ПРОЦЕДУРА ЗА РАЗГЛЕЖДАНЕ НА ИСКАНИЯ ОТ СУБЕКТИ НА ЛИЧНИ ДАННИ

 

Твоят Дом ЕООД – гр. София като взе предвид приетия на 27 април 2016 г. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО, наричан по-нататък „Общ регламент за защита на данните” или „Регламента” и в съответствие с чл. 7 и глава III от Регламента и в стремежа си да оказва максимално съдействие на субектите на лични данни при упражняване на техните права като отговаря на постъпилите искания в законоустановените срокове,

Прие настоящата ПРОЦЕДУРА ЗА РАЗГЛЕЖДАНЕ НА ИСКАНИЯ ОТ СУБЕКТИ НА ЛИЧНИ ДАННИ, с решение на едноличния собственик на капитала и вътрешна документация от Управителя от 01.02.2023 г., която има за цел да уреди минималните изисквания на Регламента, които Твоят Дом ЕООД – гр. София ще съблюдава в качеството си на Администратор на лични данни при упражняване на правата на субектите на данни.

 

I. Общи положения

Твоят Дом ЕООД – гр. София прилага следните общи правила спрямо всички искания от субекти на данни за упражняване на техните права:

1. Форма и начин на предоставяне на информацията

  • В кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език;
  • В писмена форма;
  • Когато е целесъобразно по електронна поща;
  • Устно – по телефон или на място на адреса на управление на дружеството, когато субектът желае това, при положение че идентичността на субекта на данните е доказана с други средства.

2. Съдържание на искането от субекта на данни (минимално необходимо съдържание с оглед идентифициране на субекта)

  • Име;
  • Адрес за кореспонденция;
  • Други данни за идентификация на физическото лице;
  • Описание на искането;
  • Лични данни, до които се отнася;
  • Предпочитана форма за отговор;
  • Действия, които субектът желае да бъдат предприети съгласно Регламента;
  • Подпис и дата.

Искането може да бъде подадено и по електронен път, като бъде подписано по реда на Закона за електронния документ и електронния подпис.

3. Задължения на дружеството във връзка с удовлетворяване искането на субекта

  • Да разгледа искането на субекта на данни, освен ако докаже, че не е в състояние да идентифицира субекта на данните;
  • В срок от един месец от получаване на искането да предостави на субекта на данни информация относно действията, предприети във връзка с искането му;
  • Ако сложността и броя на исканията е по-голяма от обичайната, срокът за отговор може да бъде удължен с още два месеца;
  • Да информира субекта на данните за всяко удължаване на срока в предходното предложение в срок от един месец от получаване на искането, като се посочат причините за забавянето;
  • Да уведоми субекта на данни най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред;
  • Да предостави информацията безплатно;
  • Да наложи разумна такса, като вземе предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, ако исканията не са „явно неоснователни или прекомерни“, по-специално поради своята повторяемост или да откаже да предприеме действия по искането;
  • Да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, в случай че Дружеството има основателни опасения във връзка със самоличността на физическото лице, което подава искането.

 

II. Отговорни лица за привеждане в действие и изпълнение на настоящата процедура

Дружеството определя Отговорно лице от своя персонал, което ще бъде натоварено с удовлетворяване на исканията на субекта на данни съгласно Регламента. Отговорното лице има задължението да води специален регистър на исканията на субектите на данни.

 

III. Процедура при постъпване на искане от субект на данни

 

IV. Различни хипотези при упражняването на права

1. Право да се оттегли съгласието

Субектът на данните отправя искане да оттегли съгласието си

  • Дружеството проверява дали обработва личните данни на субекта на основание на съгласие;
  • В случай, че се установи, че данните на субекта се обработват на друго правно основание (напр. закон или договор), Дружеството отхвърля искането на субекта.

2. Право на информираност

Регламентът изисква субектите на данни да бъдат информирани за използването на техните данни и правата, които имат във връзка с това, в момента, в който се събират личните данни от субекта на данните или ако данните са получени от друг източник, в посочения в Регламента срок. На това право съответства поддържането и актуализирането от страна на Дружеството на Политика за поверителност и защита на личните данни.
Дружеството се ангажира да запознае субектите на данни с нея.

3. Право на достъп

Субектът на данни има право да поиска и да получи от Дружеството потвърждение за това дали се обработват негови лични данни и ако това е така, достъп до данните и следната информация:

  • Целите на обработването;
  • Категориите лични данни;
  • Получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
  • Срока на съхранение на данните, а ако това е невъзможно, критериите, използвани за определяне на този срок;
  • Съществуването на право да изиска от Дружеството коригиране или изтриване на негови лични данни или ограничаване на обработването на негови лични данни или да възрази срещу такова обработване;
  • Правото на жалба до надзорен орган;
  • Всякаква налична информация за източника на данните, когато данните не са получени лично от субекта;
  • Съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи каква е използваната логика, както и значението и предвидените последствия от това обработване за субекта;
  • Подходящите гаранции, когато Дружеството предава лични данни на субекта на трета държава или международна организация.

В повечето случаи процесът на вземане на решения по такива искания е ясен, освен ако не бъде преценено, че искането е явно неоснователно или прекомерно. Съставянето на отговор може да изисква въвеждането в процеса на лицето, отговорно за данните, до които се отнася искането.

4. Право на коригиране

Когато данните са неточни или непълни, субектът на данни има право да поиска от Дружеството да коригира неточните лични данни, свързани с него, както и да попълни непълните лични данни, като предостави на Дружеството съответните верни и пълни данни за себе си.

В случай на коригиране на определени лични данни Дружеството информира всички други организации, които обработват данните от негово име или на които данните са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

5. Право на изтриване

Субектът на данни има право да поиска от Дружеството да изтрие свързаните с него лични данни без ненужно забавяне, когато е приложима някоя от следните хипотези:

  • Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • Когато съгласието бъде оттеглено, ако обработването се основава на съгласие и няма друго правно основание за обработването;
  • Когато субектът на данни възрази срещу обработването на лични данни, свързани с него, и няма законни основания за обработването, които да имат преимущество или субектът на данните възрази срещу обработването, когато личните данни се обработват за целите на директния маркетинг;
  • Когато личните данни са били обработвани незаконосъобразно;
  • Когато Дружеството има правно задължение да изтрие данните съобразно приложимите спрямо него правни норми.

Дружеството прави преценка на всяко отделно искане по отношение на това дали то може или трябва да бъде оставено без уважение, в случай че обработването е необходимо:

  • За упражняване на правото на свобода на изразяването и правото на информация;
  • За спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на Република България;
  • По причини от обществен интерес в областта на общественото здраве;
  • За целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност изтриването да направи невъзможно или сериозно да затрудни постигането на тези цели;
  • За установяване, упражняване или защита на правни претенции.

Когато личните данни подлежат на изтриване, Дружеството предприема разумни стъпки, включително технически мерки, за да уведоми други администратори, за които данните са били достъпни, че е направено искане за изтриване и от тях на всички копия, реплики или връзки на личните данни на субекта.

6. Право на ограничаване на обработването

Субектът на данни може да поиска да бъде ограничено обработването на личните му данни, когато е налице някоя от следните хипотези:

  • Субектът е оспорил точността на личните си данни, като обработването се ограничава за срока, който е необходим на Дружеството да провери точността;
  • Обработването е неправомерно, но субектът не желае данните му да бъдат изтрити, а само да бъде ограничено използването им;
  • Данните вече не са нужни на Дружеството за целите на обработването, но субектът на данни ги изисква за установяване, упражняване или защита на свои правни претенции;
  • Когато субектът на данни е възразил срещу обработването на лични данни, като ограничаването в този случай се прилага в очакване на извършване на проверка дали законните основания на Дружеството като администратор имат преимущество пред интересите на субекта на данни.

Дружеството прави преценка във всеки конкретен случай дали искането да бъде уважено. Извършването на тази преценка изисква участието на Длъжностното лице по защита на данните (ако има такова), а когато е необходимо и на висшето ръководство.

Когато обработването е ограничено, личните данни могат да бъдат съхранявани, но не могат да бъдат обработвани без съгласието на субекта на данни, освен ако обработването не е необходимо за установяване, упражняване или защита на правни претенции или защитата на правата на друго физическо лице или поради важни основания от обществен интерес за ЕС или държава членка, в който случай Дружеството информира субекта на данни.

В случай на ограничаване на обработването на определени лични данни Дружеството информира всички други организации, които обработват данните от негово име или на които данните са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

7. Право на преносимост на данните

Ако обработването на личните данни се основава на съгласие или на договорно отношение и се извършва по автоматизиран начин, субектът на данни има право да поиска да получи личните си данни, които го засягат и които е предоставил на Дружеството, в структуриран, широко използван и годен за машинно четене формат.

Това право дава възможност на субекта на данни да поиска от Дружеството и да прехвърли данните му на друг администратор, без да бъде възпрепятстван, ако прехвърлянето е технически осъществимо.

8. Право на възражение

Субектът на данните има право да възрази срещу обработването, когато то се извършва на едно от следните основания:

  • Изпълнението на задача от обществен интерес или при упражняването на официални правомощия от Дружеството;
  • За целите на легитимните интереси на Дружеството;
  • Включително профилиране, основаващо се на горните две основания.

След като бъде направено възражение, Дружеството трябва да провери дали съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяване, упражняване или защита на правни претенции и ако не докаже, че са налице такива, трябва да прекрати обработването.

Докато трае проверката по възражението обработването се ограничава.

Ако субектът на данни възрази срещу обработване на личните му данни за целите на директния маркетинг, обработването се прекратява, без да се извършва проверка.

9. Права при автоматизирано вземане на индивидуални решения, включително профилиране

Субектът на данни има право да не бъде обект на индивидуално решение, когато това решение се основава единствено на автоматизирано обработване, включващо профилиране, което ще има правни последици за него или ще го засегне в значителна степен, освен ако решението:

  • Е необходимо за сключването или изпълнението на договор;
  • Е разрешено от правото на ЕС или правото на държавата членка, приложимо спрямо Дружеството;
  • Се основава на изричното съгласие на субекта на данни.

Когато решението е необходимо за сключването или изпълнението на договор със субекта на данни или той е дал изричното си съгласие, има право да изиска от Дружеството обработването и анализирането на данните му да се извършва не изцяло автоматизирано, а с човешка намеса, както и да изрази гледната си точка и да оспори решението, базирано на автоматизирано обработване.

Настоящата процедура подлежи на преглед и актуализация най-малко веднъж годишно, както и при промени в приложимото законодателство.

 

Дата: 01.02.2023 г.

 

 

От тук можете да изтеглите Искане за упражняване на права от субект на лични данни.

You cannot copy content of this page