Politica sulla privacy GDPR

POLITICA GENERALE PER LA PROTEZIONE DEI DATI PERSONALI
ALL’INTERNO DI „UNION IVKONI” EOOD
1. Premessa
 
1.1. Posizioni generali


Questa politica generale in materia di protezione dei dati personali (di seguito la "Politica") disciplina le attività che comportano il trattamento dei dati personali da parte di "Union Ivkoni" EOOD, codice univoco: 121444454, con sede legale ed indirizzo di amministrazione: 1000 città di Sofia, via "Tsar Shishman "№ 17 (in seguito denominata la "Società" e/o il "titolare del trattamento") per le categorie di soggetti di dati personali ivi menzionate, per garantire il rispetto di tale trattamento al REGOLAMENTO (UE) 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche nell'Unione europea per quanto riguarda il trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito "il Regolamento") e tutte le altre norme vigenti dell'Unione Europea (UE) e la legislazione nazionale sulla protezione dei dati. Questa politica si applica a tutte le questioni relative alla protezione dei dati personali per i quali manca altra regolamentazione espressa o speciale conformemente ad altri atti della Società.
 
 
1.2. La politica mira a disciplinare e copre in particolare i seguenti aspetti:
  • il trattamento dei dati personali, le categorie di soggetti di dati ne confronti di cui si applica la Politica, i principi di trattamento e le responsabilità per il trattamento;
  • gli obblighi delle persone che agiscono sotto la gestione della Società ai sensi dell'art. 29 del Regolamento nel trattamento dei dati personali e la loro responsabilità per inadempimento di tali obblighi;
  • i diritti degli interessati e la procedura per il loro esercizio
  • la procedura relativa al trattamento dei dati personali in base al consenso degli interessati;
  • Regole di risposta in caso di violazione della sicurezza di dati personali;
  • le misure tecniche ed organizzative per la protezione dei dati personali adottate all’interno della Società.
 
1.3. Informazione sul Titolare del trattamento
Società „Union Ivkoni” EOOD
   
Informazione sull’iscrizione Iscritta nel Registro delle Imprese e nel Registro dei soggetti giuridici senza scopo di lucro tenuto dall’Agenzia delle Iscrizioni, codice univoco: 121444454
   
Sede ed indirizzo di amministrazione 1000 città di Sofia, via Tsar Shishman Nr.17
   
Oggetto sociale Commercio interno ed estero, attività di operatore turistico e di agente turistico, rappresentanza, mediazione e agenzia di persone fisiche e giuridiche, residenti e straniere, attività di mediazione per reclutamento sul territorio nazionale ed all’estero, trasporto e spedizione sul territorio nazionale ed all’estero, attività alberghiera, ristorazione, produzione e commercio con prodotti industriali, per la casa, prodotti alimentari ed agricoli, produzione, trasporto e commercio con energia elettrica, tutte le altre operazioni commerciali non vietate dalla Legge
   
Addetto alla protezione dei dati t.bolen@union-ivkoni.com
 
2. Terminologia ed abbreviazioni impiegate
 
Tutta la terminologia e le abbreviazioni non espressamente definite nella Politica assumono il significato attribuito nel Regolamento.
 
3. Attività inerenti al trattamento di dati personali
 
3.1. Principi di trattamento dei dati personali
Il trattamento dei dati personali dal Titolare del trattamento è subordinato ai seguenti principi:
  • I dati personali sono trattati solo ed esclusivamente in presenza di uno dei motivi per il trattamento, in conformità al Regolamento e / o all’altra legislazione applicabile sulla protezione dei dati, di buona fede e in modo trasparente nei confronti dell'interessato (principio di legalità, buona fede e trasparenza);
  • i dati personali sono acquisiti per scopi specifici, espliciti e legittimi e non sono ulteriormente trattati in modo incoerente con tali scopi;
  • i dati personali sono appropriati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati (principio di minimizzazione dei dati);
  • i dati personali sono esatti e, se necessario, aggiornati. Il titolare del trattamento adotta tutte le misure ragionevoli per assicurare la tempestiva cancellazione o correzione di dati personali imprecisi, tenendo conto degli scopi per i quali sono trattati (Principio di Precisione nel Trattamento);
  • i dati personali si conservano in una forma che consenta lidentificazione del soggetto dei dati per un periodo non superiore a quello necessario per gli scopi per i quali i dati personali sono trattati; 
  • i dati personali sono trattati in modo tale da garantire un livello adeguato di sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita accidentale, l'individuazione, la distruzione o il danneggiamento, applicando misure tecniche o organizzative appropriate;
  • le misure organizzative e tecniche adottate garantiscono la continua riservatezza, integrità, disponibilità e sostenibilità dei sistemi e dei servizi di trattamento dei dati personali.
 
3.2. Categoria di soggetti di dati. Categorie di dati personali e scopi del trattamento. Videosorveglianza
3.2.1. Il responsabile del trattamento ha diritto di trattare dati personali per i suoi clienti e per altri soggetti di dati, come segue:
  1. clienti (persone fisiche) della Società nella qualità di vettore nei cui confronti si possono trattare dati personali come: nome completo, codice anagrafico, indirizzo IP, email, numero di telefono, indirizzo MAC ecc. Il trattamento di dati personali è basato sul principio di minimizzazione dei dati, in dipendenza di ed ai fini di prestazione dei servizi che il rispettivo cliente utilizza, tipo sconto per bambini e/o gente che supera una certa età (codice anagrafico), uso del sistema on-line della Società per acquisto di biglietti (indirizzo IP; email; telefono; dati relativi alle abitudini ed alle preferenze), utilizzo della rete wi-fi all’interno degli autobus della Società (indirizzo MAC) ecc. I fini del trattamento comprendono: (i). prestazione del servizio di trasporto e/o dei servizi accessori, compreso l’acquisto on-line di biglietti e l’utilizzo del sito web della Società; (ii). Conservazione di registro fiscale e contabile; (iii). Ottemperanza di esigenze legislative; (iv). Concessione di sconti ai clienti regolari; (v). scopi legati agli interessi legittimi della Società a norma del Regolamento;   
  2. clienti (persone fisiche) della Società nella qualità di operatore turistico nei cui confronti si possono trattare dati personali come: nome completo, codice anagrafico, informazione di documenti d’identità personali (carta d’identità o passaporto a seconda della destinazione scelta), dati e documenti necessari ai fini di controlli della polizia, controlli frontalieri e doganali o controlli di organo competente pubblico, documenti di rilascio di visto e/o altri tipi di documenti di permesso, informazione sui rapporti in famiglia (ad esempio: riguardo a turisti che non hanno l’età di 18 anni, considerata l’ottemperanza del requisito di consenso di genitore in caso di uscita fuori il territorio nazionale ecc.), informazione su conti bancari (IBAN, in caso di pagamento via bancaria), informazione rilevante per la stipulazione di assicurazione medica in caso di viaggio, nella tipologia e nell’entità tali quali richieste dalla/dalle rispettiva/e società di assicurazione e/o la legge, informazione di contatto (ad esempio indirizzo email, indirizzo di contatto, numero di telefono), anche altri dati tipo indirizzo IP, indirizzo МАC del dispositivo ecc. Il trattamento di dati personali è basato sul principio di minimizzazione dei dati, in dipendenza di ed ai fini di prestazione dei servizi che il rispettivo cliente utilizza tipo l’utilizzo della rete wi-fi all’interno degli autobus della Società (MAC), utilizzo del sito web della Società (indirizzo IP; dati relativi alle abitudini ed alle preferenze) ecc. Gli scopi del trattamento comprendono: (i). prestazione del servizio turistico dichiarato e/o dei servizi accessori, compreso l’utilizzo del sito web della Società; (ii). Conservazione di registro fiscale e contabile; (iii). Ottemperanza di esigenze legislative; (iv). Concessione di sconti ai clienti regolari; (v). marketing diretto; (vi). scopi legati agli interessi legittimi della Società a norma del Regolamento;   
  3. addetti impiegati della Società potenziali, presenti e/o ex impiegati della Società. Riguardo ai dati personali dei soggetti indicati si applica la Politica sulla protezione dei dati personali di impiegati della Società; 
  4. altre persone fisiche e persone fisiche-rappresentanti o persone da contattare di soggetti giuridici che sono in contatto con la Società compreso ma non solo fornitori, contatti di business, subappaltatori, altri contraenti e partner di business ed altri) ai fini di adempimento e/o gestione dell’attività della Società; 
  5. altre persone fisiche, rappresentanti per legge o delega, di altre persone fisiche – clienti della Società (ad esempio genitori di minorenni in caso di consenso per uscita fuori il territorio nazionale ecc.)
 
3.2.2. La Società ha creato e mantiene un registro delle attività di trattamento dei dati personali come titolare del trattamento ai sensi dell'art. 30 del Regolamento (di seguito il "Registro"). Il registro è descritto in dettaglio nella sezione 7 della politica e contiene le informazioni specificate nel regolamento, comprese le categorie specifiche di soggetti dei dati, le categorie di dati personali, gli obiettivi e il periodo di trattamento classificati per attività.
 
3.2.3. La Società conserva i dati personali per il periodo più lungo dei termini richiesti per rispettare le leggi e i regolamenti applicabili o qualsiasi altro periodo richiesto dalle attività della Società. Il trattamento dei dati personali si basa sul principio di minimizzazione dei dati, a seconda e per lo scopo di fornire i servizi che il cliente utilizza (come uno sconto per bambini e / o persone di una certa età (codice anagrafico), e ecc.) Alcuni dati possono essere memorizzati dopo che il servizio richiesto dal cliente sia stato completato allo scopo di concedere sconti ai clienti regolari.
 
3.2.4. La società procede con la videosorveglianza di aree accessibili al pubblico presso i punti di vendita di biglietti, gli uffici e le strutture di servizio. La videosorveglianza avviene secondo le regole per la videosorveglianza del Titolare del trattamento.
 
4. Categorie di destinatari di dati
 
Il titolare del trattamento può comunicare dati personali alle persone di seguito:
  • fornitori di servizi - consulenti, avvocati, commercialisti, revisori, esperti IT, ecc. in relazione alla stipulazione dei contratti relativi all'attività principale della Società, all'ottemperanza dei requisiti legali, all'assistenza tecnica, ecc. Tale comunicazione è effettuata sulla base di un accordo scritto con il fornitore di servizi pertinente al fine di garantire che lo stesso assicuri un livello adeguato di protezione e la conformità alla legislazione in materia dei dati personali;
  • Subappaltatori – in caso di prestazione di servizi per conto del Titolare del trattamento (rappresentanti commerciali, tour operator, agenti turistici, ecc.) sul territorio nazionale ed all'esterno in relazione alla stipulazione ed all’adempimento dei contratti per il trasporto di passeggeri e per i servizi turistici. Tale comunicazione è effettuata sulla base di un accordo scritto con il subappaltatore interessato al fine di garantire che lo stesso assicuri un livello adeguato di protezione e conformità alla legislazione in materia di dati personali;
  • Prestatori di servizi per la fornitura e per la manutenzione di apparecchiature, software e hardware utilizzati per il trattamento (compresa la memorizzazione) di dati personali, per la registrazione di pagamenti, ecc .;
  • banche a servizio dei pagamenti da parte degli interessati per servizi passeggeri e / o servizi di viaggio;
  • società di sicurezza che forniscono servizi di sicurezza privata in relazione alla videosorveglianza di aree accessibili al pubblico presso i punti di vendita di biglietti del Titolare del trattamento; 
  • autorità pubbliche o giudiziarie, entro e nei limiti consentiti e / o richiesti dalla legge;  
  • compagnie di assicurazione - in relazione alla stipulazione di assicurazione di viaggio nella fornitura di servizi turistici;  
  • altri titolari del trattamento dei dati, nei casi in cui la Società agisce come un elaboratore per loro conto.
 
5. Obblighi del Titolare del trattamento
 
Il Titolare ha i seguenti obblighi:
  • definisce le politiche e le procedure per la protezione dei dati personali trattati, rispetta i requisiti del Regolamento, la legislazione dell'UE e la legislazione nazionale in materia di protezione dei dati personali;
  • nomina un responsabile della protezione dei dati;
  • Provvede ad assicurare l'organizzazione di tenuta del Registro secondo le misure previste per garantire una protezione adeguata;
  • introduce, sia al momento della designazione dei mezzi di trattamento che al momento del trattamento stesso, misure tecniche ed organizzative adeguate che sono state sviluppate ai fini di un'efficace attuazione dei principi di protezione dei dati;
  • garantisce l'esercizio dei diritti delle persone fisiche da proteggere i dati personali;
  • introduce misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali sia effettuato in conformità ai requisiti del regolamento;
  • Introduce misure tecniche ed organizzative appropriate per garantire che per impostazione predefinita sono trattati solo i dati personali necessari per ogni specifico scopo di trattamento. Tale obbligo si riferisce all’entità dei dati personali acquisiti, al livello di trattamento, alla durata di conservazione ed all'accessibilità;
  • controlla il rispetto dei requisiti per la protezione del Registro, stabilisce le circostanze relative alla violazione della loro protezione ed adotta misure per la loro eliminazione; 
  • aggiorna i registri tenuti; 
  • mantiene i dati personali in una forma che consenta l'identificazione delle persone fisiche interessate per un periodo non superiore a quello necessario per gli scopi per i quali tali dati sono trattati; 
  • informa periodicamente e conduce, se del caso, la formazione del personale in materia di protezione dei dati personali;
  • assiste nell'adempimento delle funzioni di controllo della Commissione per la protezione dei dati personali nella sua qualità di organo di vigilanza ai sensi dell'art. 51 del Regolamento (di seguito "CPDP"), contribuisce a stabilire le circostanze relative alla protezione dei dati personali;
  • definisce i diritti degli addetti all’accesso ai dati personali in sistemi informatici secondo le finalità del trattamento al fine di garantire la legalità ed osservare i principi del trattamento;
  • utilizza dati personali in trattamento che forniscono adeguate garanzie attraverso l'applicazione di appropriate misure tecniche ed organizzative di protezione;
  • rispetta determinate regole in caso di violazione della sicurezza dei dati personali;
  • documenta qualsiasi violazione della sicurezza dei dati personali, compresi i fatti relativi alla violazione dei dati personali, le sue conseguenze e l'azione intrapresa per affrontarli;
  • Effettua una valutazione dei rischi, come richiesto dal Regolamento, o una valutazione d'impatto, se le condizioni sono soddisfatte ai sensi del Regolamento.
 
6. Compiti dei dipendenti del Titolare. Responsabilità. Informativa sulla privacy
 
6.1. I dipendenti del Titolare iniziano a trattare i dati personali dopo aver appreso quanto segue:
  • il quadro giuridico in materia di protezione dei dati personali, compreso il regolamento e la legge sulla protezione dei dati personali (di seguito "LPDP");
  • la politica e altri atti interni del Titolare relativi alla protezione dei dati personali;
  • I rischi relativi ai dati personali trattati dal Titolare. 
Gli addetti del Titolare sono tenuti a:
  • rispettare i requisiti del Regolamento, le altre leggi applicabili sulla protezione dei dati, l'Informativa sulla privacy e gli altri atti interni del Titolare;
  • trattare i dati personali solo se esiste una condizione per il trattamento lecito (titolo giuridico), ovvero: un motivo per il trattamento dei dati personali derivante dalla legge; o motivo del trattamento dei dati personali derivanti dal rapporto contrattuale con la persona; o motivo del trattamento dei dati personali derivante dal consenso esplicito del soggetto; o cause di trattamento dei dati personali, che deriva dal legittimo interesse del Titolare o di terzi e il cui interesse legittimo prevale sugli interessi, sui diritti e sulle libertà della persona interessata, che richiedono tutela dei dati personali fondamentali;
  • utilizzare i dati personali a cui accedono in conformità agli scopi per i quali sono acquisiti e non trattarli ulteriormente in modo incompatibile con tali scopi;
  • non utilizzare i dati personali a cui si accede come dipendenti del Titolare per scopi personali;                                                                                       
  • osservare la regola di evitare la possibilità di accesso non autorizzato ai dati personali e di lasciare incustoditi i dati personali disponibili sul posto di lavoro. In locali accessibili agli estranei, il personale interessato è tenuto a prendere misure affinché gli estranei non abbiano accesso non autorizzato a documenti contenenti dati personali, compresa la possibilità di visualizzarli, copiarli o fotografarli con strumento tecnico;  
  • quando l’esercizio della rispettiva attività consente, di limitare i dati personali utilizzati nella misura massima; 
  • Assicurare e garantire il rispetto dei diritti delle persone fisiche rispetto al trattamento dei dati personali;  
  • prevenire, non aiutare o non creare violazioni della sicurezza per il trattamento di dati personali; 
  • non condividere o fornire reciprocamente o a terzi informazioni essenziali per la sicurezza dei dati (nomi utente, password, ecc.);
  • Non copiare file con informazioni aziendali contenenti dati personali su un supporto portatile in un tipo non crittografato (o non protetto da password);
  • non inviare per posta elettronica ad indirizzo email fuori della Società informazioni contenenti notevoli quantità di dati personali o eventuali categorie speciali di dati personali o altri dati personali il cui accesso non autorizzato può costituire un alto rischio per i diritti e gli interessi dei soggetti di dati a cui si riferiscono, in file non protetti da password;
  • non pubblicare dati personali su clienti o dipendenti della Società su siti pubblici, ecc., senza la presenza di un'adeguata base legale per questo; 
  • Fornire assistenza al responsabile della protezione dei dati nell'esercizio dei suoi poteri.
 
6.2. Responsabilità dei dipendenti
 
6.2.1. Tutte le azioni che comportano o possono comportare la cancellazione, la distruzione o la modifica non autorizzate di dati personali pervenuti dal Titolare su supporto magnetico o cartaceo nonché la condivisione / divulgazione non autorizzata di dati personali da parte dei dipendenti della Società è vietata e può per portare la realizzazione della responsabilità del dipendente interessato.
6.2.2. Per il mancato rispetto delle disposizioni del Regolamento e / o della LPDP e / o della Politica e / o di altri atti interni applicabili del Titolare, i dipendenti del Titolare saranno passibili di azioni disciplinari. 
6.2.3. Oltre alla responsabilità disciplinare, può essere realizzata anche responsabilità amministrativa-penale e penale nei suoi confronti se l'atto è un atto per il quale è prevista una responsabilità penale o amministrativa-penale;
 
6.2.4.
A parte la responsabilità disciplinare, amministrativa-penale e penale, il dipendente in questione si assume e nei suoi confronti può essere realizzata anche responsabilità civile se ne sussistono i rispettivi presupposti.
 
6.3. Il Titolare:
  • garantisce la sottoscrizione di una dichiarazione privacy e la non divulgazione di dati personali da parte di tutti i dipendenti che trattano dati personali a riguardo;
  • mantiene le informazioni sull'adempimento dei suoi obblighi di formazione del personale che tratta dati personali e del personale addetto alla formazione su eventi che minacciano la sicurezza dei dati personali.
 
7. Registro delle attività di trattamento dei dati personali come titolare del trattamento
 
Ai sensi dell’art. 30, par. 1 del Regolamento, la Società tiene un Registro per le attività di trattamento come titolare del trattamento che contiene il nome e i dettagli di contatto del Titolare e del RPD. Il Registro deve contenere una descrizione dettagliata di tutte le attività di trattamento dei dati personali ai sensi dell'art. 30, par. 1 del Regolamento, comprese le seguenti caratteristiche:
  • il nome dellattività (processo aziendale, funzione) per il trattamento dei dati personali;
  • le finalità e i motivi del trattamento dei dati personali; 
  • le categorie di soggetti fisici per i quali vengono trattati dati personali (clienti, dipendenti, persone di contatto di persone giuridiche, ecc.); 
  • le categorie di dati personali che vengono trattati nell'attività in questione;  
  • trattamento di speciali categorie di dati (ad esempio informazioni sulle condizioni di salute, se applicabili);  
  • le fonti di dati personali; 
  • terzi che acquistano o in un altro modo partecipano al trattamento di dati personali nell'attività in questione;  
  • posizione (archiviazione) dei dati personali;  
  • i termini per l'archiviazione e l'eliminazione delle diverse categorie di dati personali ove possibile;
  • descrizione generale delle misure di sicurezza tecniche ed organizzative, ove possibile.
 
8. Registri delle attività di trattamento di dati personali come soggetto che tratta i dati
 
Per alcune attività di trattamento dei dati, la Società agisce su assegnazione, vale a dire. per conto di altre persone – titolari di trattamento di dati personali, ad es. compagnie assicurative (nel caso di tour operator). In tali casi di trattamento, la Società agisce come soggetto che tratta dati personali. In conformità ai requisiti di cui all'art. 30, par. 2, del Regolamento, la Società tiene un registro di trattamento di dati personali come elaboratore, che contiene il nome ed i recapiti della Società e del Titolare del trattamento per conto del quale elabora i dati. Il registro comprende una descrizione dettagliata di tutte le attività (processi di business, funzioni) per il trattamento dei dati personali ai sensi dei requisiti di cui all'art. 30, par. (2) del regolamento con almeno le seguenti caratteristiche:
  • le categorie di elaborazione eseguita per conto di ciascun Titolare del trattamento
  • terzi che acquistano o partecipano in altro modo al trattamento di dati personali nell'attività in questione; 
  • se del caso, il trasferimento di dati personali verso paese terzo o un'organizzazione internazionale, compresa l'identificazione di tale paese terzo o organizzazione internazionale, rispettivamente le garanzie appropriate (ove richiesto);
  •  descrizione generale delle misure di sicurezza tecniche e organizzative ove applicabile e possibile.
 
9. Addetto responsabile alla protezione dei dati 
Il Titolare del trattamento ha nominato un responsabile della protezione dei dati (in seguito denominato "RPD"), che interviene in modo appropriato e tempestivo in tutte le questioni relative alla protezione dei dati personali. Il responsabile della protezione dei dati ha i seguenti doveri e poteri:
  • informare e consigliare i dirigenti e i dipendenti che svolgono attività di trattamento dei dati in merito ai loro obblighi ai sensi del regolamento e qualsiasi altra pertinente normativa UE e nazionale in materia di protezione dei dati personali;  
  • controlla ed è responsabile per la sensibilizzazione e per la formazione del personale coinvolto nelle operazioni di trattamento dei dati personali;
  • Produce e propone l'approvazione di regole e politiche interne per la protezione dei dati personali o modifiche alle regole ed alle politiche esistenti;
  • • monitora la necessità di modificare il trattamento dei dati personali e dei relativi documenti e / o dei documenti di regolamentazione;
  • Partecipa alle attività di valutazione del rischio e, se del caso, dell'impatto del trattamento dei dati personali; 
  • funge da punto di contatto unico per gli interessati in relazione all'esercizio dei loro diritti ai sensi del Regolamento;  
  • archivia le richieste degli interessati in relazione all'esercizio dei loro diritti
  • mantiene informazioni sulle violazioni della sicurezza della protezione dei dati personali; 
  • tiene registri ai sensi dell'art. 30 del Regolamento sulle attività di trattamento dei dati personali; 
  • Esercita un monitoraggio completo, effettua valutazioni regolari, fornisce consulenza e fornisce raccomandazioni e suggerimenti per garantire un livello adeguato di sicurezza dei dati personali.
 
Le responsabilità del RDP sono descritte in dettaglio nel suo mansionari (quando è un dipendente della Società) o nel rispettivo contratto di prestazione (quando non è un dipendente della Società).
 
10. Diritti dei soggetti di dati
 
Il Titolare del trattamento adotta le misure necessarie per fornire agli interessati dati sul trattamento dei dati personali in una forma chiara, trasparente, comprensibile e facilmente accessibile in un linguaggio semplice e chiaro. Il Titolare del trattamento assiste nell'esercizio dei diritti dell'interessato ai sensi degli articoli 15-22 del Regolamento.
Nei casi in cui le richieste di un soggetto siano chiaramente irragionevoli o eccessive (in particolare a causa della sua ripetibilità), il Titolare del trattamento può rifiutarsi ad agire. 
Il Titolare del trattamento, in particolare, garantisce i seguenti diritti degli interessati:
  • diritto all'informazione nell’acquisizione di dati personali dall'interessato o da terzi
  • diritto di accesso ai dati dell'interessato, in particolare: conferma che i dati personali di tale persona interessata sono trattati dalla Società; (II). fornire accesso ai dati attraverso una copia dei dati in corso di trattamento, nonché informazioni sulle finalità del trattamento; categorie di dati personali; i destinatari o le categorie di destinatari a cui sono o saranno comunicati i dati personali; i termini per la conservazione dei dati personali; l'esistenza di un diritto di rettificare o di cancellare dati personali o di limitare il trattamento di dati personali o un'obiezione al trattamento; il diritto di appello a un'autorità di vigilanza (che nella Repubblica Bulgara è CPDP); fonti di dati personali; l'esistenza di processi decisionali automatizzati, inclusa la profilazione;
  • Diritto di rettifica - Richiedere la correzione o il completamento dei propri dati personali se i dati sono inesatti o incompleti; 
  • Diritto di cancellare i dati personali quando sono esistenti i motivi previsti nel regolamento; 
  • Diritto di limitare il trattamento; 
  • Diritto alla portabilità dei dati; 
  • Diritto di opposizione; 
  • Diritto dell'interessato di non essere oggetto di una decisione basata esclusivamente su elaborazioni automatizzate che comportano la profilazione che produce effetti giuridici o che in altro modo lo influenzano in modo significativo;
  • dare, modificare o ritirare il consenso al trattamento dei dati personali qualora il motivo del trattamento sia il consenso dell'interessato. 
Gli interessati possono esercitare i loro diritti presentando una richiesta scritta al Titolare del trattamento in una delle seguenti modalità:
  • personalmente, da rappresentante legale o da rappresentante autorizzato con procura con firma del soggetto, autenticata da Notaio, presso gli uffici della Società, situati a Sofia, 102, Mariya Luiza Blvd., stazione degli autobus Serdika - piano 2, dopo l'identificazione del soggetto dei dati o del rispettivo rappresentante da parte di dipendente del Titolare di trattamento;
  • via email al Responsabile per la protezione dei dati personali con una firma elettronica qualificata, in conformità alla Legge sui documenti elettronici e sui servizi di certificazione elettronica – firma elettronica qualificata (di seguito "FEQ");  
  • Per posta, con l'invio di una dichiarazione certificata notarile al fine di garantire l'identificazione del richiedente. 
Tutte le domande depositate presso la suddetta sede della Società o per posta vengono inviate al RPD, che le tratta senza indebiti ritardi. Entro un mese dalla presentazione della domanda, il RPD informa la persona interessata sulle azioni intraprese per la domanda, rispettivamente, sui motivi per non agire e sulla possibilità di una denuncia all'autorità di vigilanza ed i mezzi di ricorso via autorità giudiziarie. Se si interviene riguardo alla domanda, il termine di notifica dei dati oggetto di tali azioni può essere esteso a tre mesi, tenendo conto della complessità e del numero di applicazioni. In questo caso, il responsabile della protezione dei dati comunicherà all'interessato l'estensione entro il periodo iniziale di un mese.
L’informazione (che può variare a seconda di quale diritto del soggetto interessato è stato esercitato con la domanda) si fornisce su supporto cartaceo di persona all’interessato o al suo rappresentante legale o autorizzato con procura autenticata da Notaio. Se la domanda viene inviata via email, le informazioni vengono fornite anche via email all'indirizzo email da cui ne esce la domanda presentata. In questo caso, le informazioni vengono inviate a file protetti con password.

 
 
11. Consenso del soggetto di dati come condizione del trattamento di dati personali 
11.1. Condizione
Ai sensi dell'Art. 6, par. 1, lett. "A" del Regolamento, il consenso dell'individuo è una delle condizioni giuridiche per la conformità alla Legge del trattamento dei dati personali. Il consenso dovrebbe essere dato personalmente mediante dichiarazione scritta, in forma elettronica o con altro metodo specificato dal Titolare del trattamento, per garantire che il consenso sia:
  • Liberamente concesso; e
  • Concreto; e
  • Informato; e
  • Categorico,
 
11.2. Soggetti di dati
La Società può acquisire consensi per tutte le categorie di soggetti di dati per i quali vengono trattati dati personali, inclusi clienti e dipendenti.
Il consenso delle persone interessate deve essere acquisito solo in forma scritta, mediante dichiarazioni di consenso, una volta che la persona è stata identificata per dimostrare l'esistenza del consenso per l'attività di trattamento in questione, se necessario. Il consenso è un motivo distinto per il trattamento dei dati personali e gli scopi specifici del trattamento sono in esso specificati.

 
11.3. Revoca
La società consente agli interessati di modificare o ritirare facilmente il loro consenso senza causare conseguenze legali negative per loro quando sono obiettivamente possibili. Le modifiche o i ritiri del consenso sono effettuati dalle persone interessate nell'ordine di acquisizione di consenso. In caso di ritiro parziale o totale del consenso, quando il trattamento dei dati personali viene effettuato su questa base, la Società potrebbe non essere in grado di fornire il servizio richiesto dal Cliente.
 

 11.4. Acquisizione di consensi da clienti
I consensi di ex clienti, di clienti attuali e dei loro rappresentanti sono acquisiti in uno dei seguenti modi:
• di persona, in qualsiasi ufficio o rappresentanza della Società;
• attraverso gestore postale autorizzato con una certificazione notarile della dichiarazione di consenso; o
• Dichiarazione di consenso firmato con FEQ, inviata via e-mail al RPD.

 

11.5. Acquisizione di consensi da impiegati
I consensi di ex dipendenti, di dipendenti attuali e di persone in cerca di lavoro sono acquisiti in uno dei seguenti modi:
• personalmente, presso l'unità di gestione delle risorse umane;
• tramite posta elettronica certificata - per i dipendenti attuali;
• Dichiarazione di consenso firmata con firma elettronica qualificata, inviata via email al RPD - per ex dipendenti e persone in cerca di lavoro; o
• tramite un operatore postale autorizzato con autentica notarile della dichiarazione di consenso.

 
11.6. Concessione e ritiro di consensi online
Laddove vi sia un caso in cui è richiesto il consenso al trattamento dei dati personali della Società in relazione ai servizi forniti dalla Società che sono rivendicati o utilizzati online, tale consenso deve essere ottenuto (di conseguenza, ritirato) online, fatte salve le regole separate per questo.
 
11.7. Archiviazione
Tutti i consensi di trattamento di dati personali si registrano e conservano dal Titolare del trattamento.
 
12. Trattamento di dati personali dal Titolare attraverso soggetto che elabora dati personali
 
Per lo svolgimento della propria attività, la Società può utilizzare terzi (subappaltatori, rappresentanti commerciali, fornitori di servizi, ecc.) che agiscono in nome suo per il trattamento di dati personali nell'elaborazione di dati personali ai sensi dell'Art. 4, articolo 8 del Regolamento. Tali operatori del trattamento possono essere:
 
  • Società commerciali;
  • Persone fisiche assunte con contratti a norma della legislazione civile. 
Quando assegna il trattamento dei dati personali a un operatore – parte terza del trattamento, il Titolare del trattamento rispetta i seguenti requisiti:
  • Gli operatori del trattamento sono selezionati per fornire garanzie sufficienti per l'applicazione di appropriate misure tecniche ed organizzative per protezione dei dati personali
  • le condizioni per la protezione dei dati personali sono regolate in un accordo scritto separato o nel contratto scritto principale tra il Titolare del trattamento e l’operatore assegnato al trattamento
I contratti (rispettivamente gli accordi) che il Titolare del trattamento conclude con i terzi assegnati al trattamento di dati personali definiscono e disciplinano almeno:
                              
  • l’oggetto e la durata di validità del trattamento; 
  • le finalità e la natura del trattamento; 
  • le categorie di soggetti di dati nei confronti di cui avviene il trattamento; 
  • la tipologia dei dati personali che il terzo a cui è assegnato il trattamento elaborerà in nome del Titolare del trattamento dei dati; 
  • i diritti ed i doveri del Titolare del trattamento e del terzo da questi scelto per il trattamento; 
  • I requisiti per le misure tecniche ed organizzative per la protezione dei dati personali che il terzo responsabile del trattamento deve applicare, in base alle specifiche e alla portata dello specifico incarico. Nonostante le disposizioni specifiche contenute in tali contratti, nessuna tolleranza da e conseguente applicazione di un livello inferiore di protezione dei dati personali rispetto a quanto previsto nella presente Politica
  • Obbligo del terzo di collaborazione con il titolare del trattamento per l’ottemperanza dei suoi doveri ai sensi degli artt. 31-36 del Regolamento; 
  • Obbligo del terzo a cui è assegnato il trattamento di informare il Titolare senza ritardo sulla saputa di presenza di violazione della sicurezza dei dati personali;  
  • Esigenze al terzo a cui è assegnato il trattamento ed altre condizioni obbligatorie ai sensi dell’art. 28, p. 3 del Regolamento.
 
13. Regole per rispondere alle violazioni dei dati personali
 
13.1. Condizione
Le regole per rispondere alle violazioni della sicurezza dei dati personali sono basate sui requisiti dell'art. 33 e dell’art. 34 del Regolamento.
 
13.2. Rilevazione di una violazione della sicurezza dalla parte di dipendente
Se c'è un caso di una violazione della sicurezza scoperto da dipendente del Titolare del trattamento, il dipendente interessato comunica immediatamente al RPD per iscritto (se possibile – anche verbalmente - di persona o per telefono), fornendo tutti i dettagli (per quanto riguarda le informazioni per questo) la natura della violazione, il tempo previsto di accadimento / il reato, ecc.

 
13.3. Segnali di violazione della sicurezza dalla parte di terze parti


I segnali di violazione della sicurezza da terzi sono accettati dal Titolare del trattamento in una delle seguenti modalità:
• personalmente presso gli uffici della Società, con sede a Sofia, v.le "Mariya Luiza"102, stazione degli autobus "Serdika", 2 ° piano, dopo l'identificazione della persona da parte di dipendente del Titolare del trattamento;
• via e-mail al RPD mediante firma elettronica qualificata, in conformità alla Legge sui documenti elettronici e sui servizi di certificazione elettronica;
• per posta con l'invio di un segnale autenticato da Notaio.

 
 
 13.4. Indagine sulla violazione della sicurezza e misure
Senza indebiti ritardi, il responsabile della protezione dei dati crea una commissione per lo studio del caso concreto, composta da personale amministrativo adeguatamente qualificato, a seconda dei casi. La Commissione dovrebbe esaminare il contesto di fatto ed analizzare e valutare la serietà dell'infrazione, considerato il rischio per i diritti e per le  libertà delle persone fisiche, il numero delle persone interessate affette, ecc, e di proporre adeguate misure atte a porre rimedio e dove è impossibile - minimizzare i rischi identificati ed i possibili effetti negativi.
 
13.5. Notifica della CPDP
In caso di violazione di amministratore della sicurezza da parte del RDP, informare CPDP entro 72 ore dal verificarsi, a meno che nel caso specifico non vi è alcuna probabilità che la violazione generi rischi per i diritti e per le libertà delle persone fisiche.

  
13.6. Notifica dei soggetti di dati

Quando la violazione della sicurezza può portare ad alto rischio per i diritti e le libertà delle persone, l'amministratore comunica la violazione dei dati personali agli interessati, senza indebito ritardo. La comunicazione all'interessato in un linguaggio chiaro e semplice descrive la natura della violazione dei dati personali e indica almeno: il nome e i dettagli di contatto del RPD; una descrizione delle possibili conseguenze della violazione della sicurezza dei dati personali; descrizione delle misure adottate o proposte dal Titolare del trattamento per affrontare la violazione dei dati personali, comprese, se del caso, misure per attenuare eventuali effetti negativi.
 
 Il titolare del trattamento può astenersi dal comunicare agli interessati la violazione se:
(I). ha intrapreso misure anticipate di protezione tecniche ed organizzative adeguate e tali misure sono state applicate ai dati interessati dalla violazione della sicurezza dei dati personali (ad esempio crittografia); e / o
(II). successivamente ha preso misure per garantire che non vi è alcuna probabilità di materializzarsi rischio più elevato per i diritti e le libertà dei soggetti; e / o
(III). tale segnalazione porterebbe a sforzi sproporzionati. In questo caso, il titolare del trattamento fa un annuncio pubblico sul proprio sito web e / o tramite divulgazione in modo appropriato da parte dei media per una violazione della sicurezza che può portare ad un rischio più elevato per i diritti e le libertà delle persone fisiche.


13.7. Archiviazione
Tutti i segnali di violazioni della sicurezza dei dati personali si registrano ed archiviano dal Titolare del trattamento.
 
13.8. Formazioni
Per gli impiegati impegnati con il trattamento di dati personali sono organizzate formazioni periodiche per affrontare violazioni della sicurezza dei dati personali.
 
14. Misure tecniche ed organizzative per la protezione dei dati personali
 
14.1. Misure tecniche ed organizzative della Società a titolo di Titolare del trattamento
 

Nelle operazioni della Società sono previste le misure tecniche ed organizzative necessarie per proteggere i dati personali dalla distruzione accidentale o illecita, da accesso non autorizzato, modifica o distribuzione, così come altre forme illecite di trattamento.
 
I tipi di protezione sono fisici, personali, documentari, protezione di sistemi informativi automatizzati e / o di reti, protezione crittografica.
Le misure sono in linea con le moderne conquiste tecnologiche e garantiscono un livello di sicurezza appropriato rispetto ai rischi connessi alle attività di trattamento e la categoria di dati protetti.

Specifiche misure tecniche ed organizzative che la Società applica sono elencate in dettaglio nell'appendice 1 alla presente politica, come lo stesso può essere oggetto di aggiornamenti periodici.
 
 
14.2. Misure tecniche ed organizzative della Società a titolo di terzo assegnato al trattamento
Nel caso in cui la Società tratta i dati personali come terzo incaricato per altri titolari del trattamento, le specifiche misure tecniche e organizzative applicate dalla Società in qualità di incaricato al trattamento sono determinate in singoli accordi con il rispettivo Titolare e, se tale determinazione non viene effettuata, la Società si atterrà alle misure organizzative che applica come Titolare del trattamento.

 
15. Trasmissione di dati personali fuori lo Spazio economico europeo (SEE)
 

Il Titolare del trattamento può eseguire la trasmissione internazionale di dati provenienti dallo Spazio economico europeo (SEE) quando la Commissione europea ha riconosciuto che un paese non SEE fornisce un livello adeguato di protezione dei dati.
Per le trasmissioni verso i paesi al di fuori dello SEE, il cui livello di protezione non è riconosciuto dalla Commissione Europea, il Titolare del trattamento fa riferimento o a una deroga specifica applicabile alla situazione ai sensi del regolamento (ad es. Se il trasferimento è necessario per l'esecuzione del contratto della società con il soggetto dei dati) o applicherà una qualsiasi delle protezioni previste dalla legislazione applicabile.
In altri casi, per il trasferimento di dati personali al di fuori dello SEE, ciò avviene sulla base del consenso esplicito dell'interessato in merito alla trasmissione dei dati. In questi casi, la necessità di tali trasferimenti, il paese che eseguirà la trasmissione e la mancanza di una decisione della Commissione europea di un adeguato livello di protezione per questo paese e
che adeguate misure di salvaguardia nel trasferimento proposto sarà comunicato al soggetto dei dati ed il suo consenso sarà richiesto.