Защита на личните данни

Насоки на Ahifi s.r.o. за осигуряване на задълженията, произтичащи от Регламент (ЕС) No 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица при обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/ЕО и от Закона за обработката на лични данни No 110/2019 Сб.

Дата на влизане в сила: 1.1.2019 г.
Последно актуализиране: 17.3.2025 г.
Одобрено от: Инж. Карел Шудак

1. Встъпителни разпоредби

1.1 Предмет и цел на директивата:

Настоящата директива служи за осигуряване на задълженията, произтичащи от Регламент (ЕС) No 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица при обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/ЕО (наричан по-нататък „Общия регламент“).

Дружеството Ahifi s.r.o. (наричана по-нататък „Дружеството“ или „Администраторът“) декларира, че е преценила потенциалните задължения, произтичащи от Закон No 171/2023 Сб. за защита на лицата, подаващи сигнали, и че към датата на актуализиране на настоящата директива отговаря на условията за изключение от прилагането на вътрешна система за подаване на сигнали, произтичащи от § 8, ал. 1, буква а).

1.2 Определение на термините:

Набори от данни
са групи от данни, които съставляват лични данни с подобен обхват, обработвани за една и съща цел с еднакъв правен титул.

Законно основание
е правен титул на законен интерес на Администратора, който се прилага при такова обработване на лични данни, при което законните интереси или права на Администратора преобладават над интересите или правата на субектите на данни, като се вземат предвид разумните очаквания на субектите на данни въз основа на тяхното отношение с Администратора. Става въпрос например за защита на имуществото на Администратора, живота и здравето на служителите, лицата, влизащи в обектите на Администратора.

Упълномощено лице
е всеки служител на Администратора, който поради изпълнението на служебните си задължения за Администратора влиза в контакт с лични данни или ги обработва. Оправомощените лица трябва да бъдат инструктирани, запознати със съдържанието на този вътрешен регламент, като за инструктирането и запознаването се изготвя писмен протокол. Оправомощените лица трябва да бъдат инструктирани повторно, ако е настъпила промяна в тяхното работно място или друга промяна, която води до промяна или обхват на работните задачи на оправомощеното лице във връзка с обработката на лични данни. Достъпът до личните данни на субектите на данни е строго ограничен само до инструктираните оправомощени лица.

Отговорно лице
е служител на Администратора, който има съответните права и достъп до лични данни, необходими за изпълнение на неговите служебни задължения.

Лични данни
са всякаква информация за идентифицирано или идентифицируемо физическо лице (субект на данни). Идентифицируемо физическо лице е физическо лице, което може да бъде идентифицирано пряко или непряко.

Нарушение
е нарушение на сигурността, което води до случайно или незаконно унищожаване, загуба, промяна или неправомерно предоставяне или достъп до предавани, съхранявани или обработвани по друг начин лични данни.

Упълномощено лице
е служител на Дружеството, на когото е възложена конкретна работа или задача, която не е предмет на основните му служебни задължения.

Профилиране
всяка форма на автоматизирана обработка на лични данни, която оценява лични аспекти, свързани с физическо лице, по-специално с цел анализ или прогнозиране на аспекти, свързани с работните резултати на субекта на данните, неговото икономическо състояние, здравословно състояние, лични предпочитания или интереси, надеждност или поведение, местонахождение или движение, ако има правни последици за него или по подобен начин го засяга значително.

Получател
физическо или юридическо лице, орган на публична власт, агенция или друг субект, на когото се предоставят лични данни, независимо дали става въпрос за трета страна или не.

Споделен диск
е споделен имейл диск и мрежово хранилище (Google Диск), чийто администратор е компанията Google Ireland, DIČ: IE6388047V, със седалище Gordon House, Barrow Street, Dublin 4, Ирландия.

Споделен сървър на обработващия
е споделен сървър от компанията Shean s.r.o.

Досие на служителя
е набор от документи за служителя, съдържащ по-специално: трудов договор, личен въпросник, автобиография и протокол за предаване.

Съгласие
на субекта на данните е всяко свободно, конкретно, информирано и недвусмислено изявление на воля, с което субектът на данните дава своето съгласие за обработване на личните му данни чрез декларация или друго явно потвърждение.

Администратор на лични данни
Ahifi s.r.o. със седалище Trnkova 3140/119g, Líšeň, 62800 Brno е субектът, който определя целите и средствата за обработване на лични данни и отговаря за обработването им.

Субект на данните
е физическо лице, за което се отнасят обработваните лични данни.

Трета страна
е физическо или юридическо лице, орган на публична власт, агенция или друг субект, който не е субект на данни, администратор, обработващ лични данни или лице, пряко подчинено на администратора или обработващия лични данни, което е оправомощено да обработва лични данни.

Данни за служителите
са лични данни на служителите на Дружеството. Конкретен списък е посочен в Приложение No 1 към настоящата директива.

Обработващ лични данни
е субект, който обработва лични данни за администратора въз основа на подписан договор за обработка на лични данни. Обработващите лични данни са: компанията ABRA Software a.s., IČO: 25097653, със седалище Jeremiášova 1422/7b, Stodůlky, 155 00 Praha 5, компанията 22HLAV s.r.o., IČO 64052907 със седалище Všebořická 82/2, Bukov, 400 01 Ústí nad Labem, компанията LexFortis ACC s.r.o. IČO 07883625 Potoční 1094, Frýdek, 738 01 Frýdek-Místek, Shean s.r.o. IČO 26968479 Bezručova 2297/2, 678 01 Blansko, компания Walk Solutions s.r.o. ИČО: 26414201 Плзень - Източно предградие, Веверкова 298/5, PSČ 30100, BDO Legal s.r.o., адвокатска кантора IČO 08559791 В парка 2316/12, Ходов, 148 00 Прага 4, компания PPL CZ s.r.o. IČO 25194798 K Borovému 99, Jažlovice, 251 01 Říčany, Česká pošta, s.p. IČO 47114983 Praha 1, Politických vězňů 909/4, PSČ 22599, компания Zásилковна s.r.o. IČO 28408306, Českomoravská 2408/1a, Libeň, 190 00 Praha 9, компания Microsoft Corporation, със седалище Konrad-Zuse-Str.1, 85716 Unterschleißheim, Германия, Roman Dvořáček IČО 74334301, компания Google Ireland, DIČ: IE6388047V, със седалище Gordon House, Barrow Street, Dublin 4, Ирландия (наричана по-нататък „Google Ireland”), компания O2 Czech Republic a.s. IČO 60193336, Прага 4 - Michle, Za Brumlovkou 266/2, PSČ 14022, IT4YOU s.r.o. IČO 03102289, Sobotkova 447/34, Štýřice, 639 00 Brno, компания beinspired s.r.o. IČO 05711959 Nové sady 988/2, Staré Brno, 602 00 Brno, компания Zásilkovna s.r.o., IČO 28408306, Českomoravská 2408/1a, Libeň, 190 00 Praha 9, LiveAgent CZ s.r.o. IČO 07166753 Zoubkova 548/45, Nový Lískovec, 634 00 Brno.

1.3 Съдебна практика:

  • Закон No 110/2019 Сб., Закон за обработката на лични данни
  • Закон No 127/2005 Сб., Закон за електронните комуникации
  • Закон No 171/2023 Сб., Закон за защита на информаторите
  • Закон No 435/2004 Сб., Закон за заетостта
  • Закон No 563/1991 Сб., Закон за счетоводството
  • Закон No 582/1991 Сб., Закон за организацията и осъществяването на социалното осигуряване
  • Закон No 592/1992 Сб., Закон за осигуровките за обществено здравно осигуряване
  • Закон No 586/1992 Сб., Закон за данъците върху доходите
  • Закон No 262/2006 Сб., Трудов кодекс
  • Наредба No 82/2018 Сб., за мерките за сигурност, кибернетичните инциденти, реактивните мерки, изискванията за подаване на документи в областта на кибернетичната сигурност и унищожаването на данни
  • Закон No 256/2004 Сб., Закон за дейността на капиталовия пазар
  • Закон No 253/2008 Сб., Закон за някои мерки срещу легализирането на приходи от престъпна дейност и финансирането на тероризма
  • Закон No 127/2005 Сб., Закон за електронните комуникации
  • Закон No 89/2012 Сб., Закон за гражданското право
  • Закон No 93/2009 Сб., Закон за одиторите

1.4 Процес на обработка на лични данни

Описание на отделните дейности по обработване на лични данни с разбивка по отделни набори от данни е налице в Приложение No 1

2. Отговорни лица

Всички служители на Дружеството, които обработват лични данни на субекти на данни в рамките на своята трудова дейност.

3. Изпълнение на правата и задълженията на администратора на лични данни

3.1 Задължения на отговорните лица:

А. Отговорните лица, посочени в глава 2, са длъжни да осигурят сигурността на обработваните лични данни.

Б. Отговорните лица при защитата на данните, съхранявани на лични компютри, включително преносими и на сървъри, осигуряват личните данни, така че да се предотврати неоторизиран или случаен достъп, тяхното променяне, унищожаване или загуба, неоторизирано прехвърляне, обработване, както и друго злоупотребяване с тези лични данни.
В. Отговорните лица, посочени в глава 2 от настоящата директива, имат право да обработват само личните данни, които са им необходими за изпълнение на служебните им задължения. Г. Обработката на лични данни може да се извършва от упълномощени лица единствено за целите на изпълнението на служебните им задължения и в съответствие с целта на обработката с легитимен правен титул. E. Отговорните лица, посочени в глава 2 от настоящата директива, са длъжни да поддържат актуални и точни личните данни, които обработват.
F. Отговорните лица са длъжни да предоставят на упълномощеното от ръководството лице цялата информация, която има отношение към сигурността, актуалността и точността на регистъра на обработваните лични данни.
G. Отговорните лица са длъжни да водят надлежно всички регистри за обработката на лични данни в рамките на своите компетенции и служебни задължения. H. Отговорните лица са длъжни да обработват личните данни в съответствие с принципите за обработка, посочени в глава 3.2. Отговорните лица обработват личните данни изключително на устройствата на Дружеството. Всички отговорни лица, които по какъвто и да е начин обработват лични данни, подписват клауза за поверителност, виж Приложение No 2.

3.2 Принципи на обработката на лични данни:

3.2.1 Законност, коректност и прозрачност

А. За всяка цел на обработката съществува легитимен правен титул съгласно букви а) - е):

а. Субектът на данните е дал съгласие за обработката на личните си данни за една или повече конкретни цели, служители виж Приложение No 3
i. ако администраторът обработва лични данни въз основа на изразено съгласие, субектът на данните може да го оттегли по всяко време, без това да засяга законността на обработката на данните въз основа на съгласието, дадено преди неговото оттеглянето му
б.) обработката е необходима за изпълнението на договор, по който субектът на данните е страна, или за изпълнението на мерки, предприети преди сключването на договора по искане на този субект на данни;
в.) обработката е необходима за изпълнение на правно задължение, което се отнася до администратора;
г.) обработката е необходима за защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
д.) обработката е необходима за изпълнение на задача, изпълнявана в обществен интерес или при упражняване на публична власт, с която е натоварен администраторът;
f. обработката е необходима за целите на легитимните интереси на съответния администратор или трета страна, освен в случаите, когато интересите или основните права и свободи на субекта на данните, изискващи защита на личните данни, имат предимство пред тези интереси, особено когато субектът на данните е дете.

3.2.2 Ограничение на целта

  • личните данни трябва да се събират за конкретни, изрично изразени и законни цели и не могат да бъдат обработвани по начин, който е несъвместим с тези цели
  • целите на обработката за отделните набори от лични данни са достъпни за справка в Приложение No 1

3.2.3 Минимизиране

  • обработваните лични данни са ограничени до необходимия обхват във връзка с целта на обработката
  • забранено е да се обработват лични данни, които не са абсолютно необходими за постигане на целта

3.2.4 Точност

  • личните данни се водят от упълномощено лице, са точни и се актуализират при необходимост актуализирани
  • неточните данни, като се вземе предвид целта на обработката, се коригират незабавно
  • ако неточните лични данни не могат да бъдат коригирани, те трябва да бъдат незабавно изтрити

3.2.5 Ограничение на съхранението

  • съхранението на лични данни във форма, позволяваща идентифицирането на субекта на данните за период, по-дълъг от необходимия за изпълнението на целта, за която се обработват, е забранено

3.2.6 Целостност и поверителност

  • обработката на лични данни от отговорните лица е разрешена само в съответствие с настоящата директива

4. Обработка на лични данни от дружеството

  • обобщаваща таблица на обработваните набори от данни на дружеството и тяхното съдържание може да бъде видяна в Приложение No 1 към настоящата директива
  • за начина на обработка на всички лични данни на служителите на дружеството служителят е информиран преди подписването на трудовия договор чрез вътрешна директива. Запознаването и съгласието с тази вътрешна директива се потвърждава с подпис в протокола
  • Клиентът е информиран за начина на обработка на всички лични данни от Компанията преди подписването на договора чрез одобряване на тези принципи за защита на личните данни.

4.1 Компанията в ролята на администратор на лични данни

4.1.1 Данни за служителите

A. Документите, доказващи съществуването на трудовоправни отношения, правото на пребиваване на чужденеца, прекратяването на трудовоправните отношения и размера на заплатите на служителите, се съхраняват в хартиен вид в седалището на Администратора в заключен архив, а копия от тях се съхраняват в електронен вид при обработващия LexFortis ACC s.r.o. в папка на облачния сървър на обработващия и в счетоводната и заплащателна система AbraFlexi, с ограничен достъп за ръководството на дружеството и упълномощените служители, с цел изпълнение на Закон No 435/2004 Сб. с правен титул съгласно глава 3.2.1, точка А) буква в) за срок от 10 години от прекратяване на трудовото правоотношение.
Б. Досието на служителя се съхранява в хартиен вид в седалището на Администратора в заключено помещение и в електронен вид при обработващия LexFortis ACC s.r.o. в папка на облачния сървър на обработващия и в счетоводната и заплащателна система AbraFlexi с ограничен достъп за ръководството на дружеството и упълномощените служители с цел изпълнение на Закон No 435/2004 Сб. с правен титул съгласно глава 3.2.1, точка А) буква б) до прекратяване на трудовото правоотношение, след което се унищожават.
В. Документация за заплатите, обработвана с цел изпълнение на Закон No 582/1991 Сб., Закон на Чешката национална рада за организацията и осъществяването на социалното осигуряване, Закон No 586/1992 Сб. и Трудовия кодекс с правен титул съгласно глава 3.2.1, точка А) буква в) за срок от 10 години, считано от първия ден на календарната година, следваща годината, за която се отнасят.
а. Конкретен списък на личните данни в документацията за заплатите може да бъде намерен в Приложение No 1 към настоящата директива, вижте наборите от данни ДОКУМЕНТАЦИЯ ЗА ЗАПЛАТИТЕ 1 - 4.
б. Документацията за заплатите на служителите на Дружеството се съхранява в програмата за заплати и счетоводство AbraFlexi при обработващия LexFortis ACC s.r.o., както и в резервно копие в облачното хранилище на обработващия и в хартиена форма в заключен архив на Администратора.
в. Достъпът до документацията за заплатите е ограничен до ръководството на дружеството или упълномощени служители.
г. Съхранението за срок от 10 години съгласно глава 4.1.1, точка В) не се прилага за документи от регистрационни листи, които се унищожават след 3 години, считано от първия ден на календарната година, следваща годината, за която се отнасят.
д. Съхранението за срок от 10 години съгласно глава 4.1.1, точка В) не се прилага за ведомости за заплати, които се съхраняват за срок от 45 години, считано от първия ден на календарната година, следваща годината, за която се отнасят.
Е. Личните данни на служителите, публикувани на уебсайта https://www.ahifi.cz/ с цел представяне се обработват на основание на правен титул съгласно глава 3.2.1, точка А), буква а) до прекратяване на трудовото правоотношение или до оттегляне на съгласието за обработване на лични данни за тази цел, като съгласията се актуализират най-малко 1 път на 12 месеца.
Ж. Ако Компанията обработва други документи, съдържащи лични данни на настоящи служители, освен посочените в глава 4.1.1, буква А) до Е), те се обработват изключително за целите на обработката на персоналната документация на основание, посочено в глава 3.2.1, буква А), точка б), до прекратяване на трудовото правоотношение.
З. По време на подборния процес Компанията приема автобиографии на кандидатите за работа. Те се регистрират от упълномощеното лице в неговата електронна поща или се съхраняват под неговите данни за достъп в облачното хранилище на Google. След оценяването им се изтриват от електронната поща. В облачното хранилище Microsoft 365 те се управляват съгласно съгласуваните договорни условия от субекта на данните. Обработката на лични данни в рамките на процедурите за подбор е както следва:
a. Автобиографиите на кандидатите за работа се обработват в електронен формат за ограничен период от време по време на подборния процес, като достъпът до тях е ограничен само до ръководството на компанията и упълномощените от него служители. След приключване на подборния процес те се изтриват. В хартиена форма се унищожават, а в електронна форма се изтриват от облачното хранилище. Обработващият Microsoft Corporation прави ежедневни резервни копия на диска и ги изтрива след 30 дни.
б. Автобиографиите на кандидатите за работа, които са участвали в лично интервю и са били приети на работа, се регулират от глава 4.1.1, точка Б).

4.1.2 Вътрешни данни

A. Счетоводните документи, счетоводните книги, амортизационните планове, инвентарните описи, счетоводният план и отчетите на дружеството се регистрират в счетоводната програма AbraFlexi при обработващия LexFortis ACC s.r.o. с цел изпълнение на задълженията, произтичащи от Закон No 563/1991 Сб., Закон за счетоводството, с правен титул съгласно глава 3.2.1, точка А), буква в), се съхраняват 10 години след годината, за която се отнасят, с ограничен достъп за обработващия орган, евентуални копия се съхраняват на мрежов диск в помещенията на Дружеството и на споделен сървър на обработващия орган 22HLAV s.r.o. в съответствие със Закон No 93/2009 Сб., Закон за одиторите.
Б. Счетоводни записи, с които Дружеството доказва воденето на счетоводството с цел изпълнение на задълженията, произтичащи от Закон No 563/1991 Сб., Закон за счетоводството (§33) с правен титул съгласно глава 3.2.1, точка А) буква в) се съхраняват 5 години след годината, за която се отнасят, с ограничен достъп за обработващия, евентуални копия се съхраняват на споделен сървър на обработващия 22HLAV s.r.o. в съответствие със Закон No 93/2009 Сб., Закон за одиторите.
В. Годишният отчет и счетоводният отчет на дружеството се водят в съответствие със Закон No 563/1991 Сб., Закон за счетоводството, и се съхраняват 10 години след годината, за която се отнасят.
а. Личните данни на служителите, посочени в годишния отчет на Дружеството, които надхвърлят изискванията на Закон No 563/1991 Сб. (вж. набор от данни: годишен отчет в приложение No 1 към настоящата директива) се обработват с цел представяне на дружеството с правен титул съгласно глава 3.2.1, точка А), буква а).
б. Годишният отчет, включително счетоводния отчет и доклада на независимия одитор, се публикува в публичния регистър.
Г. Поръчки, комуникация с клиенти, договори за предоставяне на услуги или договори за сътрудничество се регистрират:
а. За целите на изпълнението на предмета на договора с правен титул съгласно глава 3.2.1, точка А), буква б) до изтичане на срока на договора.
б. За целите на счетоводството с правен титул съгласно глава 3.2.1, точка А), буква в) 10 години след годината, за която се отнасят.
в. Документацията, свързана с предоставянето на услуги и стоки на клиентите на Дружеството, се регистрира в счетоводния софтуер AbraFlexi, лиценз на обработващия LexFortis ACC s.r.o., в складовия софтуер Touchstore на обработващия Walk Solutions s.r.o., в сървъра на оператора на електронния магазин Ahifi.cz на обработващия Shean s.r.o. въз основа на договор за обработка на лични данни с ограничен достъп за служителите на обработващия. Обработващите извършват ежедневни архивирания на данните и ги изтриват след 30 дни.
г. Работните документи и електронната комуникация с клиенти, обработвани от служители на Дружеството, съдържащи лични данни, се регистрират в защитено облачно хранилище на обработващия субект Google с ограничен достъп за служителите на обработващия субект. Обработващият субект извършва ежедневно архивиране на диска и го изтрива след 30 дни.
д. Името и фамилията на изпращача/получателя на пощенската пратка и нейното съдържание се обработват за целите на регистриране на пощата с правен титул съгласно глава 3.2.1, точка А), буква е) за срок от 3 години, считано от първия ден на календарната година, следваща годината, за която се отнасят, и се съхраняват в облачното хранилище Microsoft 365 на Компанията с достъп за всички служители.

4.1.3 Данни на партньори

A. Взаимоотношенията между доставчици и клиенти се регистрират в софтуера AbraFlexi и Touchstore, както и в облачното хранилище на Google, съгласно правното основание, посочено в глава 3.2.1, точка А), букви от б) до е).
Б. Договорната, проектната документация или поръчките, съдържащи лични данни, посочени в ведомостите за заплати, ликвидационните листи, поръчковите листи, доставните листи, извлеченията от банкови сметки, присъствените списъци, договорите, се обработват за целите на правното основание съгласно глава 3.2.1, точка А), буква б). Освен това личните данни като IP адрес в интернет средата на уебсайтовете на Дружеството се обработват с правно основание съгласно глава 3.2.1, точка А), буква f).
а. Документацията се съхранява в електронен вид в SW AbraFlexi, данните се съхраняват в облачно хранилище на обработващия Google с ограничен достъп чрез двойна проверка за ръководството на Компанията и упълномощените от него лица.
б. Архивирането на документацията, включително приложените документи, съдържащи лични данни, се регулира от договорните условия. При поръчки обикновено 3 календарни години след последната транзакция, при договори до изтичане на срока на договора. Обработващият прави ежедневни резервни копия на диска и ги изтрива след 30 дни.
в. Субектите на данни се информират за предаването на лични данни на трета страна (търговски партньор, сътрудничещо юридическо лице):
i. служителите чрез прочитане на настоящата директива
ii. при подаване на заявка за участие в събитие или при подписване на присъствения списък
iii. чрез попълване, потвърждаване и изпращане на данните на уебсайта на Администратора
Г. Ако документацията включва и снимки от събитията, тяхното заснемане, публикуване и предаване на трети лица се урежда от правния титул съгласно глава 3.2.1, точка А), буква а).

4.1.4 Клиентски данни

A. Източници на лични данни
a. Уебсайт: https://www.ahifi.cz/
i. в резултат на автоматична обработка при посещение на уебсайта, виж Приложение No 4
ii. уеб формуляри (например поръчки на стоки)
б. Телефонни/аудиовизуални разговори или електронна поща или всякаква друга писмена комуникация. Телефонните разговори се записват с помощта на услугата O2 Запис на разговори на обработващия O2 Czech republic a.s., електронната поща се посредничи от обработващия Google и обработващия LiveAgent CZ s.r.o.
в. Други публични или частни юридически лица с или без правосубектност (например договорни обработватели на лични данни, органи при изпълнение на техните законови задължения, включително контрол и разследване, напр. Чешката търговска инспекция)
г. Икономически източници, например: прехвърляне на вземания, придобиване, сливане, придобиване на имущество
д. Трети страни
i. В случай на предаване на лични данни от трета страна, Компанията взема предвид следното:
1. субектът на данните е дал предварително съгласие за използването на личните си данни и третата страна е била оправомощена да ги използва за тази цел (предаване и предоставяне на достъп до лични данни)
2. В случай на обработка на лични данни, предоставени от трета страна, тази страна е длъжна да предостави на субекта на данните необходимата информация за обработката на личните данни, дори и в случай че ги е предоставила.

 

Б. Продукти, продавани в електронния магазин:
а. Електронният магазин е достъпен на уебсайта на Дружеството https://www.ahifi.cz/ и неговата дейност се регулира от търговските условия съгласно Закон No 89/2012 Граждански кодекс
б. Данните с правен титул съгласно глава 3.2.1, точка А, букви а) до в) се обработват от Администратора чрез обработващия LexFortis ACC s.r.o в SW AbraFlexi, чрез обработващия оператор Walk Solutions s.r.o. в SW Touchstore, както и от доставчика на електронния магазин Shean s.r.o. и куриерите PPL CZ, s.r.o., Česká pošta s.p. и Zásilkovna s.r.o.
в. Администраторът съхранява личните данни за периода, необходим за изпълнение на правата и задълженията, произтичащи от договорните отношения между субекта на данните и администратора, и за предявяване на претенции от тези договорни отношения за период от 3 календарни години след края на договорните отношения и в случай на дадено съгласие – най-дълго до оттеглянето му.
i. Администраторът има право да изпраща на клиентите на електронния магазин редовна информация, свързана с предоставената услуга/продукт, под формата на бюлетини въз основа на правното основание съгласно глава 3.2.1, точка А, буква f). Клиентът, субектът на данните, има право да откаже получаването на тази информация, а Администраторът трябва да предостави това право по прост и удобен за потребителя начин.

4.1.5 Условия за достъп

Администраторът има право да предостави достъп до лични данни въз основа на законна цел, виж глава 3.2.1, точка А), букви б) до е), в случай на предаване:
А. на самото физическо лице, на което се отнасят данните, и на упълномощените от него лица
Б. на договорни обработватели на лични данни
В. институции във връзка със сключването на сделка (банки, държавни органи)
Г. на търговски партньори / инвеститори / придобиватели на права
E. държавни институции въз основа на изпълнението на законодателните задължения, произтичащи от съдебната практика, виж глава 1.3.

4.1.6 Уебсайтове на трети страни

Администраторът на лични данни не носи никаква отговорност за съдържанието и функционирането на уебсайтове на трети страни, до които субектът на данните може да достигне чрез уебсайта на Администратора (например Google, Heureka.cz). Субектът на данните приема, че при кликване върху външен уебсайт трета страна може да обработва данни като IP адрес, час на достъп или тип браузър на потребителя (субекта на данните).

4.1.7 Камера система

Администраторът управлява камера система въз основа на законна цел, виж глава 3.2.1, точка А), буква е). С цел потвърждаване на легитимността на функционирането на камерата система беше проведен тест за пропорционалност. Въз основа на извършената оценка на правомерността на обработката на личните данни на субектите на данни бе установено, че интересите на Ahifi s.r.o. преобладават над интересите и правата на субектите на данни, тъй като не се извършва интрузивна обработка, която би представлявала риск за правата и свободи на субектите на данни. Администраторът изпълнява информационното си задължение по отношение на експлоатацията на камерата система чрез Приложение No 5.

4.1.8 Права на субекта на данни

А. Право на достъп означава правото да се получи потвърждение от администратора на лични данни за това дали личните данни се обработват или не, и ако да, това е право на достъп до личните данни и информацията за обработката;
Б. Право на коригиране означава право на коригиране на неточни лични данни и/или допълване на непълни лични данни без ненужно забавяне, между другото чрез предоставяне на допълнителна декларация;
В. Право на изтриване / право да бъдеш забравен означава правото на изтриване на лични данни без ненужно забавяне, когато личните данни вече не е необходимо да се съхраняват във връзка с целите, за които са били събрани, или да се обработват по друг начин, или когато няма друга правна основа за обработката; или субектът на данните възрази срещу обработката и няма преобладаващи легитимни интереси за по-нататъшна обработка; или личните данни трябва да бъдат изтрити след изпълнение на правно задължение, което се отнася за администратора на лични данни. Горепосочените причини не се прилагат, ако обработването на лични данни е необходимо: за упражняване на правото на свобода на изразяване и информация; или за изпълнение на правно задължение, което изисква обработване на лични данни съгласно закон, на който администраторът на лични данни е подчинен, или за изпълнение на задача, извършвана в обществен интерес или при упражняване на публична власт, възложена на администратора на лични данни; или поради причини от обществен интерес в областта на общественото здраве; или за целите на архивиране в обществен интерес, за целите на научни или исторически изследвания или за статистически цели, ако е вероятно правото на изтриване/правото да бъдеш забравен да попречи или сериозно да затрудни постигането на целите на това обработване на лични данни; или за целите на установяване, упражняване или защита на правни претенции;
Г. Право на ограничаване на обработката на лични данни означава ограничаване на обработката, ако субектът на данните оспорва точността на своите лични данни, за период, който позволява на администратора на лични данни да провери точността на личните данни на субекта на данните; или обработката е незаконосъобразна и субектът на данните е съгласен с изтриването на своите лични данни и вместо това изисква ограничаване на тяхното използване; или администраторът на данни вече не се нуждае от тях за целите на обработката на лични данни, но субектът на данните се нуждае от тях за установяване, упражняване или защита на правни претенции; или субектът на данните е възразил срещу обработката на лични данни, докато не бъде проверено дали законните интереси на администратора на лични данни надделяват над интересите на субекта на данните;
E. Право на преносимост на данните означава правото да се получат личните данни, които субектът на данните е предоставил на администратора на лични данни, в структуриран, широко използван и машинно четим формат, както и правото да се предадат тези лични данни на друг администратор на лични данни, ако това е технически осъществимо и ако обработката се основава на съгласие или на изпълнение на договор и обработката се извършва с автоматизирани средства;
F. Право на възражение означава правото по всяко време да възразите на основания, свързани с конкретната ситуация на субекта на данните, срещу обработката на вашите лични данни, която се основава на изпълнението на задача от обществен интерес или при упражняването на публична власт, с която сме натоварени, или срещу обработката, основана на легитимни интереси, включително профилиране, основано на тези интереси, което води до прекратяване на обработката на вашите лични данни, освен ако не докажем сериозни легитимни интереси за обработката, които превъзхождат вашите интереси, права и свободи, или за установяване, упражняване или защита на правни претенции;
G. Право да оттеглите съгласието си по всяко време, без това да засяга законността на обработката въз основа на даденото съгласие преди оттеглянето му, ако правната основа за обработката на личните данни от администратора е изричното съгласие на субекта на данните;
H. Право да подадете жалба до Агенцията за защита на личните данни на адрес Pplk. Sochora 27, 170 00, Прага 7, по електронна поща: posta@uoou.cz или чрез електронна пощенска кутия ID: qkbaa2n;
I. Право да не бъдете обект на решение, основано изцяло на автоматизирана обработка, включително профилиране, което има правни последици за субекта на данните или засяга по подобен начин субекта на данните, с изключение на случаите, когато такова обработване е необходимо за сключването или изпълнението на договор между администратора на лични данни или е разрешено от закона, на който администраторът на лични данни е подчинен и който също така определя подходящи мерки за защита на правата на субекта на данните, и свободи и законни интереси, или се основава на изрично съгласие. С изключение на правото да подадете жалба до Агенцията за защита на личните данни, както е посочено по-горе, тези права могат да бъдат упражнени чрез изпращане на заявление по електронна поща: dotazy@ahifi.cz или на пощенския адрес Ahifi, s.r.o., Trnkova 3140/119g, Brno, 628 00. Администраторът на лични данни е длъжен в срок от един месец от датата на получаване на искането да информира субекта на данните за конкретните стъпки, които ще предприеме въз основа на полученото искане. При необходимост този срок може да бъде удължен с до два месеца. В такъв случай администраторът на лични данни ще информира субекта на данните за всяко удължаване в срок от един месец от датата на получаване на искането, включително причините за забавянето на обработката на искането.

5. Сигурност на обработваните данни

Съответства на разпоредбите на Наредба No 82/2018 Сб. и членове 33 и 34 от Регламент (ЕС) No 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица при обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/ЕО.

5.1 Сигурност на системите:

5.1.1 Мобилен телефон

A. Телефонните контакти, съхранявани в мобилния телефон, се обработват от упълномощени лица с цел комуникация със служители и партньори, с правен титул съгласно глава 3.2.1, точка А), букви от а) до е), до прекратяване на трудовото или партньорското правоотношение или до оттегляне на съгласието.
Б. По смисъла на настоящата директива мобилен телефон е мобилно устройство, използвано за изпълнение на служебни задължения.
В. Служителите са длъжни:
а. да осигурят и защитят телефона от достъп на неупълномощени лица,
б. да бъде заключен с парола, графичен код за отключване на екрана или биометричен код като отпечатък от пръст или сканиране на лицето,
в. да настроите видимостта на входящите известия едва след отключване на екрана на телефона,
г. да имат инсталиран антивирусен софтуер и да актуализират редовно устройствата си.
Г. На служителите е забранено:
а. да снимат, записват и по друг начин регистрират лични данни на физически лица, с изключение на съхраняването на телефонни контакти по обичайния начин,
б. да изпращат лични данни на физически лица чрез SMS/MMS, с изключение на изпращането на телефонни контакти чрез SMS или мобилни визитки.

5.1.2 Е-мейл

A. Всички прикачени файлове към електронната поща трябва да бъдат проверени за наличие на вируси.
Б. Потенциално опасните приложения трябва да бъдат блокирани.
В. Използването на електронна поща по начин, който застрашава субекта на данните, е забранено.
Г. Забранено е изпращането по електронна поща на лични данни на физически лица, с изключение на контактните данни, които обикновено се посочват на визитките.
E. Точка Г) не се прилага, ако електронната поща е криптирана или ако личните данни се изпращат в прикачен файл към електронната поща, защитен с парола.

5.1.3 Компютър и лаптоп

Служителите на Дружеството използват компютър или лаптоп на Дружеството за изпълнение на работата си.

A. Служителите са длъжни да осигурят сигурността на компютъра или лаптопа на Компанията и да ги предпазват от достъп на неупълномощени лица.
Б. Компютърът или лаптопът на Компанията трябва да бъде заключен с парола за достъп до активния потребителски акаунт и със защитен екранен спестител.
C. Паролата за вход в акаунта на служителя трябва да е с дължина минимум 8 символа и да съдържа главни и малки букви, цифри или символи, като трябва да се сменя поне веднъж на всеки 3 месеца.
Г. На компютъра или лаптопа на компанията е задължително да има инсталиран антивирусен софтуер и устройството да се актуализира редовно.
E. Свързваните паметни носители трябва да бъдат проверени с антивирусен софтуер.
F. Забранено е изпращането на лични данни на физически лица чрез интернет хранилища.

5.1.4 Споделен диск

A. Служителите на компанията използват споделено облачно хранилище от Google за съхранение и споделяне на данни. Споделеният диск е подходящо защитен както от гледна точка на съхраняваните данни, така и от гледна точка на комуникацията с диска – съхранение и изтегляне на данни.

5.2 Данни и физическа сигурност

5.2.1 Мерки за сигурност на данните и физическа сигурност

A. При постъпване на работа на служителите на Компанията се предоставят ключове или данни за достъп до работното им място.
а. Служителят, който напуска работното си място последен, го проверява, обезопасява и заключва (затваря и проверява прозорците, гаси осветлението и заключва).
б. Служителят, който напуска работното място последен, преди да си тръгне проверява дали светлините са изгасени и заключва главния вход на сградата.
Б. Служителите са длъжни да спазват принципа на чистия работен плот, т.е. при тяхно отсъствие на работното място не трябва да остават свободно достъпни документи, преносими медии или устройства, които не са заключени софтуерно (компютър, лаптоп, мобилен телефон).

5.2.2 Съобщаване на инциденти, свързани със сигурността

A. Служителите на дружеството са длъжни да съобщават за инциденти, свързани със сигурността, на ръководството на дружеството или на упълномощено лице в съответствие с вътрешните правила на дружеството. Упълномощеното лице е управител на договорния обработващ субект - IT4you s.r.o., г-н Зденек Купак.
Б. Упълномощеното лице след това действа в съответствие с Наредба No 82/2018 Сб. и в съответствие с членове 33 и 34 от Регламент (ЕС) No 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица при обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/ЕО.

5.3 Контрол на изпълнението на директивата

А. Упълномощеното лице осигурява обучение на всички служители на Дружеството, за които се отнася настоящата директива, най-малко веднъж в рамките на една календарна година.
Б. Съдържанието на обучението, посочено в глава 5.3, точка А), включва по-специално правата и задълженията на лицата, отговорни за обработката на лични данни, ролята на Дружеството като администратор на лични данни и безопасното използване на технологиите и системите на Дружеството.
В. Упълномощеното лице актуализира настоящата директива в течение на годината, така че да бъде в съответствие с задълженията, произтичащи за дружеството от Общия регламент.

5.4 Заключителни разпоредби

A. Унищожаването на документи с лични данни съгласно настоящата директива, по-специално изтриването или шредирането, съдържащи данни за служители или партньори, се извършва, освен когато не се прилагат в случай, че е образувано съдебно или друго производство, в което документите биха били използвани като доказателствен материал. В този случай документите се архивират с цел да могат да бъдат представени като доказателствен материал с правен титул съгласно глава 3.2.1, точка А), буква е) до приключване на производството, след което се унищожават.
Б. Нарушението на задълженията на отговорните лица, произтичащи от настоящата директива, се счита за сериозно нарушение на задълженията, произтичащи от правните разпоредби, отнасящи се до работата, извършвана от служителя, и може да бъде основание за прекратяване на трудовото правоотношение.
В. Ако отговорното лице причини щети на работодателя поради нарушение на задълженията, произтичащи от настоящата директива, служителят е длъжен да възстанови на работодателя щетите, които е причинил по своя вина.
Г. Размерът и начинът на обезщетяване на вредата се уреждат от Закон No 262/2006 Сб.