данни на трета държава, включително идентификацията на тази трета държава, а в случай на предаване на данни, посочено в чл. 49, параграф 1, втора алинея[1], документация за подходящите гаранции (когато е приложимо);
  • предвидените срокове за изтриване на различните категории данни (когато е възможно);
  • общо описание на техническите и организационни мерки за сигурност.

[1] Когато не е налице друго основание, предаването на данни на трета държава или международна организация може да се извършва само ако предаването не е повторяемо, засяга само ограничен брой субекти на данни, необходимо е за целите на неоспоримите законни интереси, преследвани от администратора, над които не стоят интересите или правата и свободите на субекта на данни и администраторът е оценил всички обстоятелства, свързани с предаването на данните, и въз основа на тази оценка е предоставил подходящи гаранции във връзка със защитата на личните данни.

(3) Регистрите по ал. 1 и 2 се поддържат в писмена форма, включително в електронен формат.

(4) Администраторът осигурява достъп до регистрите по ал. 1 и 2 на надзорния орган при поискване.

Чл. 6. В зависимост от категориите субекти на данни, чиито лични данни обработва, Администраторът поддържа следните регистри за дейностите по обработване на лични данни:

  • „Кандидати за работа“;
  • „Персонал“;
  • „Медицински специалисти“;
  • „Контрагенти“;
  • „Видеонаблюдение“;
  • „Ползватели на уебсайт“.

V. ЗАКОНОСЪОБРАЗНОСТ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ ОТ „НОБЕЛ ФАРМА“ ЕООД

Чл. 7. (1) Придържайки се към принципа на законосъобразност на обработването на лични данни, „НОБЕЛ ФАРМА“ ЕООД се задължава да обработва лични данни, само ако и доколкото е налице поне едно от основанията, изброени по-долу:

  1. субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
  2. обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  3. обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
  4. обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго физичесли лице;
  5. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора;
  6. обработването е необходимо за целите на легитимни интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни.

(2) Когато обработването се извършва въз основа на съгласие, Администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

Чл. 8. (1) Забранява се обработването от „НОБЕЛ ФАРМА“ ЕООД на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

(2) Забраната по предходната алинея не се прилага, ако е налице някое от следните условия:

  1. субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели;
  2. обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на Администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила;
  3. обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
  4. обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
  5. обработването е необходимо с цел установяване, упражняване или защита на правни претенции;
  6. обработването е необходимо по причини от важен обществен интерес на основание правото на Европейския съюз или Република България, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;
  7. обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Европейския съюз или Република България, съгласно установеното в Общия регламент за защитата на данните;
  8. обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Европейския съюз или Република България, съгласно установеното в Общия регламент за защитата на данните;
  9. обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, съгласно установеното в Общия регламент за защитата на данните.

VI. СРОКОВЕ ЗА ОБРАБОТВАНЕ И СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ

Чл. 9. „НОБЕЛ ФАРМА“ ЕООД съхранява личните данни по начин, който позволява идентифициране на физическите лица за срок, не по-дълъг от необходимия за изпълнение на целите, за които личните данни са били събрани, доколкото в приложим закон или в Регистър на дейност по обработване по чл. 30 от Общия регламент за защитата на данните, поддържан от Администратора, не е предвиден друг, изрично определен срок.

VII. КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

Чл. 10. (1) Личните данни, обработвани от „НОБЕЛ ФАРМА“ ЕООД, се разкриват пред ограничен брой служители на Дружеството и в някои случаи пред обработващи данните, с които Администраторът има сключен договор за тази цел съгласно чл. 26, ал. 2 от тази Политика.

(2) При наличие на законово основание за това, личните данни могат да бъдат предоставяни и на други администратори, които да ги използват за законни цели (така например, Национална агенция за приходите, Национален осигурителен институт и други).

(3) Личните данни не се разкриват пред получатели в трети държави и/или международни организации.

VIII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Чл. 11. Когато личните данни се събират от субекта на данните, в момента на получаване на личните данни Администраторът предоставя на субекта на данните цялата посочена по-долу информация (право на информация):

  • данните, които идентифицират Администратора, и координатите за връзка с него;
  • координатите за връзка с длъжностното лице по защита на данните (ако в последващ момент такова лице бъде посочено от Администратора);
  • целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
  • когато обработването се извършва въз основа на легитимни интереси, преследвани от Администратора или от трета страна, същите трябва да бъдат посочени;
  • получателите или категориите получатели на личните данни, ако има такива;
  • когато е приложимо, намерението на Администратора да предаде личните данни на трета държава, както и наличието или отсъствието на решение на Европейската комисия относно адекватното ниво на защита или в случай на предаване на данни на основание подходящи гаранции, задължителни фирмени правила или чл. 49, параграф 1, втора алинея от Общия регламент за защитата на данните – позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или информация къде са налични;
  • срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
  • съществуване на право да се изиска от Адмиистратора достъп до личните данни, коригиране, изтриване или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
  • когато обработването се основава на съгласие, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
  • правото на жалба до надзорен орган;
  • дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
  • съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Чл. 12 (1) Когато личните данни не се събират от субекта на данните, в момента на получаване на личните данни Администраторът предоставя на субекта на данните цялата посочена по-долу информация (право на информация):

  • данните, които идентифицират Администратора, и координатите за връзка с него;
  • координатите за връзка с длъжностното лице по защита на данните (ако в последващ момент такова лице бъде посочено от Администратора);
  • целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
  • съответните категории лични данни;
  • получателите или категориите получатели на личните данни, ако има такива;
  • когато е приложимо, намерението на Администратора да предаде личните данни на трета държава, както и наличието или отсъствието на решение на Европейската комисия относно адекватното ниво на защита или в случай на предаване на данни на основание подходящи гаранции, задължителни фирмени правила или чл. 49, параграф 1, втора алинея от Общия регламент за защитата на данните – позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или информация къде са налични;
  • срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
  • когато обработването се извършва въз основа на легитимни интереси, преследвани от Администратора или от трета страна, същите трябва да бъдат посочени;
  • съществуване на право да се изиска от Адмиистратора достъп до личните данни, коригиране, изтриване или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
  • когато обработването се основава на съгласие, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
  • правото на жалба до надзорен орган;
  • източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;
  • съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

(2) Администраторът предоставя информацията по ал. 1:

  • в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;
  • ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните, или
  • ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

Чл. 13. Субектът на данните има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация (право на достъп):

  • целите на обработването;
  • съответните категории лични данни;
  • получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
  • когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
  • съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
  • правото на жалба до надзорен орган;
  • когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
  • съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
  • подходящите гаранции във връзка с предаване на лични данни към трета държава или международна организация, ако има такова.

Чл. 14. Субектът на данни има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него (право на коригиране).

Чл. 15. Субектът на данните има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, когато е налице някое от посочените по-долу основания (право на изтриване или право „да бъдеш забравен“):

  • личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • субектът на данните оттегля своето съгласие, върху което се основава обработването, и няма друго правно основание за обработването;
  • субектът на данните възразява срещу обработваането и няма законни основания за обработването, които да имат преимущество;
  • личните данни са били обработвани незаконосъобразно;
  • личните данни трябва да бъдат изтрити с цел спазването на правно задължение съгласно правото на Европейския съюз или Република България;
  • личните данни са били събрани във връзка с предлагането на услуги на информационното общество по чл. 8, параграф 1 от Общия регламент за защитата на данните.

Чл. 16. (1) Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следните (право на ограничаване на обработването):

  • точността на личните данни се оспорва от субекта на данните, за срок, който позволява на Администратора да провери точността на личните данни;
  • обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  • субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.

(2) Когато обработването е ограничено съгласно предходната алинея, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Европейския съюз или държава членка.

Чл. 17. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора (право на преносимост на данните), когато:

  • обработването е основано на съгласие или договорно задължение; и
  • обработването се извършва по автоматизиран начин.

Чл. 18. (1) Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на изпълнението на задача от обществен интерес или легитимните интереси на Администратора или на трета страна, включително профилиране на същите основания (право на възражение).

(2) В случаите по ал. 1 Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

(3) Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

(4) В случаите по ал. 3, когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

Чл. 19. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен (право да не бъде обект на автоматизирано вземане на индивидуални решения, включително профилиране).

IX. УПРАЖНЯВАНЕ НА ПРАВА ОТ СУБЕКТИТЕ НА ДАННИ

Чл. 20. Администраторът съдейства на субекта на данни като предприема необходимите мерки за предоставяне на информация и водене на комуникация по предходния раздел със субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.

Чл. 21. (1) Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства.

(2) Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

(3) Когато субектът на данните подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

Чл. 22. (1) Субектите на данни упражняват правата си по предходния раздел, изпращайки писмено заявление до Администратора.

(2) Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане за упражняване на правата по предходния раздел, без ненужно забавяне и във всички случаи в срок от 1 (един) месец от получаване на искането.

(3) При необходимост срокът по ал. 2 може да бъде удължен с още 2 (два) месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от 1 (един) месец от получаване на искането, като посочва и причините заа забавянето.

Чл. 23. Ако Администраторът не предприеме действия по искането на субекта на данни за упражняване на право по предходния раздел, Администраторът уведомява субекта на данни без забавяне и най-късно в срок от 1 (един) месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

Чл. 24. (1) Предоставянето на информация и воденето на комуникация по предходния раздел със субекта на данните се предоставят безплатно.

(2) Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повтаряемост, Администраторът може или:

  • да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или
  • да откаже да предприеме действия по искането.

X. ОБЩИ ЗАДЪЛЖЕНИЯ НА „НОБЕЛ ФАРМА“ ЕООД

Чл. 25. Администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с приложимото европейско и национално законодателство.

Чл. 26. (1) Администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по начин, че обработването се извършва в съответствие с приложимото европейско и национално законодателство.

(2) Обработването от страна на обработващия винаги се урежда с договор или с друг приложим правен акт, с който се определят предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на Администратора.

XI. ЗАДЪЛЖЕНИЯ НА „НОБЕЛ ФАРМА“ ЕООД ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Чл. 27. (1) В случай на нарушение на сигурността на личните данни Администраторът, не по-късно от 72 часа от узнаването, е длъжен да уведоми надзорния орган за нарушението на сигурността на личните данни, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.

(2) Когато уведомяването на надзорния орган не е извършено в срока от 72 часа, уведомлението задължително съдържа причините за забавянето.

(3) Уведомяването на надзорния орган по ал. 1 и 2 се извършва, ползвайки нарочно създадените за целта от Администратора образци на уведомления, които са достъпни на адреса на управление на Дружеството.

Чл. 28. Администраторът документира в специално създадения за целта дневник всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

Чл. 29. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни, освен ако:

  • Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни;
  • Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
  • съобщаването би довело до непропорционални усилия – в този случай Администраторът прави публично съобщение или взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.