ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В БМКЦ ЕАД
БМКЦ ЕАД е търговско дружество, регистрирано в Търговския регистър към Агенцията по вписвания с ЕИК 130250366, със седалище и адрес на управление гр.Варна 9002, ул.”Васил Друмев” № 73, телефони 052 380588, 052 302 501 факс 052 302503, e-mail bmtc@bmtc-bg.com и bmtc@bmtc.bg, интернет страница www.bmtc-bg.com
БМКЦ извършва учебна дейност въз основа на одобрение на курсове, преподаватели и учебно-материална база от Изпълнителна агенция „Морска администрация” и в съответствие с националното и международно законодателство, касаещо обучението и допълнителната квалификация на морски лица.
БМКЦ е администратор на лични данни по смисъла на Закона за защита на личните данни.
Настоящата Политика за поверителност се основана на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица при обработване на лични данни. В нея ще намерите изчерпателна информация относно целите, основанията и средствата за обработване на Вашите лични данни, обработваните категории и видове лични данни, видовете поддържани регистри на лични данни и категориите получатели, на които те се предоставят в изпълнение на дейността на Центъра.
І. Цели и обхват на Политиката
Чл.1. С настоящата политика за поверителност и защита на личните данни БМКЦ отчита неприкосновеността на личността и полага усилия срещу неправомерно обработване на лични данни на физическите лица. В съответствие с приложимото законодателство БМКЦ прилага изискваните технически и организационни мерки за защита на личнита данни на физическите лица.
Чл.2. С настоящата политика за поверителност и защита на личните данни БМКЦ цели да информира физическите лица за законовите основания и целите на обработване на личните им данни, получателите, на които техните данни могат да бъдат разкривани, задължителния и доброволния характер на предоставяне на данните, както и последиците от отказ за предоставянето на такива, информацията за правото на достъп до личните им данни, правото на коригиране и изтриване на личните им данни и процедурата за това, правото на информиране при констатирано от БМКЦ посегателство върху личните данни на персонала или курсистите.
ІІ. Термини и определения
Чл.3. По смисъла на настоящата Политика:
1. Лични данни е всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци (имена, адрес, егн, електронна поща, данни за здравословното състояние и др. )
2. Обработване на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като: събиране, записване, организиране съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране, комбиниране, блокиране, заличаване или унищожаване.
3. Регистър на лични данни – структурирана съвкупност от лични данни, достъпна по определени критерии.
ІІІ. Лични данни, обработвани в БМКЦ
Чл. 4. (1) БМКЦ като администратор на лични данни обработва категории лични данни, структурирани в три регистъра (регистър „Курсисти”, трудов и финансово-счетоводен регистър и регистър записи от видеозаснемане на учебни занятия)
(2) БМКЦ събира и обработва лични данни, предоставяни от физически лица във връзка с предоставяне на учебни продукти, както и за подготовка и сключване на трудови, граждански и др. видове договори.
(3) БМКЦ обработва и лични данни, които не са получени от лицето, за което се отнасят, а са предоставени от трето лице във връзка с предоставяне на учебен продукт, в които случаи БМКЦ се задължава да: предоставя данни за БМКЦ, да предоставя информация за целите и категориите предоставени данни и категориите получатели на тези данни, при официално поискване, да предостави право на достъп, коригиране и заличаване на данни от лицето, за което те не отнасят.
Чл. 5. Категориите лични данни, предоставяни за идентификация и в изпълнение на законовите изисквания, в зависимост от конкретната учебна услуга (семинар, тест, курс), които се събират, обработват и съхраняват от БМКЦ са:
1. Физическа идентичност: име, ЕГН, паспортни данни, телефон и имейл, данни за здравословна годност.
2. Социална идентичност – образование, гражданство, допълнителна квалификация, морска правоспособност, трудова дейност, плавателен стаж.
3. Данни за здравословното състояние: лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
4. Данни, събирани при плащане към БМКЦ – част от номер на кредитна или дебитна карта, банкова сметка и друга платежна информация, събирана при и обработвана във връзка с извършване на плащане по банков път, ЕГН, три имена на курсиста.
Чл. 6. Данни, изготвяни и генерирани от БМКЦ в процеса на предоставяне на учебните услуги:
- уведомително писмо до МА за започване на съответен курс с три имена и ЕГН
- заповеди за включване в съответния курс
- протокол за завършен курс
- удостоверение за завършен курс
- видеозапис от проведен писмен или практически изпит
- обработване на жалби на клиенти
- резултати от писмени и практически изпити, тестове и др.
- служебни бележки и справки във връзка с ползваната услуга
- договори, декларации, формуляри, фактури
ІV. Обработване на лични данни
Чл. 7. Като администратор на лични данни, БМКЦ обработва лични данни като съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични и други неавтоматични средства, като: събиране, записване, организиране, съхраняване, адаптиране, изменение, възстановяване, консултиране, употреба, разкриване или предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, изтриване, унищожаване при следните принципи:
• Законосъобразно обработване, добросъвестно и по прозрачен начин по отношение на субекта на данните;
• Събират се за конкретни и легитимни цели и не се обработват впоследствие по начин, несъвместим с тези цели; (по-нататъшното обработване за целите на архивирането или за статистически цели не се счита за несъвместимо с първоначалните цели „ограничение на целите“);
• Подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
• Данните са точни и при необходимост се поддържат в актуален вид; предприети са всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
• Съхраняват се във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; или за статистически цели , при прилагани подходящи технически и организационни мерки, с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
• Обработват се по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
- Обработват се по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
БМКЦ носи отговорност и е в състояние да докаже спазването на изискванията за („отчетност“).
БМКЦ обработва лични данни самостоятелно, като правата и задълженията на обработващите лични данни са регламентирани във върешно-фирмени процедури, инструкции и заповеди.
Чл. 8 Цели и правни основания за обработване на личните данни:
8.1. При регистриране за обучения в съответен курс, тест или методически семинар, във връзка с което БМКЦ е длъжен да идентифицира клиентите си, да изисква, проверява и съхранява документи, потвърждаващи съответствие с поставените входни стандарти за съответно обучение, като:
- документ за самоличност;
- моряшки паспорт/моряшка книжка;
- диплома за завършено образование;
- свидетелство за морска правоспособност /ако лицето притежава такова/;
- медицинско свидетелство за здравословна годност;
- сертификати, удостоверяващи съответствие с квалификационните изисквания;
- предходен плавателен и/или професионален стаж и опит,
за което съхранява копия на съответните документи с изключение на документи за самоличност – лична карта и/или моряшки паспорт. Срокът за съхранение на документацията е описан в съответната процедура по СУК на БМКЦ.
8.2. В изпълнение на изискванията на националните стандарти на ИА”Морска администрация”, курсовете се видеозаснемат. Срокът за съхранение на видеозаписите от курсове е е описан в съответната процедура по СУК на БМКЦ.
8.3. Във връзка със задълженията за идентифициране и автоматичен обмен на информация за целите на администриране на провежданите обучения, БМКЦ разкрива данни на курсисти на трети лица /ИА „Морска администрация“, НАП, МВР/, съгласно установените изисквания на националното законодателство.
БМКЦ не извършва трансфер на лични данни извън Европейското икономическо пространство.
8.4.Изготвяне на предложения за обучения и предоставяне на информация на клиента за ползвани от него услуги
8.5.Предоставяне на информация за клиента и ползвани от него услуги по запитване/искане/проверка от компетентен орган
8.6.За издаване на платежни документи
8.7.За удостоверяване на възраст, образование, квалификация и здравословна годност при сключване на трудов договор.
8.8.За персонал по трудови и граждански договори – извършване на данъчно осигурителен контрол от съответните компетентни органи.
8.9. За актуализиране на лични данни на курсисти;
8.10. За анализ на клиентската история и изготвяне на потребителски профил;
8.11.За обслужване и отговор на запитвания и жалби;
8.12.За извършване на обработка от обработващите данните – възлагане, отчитане, приемане, разплащане;
8.13. За осигуряване защита и сигурност на ресурсите на БМКЦ;
8.14.Предоставяне на информация на Комисията за защите на потребителите и Комисията за защита на личните данни във връзка с изпълняване на задължения, произтичащи от съответните закони.
8.15.Предоставяне на информация на съда и трети лица в рамките на производства пред съд.
Чл.9. Обработването на лични данни от БМКЦ е допустимо, освен в случаите, когато е необходимо за изпълнение на нормативно установено задължение на БМКЦ като администратор на лични данни, така и когато физическото лице, за което се отнасят данните е дало изрично своето съгласие, или обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят или на което принадлежат данните, е страна, както и за действия, предхождащи сключване на договор и предприети по искане на лицето.
Чл. 10. БМКЦ ЕАД обработва съответните данни, предоставени с изрично писмено съгласие на клиента за тяхното обработване за следните цели:
- за включване на име, фотографии, видеозаписи и други форми на присъствие в рекламни и медийни публикации на БМКЦ в резултат на участието на клиенти в курсове, регати и др.
- за получаване и/или предоставяне на информация/оферти за продукти и услуги на трети лица, ако такава информация е изрично поискана от лицето или ако лицето е изразило съгласието си за получаване на такава информация.
Чл. 11. БМКЦ ЕАД обработва личните данни за целите на следните легитимни интереси:
- профилиране на клиентите за целите на директния маркетинг с цел отправяне на оферти при изтичане на сертификати или изисквания за нови обучения, вследствие на актуални нормативни изменения;
- измерване и оценка на постигнатите ключови индикатори – проведени курсове и обучени курсисти от съответните категории, измерване ефективността на рекламата;
- подготовка на информацията, публикувана на интернет страницата на БМКЦ;
- подготовка и съхранение на статистическа информация
VІ. Последици от отказ за предоставяне на лични данни
Чл. 12. Изрично съгласие на физическите лица, чиито данни се обработват не се изисква, когато предоставянето им се изисква на регламентирано правно основание –КСО, КТ, Закон за счетоводството, Закон за ДДС, Наредба 6 за компетентност на морските лица, национални стандарти на ИА „Морнска администрация“, вътрешни правила за заплащане на курсове на каса или по банков път и други нормативни документи.
Непредставянето на лични данни препятства възможността на БМКЦ да:
- сключва трудови и граждански договори;
- запише и включи в курс курсист без представяне на задължителните документи, доказващи съответствие с входните стандарти на ИА”Морска администрация”;
- изпълни задълженията си пред ИА”Морска администрация” като обучаваща институция и да извърши предварително регистриране за участие в курс в информационната система на ИА”Морска администрация”;
- да издаде съответните платежни документи.
Чл. 13. Изискваните от обработващите лични данни служители данни и документи са съобразени с предлаганите от БМКЦ учебни продукти и имат задължителен характер. В случай на отказ от доброволно представяне на изисквани лични данни, БМКЦ няма да бъде в състояние да предостави своя учебен продукт, да подготви и сключи договор.
VІІ. Разкриване на лични данни
Чл. 14. Като администратор на лични данни БМКЦ има задължения и право да разкрива обработваните лични данни само на следните категории лица:
1. физическото лице, за което се отнасят данните;
2. лица, за които правото на достъп е предвидено в нормативен акт или
3. лица, за които правото произтича по силата на договор.
Категории трети лица, които получават достъп до и обработват личните Ви данни:
Чл.14.1.Обработващи лични данни, които възоснова на нормативно изискване имат пряк/косвен достъп до личните Ви данни:
- ИА”Морска администрация”– чрез специализираната си информационна система;
- НАП;
- транспортни фирми – при осигуряване на транспорт в съответен курс – имена на курсиста/инструктора;
- лица, поддържащи оборудване и софтуер, използван за обработване на лични данни;
- банки, обслужващи плащанията, извършвани от клиенти;
- лицензирани охранителни фирми, обработващи видеозаписи от обекти на БМКЦ;
- лица, предоставящи услуги по организиране, съхраняванe, индексиране и унищожаване на архиви на хартиен и/или електронен носител;
- лица, извършващи консултанстски и одиторски услуги в различни сфери.
Чл.14.2. Други администратори на лични данни, на които БМКЦ предоставя лични данни, обработващи данните на собствено основание и от свое име:
- Компетентни органи, които по силата на нормативен акт имат правомощия да изискват от БМКЦ предоставянето на информация, сред които и лични данни, например: български съд или съд на друга държава, различни надзорни, регулаторни органи, органи с правомощия по защита на националната сигурност и обществен ред.
- Застрахователи – при сключване на застраховка, при сключване на трудов договор
Чл.15. Права на клиенти и служители БМКЦ ЕАД във връзка с обработването на лични данни и действия за упражняването им:
15.1.Достъп до личните данни и информация от вида, описан в настоящата Политика за поверителност на личните данни и искане за предоставяне на информация от БМКЦ ЕАД какъв вид и за какви цели се обработват;
15.2. Коригиране на лични данни, когато са неточни и/или непълни с оглед на целите на обработката;
15.3. Изтриване на личните данни, но само в следните случаи:
- при изтичане на срока, за който е законоустановено, че трябва да бъдат съхранявани от БМКЦ ЕАД, и същите не са нужни повече за целите, за които се обработват;
- оттегляне на съгласието за тяхната обработка;
- обработването на личните данни е признато за незаконно;
- националното или европейското законодателство изискват това.
15.4.Ограничаване на обработването на личните данни в някой от следните случаи:
- при оспорване на точността на личните данни за срока, необходим на БМКЦ ЕАД да провери тяхната точност;
- установено неправомено обработване, но заявено желание само за ограничаване обработката, а не пълно заличаване;
- заявено желание личните данни да се съхраняват, въпреки че БМКЦ ЕАД не се нуждае повече от тях за целите на обработката и поради изтичане на установените за съхранието им срокове, тъй като ще се изпалзват за установяване, упражняване и защита на правни претенции;
- при отправено от възражение срещу обработването на личните данни за срока на проверката на основателността му.
15.5 Искане за пренос на предоставени лични данни, включващо получаването им от БМКЦ ЕАД в структуриран, широко използван и пригоден за машинно четене формат и прехвърлянето им на друг администратор на лични данни.
Правото на преносимост касае лични данни, за които са налице следните условия:
- обработването на данните се основава на изрично писмено съгласие или на договорно задължение
- обработването се извършва по автоматизиран начин
15.6.Възражение срещу БМКЦ по всяко време и по лични причини с оглед на конкретната ситуация срещу обработването на лични данни, които се отнасят до засегнатото лице, и което е основано на необходимостта от изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са ни предоставени, или за които сме посочили, че обработваме в наш легитимен интерес.
Когато отправеното възражение е срещу обработката на личните данни за целите на директния маркетинг, включително и профилирането за тази цел, БМКЦ ЕАД ще прекрати ползването им за тази цел.
Когато отправеното възражение е срещу обработка на лични данни за останалите цели, БМКЦ ЕАД ще отговори в срок до 15 работни дни дали намира същото за основателно и съответно дали е прекратило обработването на съответните лични данни за тези цели.
15.7.Оттегляне на съгласие за обработка на лични данни по всяко време, когато обработката им се основава само на съгласие на лицето, а не на нормативно установено изискване, след заявяване на изрично желание в писмена форма.
15.8.Изпращане на жалба до Комисията за защита на личните данни, в случай че правата във връзка с обработване на личните данни на лицето са нарушени от стана на БМКЦ ЕАД.
Чл. 16. БМКЦ ЕАД като администратор на лични данни има право да откаже изтриване на лични данни, когато обработването на конкретните данни е с цел:
- да упражнява правото на информация;
- да изпълнява правно задължение и изисквания;
- архивиране за статистически цели;
- установяване, упражняване или защита на правни претенции.
Чл. 17. Задължения на БМКЦ ЕАД при констатирано нарушение на сигурността на личните данни
17.1. При констатирано нарушение на сигурността на личните данни БМКЦ не по-късно от 72 часа след установяването му уведомява писмено КЗЛД по установения в Чл. 33 на Регламент 2016/679 ред.
17.2. При вероятност констатираното от БМКЦ ЕАД нарушение на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, БМКЦ съобщава на субекта на данните за откритото нарушение на сигурността по установения в Чл. 34 на Регламент 2016/679 ред.