Защита на личните данни

РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)(текст от значение за ЕИП) ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ, като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16 от него, като взеха предвид предложението на Европейската комисия, след предаване на проекта на законодателния акт на националните парламенти, като взеха предвид становището на Европейския икономически и социален комитет (1), като взеха предвид становището на Комитета на регионите (2), в съответствие с обикновената законодателна процедура (3), като имат предвид, че: (1) Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му данни. (2) Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от тяхното гражданство или местопребиваване, да са съобразени с техните основни права и свободи, и по-конкретно — с правото на защита на личните им данни. Настоящият регламент има за цел да допринесе за изграждането на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален напредък, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората. (3) Целта на Директива 95/46/ЕО на Европейския парламент и на Съвета (4) е да се хармонизира защитата на основните права и свободи на физическите лица по отношение на дейностите по обработване на данни и да се осигури свободното движение на лични данни между държавите членки. (4) Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата, както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие. (5) Икономическата и социална интеграция, произтичаща от функционирането на вътрешния пазар, доведе до съществено увеличение на трансграничните потоци от лични данни. Нарасна обменът на лични данни между публични и частни участници, включително физически лица, сдружения и предприятия в Съюза. Правото на Съюза предвижда националните органи в държавите членки да си сътрудничат и обменят лични данни, така че да са в състояние да изпълняват своите задължения или да изпълняват задачи от името на орган на друга държава членка. (6) Бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. Технологиите позволяват и на частните дружества, и на публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Физическите лица все по-често оставят лична информация, която е публично достъпна и в световен мащаб. Технологиите преобразиха както икономиката, така и социалния живот и следва да улесняват още повече свободното движение на лични данни в Съюза и предаването на данни до трети държави и международни организации, като същевременно гарантират високо ниво на защита на личните данни. (7) Тези промени изискват силна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане, като се има предвид значението на изграждането на доверие, което да позволи на цифровата икономика да се развива на вътрешния пазар. Физическите лица следва да имат контрол върху собствените си лични данни. Правната и практическата сигурност за физическите лица, икономическите оператори и публичните органи следва да бъдат засилени. (8) Когато в настоящия регламент се предвиждат уточнения или ограничения на съдържащите се в него правила от правото на държавите членки, държавите членки могат, доколкото това е необходимо с оглед на последователността и разбираемостта на националните разпоредби за лицата, по отношение на които те се прилагат, да включат елементи на настоящия регламент в собственото си право. (9) Въпреки че целите и принципите на Директива 95/46/ЕО ѝ дават солидна основа, тя не предотврати фрагментирането на прилагането на защитата на данни в Съюза, нито правната несигурност и широко разпространеното в обществото схващане, че съществуват значителни рискове за защитата на физическите лица, по-специално по отношение на дейностите онлайн. Разликите в осигуреното в държавите членки ниво на защита на правата и свободите на физическите лица, по-специално на правото на защита на личните данни, във връзка с обработването на лични данни в държавите членки, могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да представляват препятствие за осъществяването на икономически дейности на равнището на Съюза, да нарушават конкуренцията и да възпрепятстват органите при изпълнението на техните отговорности съгласно правото на Съюза. Различието в нивата на защита се дължи на съществуването на разлики при въвеждането и прилагането на Директива 95/46/ЕО. (10) За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. По отношение на обработването на лични данни, необходимо за спазване на правно задължение, за изпълнение на задача от обществен интерес или при упражняване на официалните правомощия, предоставени на администратора на лични данни, на държавите членки следва да се позволи да запазят или да въведат национални разпоредби, които да уточняват по-нататък реда за прилагане на правилата на настоящия регламент. Наред с общите и хоризонтални актове относно защитата на данните, с които се прилага Директива 95/46/EО, държавите членки имат и специално секторно законодателство в области, които се нуждаят от по-специфични разпоредби. Настоящият регламент оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). В този смисъл настоящият регламент не изключва право на държавите членки, което определя обстоятелствата за специални случаи на обработване, включително по-точно определяне на условията, при които обработването на лични данни е законосъобразно. (11) Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки. (12) В член 16, параграф 2 от ДФЕС се възлага на Европейския парламент и Съвета да установят правилата относно защитата на физическите лица във връзка с обработването на лични данни, както и правилата, засягащи свободното движение на лични данни. (13) За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори, включително за микропредприятията и малките и средните предприятия, и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество между надзорните органи на различните държави членки. За доброто функциониране на вътрешния пазар е необходимо свободното движение на лични данни в рамките на Съюза да не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни. За да се отчете особеното положение на микропредприятията и малките и средните предприятия, в настоящия регламент е включена дерогация за организации с по-малко от 250 служители по отношение на воденето на регистър. Освен това, институциите и органите на Съюза, както и държавите членки и техните надзорни органи се приканват да вземат предвид специфичните нужди на микропредприятията и малките и средните предприятия при прилагането на настоящия регламент. Разбирането на понятието за микропредприятия и малки и средни предприятия следва да се основава на член 2 от приложението към Препоръка 2003/361/ЕО на Комисията (5). (14) Защитата, предоставена с настоящия регламент, следва да се прилага за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на техните лични данни. Настоящият регламент не обхваща обработването на лични данни, които засягат юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и данните за връзка на юридическото лице. (15) За да се избегне създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящия регламент. (16) Настоящият регламент не се прилага за въпросите на защитата на основните права и свободи или на свободното движение на лични данни, свързани с дейности, които са извън приложното поле на правото на Съюза, например дейности в областта на националната сигурност. Настоящият регламент не се прилага за обработването на лични данни от държавите членки, когато извършват дейности във връзка с общата външна политика и политика на сигурност на Съюза. (17) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (6) се прилага за обработването на лични данни от институциите, органите, службите и агенциите на Съюза. Регламент (ЕО) № 45/2001 и другите правни актове на Съюза, приложими за такова обработване на лични данни, следва да бъдат адаптирани към принципите и правилата, установени в настоящия регламент и прилагани съобразно настоящия регламент. С цел да се осигури силна и съгласувана рамка за защита на данните в Съюза, след приемането на настоящия регламент следва да се направят необходимите адаптации на Регламент (ЕО) № 45/2001, за да се даде възможност за едновременното му прилагане с настоящия регламент. (18) Настоящият регламент не се прилага за обработването на лични данни от физическо лице в рамките на изцяло лична дейност или дейност в рамките на домакинството, която следователно няма връзка с професионална или търговска дейност. Личните дейности или дейностите в рамките на домакинството биха могли да включват воденето на кореспонденция и поддържането на адресни указатели или участието в социални мрежи и онлайн дейности, предприети в контекста на тези дейности. Настоящият регламент обаче се прилага за администратори или обработващи лични данни, които осигуряват средствата за обработване на лични данни при такива лични дейности или дейности в рамките на домакинството. (19) Защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, както и свободното движение на такива данни, са предмет на специален правен инструмент на Съюза. Следователно настоящият регламент не следва да се прилага за дейности по обработване на лични данни за такива цели. Обработването на лични данни от страна на публичните органи по силата на настоящия регламент, когато е за тези цели, обаче следва да бъде уредено с по-специфичен правен акт на Съюза, а именно с Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (7). Държавите членки могат да възлагат на компетентните органи по смисъла на Директива (ЕС) 2016/680 други задачи, чието изпълнение не е свързано задължително с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и предотвратяването им, така че обработването на лични данни за тези цели, доколкото то е в обхвата на правото на Съюза, попада в приложното поле на настоящия регламент. По отношение на обработването на лични данни от тези компетентни органи за цели, попадащи в обхвата на настоящия регламент, държавите членки следва да могат да запазят или да въведат по-конкретни разпоредби, за да адаптират прилагането на разпоредбите на настоящия регламент. Подобни разпоредби могат да определят по-точно специфичните изисквания относно обработването на личните данни от тези компетентни органи за посочените други цели, като се взема предвид конституционната, организационната и административната структура на съответната държава членка. Когато обработването на лични данни от частни структури попада в приложното поле на настоящия регламент, регламентът следва да предвижда възможност при определени условия държавите членки да наложат със закон ограничения върху определени задължения и права, ако такова ограничение представлява необходима и пропорционална мярка в едно демократично общество за защита на конкретни значими интереси, включително обществената сигурност и предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и предотвратяването им. Това е от значение например в рамките на дейностите срещу изпирането на пари или на дейностите на съдебномедицинските лаборатории. (20) Макар настоящият регламент да се прилага, inter alia, спрямо дейностите на съдилищата и други съдебни органи, в правото на Съюза или в правото на държава членка могат да се определят конкретно операциите и процедурите по обработване на лични данни от съдилищата и другите съдебни органи. Компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдебната власт при изпълнението на съдебните ѝ задължения, включително вземането на решения. Следва да е възможно да се повери надзорът на такива операции по обработване на данни на специални органи в рамките на съдебната система на държавата членка, които по-конкретно следва да осигурят спазването на правилата на настоящия регламент, да повишават осведомеността сред членовете на съдебното съсловие за техните задължения по силата на настоящия регламент и да се занимават с жалбите във връзка с такива операции по обработване на данни. (21) Настоящият регламент не засяга прилагането на Директива 2000/31/ЕО на Европейския парламент и на Съвета (8), и по-специално разпоредбите относно междинните доставчици на услуги в членове 12—15 от посочената директива. Тази директива има за цел да допринесе за нормалното функциониране на вътрешния пазар, като осигурява свободното движение на услуги на информационното общество между държавите членки. (22) Всякакъв вид обработване на лични данни в контекста на дейностите на мястото на установяване на администратор или на обработващ лични данни в Съюза следва да се извършва в съответствие с настоящия регламент, независимо от това дали самото обработване се извършва в рамките на Съюза. Установяването предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Правната форма на тези договорености, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение. (23) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. Като се има предвид, че само достъпността на уебсайт на посредник в Съюза, на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в Съюза, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на субекти на данни в Съюза. (24) Обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва също да се урежда от настоящия регламент, когато е свързано с наблюдението на поведението на такива субекти на данни, доколкото тяхното поведение се проявява в рамките на Съюза. С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в интернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене. (25) Когато правото на дадена държава членка се прилага по силата на международното публично право, настоящият регламент следва да се прилага и спрямо администратор, който не е установен в Съюза, например ако е установен в дипломатическа мисия или консулска служба на държава членка. (26) Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася за обработването на такава анонимна информация, включително за статистически или изследователски цели. (27) Настоящият регламент не следва да се прилага за личните данни на починали лица. Държавите членки могат да предвидят правила във връзка с обработването на лични данни на починали лица. (28) Прилагането на псевдонимизация на личните данни може да намали рисковете за съответните субекти на данни и да помогне на администраторите и на обработващите лични данни да изпълняват своите задължения за защита на данните. Изричното въвеждане на псевдонимизация в настоящия регламент не е предназначено да изключи други мерки за защита на данните. (29) За да се създадат стимули за прилагане на псевдонимизация при обработването на лични данни, като същевременно се дава възможност за общ анализ, мерките за псевдонимизация следва да са възможни при един и същи администратор на данни, когато той е взел необходимите технически и организационни мерки, за да се гарантира при съответната обработка, че настоящият регламент е приложен и че допълнителната информация, свързваща личните данни с конкретен субект на данните, се съхранява отделно. Администраторът, който обработва личните данни, следва да посочва упълномощените лица в рамките на същия администратор на данни. (30) Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране. (31) Публични органи, пред които се разкриват лични данни в съответствие с правно задължение за упражняване на официалната им функция, например данъчни и митнически органи, звена за финансово разследване, независими административни органи или органи за финансовите пазари, отговарящи за регулирането и надзора на пазарите на ценни книжа, не следва да се разглеждат като получатели, ако получават лични данни, които са необходими за провеждането на конкретно разследване от общ интерес, в съответствие с правото на Съюза или на държава членка. Исканията за разкриване на данни, изпратени от публичните органи, следва винаги да бъдат в писмена форма, да са обосновани и да засягат само отделни случаи и не следва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри на лични данни. Обработването на личните данни от посочените публични органи следва да е в съответствие с приложимите правила за защита на данните съобразно целите на обработването. (32) Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда. (33) Често в момента на събиране на данните целта на обработването на лични данни за научноизследователски цели не може да бъде напълно определена. Поради това на субектите на данни следва да бъде дадена възможност да дадат съгласието си за определени области на научни изследвания, когато те са в съответствие с признатите етични норми, отнасящи се за научните изследвания. Субектите на данни следва да имат възможност да дадат съгласието си само за определени области на научни изследвания или части от научноизследователски проекти, доколкото позволява преследваната цел. (34) Генетичните данни следва да се определят като лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които са получени в резултат на анализ на биологична проба от въпросното физическо лице, по-специално чрез хромозомен анализ, анализ на дезоксирибонуклеиновата киселина (ДНК) или на рибонуклеиновата киселина (РНК) или анализ на всеки друг елемент, позволяващ получаване на равностойна информация. (35) Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/EС на Европейския парламент и на Съвета (9), на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, като например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване. (36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие. (37) Дадена група предприятия следва да обхваща контролиращо предприятие и контролираните от него предприятия, като контролиращото предприятие следва да бъде предприятие, което може да упражнява доминиращо влияние върху другите предприятия въз основа на това, че има например право на собственост или финансово участие, или въз основа на правилата за неговото управление или правомощието да прилага правила за защита на личните данни. Предприятие, което осъществява контрол на обработването на лични данни в свързани с него предприятия, следва да се разглежда, заедно с тези предприятия,като „група предприятия“. (38) На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Съгласието на носещия родителска отговорност не следва да е необходимо в контекста на пряко предлаганите на деца услуги за превенция и консултиране. (39) Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до оборудване за тяхното обработване или за предотвратяване на използването им. (40) За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответния субект на данни или на друго легитимно основание, установено по законодателен път в настоящия регламент или в друг правен акт на Съюза или на държава членка, както е посочено в настоящия регламент, включващо необходимостта от спазване на правното задължение, наложено на администратора на лични данни, или необходимостта от изпълнение на договор, по който субектът на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения. (41) Когато в настоящия регламент се прави позоваване на правно основание или законодателна мярка, това не налага непременно приемането на законодателен акт от парламент, без с това да се засягат изискванията съгласно конституционния ред на съответната държава членка. Такова правно основание или законодателна мярка обаче следва да бъдат ясни и точни и прилагането им следва да бъде предвидимо за лицата, за които се прилагат, в съответствие с практиката на Съда на Европейския съюз ( „Съдът“) и на Европейския съд по правата на човека. (42) Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. По-специално, в случай на писмена декларация по друг въпрос, с гаранциите следва да се обезпечи, че субектът на данни е информиран за това, че дава съгласието си, и в каква степен го дава. В съответствие с Директива 93/13/EИО на Съвета (10) следва да бъде осигурена предварително съставена от администратора декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не следва да съдържа неравноправни клаузи. За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. (43) За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението. (44) Обработването на данни следва да е законосъобразно, когато то е необходимо в контекста на договор или при намерение за сключване на договор. (45) Когато обработването се извършва в съответствие с правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, за обработването следва да има основание в правото на Съюза или в правото на държава членка. Настоящият регламент не изисква за всяко отделно обработване конкретен законодателен акт. Може да е достатъчен законодателен акт като основание за няколко операции по обработване на данни, основаващи се на правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия. Правото на Съюза или на държава членка следва да определя също и целта на обработването. Нещо повече, в това право биха могли да се посочат общите условия на настоящия регламент, които определят законосъобразността на обработването на лични данни, да се установяват спецификациите за определянето на администратора на лични данни, видът данни, които подлежат на обработване, съответните субекти на лични данни, образуванията, пред които могат да бъдат разкривани лични данни, ограниченията по отношение на целите, периодът на съхранение и други мерки за гарантиране на законосъобразното и добросъвестно обработване. Също така в правото на Съюза или на държава членка следва да се определи дали администраторът на лични данни, изпълняващ задача от обществен интерес или упражняващ официални правомощия, следва да бъде публичен орган или друго физическо или юридическо лице, субект на публичното право или когато това е оправдано поради съображения от обществен интерес, включително за здравни цели, като например общественото здраве и социалната закрила и управлението на здравните служби субект на частното право, като например професионално сдружение. (46) Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия. (47) Законните интереси на даден администратор, включително на администратор, пред когото може да бъдат разкрити лични данни, или на трета страна могат да предоставят правно основание за обработването, при условие че интересите или основните права и свободи на съответния субект на данни нямат преимущество, като се вземат предвид основателните очаквания на субектите на данни въз основа на техните взаимоотношения с администратора.Такъв законен интерес може да е налице, когато например между субекта на данни и администратора на лични данни съществува съответното определено взаимоотношение, например когато субектът на данни е клиент или подчинен на администратора на лични данни. При всички случаи, за установяването на законен интерес би била необходима внимателна преценка, включително дали субектът на данни може по времето и в контекста на събирането на данни основателно да очаква, че може да се осъществи обработване на личните данни за тази цел. Интересите и основните права на субекта на данни биха могли по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват по-нататъшна обработка. Като се има предвид, че е задължение на законодателя да уреди със закон правното основание за обработването на лични данни от публичните органи, това правно основание не следва да се прилага спрямо обработването на данни от публичните органи при изпълнението на техните задачи. Обработването на лични данни, строго необходимо за целите на предотвратяването на измами, също представлява законен интерес на съответния администратор на данни. Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес. (48) Администратори, които представляват част от група предприятия или институции, свързана с централен орган, могат да имат законен интерес да предадат личните данни в рамките на групата предприятия за вътрешни административни цели, включващи обработването на лични данни на клиенти или служители. Общите принципи на предаването на лични данни на предприятие, разположено в трета държава, в рамките на група предприятия, остават непроменени. (49) Обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер и спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи. (50) Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора на лични данни, в правото на Съюза или в правото на държава членка могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместими законосъобразни операции по обработване. Правното основание, предвидено от правото на Съюза или правото на държава членка за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia,, всички връзки между тези цели и целите на предвиденото по-нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване. Когато субектът на данните е дал съгласието си или когато обработването се основава на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество, за да се гарантират по-специално важни цели от широк обществен интерес, на администратора следва да се позволи да обработва по-нататък личните данни, независимо от съвместимостта на целите. Във всеки случай, прилагането на принципите, установени в настоящия регламент, и по-специално информирането на субекта на данните относно тези други цели и относно неговите права, включително правото да възрази, следва да бъдат гарантирани. Съобщаването от администратора за евентуални престъпни деяния или заплахи за обществената сигурност и предаването на съответните лични данни в отделни случаи или в няколко случая, свързани с едно и също престъпно деяние или заплахи за обществената сигурност, на компетентен орган следва да се разглеждат като част от законния интерес, преследван от администратора. Въпреки това, подобно предаване, което е от законен интерес за администратора, или по-нататъшно обработване на лични данни следва да бъдат забранени, ако обработването не е съвместимо с никакво правно, професионално или друго обвързващо задължение за пазене на тайна. (51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи. (52) Дерогация от забраната за обработване на специални категории лични данни също следва бъде разрешена, когато е предвидена в правото на Съюза или правото на държава членка, и при подходящи гаранции, така че да бъдат защитени личните данни и други основни права, когато съображения, свързани с обществения интерес, оправдават това, по-специално обработването на лични данни в областта на трудовото право, правото в областта на социалната закрила, включително пенсиите, както и за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, предотвратяването или контрола на заразните болести и други сериозни заплахи за здравето. Такава дерогация може да се извърши за здравни цели, включително общественото здраве и управлението на здравните услуги, особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата за здравно осигуряване, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели. Чрез дерогация следва да се даде възможност да се обработват и такива лични данни, когато е необходимо, с цел установяване, упражняване или защита на правни претенции, независимо дали това е в рамките на съдебна, административна или друга извънсъдебна процедура. (53) Специални категории лични данни, които се нуждаят от по-голяма защита, могат да бъдат обработвани единствено за здравни цели, когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица и на обществото като цяло, по-специално в рамките на управлението на услугите и системите за здравеопазване или социални грижи, включително обработването от страна на органите за управление и от централните национални здравни органи на такива данни за целите на контрола на качеството, информацията за управлението и общото наблюдение на национално и местно равнище на системата за здравеопазване или социални услуги, както и за осигуряване на непрекъснатост на здравното обслужване или на социалните услуги и на трансграничното здравно обслужване или за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания или за статистически цели въз основа на правото на Съюза или националното право, което трябва да отговаря на цел от обществен интерес, както и за проучванията в областта на общественото здраве, провеждани в обществен интерес. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени цели, свързани със здравето, от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза или националното право следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица. Държавите членки следва да разполагат с възможност да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на генетични, биометрични или данни за здравословното състояние. Това обаче не следва да възпрепятства свободното движение на лични данни в рамките на Съюза, когато тези условия се прилагат за трансгранично обработване на такива данни.

Сайтът на София Даунтаун използва „бисквитки“ и други подобни технологии. Посредством „бисквитките“ осигуряваме правилното функциониране на уеб страницата и правим нейното използване удобно, полезно и съдържателно за Вас. Можете да настроите браузъра си да откаже, премахне и блокира „бисквитки“, с което някои услуги и функции от нашия уеб сайт ще престанат да функционират. Съгласието за използване на „бисквитки“, също може да бъде отменено, при Ваше желание, със съпътстваща неактивност на някои функции и услуги на сайта.

Локация

116 ЕЛИСЕЕ РЕЗИДЪНС се намира на Бул. “Черни връх“ №116. Само на минути от 116 ЕЛИСЕЕ РЕЗИДЪНС се намират МОЛ ПАРАДАЙЗ, Южния парк, ресторанти, болница Токуда и болница Вита, детска градина, супермакетите Била и Фантастико. На пешеходно разстояние са метростанция „Витоша“, спирки на градския транспорт, които осигуряват отлична връзка с целия град. Бърз изход от града Ви осигурява Околовръстния път, а до „богатството“ на природата и планината Витоша, може да стигнете за минути по бул.Черни връх.

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

НА “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД

I. Въведение

“ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД зачита неприкосновеността на личния живот на клиентите си и гарантира в максимална степен защитата на личните им данни. Настоящата Политика за поверителност и защита на личните данни (наричана по-долу „Политика за поверителност“) е изготвена и се основава на действащото българско и европейско законодателство в областта на защитата на личните данни.

Настоящата Политика за поверителност регулира обработването на лични данни на физически лица или представители на юридически лица на наши клиенти или потенциални такива, както и потребители на нашия уебсайт: elyseeresidence166.com („Сайта“), във връзка с услугите, предоставяни от “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД, включително предоставяни чрез и достъпни на Сайта.

Настоящата Политика за поверителност, заедно с Политиката за използване на "Бисквитки" за ползване на Сайтa и всякакви други документи, които са упоменати на Сайта, определя правилата, които “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД ще спазва при обработване на лични данни, които събираме от Вас или за Вас, или които Вие ни предоставяте. Настоящата Политика за поверителност не засяга, не ограничава и не отменя правата Ви, произтичащи от Закона за защита на личните данни („ЗЗЛД”) или друго относимо законодателство.

Ако имате някакви въпроси или коментари относно настоящата Политика за поверителност, моля да се свържете с нас на адрес: gdpr@parkandspa.eu

Моля, прочетете внимателно тази Политика преди да използвате Сайта или да предоставите Личните си данни, независимо дали по електронен път на Сайта или на хартия, тъй като с предоставянето на Личните си данни Вие се съгласявате с нейните условия. Ако не желаете да обработваме личните Ви данни по начина, описан в настоящата Политика за поверителност, моля не ни ги предоставяйте. Предоставянето на лични данни от Ваша страна е доброволно, с оглед използването на определени, предоставяни от нас услуги и използването на Сайта и/или достъп до него. Моля да имате предвид, че в някои случаи ние няма да можем да Ви предоставим услугата, която сте поискали, ако не ни предоставите нужната информация. Моля също така да имате предвид, че в определени случаи Вашето съгласие за обработване на лични данни може да не е необходимо, ако “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД разполага с друго правно основание, напр. изпълнение на нормативно установени задължения.

II. Кой обработва и носи отговорност за личните Ви данни?

“ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД е търговското дружество, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК 205741860, което събира, обработва и съхранява Вашите лични данни при условията на тази Политика за поверителност. “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД е администратор на лични данни по смисъла и Закона за защита на личните данни (ЗЗЛД). Можете да се свържете с нас на който и да е от следните координати: Адрес на управление: БАЧО КИРО, Платиниум Бизнес Център №26-28-30 бл.2 ет.1 телефони: 02 / 9624906 e-mail: gdpr@parkandspa.eu

III. Категории лични данни, обработвани от “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД

1. “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД може да обработва публично достъпните лични данни и/или лични данни, предоставени от Вас. Основните видове лични данни, които се обработват са:

  • (i) Информация за лична идентификация (вкл. име, ЕГН, номер на документ за самоличност, местожителство, гражданство, език за комуникация, адрес и други);
  • (ii) Информация за сферата на дейност (вкл. образование, учебно заведение, работно място, заемана позиция и други);
  • (iii) Данни за контакт (вкл. пощенски и електронен адреси, телефонен и факс номера и други);
  • (iv) Финансова информация (банкова сметка и други);
  • (v) Информация за представител (законен представител или пълномощник на такъв) на наш клиент юридическо лице;
  • (vi) Данни от комуникацията между нас и Вас, навиците, преференциите, удовлетвореността Ви от нашите услуги (активност при използване на услугите, оплаквания, заявки и др.);
  • (vii) Информация относно посещения на Сайта и използването на Сайта, включително операции и история за използване на Сайта;
  • (viii) Данните, получени при изпълнението на задълженията, произтичащи от нормативните актове (т.е. данни, произтичащи от запитвания, регулации, разследващи органи, нотариус, данъчни служби, съд, съдия изпълнител);
  • (ix) Данните, получени при изпълнение на договорните задължения (вкл. име, ЕГН, адрес, телефон и/или адрес на електронната поща и други).

2. “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД може да обработва данни, изготвени и генерирани от “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД в процеса на предоставяне на услугите:

  • (i) данни за използваното крайно електронно съобщително устройство, вида на устройството, използваната операционна система, IP адрес, местоположение; (ii) Видеозаписи от охранителни камери.

3. С цел осигуряване на доброто изпълнение на услугите и на задълженията произтичащи от клиентски договори, “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД има право да обработва всяка информация, която е налична в публични регистри (вкл. публична база данни и данни, оповестени в интернет) както и информация получена от трети страни по повод изпълнение на законни разпоредби, относно клиенти.

4. “ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД има право и задължение да провери верността на личните данни, записани в базата данни, като за целта изисква от Вас да верифицирате данните и ако е необходимо, да ги коригирате или да потвърдите верността на своите данни.

5. Различните видове лични данни могат да се обработват самостоятелно или в комбинация помежду им.

IV. Цели и правни основания за обработване на лични данни 1. Обработване на лични данни, което е необходимо за сключване или изпълнение на договори с нас или във връзка с подготовка за сключване на договори с нас.

„ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД обработва данните Ви за следните цели:

  • (i) Идентифициране на клиент при: сключване на нов или изменение на съществуващ договор с нас; разяснения и изпълнение на ползваните услуги; изпълнение на сключен договор.
  • (ii) Изготвяне на предложения за сключване на договори, изпращане на преддоговорна информация и проект на договор;
  • (iii) Данни получени от вас при изпълнение на задължения произтичащи от договори, сключени с Вас или представлявано от Вас дружество, упражняване на права и осигуряване изпълнението на договори от страна на нашите клиенти;
  • (iv) Обслужване и отговор на клиентски оплаквания/запитвания/жалби/рекламации;
  • (v) Поддръжка и отстраняване на повреди и всякакви проблеми по договори за поддръжка;
  • (vi) Плащане на задължения, разсрочване на дължими суми;
  • (vii) Одобряване и съгласуване на документи в институции - ДАГ, Кадастър, София Газ, ЧЕЗ, Соф. вода и др.
2. В изпълнение на свои законови задължения, „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД обработва данните Ви за следните цели:
  • (i) Издаване на фактури;
  • (ii) За извършване на данъчно – осигурителен контрол от съответните компетентни органи;
  • (iii) Задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство.
3. Обработването е необходимо за целите на легитимните интереси на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД.
  • (i) С цел охрана и осигуряване на защита на интересите на посетителите и служителите, „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД използва оборудване за видеонаблюдение, чрез което прави видеозапис при посещение в офис на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД.
V. Категории трети лица, които получават достъп и обработват личните Ви данни
  • (i) Транспортни/куриерски фирми, пощенски оператори с оглед изпълнение на договорните ни задължения, изпращане на кореспонденции и комуникации, във връзка с договора между нас;
  • (ii) Лица, които по възлагане на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД, поддържат оборудване и софтуер, използвани за обработване на личните Ви данни;
  • (iii) доставчици на услугата за събиране на дългове, нотариус, адвокат, съдебен изпълнител или друго трето лице, ако клиентът е нарушил задължението, произтичащо от договор с нас;
  • (iv) Банките, обслужващи плащанията, извършени от Вас;
  • (v) лица, на които „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД е предоставила изпълнението на част от дейностите или задълженията, свързани с конкретна услуга, която дължим към вас;
  • (vi) лица извършващи консултантски услуги в различни сфери – адвокати, счетоводители и др.;
  • (vii) органи, институции и лица, на които сме длъжни да предостави лични данни по силата на действащото законодателство;
  • (viii) Охранителни фирми, притежаващи лиценз за извършване на частна охранителна дейност, обработващи видеозаписите от обекти/офиси на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД и/или поддържащи други регистри в процеса на осигуряване на пропускателния режим в същите обекти;
VI. За какъв срок се съхраняват личните Ви данни?

Продължителността на съхранение на личните Ви данни зависи от целите на обработването, за които са събрани:

1. Личните данни, обработвани с цел сключване/изменение и изпълнение на договори между „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД и Вас или представлявано от Вас дружество - за срока на действие на договора и до окончателно уреждане на всички финансови отношения между страните. „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООДс може да съхранява някои от личните Ви данни и за по-дълъг срок до изтичане на съответната погасителна давност с цел защита при евентуални претенции на клиенти във връзка с изпълнение/прекратяване на договори с нас, както и за по-дълъг срок в случай на вече възникнал правен спор до окончателното му решаване с влязло в сила съдебно /арбитражно решение;

2. Личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно–осигурителния контрол, като но не само – фактури, дебитни, кредитни известия, приемо-предавателни протоколи, договори за предоставяне на услуги/стоки се съхраняват поне 11 години след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство не предвижда по – дълъг срок.

3. Видеозапис от охранителните камери – не повече от 30 дни от създаване на записа

VII. Вашите Права във връзка с обработването на Личните ви данни 1.Общи права

Във връзка с обработване на лични данни, имате следните права, които може да упражните Във всеки момент, докато съхраняваме или обработваме личните Ви данни, като изпратите заявление на адреса на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД , посочен по-горе, или по електронен път на имейл: gdpr@parkandspa.eu Имате право да поискате от „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД:

  • ● копие от Вашите лични данни и достъп по всяко време до тях;
  • ● да коригира без ненужно забавяне, неточните Ви лични данни, както и данните, които не са вече актуални;
  • ● личните си данни във вид удобен за прехвърляне на друг администратор на лични данни, или да поискате ние да го направим, без да бъдете възпрепятствани от наша страна (право на преносимост);
  • ● личните Ви данни да бъдат изтрити без ненужно забавяне при наличието на някое от законовите основания за това;
  • ● да ограничи обработването на личните Ви данни, като в този случай данните Ви ще бъдат само съхранявани, но не и обработвани. Отказът ни за ограничаване ще е изрично само в писмен вид, като сме длъжни да го мотивираме със законосъобразната причина; Имате право също:
  • ● да оттеглите Вашето съгласие за обработката на личните Ви данни по всяко време с отделно искане, отправено до „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД, при обработване основаващо се на дадено съгласие; ● да възразите срещу обработването на личните си данни;
  • ● да възразите срещу автоматизирана обработка, включително профилиране;
  • ● да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;
2. Имате право на жалба до надзорния орган

Имате право да подадете жалба направо до надзорния орган, като компетентният за това орган е Комисия за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 (www.cpdp.bg).

В случай, че желаете да подадете жалба относно обработката на личните ви данни от „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД, можете да го направите на посочените данни за контакт на Администратора (на посочените по-горе данни за контакт).

3. Автоматизирано вземане на решения

Администраторът не използва личните Ви данни за автоматизирано вземане на решения. В случай, че възнамеряваме да използваме личните Ви данни за автоматизирано вземане на решения, имате право да бъдете информирани и затова, както и да получите информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до Вас.

4. Възражение срещу използване за директен маркетинг

Имате право да възразите срещу обработването за в бъдеще на личните Ви данни за целите на директния маркетинг и реклама, както и срещу разкриването им на трети лица и използването им от тяхно име за целите на директния маркетинг и реклама, като оттеглите даденото от Вас съгласие по всяко време. За целта може да изпратите електронно съобщение със съответното искане за преустановяване на използване на данните ви за целите на директния маркетинг на адрес: gdpr@parkandspa.eu

5. Може ли да откажете предоставянето на лични данни на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД и какви са последиците от това?

За да сключим договор с Вас и да Ви предоставим заявените услуги в съответствие с законовите и в последствие договорните ни задължения, „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД се нуждае от определени данни, които да идентифицират страната по договора, нейния пълномощник, данни за контакт, данни за плащане на задълженията и други данни за изпълнение на услугите.

Непредоставянето на такива данни препятства възможността да сключим договор с Вас.

VIII. Как защитаваме данните Ви

„ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД прилага организационни, физически, информационно технологични и други необходими мерки, за да гарантира сигурността и защитата на личните Ви данни и мониторинга на обработването на лични данни.

Наред с други неща, такива мерки за сигурност включват следните дейности:

  • - „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД е установила изискванията за обработка, регистрация и съхранение на лични данни с вътрешните процедури, спазването на които се наблюдава постоянно;
  • - достъпът на служителите на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД до лични данни и разрешението за обработка на лични данни в базата данни на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД е ограничен, в зависимост от задълженията им;
  • - „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД е установила задължения за поверителност за своите служители;
  • - достъпът до офис оборудването на „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД и компютрите на всеки служител е ограничено.
  • - ние прилагаме всички необходими организационни и технически мерки, предвидени в Закона за защита на личните данни, както и най-добрите практики от международни стандарти
  • - С цел максимална сигурност при обработка, пренос и съхранение на Вашите данни, може да използваме допълнителни механизми за защита като криптиране, псевдонимизация и др.

Мерките за сигурност, които прилагаме, са обект на постоянно подобряване и адаптация към най-съвременните технологии.

IX. Връзка към други сайтове

Понякога Сайтът може да съдържа връзки/ препратки (хиперлинкове) към други сайтове. Ние не оперираме свързаните сайтове и не одобряваме съдържанието, услугите и продуктите на тези сайтове. Съветваме Ви да използвате свързаните сайтове внимателно и с нужното внимание към тяхното съдържание и условия за ползване. „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД не носи отговорност за политиката за поверителност или съдържанието на такива сайтове и Ви съветваме да прегледате техните политики за поверителност. Въпреки това, веднага щом „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД получи информация относно незаконни дейности или незаконна информация в такива Интернет страници, „ЕЛИСЕЕ ПАРАДАЙС ИНВЕСТМЪНТС” ООД ще предприеме незабавни мерки за премахване на електронните препратки (линкове) към тях.

Лични данни за деца

Не събираме съзнателно лична информация от деца на възраст под 16 години. Ако научим, че сме събрали лична информация на дете на възраст под 16 години, ще предприемем стъпки, за да изтрием информацията възможно найскоро или да получим съгласието на лицето, носеща родителска отговорност за детето.

Изменения на Политиката за поверителност

Възможно е периодично да актуализираме своята Политика за защита на личните данни. При промяна в настоящата политика, на уеб сайта ни ще бъде публикувано съобщение, както и актуализираната Политика за защита на личните данни. Всички изменения и допълнения в Политиката за поверителност ще бъдат прилагани само след публикуване на актуалното ѝ съдържание, достъпно чрез нашия Сайт.