Дата на актуализация: 18 май 2018 Утвърдил: /Изп. Директор: инж. Димитър Георгиев/ ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ФИЗИЧЕСКИ ЛИЦА – КРАЙНИ ПОТРЕБИТЕЛИ С цел предоставяне на услугите (“Услуги”) в СПА хотел „Хисар“ в гр. Хисар, „Балнеоложки комплекс Хисар“ АД, с адрес на управление: гр. Хисар, ул. Ген. Гурко № 1, , ЕИК: 115035506 обработва данни на физически лица („Субекти на данни“), в съответствие с настоящата Политика. При обработването на лични данни „Балнеоложки комплекс Хисар“ АД („БКХ“ АД)спазва всички приложими към дейността му нормативни актове по защита на личните данни, включително, но не само, Регламент (ЕС) 2016/679 („Регламент“). Съгласно Регламента, лични данни е всяка информация, която се отнася до физическите лица и чрез която те могат да бъдат идентифицирани. Обработване на лични данни (”Обработване”) е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства. 1. Групи лица, за които се обработват данни Във връзка с предоставяните Услуги от хотела „БКХ“ АД обработва информация относно следните Субекти на данни: (а) физически лица, ползватели на услуги в СПА хотел „Хисар“; (б) физически лица, отправили запитвания (вкл. чрез обаждане), искания, сигнали, жалби или друга кореспонденция; (в) физически лица, информация за които се съдържа в запитвания (вкл. чрез обаждане), искания, сигнали, жалби или друга кореспонденция, отправена към „БКХ“ АД. (г) физически лица, наети на трудов договор в „БКХ“ АД. (д) физически лица, който работят по граждански и търговски договори с „БКХ“ АД. 2. Обработвани данни във връзка с предоставяне на Услугите 2.1. Информация, която се предоставя от клиенти: Клиентите сами решават дали и как да използват Услугите, предоставяни от „БКХ“ АД. Лични данни от клиентите се предоставят, само доколкото е необходимо да се изпълни договор за предоставяне на услуга по искане на клиента, в качеството му на страна по договора и преди изпълнението на договора. В някой случаи (например при регистрация в хотела) въвеждането на лични данни е задължително и се извършва по силата на законова разпоредба, като данните се събират, с цел да се предоставят на държавни институции във връзка с техни официални законово регламентирани функции (МВР, НАП, общински служби). Данните, предоставянето на които е задължително, са такива, без които е невъзможно да бъде предоставена съответната Услуга или част от нея. При липса на законово или договорно основание за предоставяне на лични данни се изисква съгласие от клиента, което трябва да бъде изразено свободно, недвусмислено и конкретно след като лицето е получило ясна, точна и изчерпателна информация за целите, за които се дава това съгласие и правата във връзка с обработката и съхранението на данните. Личните данни се обработват само и единствено за целите, за които са били предоставени и се съхраняват в минимално необходимите срокове, след което се изтриват. В допълнение, целите на обработването на лични данни включват и комуникацията с клиентите, включително по електронна поща, необходима във връзка с предоставяне на Услугите и/или уведомяването за промени в предоставяните Услуги. За целта може да е необходимо обработване на част или на всички предоставени данни. (а) Регистрация в хотела. Ползването на част от Услугите е възможно след регистрация на Рецепция. За да бъде настанен клиент, е необходимо да предостави: име, фамилия, имейл адрес, ЕГН и номер на личната карта. В допълнение се предоставя информация за плащане по банков път и данни за депозиране на сума. „БКХ“ АД ще поверява обработката на данни само на такива служители, които са обвързани от задължение за поверителност и преди това са запознати с разпоредбите за защита на данни, които се отнасят до работата им. Обработващият и което и да е друго лице, което действа под негово ръководство няма да обработват данни, освен ако нямат указания на Администратора за тов (б) Данни, съхранявани във регистър КЛИЕНТИ. В регистър КЛИЕНТИ се съхранява информацията предоставена при регистрация или подадена по електронен път от клиент или от туроператор. При извършване на резервация по електронен път чрез сайта на СПА хотел „Хисар“ от страна на клиент към хотела се подава заявка, която представлява документ с правно значение, съгласно Закона за електронния документ и електронните удостоверителни услуги (“ЗЕДЕУУ”). „БКХ“ АД има задължението да поддържа лог на факта на изпращане на заявката (и нейното съдържание) за период от 1 /една/ година. Логът съдържа дата на изявлението, име, идентификационен номер, адрес и имейл адрес на подателя и данни за заявената услуга. 2.2 Информация, която се предоставя от служители или работници, или от лица кандидатстващи за определена длъжност. Данни, събирани и съхранявани във регистър ПЕРСОНАЛ. В регистър ПЕРСОНАЛ се съхранява информацията предоставена при сключване на трудовия договори и се събират документите посочени в Наредба № 4 за документите необходими при сключване на трудов договор. (ДВ, бр. 99 от 2017 г.): 1. документ за самоличност, който се връща веднага; 2. документ за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват за длъжността или работата, за която лицето кандидатства; 3. документ за стаж по специалността, когато за длъжността или работата, за която лицето кандидатства, се изисква притежаването на такъв трудов стаж; 4. документ за медицински преглед при първоначално постъпване на работа и след преустановяване на трудовата дейност по трудово правоотношение за срок над 3 месеца; 5. свидетелство за съдимост, когато със закон или нормативен акт се изисква удостоверяването на съдебно минало; 6. разрешение от инспекцията по труда, ако лицето не е навършило 16 години или е на възраст от 16 до 18 години. 7. Когато документът по ал. 1, т. 2 е за придобито висше образование в чужбина, се изисква удостоверяване на признаването му от съответния орган. 8.Може да бъде поискано представянето и на други документи, ако това е предвидено или произтича от закон или друг нормативен акт. Въпросници „БКХ“ АД като работодател има възможност да създава въпросници (“Въпросник”) към своите обявления за работа. Съдържанието на Въпросниците се определя изцяло от „БКХ“ АД. При кандидатстване по обява с Въпросник, попълнените Въпросници от одобрените кандидате се съхраняват за период до 1 /една/ година от датата на публикуване на обявата, по която лицата са кандидатствали (в случай че не бъдат изтрити преди изтичане на този срок). С цел опазване на здравето и живота на лицата- служителите, гостите и клиентите, както и имуществото, а също така и спазването на вътрешния ред и трудовата дисциплина, на територията на хотела се осъществява постоянно видеонаблюдение. Данните от видеонаблюдението се съхраняват за срок от един месец при строги мерки за сигурност. Кореспонденция, жалби и сигнали С цел разрешаване на подадени жалби, сигнали, спорове, запитвания, искания или други въпроси, отправени „БКХ“ АД, тази информация се съхранява и обработва, както и резултата от това обработване. След изтичане на сроковете за евентуални претенции по защита на права, кореспонденцията, сигналите и жалбите се унищожават. Специални категории (чувствителни) данни Информация, представляваща специални данни по смисъла на чл. 9 и чл. 10 от Регламента като: - данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние, за сексуалната ориентация, или данни, свързани с присъди и нарушения. - документи за самоличност, както и ЕГН, номер на паспорт/лична карта и др. подобни не се събира и не се съхранява в „БКХ“ АД. Това е възможно по изключение, единствено при законово задължение или съществен легитимен интерес, който не противостои на правото на защита на субекта на данните, при спазване принципа на необходимост, добросъвестност и гарантиране на защитата на информацията. 2.3. Данни, свързани с процеса на ползване на Услугите и достъпа до данни Ако за целите на предоставяне на услугите, предлагани в СПА хотел „Хисар“ е необходимо предоставянето на информация от клиента, включително и такава, представляваща специални данни по смисъла на чл. 9 и чл. 10 от Регламента като например генетични данни, биометрични данни, данни за здравословното състояние, за сексуалната ориентация, то тази информация не се съхранява в „БКХ“ АД. Логове, свързани със сигурност, техническа поддръжка, развитие и др. В регистрите за данни на електронен носител в „БКХ“ АД и в Сайта ( www.hotelhissar.com) се използват логове със следните цели: - За подсигуряване на надеждното функциониране на Услугите и установяване на технически проблеми;
- За подсигуряване сигурността на Услугите и откриване на злонамерени действия;
- За развитие и подобряване на Услугите;
- За измерване на посещаемостта и ползваемостта;
- Логове в случаите, в които това се изисква от закона (като логове на електрони волеизявления).
Одитиране на следи при достъп В „БКХ“ АД е въведена система за проследяване на достъпа на лицата обработващи лични данни до регистрите с цел проследяване и запис на всяка редакция. Полагат се постоянни усилия за прилагане на по-усъвършенствани системи за контрол на достъпа и за сигурност с цел предотвратяване на всякакви възможни злоупотреби с данни. 3. Цели за обработване на лични данни „БКХ“ АД събира, използва и обработва информацията, описана по-горе, за целите, предвидени в настоящата Политика и в Условията за ползване на Услугите, които могат да бъдат: Цели, предвидени в закона и вменени като задължение на „БКХ“АД; - Цели, необходими за сключването и изпълнението на договора за предоставяне на Услуги между клиенти и „БКХ“ АД;
- Цели, необходими за защита и прилагане на легитимните интереси на „БКХ“ АД и трети лица;
- Цели, за които клиентите са дали своето изрично съгласие;
Сключване и изпълнение на договор Това са целите, необходими за стъпките по сключването и изпълнението на договор между клиент/и и „БКХ“ АД. Легитимен интерес Това са цели, свързани със законни интереси на „БКХ“ АД и/или трети лица като и други потребители и др. Тези цели включват: - Осигуряване на сигурността на здравето, живота, имуществото на клиентите, гостите и хотела , разрешаване на възникнали спорове, установяване и предотвратяване на злонамерени действия.
- Откриване и разрешаване на технически или проблеми с функционалността, развитие и подобряване на Услугите.
- Осъществяване на комуникация с клиентите, включително по електронен път по важни въпроси, свързани с Услугите.
- Приемане и обработване на получени сигнали, жалби, искания и друга кореспонденция;
- Осъществяване и закрила на правата и законните интереси на „БКХ“ АД, включително и по съдебен ред, и оказване на съдействие при осъществяване и закрила на правата и законните интереси на засегнати трети страни.
За тези цели е възможно да е необходимо обработване на част или на всички посочени по-горе категории. Законови задължения Целите, свързани със спазване на законови задължения на „БКХ“ АД, включват изпълнение на предвидени в закона задължения за запазване или предоставяне на информация при постъпване на съответно разпореждане от компетентни държавни или съдебни органи, при осигуряване на възможност за осъществяване на контролните правомощия на компетентните държавни органи, при изпълнение на законовите задължения на „БКХ“ АД да уведомява лицата за различни обстоятелства, свързани с правата на клиентите, с предоставяните Услуги или със защитата на данните и др. под. За тези цели е възможно да е необходимо обработване на част или на всички посочени по-горе категории. Изрично съгласие Лични данни могат да бъдат обработвани на базата на изрично съгласие на лицето, като обработването в този случай е конкретно и в степента и обхвата, предвидени в съответното съгласие. 4. СРОК НА СЪХРАНЕНИЕ При съхранението на данни, „БКХ“ АД прилага генералния принцип за съхранение на данни в минимален обем и за срок не по-дълъг от необходимото за предоставяне на Услугите, подсигуряване на тяхната сигурност и надеждност и изискванията на закона. Типове данни | Период на съхранение | Пояснения | Регистрационни данни (като име, фамилия, имейл адрес) и информация за извършването на регистрацията - дата, час) | За целия период на изпълнение на договор и до 5 след това | Данните идентифицират субекта като страна по Договора за предоставяне на Услугите. С цел разрешаване на възможни спорове, възникнали или станали известни след предоставяне на услугите , тези данни се съхраняват за период до 5 /години/ освен, ако по силата на закон не се изисква по-дълъг срок.. | Данни от трудовите досиета | 50 години | Данните се съхраняват на законово основание с цел защита на социалните и пенсионни права на работещите преди или понастоящем | Счетоводни данни | 10 години | Данните се съхраняват за данъчни и осигурителни цели | Кореспонденция, жалби и сигнали, искания, входящи телефонни обаждания | Корeспонденция, жалби и сигнали се съхраняват за срок до 5 /пет/ години. | С цел разрешаване на подадени жалби, сигнали, спорове, запитвания, искания или други въпроси, отправени в комуникация към нас, постъпила чрез електронни форми в Сайта, чрез обаждания към телефонната централа на „БКХ“ АД, чрез изпращане по регулярна или електронна поща, ние съхраняваме и обработваме тази информация, както и резултата от това обработване. Предвид давностните срокове съгласно българското законодателство с цел разрешаване на възникнали спорове, тази информация се съхранява за период до 5 /пет/ години. | В случай на възникнал правен спор или производство, налагащо запазване на данни и/или искане от компетентен държавен орган, е възможно запазване на данни за по-дълъг от посочените срокове до окончателно приключване на възникналия спор или производство пред всички инстанции. Посочените срокове могат да бъдат променени, в случай че бъде установено различно изискване за запазване на информацията съгласно действащото законодателство. 5. ПРЕДОСТАВЯНЕ НА ИНФОРМАЦИЯ „БКХ“ АД не предоставя лични данни на трети лица, по никакъв друг начин освен в описаните в тази Политика, Условията и предвиденитe в закона случаи. Съхранените на електронен или хартиен носител документи са достъпни само за оторизирани служители имащи достъп при условията на поверителност и ясна отговорност за това. Настоящата Политика се отнася за съхранението и обработването на лични данни от страна на „БКХ“ АД. Когато бъдат предоставени лични данни на „БКХ“ АД, по отношение на тях се прилага настоящата Политика за защита на лични данни. „БКХ“ АД не е посредник и не предоставя данни по никакъв начин на трети лица освен в посочените по-горе случаи, само по силата на законово разпореждане на държавни и общински инстанции като в този случай „БКХ“ АД няма контрол върху начина, по който тези инстанции обработват предоставените данни. 5.1. Доставчици и подизпълнители „БКХ“ АД използва подизпълнители и доставчици. При работата си с подизпълнители и доставчици, „БКХ“ АД изисква да бъдат спазвани нашите инструкции, в съответствие с настоящите Политика и Условия. 5.2. Трети лица Лични данни могат да бъдат предоставени на трети лица само в следните случаи: когато това е предвидено в закон; ако това бъде поискано по надлежен начин от компетентен държавен или съдебен орган; при получено изрично съгласие за това от субекта на данни; когато това се налага за защитата на права и законни интереси на „БКХ“ АД и/или други потребители на Услугите. 5.3. Промяна на собственост В случай на сливане, придобиване или продажба на активи, засягащи обработването на лични данни, засегнатите притежатели на лични данни ще бъдат уведомени предварително. 6. Права по отношение на личните данни Регламентът предвижда следните права: 6.1. Право на информираност. Настоящата Политика има за цел да информира всички заинтересовани лица подробно за обработването на лични данни във връзка с дейността на „БКХ“ АД. 6.2. Право на достъп. Лицата имат право да получат потвърждение дали се обработват техни лични данни, достъп до тях и информация относно обработването им и правата във връзка с това. Такава информация може да бъде предоставена чрез отправено искане до „БКХ“ АД. 6.3. Право на коригиране. Клиентите имат право да коригират своите лични данни, в случай че те са непълни или неточни. Това се отнася само за съхранените в регистрите данни. 6.4. Право на изтриване. Всеки клиент има право да поиска изтриване на данни, освен в случаите, в които за тяхното обработване е налице съществено основание и/или законово задължение. Във връзка с нашите задължения, отговорности и изисквания на закона за период до 5 /пет/ години се съхраняват: - С цел разрешаване на възможни спорове, възникнали или станали известни след прекратяване на споразумението за ползване на Услуги, за период от 5 /пет/ години се съхранява информация за неговото сключване. Виж раздел “Срок на съхранение”.
- Поради това, че изпращането на резервационна форма на сайта на хотела представлява изпращане на електронно изявление от Ваша страна към хотела, съгласно ЗЕДЕУУ имаме задължението да поддържаме лог на факта на изпращане на изявлението за период от 1 /една/ година. Логът съдържа дата на изявлението, име и имейл адрес на подателя.
Данните се заличават след изтичане на посочения срок. Междувременно същите могат да бъдат предоставени само и единствено по надлежния ред на компетентните държавни органи при упражняване на техните контролни правомощия или на компетентен съд в случай на възникнало съдебно производство, по което те имат отношение. В случай на възникнал правен спор или производство, налагащо запазване на данни и/или искане от компетентен държавен орган, е възможно запазване на данни за по-дълъг от посочените срокове до окончателно приключване на възникналия спор или производство пред всички инстанции. 6.5. Право на ограничаване във връзка с обработването на данни. Регламентът предвижда възможност да ограничите обработването на лични данни, ако са налице основания за това, предвидени в него. 6.6. Право за уведомяване на трети лица. В случай че е приложимо, субектът на данни има право да поиска от „„БКХ“ АД като Администратор на лични данни да уведоми третите лица, когато на тях са предоставени лични данни, по отношение на коригиране, изтриване или ограничаване на обработването на лични данни. 6.7. Право на преносимост на данните. Лицата имат право да получат личните данни, които са предоставили и които се отнасят за тях, в структуриран, популярен формат, както и да използвате тези данни за друг администратор по тяхна преценка. Важно: Отговорността за съхранението и обработването на данни изпратени от „БКХ“ АД към друг администратор, както и за всички последствия от предоставянето им е изцяло на лицето, поискало преноса на неговите данни. 6.8. Право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за лицето или по подобен начин го засяга в значителна степен, освен ако не са налице предвидените в приложимото законодателство по защита на личните данни основания за това и са предвидени подходящи гаранции за защита на неговите права, свободи и легитимни интереси. В дейността на „БКХ“ АД не се използват технологии, попадащи в тази категория. 6.9. Право на оттегляне на съгласие. Всяко лице има право, по всяко време, да оттегли съгласието си за обработването на лични данни, което е на базата на дадено от него съгласие. Такова оттегляне не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му. При услуги като абонамента за обяви по имейл, абонирането за които става на базата на изразено желание (съгласие), е предвидена възможност за прекратяване на абонамента по всяко време (оттегляне на съгласието). 6.10. Право на възражение. Всеки клиент има право да възрази по отношение на данни, обработвани на базата на легитимен интерес. В случай на постъпване на такова възражение „БКХ“ АД ще разгледа искането и ако е основателно, ще го изпълни. Ако бъде преценено, че съществуват убедителни законови основания за обработването или че то е необходимо за установяването, упражняването или защитата на правни претенции, лицето, направило възражението ще бъде информирано за това. 6.11. Право на жалба до надзорен орган. Всяко лице има право да подаде жалба до надзорен орган, ако счита, че обработването на лични данни, отнасящи се до него, нарушава приложимото законодателство по защита на личните данни. Надзорният орган в Република България е Комисията за защита на личните данни, с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2. 7. ТОЧНОСТ НА ИНФОРМАЦИЯТА „БКХ“ АД не носи отговорност за верността на предоставяните от лицето данни. „БКХ“ АД извършва проверка на самоличността на база представен документ за самоличност, когато това е предвидено и дотолкова гарантира действителната самоличност на физическите лица, предоставили данните. Във всички случаи на съмнения, на установена измама и/или злоупотреба, бихме желали да ни уведомите незабавно. Всеки клиент, служител или гост на хотела се задължава при предоставяне на каквато и да е информация да не нарушава правата на други лица във връзка със защитата на техните лични данни или други техни права. 8. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ Към момента „БКХ“ АД не е задължено да назначи Длъжностното лице по защита на данните. Въпроси и искания, свързани с упражняване на правата по защита на личните данни, може да бъдат отправяни към ръководството на дружеството : Адрес за кореспонденция: ул. „Ген. Гурко“ № 1, гр. Хисар Имейл: hotelhisar@abv.bg |