ПОЛИТИКА ЗА СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ НА ФИЗИЧЕСКИ ЛИЦА, ОБРАБОТВАНИ В ПЛАТФОРМАТА НА “ЦЕНТЪР ЗА ТВОРЧЕСКО ОБУЧЕНИЕ”
Този документ съдържа Политиката за сигурност на личните данни на физически лица (“Политика”) и е свързан с Общите условия, но не е неразделна част от тях, тъй като има за цел да обясни какви лични данни обработва платформата www.crm.cct.bg, по какъв начин, с каква цел и какви са приложимите мерки за сигурност. Също така с нея се предоставя информация за правата, които лицата, чиито данни се обработват, имат във връзка с обработката. При промяна на Политиката, промените ще бъдат публикувани тук.
В сила от: 05.01.2024 год.
При обработването на лични данни се спазват всички приложими нормативни актове по защита на личните данни, включително, но не само Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО („Регламент“) и Закона за защита на личните данни.
АДМИНИСТРАТОРИ НА ЛИЧНИ ДАННИ
“Център за творческо обучение” ООД, ЕИК 175342714, със седалище и адрес на управление: гр. София, ул. “Капитан Георги Мамарчев” № 16, както и Сдружение “Център за творческо обучение”, ЕИК 175463383, със седалище и адрес на управление: гр. София, ул. “Балша” № 17, партер, с общи данни за контакт: гр. София, ул. “Каймакчалан” № 28, електронен адрес: trainings@cct.bg, са съвместни администратори (заедно наричани по-долу за краткост “ЦТО”, “Платформа”) на данни, сред които и лични, на физически лица („субекти на данните“, “потребители”), по отношение на информацията, събрана или предоставяна при разглеждането на интернет страницата www.crm.cct.bg (за краткост “ЦТО”, “Платформа”) или при изпълнение или използване на услугите, предлагани в нея.
ПРИЛОЖИМОСТ НА ПОЛИТИКАТА
Тази Политика се прилага за всички лица, с които ЦТО е в правоотношение по повод услугите, които предлага чрез Платформата – Клиенти с или без индивидуален договор, Обучаеми лица, Обучители, съобразно дефиницията, дадена в Общите условия и настоящата Политика. Когато лице, с което ЦТО е в правоотношение, е юридическо лице, вкл. образователна институция (детска градина, училище или център за подкрепа за личностното развитие) или друго правно образувание, данните за тези лица НЕ са лични данни, но данните за лицата, работещи за тях или ползващи услуги на Платформата, представляват лични данни (данни на директори, педагогически специалисти и др.).
Политиката се прилага и за всички лица, които посещават Платформата с цел да разгледат функционалностите и услугите, които предлага, да се регистрират в нея или да изпратят запитване до ЦТО. В тази връзка Политиката се прилага и в случаите, при които лицето доброволно е предоставило своите данни.
Партньори и трети лица, които работят със или за ЦТО, както и които имат или могат да имат достъп до личните данни, са задължени да се запознаят, разбират и да се съобразят с тази Политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от ЦТО, без предварително дружеството да е сключило споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които ЦТО е поело, и което дава право на ЦТО да извършва проверки на спазването на наложените със споразумението задължения.
Тази политика се прилага за всички служители и представители на ЦТО, както и за външни доставчици на продукти и услуги, с които ЦТО има сключени договори. Всяко нарушение на Общия регламент ще бъде разглеждано като нарушение на трудовата дисциплина, респ. като неизпълнение на договори с партньори, а в случай че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в максимално кратък срок на съответните държавни органи.
С приемането и съгласяването с настоящата Политика се счита, че субектът не възразява срещу обработката на данни от ЦТО и Платформата по начина и при условията, посочени в нея. “Приемане” и “съгласие” с Политиката е налице, когато субектът маркира (отбележи) съгласието си по ясен начин, например посредством маркиране на чекбокс с указание, че маркирането означава приемане на настоящата Политика или посредством писмено изявление на субекта в смисъл, че е запознат и съгласен с обработката на данни от ЦТО съгласно Политиката.
ДЕФИНИЦИИ
„Регламент“ – Общ регламент за защита на данните 2016/679 от 27 април 2016 година, наричан GDPR. Целта на този европейски законодателен акт е да защитава “правата и свободите” на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.
“Клиент” е физическо или юридическо лице, възложило на ЦТО провеждането на обучение в полза на Клиента или на свързано с него лице.
“Обучаем” е педагогически специалист или друго лице, което участва в обучението.
“Обучител” е експерт, провеждащ обучения по възлагане на ЦТО.
“Потребител”, когато е използван този термин в настоящата Политика, е всяко лице, независимо от това дали е Клиент, Обучаем, Обучител или друго лице, което притежава регистриран профил в Платформата.
„Субект на данните“ – всяко живо физическо лице, което притежава личните данни, съхранявани от ЦТО и Платформата.
“Роля” е понятие, което обозначава нивото на достъп в потребителския панел в Платформата според качеството на лицето, което е достъпило Платформата.
„Лични данни”- всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”).
“Физическо лице, което може да бъде идентифицирано”, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
„Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„Обработване” – всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
„Администратор” – физическо или юридическо лице, публичен орган, агенция или друга структура, който/която сам/а или съвместно с други администратори определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка. При посещение на Платформата или използване или изпълнение на услугите, предлагани в нея, администратор на данни са “Център за творческо обучение” ООД и Сдружение “Център за творческо обучение”.
„Съгласие на субекта на данните” – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени от ЦТО и Платформата.
„Профилиране” – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
„Нарушение на сигурността на лични данни” – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
„Получател” – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели”; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.;
„Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.
ПРИНЦИПИ
При събиране и обработка на лични данни ЦТО и Платформата се водят от следните принципи: законосъобразност, добросъвестност, прозрачност; ограничение на целите; свеждане на данните до минимум; точност; ограничение на съхранението; цялостност и поверителност; отчетност.
СУБЕКТИ, ЧИИТО ДАННИ ОБРАБОТВА ЦТО
Във връзка със своята дейност ЦТО сключва и изпълнява с Клиенти договори за обучения (услуги), провежда обучения спрямо Обучаеми лица, възлага провеждането на обучения на експерти Обучители, разглежда кандидатури за работа и предложения, формуляри за упражняване на права на Клиенти, които са потребители съгласно Закона за защита на потребителите, както и искания на субекти на данните, отговаря на запитвания, издава и получава фактури, обработва статистически данни, управлява потребителски панел в Платформата, извършва рекламна дейност посредством рекламни кампании (промоции, намаления и др.). В хода на тези дейности ЦТО обработва информация относно следните субекти на данни:
(а) физически лица, ползватели на Платформата с регистрация като регистрирани потребители с различна роля и ниво на достъп (Клиенти, Обучаеми лица и Обучители) – в тези случаи обработваме данни за потребителя, които той или трето лице е въвел/о при регистрацията и според нивото му на достъп;
(б) физически лица, отправили запитвания, искания, инициативи, сигнали, жалби или друга кореспонденция към нас, в това число телефон, електронна поща или по друг начин;
(в) физически лица, информация за които се съдържа в запитвания (вкл. чрез обаждане), искания, инициативи, сигнали, жалби или друга кореспонденция, отправена към ЦТО и Платформата;
(г) физически лица, с които ЦТО сключва договори за провеждане на обучения, включително договори от разстояние, сключени електронно посредством Платформата или данни за физически лица, получени от ЦТО и Платформата в резултат на сключен договор (договори с клиенти и експерти);
(д) физически лица, с които ЦТО сключва други договори, сред които договори с други юридически лица, трудови и граждански договори.
ЛИЧНИ ДАННИ, КОИТО ОБРАБОТВАМЕ
В зависимост от причината, наложила обработката на лични данни, видът на тези данни може да се различава. ЦТО изисква и обработва единствено такива лични данни, които са необходими за провеждане на обученията през Платформата (данни за достъп до профила, имена). Регистрираното лице доброволно и по свое желание може да въведе допълнителни данни. В хода на използване на Платформата от физически лица, може да се обработят други данни, които не съдържат лични данни, но се касаят до субекта, като например данни за активността му в Платформата и др. подобни.
Данни, предоставени при сключване на договор между Клиенти и ЦТО
При сключен между Клиент и ЦТО договор за провеждане на Обучение, е необходима определена информация от страна на Клиента, част от която се вписва в сключения договор между страните, а друга част се предоставя на по-късен етап в потребителския профил на Клиента в Платформата. В договора се изисква вписването на лични данни за Клиента (три имена, адрес, електронен адрес, телефон за контакт, а понякога и банкова сметка). Когато Клиент е юридическо лице, в т.ч. образователна институция, в договора се вписват данните му, които не са лични, а в определени случаи и лични данни на лица, с които юридическото лице е в правоотношение (например директор, зам. директор, учител и др.). Ако Клиент предостави на ЦТО данни на трети лица, които ще получат услугите, предоставяни от Платформата, Клиентът и ЦТО сключват споразумение за обработката на данни, по силата на което уреждат отговорността пред тези трети лица за обработката на данните им от ЦТО и Платформата и начина, по който лицата могат да упражнят правата си по Регламента, като страните се задължават да спазват уговорените технически и организационни мерки.
Данни, предоставени при сключване на договори с Обучители
В случаите, при които ЦТО с договор възлага на Обучител провеждане на обучение, се изискват данни на Обучителя, а именно: три имена, ЕГН, адрес, електронен адрес, телефон за контакт, банкова сметка.
Данни, предоставени при извършване на регистрация в Платформата
При желание за заявяване, използване или предоставяне като подизпълнител на услугите на ЦТО посредством Платформата, е необходима регистрация на профил, при която задължително се изискват: електронен адрес (имейл), три имена, телефон за контакт, място и дата на раждане, месторабота, работодател, длъжност, а също и съгласие с Общите условия и Политиката за сигурност на личните данни. Доброволно може да се предоставят и други данни в момента на регистрация или по-късно чрез въвеждането им в потребителския панел, като: служебен и личен електронни адреси, ниво на образованието, учебни предмети, данни за завършено образование (ниво, степен, специалност, академична длъжност, образователна институция, серия, номер и година на издадена диплома), данни за професионален опит и издадени сертификати, данни за други профили, предпочитания за бъдещи обучения, информация за проведени обучения, лични данни на Обучаеми лица. В Платформата задължителните за въвеждане данни са ясно обозначение със символ (*) и без въвеждането им не може да се завърши процеса на регистрация.
Наред с това, Платформата може да обработва и данни за активност (час и дата на регистрация, приемане на Политика за сигурност и Общи условия, влизане в акаунт и др.).
Данни, предоставени при извършване на регистрация в Платформата за участие в обучение
При желание за участие в конкретно обучение е необходима регистрация за обучението в Платформата, от Клиент или Обучаемо лице и предоставяне на данни за Обучаемото лице, в полза на което ще се проведе обучението. Необходимите данни са електронен адрес (имейл), три имена, телефон за контакт, място и дата на раждане, месторабота, работодател, длъжност, данни за диплома. Въвеждането на тези данни не е необходимо, ако регистрацията за обучението се извършва от вече регистриран потребител, въвел задължителните данни преди това. Всички други данни се предоставят доброволно само по желание на лицето.
Данни предоставяни от, чрез и на други интернет страници и приложения, наричани трети страни
При регистрация на профил в Платформата могат да се използват данните от регистриран профил при друг доставчик – Google и Microsoft. В този случай външните доставчици предоставят автоматично на Платформата електронен адрес на потребителя.
Данни, предоставени по повод кореспонденция, жалби и сигнали
С цел разрешаване на подадени жалби, сигнали, спорове, запитвания, искания или други въпроси, отправени в комуникация към ЦТО, чрез обаждания към ЦТО, чрез изпращане по регулярна или електронна поща, ЦТО съхранява и обработва лични данни, предоставени в комуникацията, като: имена, електронен адрес адрес, телефон за контакт, адрес и други данни, предоставени в хода на комуникацията. Обработва се и лог на факта на изпращане на изявлението, съдържащ дата на изявлението и идентификация на подателя.
Възможна е в този случай обработката и на информация за трето лице, предоставена в кореспонденцията. В този случай ЦТО не отговаря пред третото лице за предоставянето на данните му от подателя на изявлението. Единствено лицето, предоставило данните на ЦТО, отговаря пред третото лице и следва да го информира за предаването на данните му, както и за настоящата Политика, разкриваща как Платформата събира, използва, разкрива и съхранява личната информация.
Технически данни, събирани в хода на използване на Платформата
Тази информация може да включва следното:
- Сървърни логове, логове на устройства за защита на сигурността (Web Application Firewalls) и др. устройства, попадащи в тази категория. Тези логове са необходими за установяване на технически проблеми, откриване на злонамерени действия и др. Логовете могат да съдържат следната информация: дата и час, URL, информация за браузър и устройство. В допълнение някои от устройствата е възможно да използват технология за сигурност, базирана на бисквитки;
- бисквитки – за функционирането на Платформата е необходимо използването на бисквитки. Във връзка с това е приета и Политика за използване на бисквитки.
Възможно е Платформата да намали обема на данните, които съхранява и обработва съобразно целите на обработката.
Чувствителни (специални) данни
Предоставените в Платформата функционалности не са предназначени за съхранение и обработване на специални категории данни по смисъла на чл. 9 и чл. 10 от Регламента. (НБ! Прочети чл.9 и чл. 10 – от Регламента тук). Платформата не обработва лични данни, които разкриват: расов или етнически произход; политически, религиозни или философски убеждения; членство в синдикални организации; генетични и биометрични данни; данни за здравословното състояние, както и данни за сексуалния живот или сексуалната ориентация). Ако субект сам, по своя инициатива и желание предостави такива категории данни, то ЦТО не носи отговорност за предоставянето, а единствено се задължава да предоставя спрямо тях същите мерки за защита, каквито са предвидени за изисканите лични данни.
Лични данни на деца под 16 години
Платформата не обработва лични данни на малолетни лица.
ЗА КАКВИ ЦЕЛИ ОБРАБОТВАМЕ ЛИЧНИ ДАННИ
Основната цел, поради която ЦТО обработва лични данни, е свързана най-общо с предоставяне на услуги, а именно провеждане на обучения чрез Платформата, както и осчетоводяването на приходи от тази дейност. ЦТО използва лична информация и за да предостави и подобри предлаганите услуги, за да осигури сигурността на данните, за изпращане на персонализирано преживяване, при наличието на предпоставки за това, за връзка с потребителя относно неговия договор, профил и използваните услуги, както и при нужда от оказване на съдействие при ползването или предоставянето на услугите.
ЦТО събира, използва и обработва информацията, описана по-горе, за целите, предвидени в настоящата Политика, които могат да бъдат свързани със:
– сключване на договор за провеждане на обучение между Клиент и ЦТО посредством Платформата или по друг начин преди или след регистрация в Платформата;
– сключване на договор за обучение между Обучител и ЦТО;
– провеждане на обучение с Обучаеми лица;
– законово задължение за обработване на плащания и предотвратяване на измамни транзакции;
– регистрацията на профил в Платформата;
– изпълнение на законови задължения на ЦТО, което включва: изпълнение на предвидени в закона задължения за запазване или предоставяне на информация с оглед данъчноправни задължения към държавата (например на основание Закона за счетоводството и др. данъчни закони – ЗДДС, ЗДДФЛ, ЗКПО, ДОПК и др.); изпълнение на законови задължения на основание Кодекса на труда, Кодекса за социалното осигуряване и др. нормативни актове; изпълнение на постъпило разпореждане от компетентни държавни или съдебни органи (например на основание ЗМВР, НПК, ЗЕС); изпълнение на задължения, предвидени в Регламента, свързани с уведомяването на потребителите за различни обстоятелства, свързани с правата им, изпълнение на задължения, предвидени в Закона за защита на потребителите като осигуряване правото на отказ, правото на законова гаранция;
– изрично съгласие на потребителя – данни могат да бъдат обработвани на базата на изрично съгласие, като обработването в този случай е конкретно и в степента и обхвата, предвидени в съответното съгласие. Обикновено такова съгласие се изисква, когато за обработката на данни не е налице договор, законово задължение или легитимен интерес за ЦТО. Най-често такова съгласие се изисква за обработка на данни с рекламна цел;
– защита и прилагане на легитимните интереси на други ползватели на услугите, трети лица и Платформата – легитимният интерес преследва цели, свързани със законни интереси на ЦТО и/или трети лица. Тези цели включват:
- откриване и разрешаване на технически проблеми с функционалността, развитие и подобряване на предназначението на Платформата;
- осъществяване на комуникация с потребителя, включително по електронен път, по важни въпроси, свързани с предоставяните услуги и изпълнение на сключените договори;
- насочване на маркетинг, актуализация на услуги и предлагането на промоционални оферти въз основа на потребителските предпочитания;
- приемане и обработване на получени сигнали, жалби, искания и друга кореспонденция;
- осъществяване и закрила на правата и законните интереси на Платформата, включително и по съдебен ред, и оказване на съдействие при осъществяване и закрила на правата и законните интереси на другите ползватели на Платформата и/или засегнати трети страни;
- администрирането на Платформата и приложението и поддържането й сигурно и безопасно;
- анализиране и подобряване на използването на Платформата;
- измерване и анализиране на реклама и отправяне на предложения и препоръки на базата на информацията, която е споделяте с Платформата;
- комуникация относно профила на потребителя и отстраняване на проблеми с него;
- информирането за продукти и услуги, за които потребителят е изразил желание да бъде информиран;
- администриране на състезания/томболи/игри на лотариен принцип, провеждани от ЦТО;
- защитата на ЦТО по съдебен ред.
СРОК НА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ
При съхранението на данни ЦТО и Платформата прилага генералния принцип за съхранение на данни в минимален обем и за срок не по-дълъг от необходимото за предоставяне на услугите и изпълнение на договорите, подсигуряване на тяхната сигурност и надеждност и изискванията на закона. Обработваната информация се съхранява за пepиoд, необходим дa бъдaт изпълнeни цeлитe, излoжeни в нacтoящaтa Πoлитиĸa. Cпopeд видa данни и цeлитe, зa ĸoитo ca cъбpaни, e oпpeдeлeн cpoĸ зa cъxpaнeниe, c изтичaнeтo нa ĸoйтo инфopмaциятa ce изтpивa oĸoнчaтeлнo ocвeн aĸo пo зaĸoн или на основание легитимния ни интерес нe ce изиcĸвa дa бъде съхранена зa пo-дълъг пepиoд.
Тип данни |
Период и основание |
Пояснения |
Регистрационни данни (електронен адрес), данни в потребителския профил, информация за извършването на регистрацията и съгласяването с правните документи (дата, час) |
Период на съхранение За целия период на поддържане на акаунта в Платформата и до 5 /пет/ години от прекратяване на регистрацията. Основание Договорни правоотношения; Изпълнение на законови задължения; Защита на легитимен интерес. |
Данните идентифицират регистрирания потребител в Платформата. С цел разрешаване на възможни спорове, възникнали или станали известни след прекратяване на договора за услуги и ползване на Платформата и във връзка със ЗЕДЕУУ, тези данни се съхраняват за период до 5 /пет/ години след прекратяване (изтриване) на профила. |
Лични данни от договори за обучения и от издадени или получени от ЦТО фактури, платежни документи (нареждания, извлечение), отчети и други счетоводни, отчетни и платежни документи.
Лични данни от трудови досиета на служители.
|
Период на съхранение За периода, в който са налице правата и задълженията на страните по правоотношението, по което е издаден счетоводният, отчетният или платежният документ, до 5 години от прекратяване на правоотношението. Ведомости за заплати се съхраняват 50 години. *Определени данни се съхраняват и за по-дълъг законовоопределен срок от посочения по-горе, тъй като представляват счетоводна информация – данни от транзакции, данни за фактуриране- между 5 и 50 години.
Основание Договорни правоотношения; Изпълнение на законови задължения; Защита на легитимен интерес. |
Данните идентифицират клиента като страна по договора и се съхраняват с оглед реализиране на правата и задълженията им, респ. изпълнение на законовите задължения на ЦТО като данъчно-задължено лице. Съхранението е необходимо и с оглед осигуряване на правата на клиенти потребители, когато за същите е предвиден срок (например 2-годишна гаранция). Законовите задължения също налагат определянето на периода на съхранение по описания начин.
Съгласно чл. 38 от Данъчно – осигурителния процесуален кодекс (ДОПК) счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски, се съхраняват от задълженото лице по реда, установен в Закона за Националния архивен фонд, в следните срокове: ведомости за заплати – 50 години; счетоводни регистри и финансови отчети – 10 години; документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани; всички останали носители – 5 години. Съгласно чл. 38, ал. 2 от ДОПК след изтичането на срока за съхранението им носителите на информация по ал. 1 (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават. |
Лични данни от кореспонденция, жалби и сигнали, искания, инициативи
|
Период на съхранение Данни от кореспонденция, жалби,сигнали, искания, инициативи, се съхраняват за срок до 5 /пет/ години на основание Закона за задълженията и договорите (давностни срокове за предявяване на претенции).
Основание Защита на легитимен интерес
|
С цел разрешаване на подадени жалби, сигнали, спорове, запитвания, искания или други въпроси, отправени в комуникация към ЦТО и Платформата, чрез изпращане по регулярна или електронна поща, тази информация се съхранява за защита легитимния интерес на ЦТО. Предвид давностните срокове съгласно българското законодателство с цел разрешаване на възникнали спорове, тази информация се съхранява за период до 5 години.
|
Време и източник на предавани чрез Платформата или по друг начин електронни изявления
Лог, удостоверяващ изпращането или съхраняването на изявление |
Период на съхранение За срок от 1 /една/ до 5 години.
Основание Изпълнение на законови задължения; Защита на легитимен интерес.
|
Съгласно чл. 6 от Закона за електронния документ и електронните удостоверителни услуги Платформата като посредник при електронно изявление, който по възлагане изпраща, получава, записва или съхранява електронно изявление или извършва други услуги, свързани с него, е длъжен да съхранява в срок от 1 година информация, с която точно да се определи времето и източника на предаваните електронни изявления.
Легитимният интерес на ЦТО позволява при определени случаи да удължим срока на съхранение на тези данни до 5 години от извършване на изявлението. |
Бързи търсения или действия
|
Период на съхранение До изтриването им от регистрирания потребител или до прекратяване на регистрацията му в Платформата или до 6 месеца, ако тази функционалност се използва без регистрация Основание Съгласие на субекта (потребителя) Договорни правоотношения; Защита на легитимен интерес |
Тази опция дава възможност за повтаряне на търсения, действия, вместо да ги въвеждате всеки път (например опция “Запомни ме” при достъп в Платформата). Функционалността може да бъде ползвана с или без регистрация. Съхраняват се бързи линкове за повтаряне на последните 10 търсения. Настройката може да бъде променена от браузъра, използван от потребителя.
|
Настройки и Системни логове не съдържат лични данни, могат да съдържат информация като: дата и час, URL, информация за версия на браузър и устройство |
Период на съхранение До изтриването им от регистрирания потребител или до прекратяване на регистрацията му в Платформата или до 6 месеца, ако тази функционалност се използва без регистрация. В случай че се съхраняват в бисквита – между 6 и 12 месеца от последното ползване. Основание Съгласие на субекта (потребителя); Изпълнение на законови задължения; Защита на легитимен интерес. |
В тази категория попадат настройки като избор на език и др. подобни. Контролът върху настройките е на потребителя и той може да променя същите чрез използвания браузър. Сървърни логове, логове на устройства за защита на сигурността (Web Application Firewalls) и др. устройства, попадащи в тази категория. Тези логове са необходими за установяване на технически проблеми и/или откриване на злонамерени действия.
|
Бисквитки |
Период на съхранение Между 6 и 12 месеца – според вида на бисквитката и настройките на браузъра на потребителя
Съгласие на субекта (потребителя); Защита на легитимен интерес. |
Докато трае сесията.
До изтриването им от потребителя.
До определено време след активирането им.
*Конкретният срок, в който съхраняваме бисквитките зависи от настройките на потребителя в неговия браузър, които той може да промени.
За повече информация – “Политика за използване на Бисквити” |
Изключения от правилата за сроковете за съхранение Следва да се има предвид, че ЦТО и Платформата няма да изтрие или анонимизира лични данни, ако те са необходими за висящо съдебно, административно, арбитражно, изпълнително производство или производство по разглеждане на жалба, възражение или оплакване. Изтриване ще бъде извършено след отпадане на нуждата от данните, като не е изключено това да бъде след изтичането на сроковете, посочени по-горе. Всеки субект на данни винаги може да отправи искане до ЦТО и Платформата за изтриване на определена информация или закриване на профила му в Платформата. ЦТО ще отговори на това искане, като запази определена информация дори и след закриване на профила, когато приложимото законодателство или законни интереси го налагат. Ако ЦТО е законово задължен или ако е разумно необходимо да спазва регулаторните изисквания, да разрешава спорове, да предотвратява измами и злоупотреби или да прилага конкретни политики, ЦТО може да запази част от информацията за потребителя за ограничен период от време, дори и след като профилът е изтрит.
С цел подсигуряване на надеждността на услугите и предпазване от загуба на данни по технически причини, в Платформата се прилага политика на резервираност на данните (Back-up). |
СПОДЕЛЯМЕ ЛИ ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ
ЦТО, респективно Платформата, не предоставя лични данни, които обработва, на трети лица освен ако не е налице: съгласие на субекта, договор, даващ основание за споделянето, задължение по закон или легитимен или жизнено важен интерес. ЦТО се старае да сведе до минимум личните данни, които разкрива, като това винаги е пряко свързано и е необходимо за постигането на определената цел. ЦТО не продава, не отдава под наем и не разкрива по незаконен начин лична информация пред трети страни за техните маркетингови и рекламни цели. ЦТО гарантира, че достъпът до личните данни от частноправни субекти-трети страни се осъществява съгласно законовите разпоредби в областта на защитата на данните и поверителността на информацията въз основа на договори, сключени с тях.
ЦТО като администратор на лични данни разкрива обработвани от него данни, както следва:
- пред служители на ЦТО (лица по чл. 29 от Регламента) – споделянето на обработвани данни спрямо служители е необходимо, за да бъдат изпълнявани договорените услуги от ЦТО и Платформата. Всеки служител е подписал споразумение с ЦТО, с което се е задължил да опазва поверителността на данните, станали му известни в хода на изпълнение на задълженията му по трудовия договор. Целта на споделянето на данни в този случай е свързана с легитимните интереси на ЦТО да предостави услугите, които предлага.
- пред Обучители на ЦТО (обработващ лични данни по смисъла на чл. 28 от Регламента) – споделянето на обработвани данни спрямо Обучители е необходимо, за да бъдат изпълнявани договорените услуги от ЦТО и Платформата. Всеки Обучител е подписал споразумение с ЦТО, с което се е задължил да опазва поверителността на данните, станали му известни в хода на изпълнение на задълженията му по сключения договор за обучение и носи отговорност за спазване на предвидените в споразумението технически и организационни мерки. Целта на споделянето на данни в този случай е свързана с легитимните интереси на ЦТО да предостави услугите, които предлага.
- пред образователни институции, които са и Клиенти на ЦТО (администратори на самостоятелно основание) – при използване на услугите на ЦТО клиентите образователни институции предоставят на ЦТО данни за Обучаеми педагогически специалисти, други служители или лица, свързани с образователната институция въз основа на съгласие, което тези лица са дали на конкретната институция или на друго основание (изпълнение на законово задължение за провеждане на обучения на специалисти от институцията или легитимен интерес на институцията. Целта на споделянето на данни в този случай е свързана с легитимните интереси на ЦТО да предостави услугите, които предлага. ЦТО не носи отговорност за законосъобразността на основанието, при което институцията е предоставила данни за свързани с нея лица на ЦТО, доколкото същата е декларирала пред ЦТО, че е налице законосъобразност на предаването. Въпреки това, между образователната институция и ЦТО е налице сключено споразумение, уреждащо отговорността на ЦТО и Платформата за законосъобразната обработка на данните. С регистрация на тези лица в Платформата същите приемат и се запознават с настоящата Политика.
- пред свързани с него лица, с които съвместно изпълнява услугата по провеждане на обученията (съвместни администратори по смисъла на чл. 26 от Регламента) – доколкото услугите в Платформата се изпълняват съвместно от “ЦЕНТЪР ЗА ТВОРЧЕСКО ОБУЧЕНИЕ” ООД и Сдружение “Център за творческо обучение”, като и тези администратори съвместно управляват и Платформата, то обменът и споделянето на данни между тях е налице, като същите са определили писмено съответните си отговорности за изпълнение на задълженията по Регламента, по-специално що се отнася до упражняването на правата на субектите на данни и съответните им задължения за предоставяне на информацията, налична в настоящата Политика, определили са обща точка за контакт за субектите на данни (отговорно лице по защита на данните). Целта на споделянето на данни в този случай е свързана с легитимните интереси на ЦТО да предостави услугите, които предлага с по-високо качество.
- пред Google Ireland Limited, регистриран в Република Ирландия, с регистрационен № 368047, с адрес Gordon House, Barrow Street, Dublin 4, Ирландия като доставчик на облачни услуги (обработващ лични данни по смисъла на чл. 28 от Регламента) – ЦТО използва услугите на Google, за да провежда обученията, а именно: Google Drive, Google Cloud Platform, Google Workspace. Google действа като обработващ данни от името на ЦТО. Предаването на данни в този случай е за защита легитимните интереси на ЦТО да изпълни услугите и е законосъобразно поради обстоятелството, че Google е обвързано от решение от 10 юли 2023 г. Европейската комисия относно адекватното ниво на защита във връзка с Рамката за защита на личните данни между ЕС и САЩ. Наред с това, като обработващ данни, Google и ЦТО са страни по споразумение, по силата на което със стандартни клаузи са уредили своите задължения и отговорности за данните, които обработват съвместно, като обработващият е приел собствени правила за поверителност и е предоставил гаранции, че ще прилага необходимите технически и организационни мерки за защитата на данните. Въпреки това, ЦТО остава администратор на данни и поема отговорността да гарантира, че личните данни се обработват от Google в съответствие с тази Политика за сигурност и приложимите закони за защита на данните. Важно е да се отбележи, че Google също има свои собствени задължения да поддържа сигурността и поверителността на данните, които обработва от името на ЦТО, и също е длъжен да докладва за всякакви нарушения на данните във връзка с услугите, които предоставят.
- Google Drive се използва от ЦТО за съхранение на документи в облачно пространство и споделянето им, вкл. в реално време между служители в ЦТО, както и между ЦТО, Обучители, Обучаеми лица и Клиенти.
- Google Cloud Platform се използва от ЦТО за съхранение на цялата информация, налична в Платформата (база данни с потребителски профили, обучения, документи и др.), като Google прилага в тази връзка и следната политика на данните. Тъй като данните от Платформата са в сървъра на Google, то обработват се от този доставчик следните данни: данни за използване на Платформата, софтуерни грешки и доклади за сривове, подробности за удостоверяване, показатели за качество и производителност и други технически подробности, необходими за работата и поддръжката на облачните услуги и свързания софтуер. Тази информация включва идентификатори на устройства, идентификатори от бисквитки или токени и IP адреси. Целта за използване на тези данни е да се реализират услугите от ЦТО и за да се осигури сигурна среда за потребителите в Платформата.
- Google Workspace се използва от служителите и подизпълнителите на ЦТО за оптимизиране на работните процеси чрез общо облачно пространство, чат и стаи за чат и видео срещи и др.
- пред държавни институции – ЦТО може да разкрие лични данни, когато е налице правно задължение. В определени случаи ЦТО е задължено да разкрие данните, които обработва пред публични органи като полиция, прокуратура, съд във връзка с предотвратяването и разкриването на престъпления или нарушения. Когато ЦТО получава приходи от продажби, може да бъдем задължен от органите на приходите да предоставим данни от продажби, съдържащи лични данни от фактури или други платежни документи. Предоставянето на данни на държавни институции може да се наложи и когато се преследва легитимен интерес от ЦТО, например при образувани производства пред Комисия за защита на личните данни, Комисия за защита на потребителите и други органи на държавната власт.
- пред счетоводното дружество, с което ЦТО работи (обработващ лични данни по смисъла на чл. 28 от Регламента) – споделянето на обработвани данни спрямо експерти и счетоводители е необходимо, за да бъдат изпълнени законовите задължения на ЦТО.
- пред IT компаниите, които поддържат Платформата и се грижат за сигурността на данните, обработвани от ЦТО (обработващ лични данни по смисъла на чл. 28 от Регламента) – Целта на споделянето на данни в този случай е свързана с легитимните интереси на ЦТО да предостави услугите, които предлага и със законовите задължения да съблюдава сигурността на данните, което може да се случи само със съдействието на технически специалисти. С тези компании е сключено съответното споразумение.
Легитимният интерес на ЦТО да предостави услугите, както и законовите задължения на ЦТО могат да обосновават необходимостта да бъдат споделени данни и на други категории лица извън посочените по-горе, като ЦТО гарантира, че това ще се случва в рамките на договори за обработване на данни.
Платформата може да съдържа и връзки към и от уебсайтовете на трети страни. При проследяване на връзка към някой от тези уебсайтове, потребителят следва да се запознае с политиката и правилата им за поверителност и че ЦТО не отговаря и не приема никаква отговорност за тези правила. Потребителят следва да провери тези правила, преди да изпрати информация на тези уебсайтове. Така например, Платформата може да използва YouTube LLC, представляван от Google Inc. за интегриране на видеоклипове. Обикновено, когато потребителят посети вградена видео страница, неговият IP адрес ще бъде достъпен за YouTube и “бисквитките” ще бъдат инсталирани на неговото устройство. За повече информация потребителят следва да се запознае с Декларацията за използването на личните данни на YouTube на адрес www.google.com/intl/bg/policies/privacy/.
КЪМ КОИ ДЪРЖАВИ ПРЕДАВАМЕ ЛИЧНИ ДАННИ
ЦТО и Платформата съхранява и обработва данни, в това число лични, в България, но и в облачно пространство, предлагано от Google (вж. по-горе). Споделянето на лични данни от ЦТО на Google представлява споделяне на данни извън ЕС, включително в САЩ, доколкото Google поддържа сървъри по целия свят. Предаването на данните на Google е законосъобразно, тъй като на 10 юли 2023 г. Европейската комисия прие решение относно адекватното ниво на защита във връзка с Рамката за защита на личните данни между ЕС и САЩ. Съобразно решението Съединените щати гарантират адекватно ниво на защита (сравнимо с това в Европейския съюз) на личните данни, предавани от ЕС на дружества от САЩ. Въз основа на това решение личните данни могат да се предават безопасно от ЕС на дружества от САЩ, участващи в рамката, сред които е и Google, без да е необходимо да се въвеждат допълнителни гаранции за защита на данните. Наред с горното, Google се е обвързал да спазва своята Политика за поверителност. Целта на споделянето на данни в този случай е свързана с легитимните интереси на ЦТО да предостави услугите, които предлага.
При всяко международно предаване на данни, ЦТО гарантира, че предаването е законосъобразно, като в тази връзка предава данни към държави в Европейския съюз или извън него, но при наличието на следните условия: i) наличие на решение на Европейската комисия (ЕК) за адекватно ниво на защита на данните по отношение на трета държава, чийто предмет да съвпада с предмета на предаване на данните; ii) трансфер чрез прилагане на подходящи гаранции и включване на стандартни клаузи за защита на данните, приети от Европейската комисия.
Предаването на данни към доставчици на услуги и други трети лица винаги е защитено от договорни задължения и когато е уместно, от други гаранции, като например стандартни договорни клаузи, издадени от Европейската комисия или схеми за сертификация.
Всеки потребител може да се свърже с ЦТО и Платформата по всяко време, като използва данните за контакт, посочени в началото и в края на Политиката, за да разбере кои са държавите, към които се предават неговите данни и какви са защитните мерки във връзка с предаването.
ПРАВА НА СУБЕКТИТЕ ПО ОТНОШЕНИЕ НА ЛИЧНИТЕ ИМ ДАННИ
Съгласно Общия регламент относно защитата на данните всеки субект, чиито данни обработва ЦТО и Платформата, разполага със следните права:
Право на информираност
Настоящата Политика има за цел да информира потребителите подробно за обработването на личните им данни. Когато има риск за нарушение сигурността на личните данни, ЦТО е длъжен да уведоми потребителя за естеството на нарушението и какви мерки са предприети за отстраняването му, както и дали е уведомен надзорният орган за нарушението. Също така, субектът на данни може да поиска информация относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити.
Право на достъп
Всеки субект (притежател) на данните има право да получи потвърждение дали се обработват негови лични данни, и ако това е така – да получи достъп до данните си и следната информация: начина на обработването им, правата му във връзка с това, с каква цел се обработват данните, какви лични данни се обработват, кои са получателите на данни, какъв е срокът на обработване на данните. Исканията за достъп трябва да бъдат изготвени в писмен/електронен вид и да бъдат адресирани до ЦТО. В този случай ЦТО предоставя копие от обработваните лични данни в електронна или друга подходяща форма и исканата информация.
Право на коригиране
Всеки субект (притежател) на данните има право да редактира (допълва и изтрива) данните, които се обработват за него в Платформата. За регистрирани потребители тази опция е валидна в потребителския панел в Платформата. Нерегистрирани потребители, както и субекти, които считат, че ЦТО обработва данни и извън Платформата могат да получат тази информация, като отправят искане до ЦТО. Коригиране или допълване на личните си данни се изисква от субекта, когато обработваните данни са неточни, не са актуални или са непълни. На искането ще бъде отговорено от страна на ЦТО писмено на предоставения от субекта електронен адрес.
Право на изтриване (право „да бъдеш забравен“) и закриване на акаунт
Всеки субект (притежател) на данните има право да „бъде забравен”, т.е. да поиска личните му данни да бъдат изтрити от ЦТО без ненужно забавяне, т.е. ЦТО да заличи личните му данни от всички системи и записи, където те се съхраняват, включително да уведоми всички трети лица/обработващи лични данни, на които е предоставил данните за нуждата от изтриване и от техните системи.
Искане за изтриване може да се подаде на основанията, предвидени в Регламента, вкл. при наличието на някое от следните основания:
– личните данни повече не са необходими за целите, за които са били събрани;
– когато субектът е оттеглил своето съгласие за предоставянето им;
– когато субектът е възразил срещу обработването на лични данни и няма законни основания за обработването, които да имат преимущество;
– когато обработването е незаконосъобразно;
– когато личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо ЦТО;
– когато личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
В случай че регистриран потребител желае да изтрие единствено профила си в Платформата, то той може да направи това през потребителския панел в Платформата. След закриване на акаунта всички данни или част от тях се изтриват. Във връзка със задълженията, отговорностите и изискванията на закона (например ЗЕДЕУУ) е възможно ЦТО да съхрани определени данни за определен период (вж. по-горе). При наличие на пречка или технически проблем на функционалността за изтриване на профила субектът следва да се обърне към ЦТО и Платформата, които ще му съдействат в разумен срок.
С цел подсигуряване на надеждността на услугите и предпазване от загуба на данни по технически причини, в Платформата се прилага политика на резервираност на данните. Максималният период за актуализация (изтриване на данни) от всички резервни копия е 30 дни.
ЦТО можем да откаже изтриване на част или всички лични данни в случаите, при които за тяхното обработване е налице съществено основание и/или законово задължение. Субектът ще бъде своевременно информиран за това. ЦТО може да откаже да заличи личните данни на основанията, посочени в Регламента – когато обработването на конкретните данни е с цел:
– за упражняване на правото на свобода на изразяването и правото на информация;
– за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо ЦТО или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
– по причини от обществен интерес в областта на общественото здраве;
– за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
– за установяването, упражняването или защитата на правни претенции.
Право на ограничаване във връзка с обработването на данни
Регламентът предвижда възможност за ограничаване обработването на лични данни, ако са налице основания за това, предвидени в него. Ограничаването се допуска в следните случаи:
– когато субектът счита, че личните му данни не са точни, като в този случай ограничаването е за срок, необходим на ЦТО да провери точността;
– когато обработването на личните данни е неправомерно, но субектът не желае да бъдат изтрити, а само да бъде ограничено използването им;
– когато ЦТО не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
– когато субектът е възразил срещу обработването в очакване на проверка дали законните основания на ЦТО имат преимущество пред интересите му.
Право за уведомяване на трети лица
Субектът има право да поиска от ЦТО да уведоми всички трети лица, на които е предоставил данните на субекта, за искането за коригиране, изтриване или ограничаване на обработката на данните.
Право на преносимост на данните
Субектът има право да получи личните данни, които го засягат и които е предоставил в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от страна на ЦТО, в случай че обработването е основано на съгласие или договорно задължение или обработването се извършва по автоматизиран начин. Отговорността за съхранението на експортирани от Платформата данни, както и за всички последствия от предоставянето им на други администратори е изцяло на субекта.
Право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване
Субектът има право да не бъде обект на автоматизирано обработване, включващо профилиране, което поражда правни последствия за него или по подобен начин го засяга в значителна степен освен ако не са налице предвидените в приложимото законодателство по защита на личните данни основания за това и са предвидени подходящи гаранции за защита на неговите права, свободи и легитимни интереси.
Право на оттегляне на съгласие
Субектът има право по всяко време да оттегли съгласието си, което е дал във връзка с обработването на лични данни на основание предходно негово съгласие. Такова оттегляне не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му. При услуги като абонамент за обяви и новини, получавани по електронен път, абонирането за които става на базата на желание (съгласие) на субекта, е предвидена възможност за прекратяване на абонамента по всяко време (оттегляне на съгласието). В случай на оттегляне на съгласие, ЦТО има право да поиска самоличността на заявителя да бъде проверена с цел установяване на идентичността с лицето, за което се отнасят данните.
Право на възражение
Субектът има право да възрази по отношение на данни, обработвани на базата на легитимен интерес. В случай на постъпване на такова възражение, ЦТО ще разгледа искането и ако е основателно, ще го изпълни. Ако ЦТО счита, че съществуват убедителни законови основания за обработването или че то е необходимо за установяването, упражняването или защитата на правни претенции, субектът ще бъде информиран за това.
Право на жалба до надзорен орган
Субектът има право да подаде жалба срещу ЦТО до надзорния орган, ако счита, че обработването на лични данни, отнасящи се до него, нарушава приложимото законодателство по защита на личните данни. Надзорният орган в Република България е Комисията за защита на личните данни с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, e-mail kzld@cpdp.bg, интернет страница: www.cpdp.bg, телефон: 02 915 3 518.
УПРАЖНЯВАНЕ НА ПРАВАТА ОТ СУБЕКТА. СРОКОВЕ ЗА ПРОИЗНАСЯНЕ
Всеки субект може да упражни посочените права безплатно по всяко време чрез електронен адрес или с молба, изпратени на адресите, посочени в Платформата или в края на настоящата Политика за сигурност, като исканията може да се адресират както до ЦТО, така и директно до Отговорното лице по защита на данните. Исканията се правят по начин, който позволява да се идентифицира самоличността на заявителя. По отношение на някои права, възможно е да бъдат приложими технически възможности за упражняването им, например бутон за отписване. При всички случаи, ЦТО следва да отговори на искането или да се произнесе по отношение на упражненото право на предоставения в искането адрес, включително електронен в срок от един месец от получаването му.
В случай че субект упражнява тези права явно неоснователно или прекомерно, по-специално поради своята повторяемост или когато за уважаване на искането е свързано с разходи за предоставяне на информацията или за комуникацията или предприемането на исканите действия налага такива разходи, ЦТО си запазва правото да наложи разумна такса, като вземе предвид тези разходи или да откаже да предприеме действия по искането. Субектът ще бъде информиран своевременно за приложимите такси.
ТОЧНОСТ НА ИНФОРМАЦИЯТА
ЦТО не носи отговорност за верността на предоставените от субекта данни, не извършва и проверки в този смисъл и не гарантира действителната самоличност на физическите лица, предоставили данните. Във всички случаи на съмнения от страна на субекта за измама и/или злоупотреба, субектът следва незабавно да уведоми ЦТО. Субектът се задължава при предоставяне на каквато и да е информация в Платформата да не нарушава правата на други лица във връзка със защитата на техните лични данни или други техни права.
ОБЩА ИНФОРМАЦИЯ ЗА ПОЛИТИКАТА
Настоящата Политика за сигурност на личните данни може да бъде променяна или допълвана поради изменение на приложимото българско или европейско законодателство, по инициатива на ЦТО или на компетентен орган. ЦТО ще информира потребителите за измененията или допълненията на тази Политика чрез публикация на актуализираната Политика в Платформата или чрез изпращането на съобщение до предоставената от субекта електронна поща.
Препоръчително е потребителите периодично да проверяват най-актуалната версия на тази Политика за сигурност на личните данни на интернет страницата на ЦТО.
МЕРКИ ЗА ЗАЩИТА И СИГУРНОСТ НА ДАННИТЕ
С оглед осигуряване на възможно най-добра защита на данните на ЦТО и неговите клиенти, потребители, контрагенти, посетители в Платформата, служители, подизпълнители, обучители, с които работи, ЦТО прилага Политика за технически и организационни мерки, включваща най-малко мерките, предвидени в Общия регламент относно защита на данните и Закона за защита на личните данни, както и най-добрите практики от международни стандарти. ЦТО прилага подходящото и нужно ниво на защита и за тази цел е разработил ефикасни физически, електронни и административни процедури, за да пази данните, които събира, от случайно или неправомерно унищожаване, загуба, промяна, непозволено разкриване или достъп до предадени, съхранявани или обработвани по друг начин лични данни.
ЦТО съхранява данни на сигурни сървъри, като използва услугите на доказани доставчици, прилагащи най-новите алгоритми за криптиране и гарантираме съхранението на резервни копия.
ЦТО е приел необходимите правила и процедури, свързани със законосъобразното обработване на лични данни, вкл. План за действие при нарушение на сигурността на данните, установил е структури по предотвратяване на злоупотреби и пробиви в сигурността, и е определил Отговорно лице за защита на данните, което подпомага процесите по законосъобразно обработване, опазване и обезпечаване на сигурността на данните.
Достъп до лични данни се разрешава единствено на тези служители, доставчици на услуги или свързани с тях лица на принципа на необходимост от информация за служебни цели или които се нуждаят от нея за изпълнение на своите служебни задължения. От всички служители/работници се изисква да бъдат обучени и да приемат съответните договорни клаузи/декларации/правила за спазване на организационните и технически мерки за достъп, преди да им бъде предоставен достъп до информация от всякакъв вид.
Принцип в структурата на ЦТО е, че всички служители са отговорни за гарантирането на сигурността при съхраняването на данните, за които те отговарят и които ЦТО обработва, както и че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети страни освен ако ЦТО не е предоставил такива права на тази трета страна, като е сключил договор/клауза за поверителност. В тази връзка всички лични данни са достъпни само за тези, които се нуждаят от тях, а достъпът може да бъде предоставен само в съответствие с изградените правила за контрол на достъпа. Всички лични данни се третират с най-голяма сигурност и се съхраняват:
- в самостоятелна стая с контролиран достъп; и/или
- в заключен шкаф, до който достъп имат оторизирани лица; и/или
- компютъризирана система, защитена с парола в съответствие с вътрешните изисквания, посочени в организационните и технически мерки за контролиране на достъпа до; и/или
- компютърни носители и сървъри, които са защитени в съответствие с организационните и технически мерки за контролиране на достъпа до информация.
Личните данни се изтриват или унищожават само в съответствие с вътрешните процедури за съхраняване и унищожаване на данните.
За максимална сигурност при обработка, пренос и съхранение на данни, ЦТО може да използва допълнителни механизми за защита като криптиране, псевдонимизация, back up технология за резервни копия.
Въпреки мерките, които ЦТО прилага, за да защитава личните данни, които обработва, предаването на информация по интернет или други публични мрежи не е напълно безопасно, като съществува риск данните да могат да се преглеждат и използват от неоторизирани трети страни. ЦТО не може да поеме отговорност за тези уязвимости на системи, които не са под неговия контрол. В случай на изтичане на данни, съдържащи лични данни, ЦТО гарантира, че ще спазва всички приложими норми за уведомяване в подобни случаи.
ПОЛИТИКА ЗА БИСКВИТКИ
Като неразделна част от настоящата Политика за сигурност на личните данни на физическите лица ЦТО е приело и Политика за използване на „бисквитки“, публикувана и достъпна в Платформата.
КОНТАКТ С НАС
ОТГОВОРНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ
Въпроси и искания, свързани с упражняване на правата по защита на лични данни, може да бъдат отправяни към ЦТО, посредством някоя от посочените начини за контакт:
“Център за творческо обучение” ООД и Сдружение “Център за творческо обучение”, с адрес: гр. София, ул. “Каймакчалан” № 28, електронен адрес: trainings@cct.bg
ОТГОВОРНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ
Отговорно лице по защита на данните е: В. Михайлова Адрес за кореспонденция: електронен адрес: v.mihaylova@cct.bg
Телефон за контакт: +359 888 635 348