ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В УИНДИ БГ ЕООД

„УИНДИ БГ“ ЕООД е търговско дружество, вписано в Търговския регистър към Агенция по вписванията с ЕИК 208295519, със седалище и адрес на управление: гр. Варна, бул. „Сливница“ № 75, телефон: +359882635948, e-mail: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите., уебсайт: www.windy.bg.

„УИНДИ БГ“ осъществява обучителна дейност в съответствие с националното и международното законодателство, свързано с обучението и допълнителната квалификация на морски лица.

„УИНДИ БГ“ е администратор на лични данни по смисъла на Закона за защита на личните данни.

Настоящата Политика за поверителност е изготвена въз основа на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни. В нея ще намерите изчерпателна информация относно целите, основанията и начините за обработване на Вашите лични данни, категориите и видовете обработвани лични данни, видовете регистри с лични данни, които се поддържат, както и категориите получатели, на които те се предоставят при осъществяване дейността на Центъра.

I. Цели и обхват на Политиката

Чл. 1. С настоящата политика за поверителност и защита на личните данни „УИНДИ БГ“ зачита неприкосновеността на личността и полага усилия срещу незаконосъобразното обработване на лични данни на физически лица. В съответствие с приложимото законодателство „УИНДИ БГ“ прилага необходимите технически и организационни мерки за защита на личните данни на физическите лица.

Чл. 2. С настоящата политика за поверителност и защита на личните данни „УИНДИ БГ“ има за цел да информира физическите лица относно правните основания и целите за обработване на техните лични данни, получателите, на които данните им могат да бъдат разкрити, задължителния и доброволния характер на предоставянето на данните, както и последиците от отказа за предоставянето им, информация относно правото на достъп до личните им данни, правото на коригиране и изтриване на личните им данни и реда за това, както и правото да бъдат уведомени в случай на нарушение на сигурността на личните данни на персонала или курсистите, установено от центъра.

II. Термини и определения

Чл. 3. За целите на настоящата Политика:

  1. Лични данни е всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице, пряко или непряко, чрез позоваване на идентификационен номер или на един или повече специфични признаци (имена, адрес, електронен адрес, здравни данни и др.).

  2. Обработване на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни, независимо дали с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, извличане, справка, използване, разкриване чрез предаване, разпространяване или предоставяне по друг начин, подреждане или комбиниране, блокиране, изтриване или унищожаване.

  3. Регистър на лични данни – структурирана съвкупност от лични данни, достъпна съгласно определени критерии.

III. Лични данни, обработвани в „УИНДИ БГ“

Чл. 4.
(1) „УИНДИ БГ“ като администратор на лични данни обработва категории лични данни, структурирани в два регистъра (Регистър на курсистите и трудов и финансово-счетоводен регистър).
(2) „УИНДИ БГ“ събира и обработва лични данни, предоставени от физически лица във връзка с предоставянето на обучителни продукти, както и за изготвяне и сключване на трудови, граждански и други видове договори.
(3) „УИНДИ БГ“ обработва и лични данни, които не са получени от лицето, за което се отнасят, а са предоставени от трето лице във връзка с предоставянето на обучителен продукт, като в тези случаи „УИНДИ БГ“ е длъжно: да предостави данни за „УИНДИ БГ“, да предостави информация относно целите и категориите предоставени данни и категориите получатели на тези данни, при официално искане да предостави право на достъп, корекция и изтриване на данните на лицето, за което се отнасят.

Чл. 5. Категориите лични данни, предоставяни за идентификация и в съответствие със законовите изисквания, в зависимост от конкретната образователна услуга (семинар, тест, курс), които се събират, обработват и съхраняват от „УИНДИ БГ“, са:

  1. Физическа идентичност: име, ЕГН/личен идентификационен номер, паспортни данни, телефон и e-mail, данни за здравна годност.

  2. Социална идентичност: образование, гражданство, допълнителна квалификация, правоспособност, заетост, морски стаж.

  3. Здравни данни: лични данни, свързани с физическото или психическото здраве на дадено лице, включително предоставяне на здравни услуги, които дават информация за неговото здравословно състояние.

  4. Данни, събирани при извършване на плащане към „УИНДИ БГ“ – част от номер на кредитна или дебитна карта, банкова сметка и друга информация за плащане, събирана и обработвана във връзка с извършване на плащане по банков път, личен идентификационен номер, трите имена на курсиста.

Чл. 6. Данни, изготвяни и генерирани от „УИНДИ БГ“ в процеса на предоставяне на образователни услуги:

  • заявки за включване в съответния курс;

  • протокол за завършване на курс;

  • сертификат за завършен курс;

  • обработване на клиентски жалби;

  • резултати от писмени и практически изпити, тестове и др.;

  • служебни бележки и доклади във връзка с използваната услуга;

  • договори, декларации, формуляри, фактури.

IV. Обработване на лични данни

Чл. 7. Като администратор на лични данни „УИНДИ БГ“ обработва лични данни като съвкупност от операции, които могат да бъдат извършвани върху лични данни чрез автоматизирани и други неавтоматизирани средства, като: събиране, записване, организиране, съхраняване, адаптиране, изменение, извличане, справка, използване, разкриване или предаване, разпространение или предоставяне по друг начин, подреждане или комбиниране, блокиране, изтриване, унищожаване, в съответствие със следните принципи:

  • Законосъобразно, добросъвестно и по прозрачен начин спрямо субекта на данните;

  • Събирани за конкретни и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели; (по-нататъшно обработване за архивни или статистически цели не се счита за несъвместимо с първоначалните цели – „ограничение на целите“);

  • Подходящи, относими и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

  • Данните са точни и при необходимост се поддържат в актуален вид; предприемат се всички разумни мерки, за да се гарантира, че неточните лични данни се изтриват или коригират без ненужно забавяне, като се вземат предвид целите, за които се обработват („точност“);

  • Съхраняват се във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват; или за статистически цели, при прилагане на подходящи технически и организационни мерки за защита на правата и свободите на субекта на данните („ограничение на съхранението“);

  • Обработват се по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, чрез прилагане на подходящи технически или организационни мерки („цялостност и поверителност“);

  • Обработват се по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неоторизирано или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, чрез прилагане на подходящи технически или организационни мерки („цялостност и поверителност“).

„УИНДИ БГ“ носи отговорност и е в състояние да докаже спазването на изискванията за („отчетност“).

„УИНДИ БГ“ обработва лични данни самостоятелно, като правата и задълженията на обработващите лични данни са уредени във вътрешни фирмени процедури, инструкции и заповеди.

Чл. 8. Цели и правни основания за обработване на лични данни:

8.1. При записване за обучение в съответен курс, тест или методически семинар, във връзка с което „УИНДИ БГ“ е длъжно да идентифицира своите клиенти, да изисква, проверява и съхранява документи, удостоверяващи съответствие с определените входни стандарти за съответното обучение, като:

  • документ за самоличност;

  • моряшки паспорт/моряшка книжка;

  • диплома за завършено образование;

  • свидетелство за правоспособност /ако лицето притежава такова/;

  • медицинско свидетелство за здравна годност;

  • сертификати, удостоверяващи съответствие с квалификационните изисквания;

  • предишен професионален опит и стаж,

за което съхранява копия от съответните документи, с изключение на документите за самоличност – лична карта и/или моряшки паспорт. Срокът за съхранение на документацията е описан в съответната процедура по Системата за управление на качеството на „УИНДИ БГ“.

8.2. В съответствие с изискванията на националните стандарти на Изпълнителна агенция „Морска администрация“ курсовете се видеозаписват. Срокът за съхранение на видеозаписите от курсовете е описан в съответната процедура по Системата за управление на качеството на „УИНДИ БГ“.

8.3. Във връзка със задълженията за идентификация и автоматичен обмен на информация с цел администриране на обучителните курсове „УИНДИ БГ“ разкрива данни на участниците в курсовете на трети лица /Изпълнителна агенция „Морска администрация“, Национална агенция за приходите, Министерство на вътрешните работи, Global Wind Organisation/, съгласно установените изисквания на националното законодателство.

„УИНДИ БГ“ не прехвърля лични данни извън Европейското икономическо пространство.

8.4. Изготвяне на предложения за обучение и предоставяне на информация на клиента за използвани от него услуги.
8.5. Предоставяне на информация за клиента и използваните от него услуги при запитване/искане/проверка от компетентен орган.
8.6. За издаване на платежни документи.
8.7. За удостоверяване на възраст, образование, квалификация и здравна годност при сключване на трудов договор.
8.8. За персонал по трудови и граждански договори – осъществяване на данъчен и осигурителен контрол от съответните компетентни органи.
8.9. За актуализиране на личните данни на участниците в курсовете.
8.10. За анализ на историята на клиента и изготвяне на потребителски профил.
8.11. За обслужване и отговаряне на запитвания и жалби.
8.12. За обработване от обработващи лични данни – възлагане, отчитане, приемане, плащане.
8.13. За осигуряване на защита и сигурност на ресурсите на „УИНДИ БГ“.
8.14. Предоставяне на информация на Комисията за защита на потребителите и Комисията за защита на личните данни във връзка с изпълнение на задължения, произтичащи от съответните закони.
8.15. Предоставяне на информация на съда и трети лица в рамките на съдебни производства.

Чл. 9. Обработването на лични данни от „УИНДИ БГ“ е допустимо, освен в случаите, когато е необходимо за изпълнение на законово установено задължение на „УИНДИ БГ“ като администратор на лични данни, и когато физическото лице, за което се отнасят данните, е дало своето изрично съгласие, или обработването е необходимо за изпълнение на задължения по договор, по който лицето, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по искане на лицето.

Чл. 10. „УИНДИ БГ“ ЕООД обработва съответните данни, предоставени с изричното писмено съгласие на клиента за тяхното обработване за следните цели:

  • включване на име, снимки, видеозаписи и други форми на присъствие в рекламни и медийни публикации на „УИНДИ БГ“ в резултат от участието на клиента в курсове и др.;

  • получаване и/или предоставяне на информация/оферти за продукти и услуги на трети лица, ако такава информация е изрично поискана от лицето или ако лицето е изразило съгласие да получава такава информация.

Чл. 11. „УИНДИ БГ“ ЕООД обработва лични данни за целите на следните легитимни интереси:

  • профилиране на клиенти за целите на директния маркетинг с цел отправяне на предложения при изтичане на сертификати или при необходимост от ново обучение в резултат на текущи нормативни изменения;

  • измерване и оценка на постигнатите ключови показатели – проведени курсове и обучени курсисти от съответните категории, измерване ефективността на рекламата;

  • изготвяне на информация, публикувана на уебсайта на „УИНДИ БГ“;

  • изготвяне и съхранение на статистическа информация.

VI. Последици от отказ за предоставяне на лични данни

Чл. 12. Не се изисква изрично съгласие на физическите лица, чиито данни се обработват, когато предоставянето им се изисква на регламентирано правно основание – GWO, CSR, Граждански кодекс, Закон за счетоводството, Закон за ДДС, вътрешни правила за плащане на курсове на каса или по банков път и други нормативни документи.

Непредоставянето на лични данни възпрепятства „УИНДИ БГ“ да:

  • сключва трудови и граждански договори;

  • записва и включва курсист в курс без представяне на задължителните документи, доказващи съответствие с входните стандарти;

  • изпълнява задълженията си като обучителна институция и да извършва предварителна регистрация за участие в курс;

  • издава съответните платежни документи.

Чл. 13. Данните и документите, изисквани от служителите, обработващи лични данни, съответстват на предлаганите от „УИНДИ БГ“ образователни продукти и са задължителни. В случай на отказ за доброволно предоставяне на изискуемите лични данни, „УИНДИ БГ“ няма да може да предостави своя образователен продукт, да изготви и сключи договор.

VII. Разкриване на лични данни

Чл. 14. Като администратор на лични данни „УИНДИ БГ“ има задължението и правото да разкрива обработваните лични данни само на следните категории лица:

  1. физическото лице, за което се отнасят данните;

  2. лица, за които правото на достъп е предвидено в нормативен акт; или

  3. лица, за които правото произтича от договор.

Категории трети лица, които получават достъп до и обработват Вашите лични данни:

Чл. 14.1. Обработващи лични данни, които въз основа на нормативно изискване имат пряк/непряк достъп до Вашите лични данни:

  • GWO – чрез своята специализирана онлайн база данни;

  • НАП;

  • транспортни фирми – при осигуряване на транспорт в съответен курс – имена на участника/инструктора в курса;

  • лица, поддържащи оборудване и софтуер, използвани за обработване на лични данни;

  • банки, обслужващи плащанията, извършвани от клиенти;

  • лицензирани охранителни фирми, обработващи видеозаписи от обектите на „УИНДИ БГ“;

  • лица, предоставящи услуги по организиране, съхраняване, индексиране и унищожаване на архиви на хартиен и/или електронен носител;

  • лица, предоставящи консултантски и одиторски услуги в различни области.

Чл. 14.2. Други администратори на лични данни, на които „УИНДИ БГ“ предоставя лични данни, като те обработват данните на собствено основание и от свое име:

  • Компетентни органи, които по силата на нормативен акт имат правомощие да изискват от „УИНДИ БГ“ предоставяне на информация, включително лични данни, например: български съд или съд на друга държава, различни надзорни и регулаторни органи, органи с правомощия за защита на националната сигурност и обществения ред;

  • Застрахователи – при сключване на застраховка, при сключване на трудов договор.

Чл. 15. Права на клиентите и служителите на „УИНДИ БГ“ ЕООД във връзка с обработването на лични данни и действия за упражняването им

15.1. Достъп до личните данни и информация от вида, описан в настоящата Политика за поверителност, както и право да поискат информация от „УИНДИ БГ“ ЕООД какъв вид данни и за какви цели се обработват;

15.2. Коригиране на личните данни, когато те са неточни и/или непълни с оглед целите на обработването;

15.3. Изтриване на личните данни, но само в следните случаи:

  • след изтичане на срока, за който е законово установено, че трябва да се съхраняват от „УИНДИ БГ“ ЕООД, и вече не са необходими за целите, за които се обработват;

  • при оттегляне на съгласието за тяхното обработване;

  • когато обработването на личните данни е признато за незаконосъобразно;

  • когато националното или европейското законодателство изисква това.

15.4. Ограничаване на обработването на лични данни във всеки от следните случаи:

  • при оспорване на точността на личните данни за периода, необходим на „УИНДИ БГ“ ЕООД да провери тяхната точност;

  • установено незаконосъобразно обработване, но при заявено желание само да се ограничи обработването, а не напълно да се изтрие;

  • заявено желание за съхраняване на личните данни, въпреки че „УИНДИ БГ“ ЕООД вече не се нуждае от тях за целите на обработването и поради изтичане на установените срокове за тяхното съхранение, тъй като ще бъдат използвани за установяване, упражняване и защита на правни претенции;

  • при подадено възражение срещу обработването на лични данни за периода на проверка на неговата основателност.

15.5. Искане за преносимост на предоставените лични данни, включително получаването им от „УИНДИ БГ“ ЕООД в структуриран, широко използван и машинночетим формат и прехвърлянето им на друг администратор на лични данни.

Правото на преносимост се отнася за лични данни, за които са налице следните условия:

  • обработването на данните се основава на изрично писмено съгласие или на договорно задължение;

  • обработването се извършва по автоматизиран начин.

15.6. Възражение до „УИНДИ БГ“ по всяко време и по лични причини с оглед на конкретната ситуация срещу обработването на лични данни, отнасящи се до субекта на данните, което се основава на необходимостта от изпълнение на задача от обществен интерес или при упражняване на официални правомощия, предоставени ни, или за което сме посочили, че обработваме в наш легитимен интерес.

Когато възражението е срещу обработването на лични данни за целите на директния маркетинг, включително профилиране за тази цел, „УИНДИ БГ“ ЕООД ще преустанови използването им за тази цел.

Когато възражението е срещу обработването на лични данни за други цели, „УИНДИ БГ“ ЕООД ще отговори в срок до 15 работни дни дали намира същото за основателно и съответно дали е преустановило обработването на съответните лични данни за тези цели.

15.7. Оттегляне на съгласието за обработване на лични данни по всяко време, когато обработването им се основава единствено на съгласието на лицето, а не на законово установено изискване, след изразяване на изрично желание в писмена форма.

15.8. Подаване на жалба до Комисията за защита на личните данни, в случай че правата във връзка с обработването на личните данни на лицето са нарушени от „УИНДИ БГ“ ЕООД.

Чл. 16. „УИНДИ БГ“ ЕООД като администратор на лични данни има право да откаже изтриване на лични данни, когато обработването на конкретните данни е с цел:

  • упражняване на правото на информация;

  • изпълнение на законово задължение и нормативни изисквания;

  • архивиране за статистически цели;

  • установяване, упражняване или защита на правни претенции.

Чл. 17. Задължения на „УИНДИ БГ“ ЕООД при нарушение на сигурността на личните данни

17.1. В случай на нарушение на сигурността на личните данни „УИНДИ БГ“ уведомява, не по-късно от 72 часа след установяването му, КЗЛД писмено съгласно чл. 33 от Регламент 2016/679.

17.2. В случай че нарушението на сигурността на личните данни, установено от „УИНДИ БГ“ ЕООД, е вероятно да породи висок риск за правата и свободите на физическите лица, „УИНДИ БГ“ уведомява субекта на данните за установеното нарушение на сигурността съгласно чл. 34 от Регламент 2016/679, с последващите му изменения.