ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ
I. Въведение
1.1 Целта на тази Политика за поверителност е да се представят правилата за обработка на лични данни в Юзит Калърс България ООД.
1.2 Тези правила са съставени съгласно Регламент (ЕС) 2016/679 (Общ регламент за защита на данните или ОРЗД) и Закона за защита на личните данни.
1.3 В настоящата политика е представена информация относно целите на обработване, начина и срока на съхранение на личните данни, възможностите за актуализиране и изтриване на тези дани, както и условията и изискванията при предоставянето им на трети лица.
1.4 Настоящата политика влиза в сила от 1 май 2018 г. и може да бъде променяна и актуализирана във връзка с евентуални промени в българското и европейско законодателство.
II. Дефиниции
Юзит Калърс България ООД е регистрирано съгласно законите на Република България, със седалище и адрес на управление гр. София, бул. Васил Левски 35, ЕИК 130881129, наричано по-долу за краткост „Юзит Калърс“.
Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Чувствителни лични данни са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, както и генетични данни, биометрични данни (когато се обработват единствено за целите на идентифицирането на физическо лице), данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на субекта на данните;
Обработка на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Трето лице означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
III. Принципи при обработването на лични данни
3.1 Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.
3.2 Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.
3.3 Тези лични данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
3.4 Личните данни са точни и при необходимост се поддържат в актуален вид.
3.5 Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.
3.6 Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
IV. Цел на обработването на лични данни
Юзит Калърс обработва лични данни във връзка със спазването на законово задължение, или във връзка с изпълнението на договор, по който субектът на данните е страна или бенефициент, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор, или във връзка с изрично съгласие за обработване на личните му данни за една или повече конкретни цели.
Юзит Калърс обработва лични данни за следните конкретни цели:
4.1 Изпълнение на услуга, заявена от клиент/пътуващо лице
Пътуващото лице заявява желанието си да ползва туристически услуги от Юзит Калърс или да участва в международна обменна програма със съдействието на Юзит Калърс. Предоставянето на Услугата може да бъде извършено само, ако пътуващото лице съобщи на Юзит Калърс необходимите лични данни, в противен случай с него не може да бъде сключен договор, не може да бъде потребител на каквато и да е услуга и няма възможност да получи преддоговорна информация за услуги. Личните данни се използват само за извършване на заявената услуга, както следва:
• сключване на договор за туристически пакет, круиз, резервация на хотел, трансфер и друг наземен транспорт, визови и други туристически услуги;
• резервация и издаване на самолетни билети;
• издаване на медицинска застраховка за пътуване в чужбина и анулиране на пътуване;
• участие в международна обменна програма, договор за съдействие за подаване на американска данъчна декларация;
• издаване на международна студентска/младежка/преподавателска идентификационна карта;
• сключване на договор за организация на мероприятия, срещи, тиймбилдинги и др.
4.2 Mаркетинг, директен маркетинг
Юзит Калърс изпраща персонални съобщения с предложения за предлаганите услуги, само при наличието на доброволно и изрично съгласие от субекта на данни за получаване на такива съобщения. Те се изпращат при предварително предоставено уведомление и включват информация за промоции и отстъпки на услуги, както и кампании на бизнес партньори на Юзит Калърс.
V. Обхват на обработваните лични данни
Обхватът на обработваните лични данни винаги се определя така, че да бъде подходящ, свързан със и ограничен до необходимото във връзка с целите, за които се обработват данните. Във връзка с изпълнение на своята дейност Юзит Калърс типично събира някои от следните лични данни: имена, дата на раждане, ЕГН; данни от паспорт/лична карта: номер, дата на издаване и валидност, издател; гражданство; адрес; телефон, e-mail; образование; други лични данни, изисквани за избраната услуга. За някои специфични услуги е възможно обработването на специални лични данни, като информация за здравословно състояние и др.
VI. Получатели на лични данни
Юзит Калърс предоставя лични данни на трети лица само доколкото е необходимо за изпълнение на договори и резервации на туристически услуги, участия в обменни програми и във връзка с трудовото законодателство. Не се предоставят лични данни на лица, които нямат отношение към целта, одобрена от конкретния субект на данни, както следва:
• авиокомпании, резервационни системи за самолетни билети;
• хотели, резервационни системи за хотели;
• круизни компании, резервационни системи за круизи;
• туроператори;
• застрахователни и асистанс компании;
• компании за трансфери, rent-a-car, влакови и автобусни билети;
• тиймбилдинг компании;
• издатели на международни идентификационни карти;
• консулски служби;
• спонсориращи организации на международни обменни програми;
• американски данъчни служби;
• НАП, НОИ, Инспекция по труда, други държавни институции по силата на законово задължение;
• служба по трудова медицина, банкова институция за изплащане на възнаграждения;
• КЗП, адвокатска кантора за представляване по проверки и спорове.
В рамките на организацията достъп до личните данни на даден субект имат само служители, чиито непосредствени задължения са свързани с предоставянето на избраната от субекта услуга, с изпращането на персонални съобщения с предложения за предлаганите услуги или с управлението на човешките ресурси.
Във връзка със специфичния характер на предлаганите от Юзит Калърс услуги, а именно посреднически, турагентски и туроператорски, в процеса и в интерес на фактическото предоставяне на заявената услуга, се извършва предаване на лични данни на трети лица.
Предаването на лични данни в други държави членки на Европейския съюз или към агенции, служби и органи на Европейския съюз, се извършва при същите условия, които се прилагат при подобно предаване в рамките на Република България.
Лични данни се предават на трета държава или международна организация, само ако съгласно решение на Европейската комисия третата държава или международна организация осигуряват адекватно ниво на защита на личните данни или данните се предават, само са предвидени подходящи гаранции съгласно чл. 46 и сл. от ОРЗД и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита.
VII. Време за обработка и съхранение
Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. За всяка цел времето за съхранение е:
7.1 Изпълнение на услуга, заявена от клиент/пътуващо лице
За тази цел личните данни ще бъдат обработвани и съхранявани както следва:
• за сключване на договор за туристически пакет, круиз, резервация на хотел, трансфер и друг наземен транспорт, визови и други туристически услуги – 2 години от датата на приключване на услугата;
• за резервация и издаване на самолетни билети – 5 години от датата на приключване на услугата;
• за издаване на медицинска застраховка за пътуване в чужбина и анулиране на пътуване – 2 години от датата на приключване на услугата;
• за участие в международна обменна програма, договор за съдействие за подаване на американска данъчна декларация – 3 години от датата на приключване на услугата;
• за издаване на международна студентска/младежка/преподавателска идентификационна карта – в рамките на валидността на картата;
• за сключване на договор за организация на мероприятия, срещи, тиймбилдинги и др. – 2 години от датата на приключване на услугата;
• за счетоводни цели – 5 години от датата на приключване на финансовата година.
По всяко време в рамките на тези срокове субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
7.2 Mаркетинг, директен маркетинг
Юзит Калърс изпраща персонални съобщения с предложения за предлаганите услуги, само при наличието на доброволно и изрично съгласие от субекта на данни за получаване на такива съобщения. За тази цел личните данни ще бъдат обработвани и съхранявани до оттегляне на съгласието.
Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.
VIII. Права на субектите на лични данни
8.1 Право на достъп на субекта до личните му данни
Всеки субект има право да получи от Юзит Калърс информация за това дали обработва лични данни, свързани със същия субект, и ако това е така, да му се предостави достъп до самите данни, както и до информация за:
• категориите лични данни, които се обработват;
• целите на обработването;
• получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
• когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
• съществуването на право да бъде изискано коригиране или изтриване на лични данни или ограничаване на обработването на лични данни на субекта, или да се направи възражение срещу такова обработване;
• правото на жалба до надзорен орган;
• когато личните данни не се събират директно от субекта, всякаква налична информация за техния източник;
• съществуването на автоматизирано вземане на решения, включително профилиране, както и допълнителна информация за това в предвидените от закона случаи.
8.2 Право на коригиране
Ако субектът смята, че личните данни, които Юзит Калърс обработва за него, са неточни, има право да поиска коригиране без ненужно забавяне неточните лични данни. Когато обработваните лични данни са непълни, има право да иска допълването им, като се имат предвид целите на обработването.
8.3 Право на оттегляне на съгласие
Когато се обработват лични данни въз основа на предоставено съгласие, субектът може по всяко време да оттегли предоставеното съгласие. След оттеглянето на съгласието Юзит Калърс преустановява дейностите по обработка на личните данни на субекта, обработвани въз основа на съгласието, като оттеглянето на съгласието няма да засяга законосъобразността на обработването въз основа на съгласие преди то да бъде оттеглено. Независимо от това, възможно е Юзит Калърс да продължи обработката на същите лични данни, доколкото е налице друго основание (различно от съгласие) за обработването на данните и/или е налице някое от изключенията по т. 8.5 (напр. данните са необходими, за да бъде предоставена услуга, която е закупена от Юзит Калърс).
8.4 Право на възражение срещу обработването
Субектът има право да възрази срещу обработката на негови лични данни в случаите, в които са обработвани въз основа на обществен интерес или въз основа на легитимни интереси на Юзит Калърс, когато сметне, че в конкретния случай това обработване е несъвместимо със защитата на интересите, правата и свободите на субекта. В такива случаи, ако Юзит Калърс не може да докаже, че съществуват убедителни легитимни основания за обработването, които имат предимство пред интересите, правата и свободите на субекта, или че обработването е необходимо за установяването, упражняването или защитата на правни претенции, ще бъде прекратено обработването на тези лични данни. Когато се обработват лични данни за целите на директния маркетинг, субектът може да възрази срещу тази обработка на данни, в който случай Юзит Калърс незабавно ще я преустанови.
8.5 Право на изтриване на лични данни
Общо правило. Субектът има правото да поискате от Юзит Калърс изтриване на неговите лични данни без ненужно забавяне, а Юзит Калърс е длъжен да изтрие без ненужно забавяне тези лични данни, когато е приложимо някое от посочените по-долу основания:
• личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• съгласието си за обработване на данните е оттеглено, в случаите когато данните са били обработвани въз основа на съгласие, и няма друго правно основание за обработването;
• субектът е възразил срещу обработването съгласно т. 8.4 по-горе и Юзит Калърс няма легитимни основания за обработването, които да имат преимущество пред интересите, правата и свободите на субекта;
• личните данни са били обработвани незаконосъобразно;
• личните данни трябва да бъдат изтрити с цел спазването на законово задължение.
Изключения от правилото. Правото на субекта да иска изтриване на личните си данни не се прилага, съответно Юзит Калърс няма задължение да изтрие данните, ако обработването на личните данни е необходимо:
• за упражняване на правото на свобода на изразяването и правото на информация;
• за спазване на законово задължение, което изисква обработване, или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Юзит Калърс;
• по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3 от Общия регламент относно защитата на данните;
• за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1 от Общия регламент относно защитата на данните, доколкото съществува вероятност изтриването на данните да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;
• за установяването, упражняването или защитата на правни претенции.
8.6 Право на ограничаване на обработването
В посочените по-долу случаи субектът има право да поиска от Юзит Калърс временно да бъде спряна всяка друга обработка на личните му данни с изключение на тяхното съхранение:
• когато се оспорва точността на личните данни – за срок, който позволява на Юзит Калърс да провери точността на личните данни;
• когато обработването е неправомерно, но субектът не желае личните му данни да бъдат изтрити, а иска вместо това ограничаване на използването им;
• когато Юзит Калърс не се нуждае повече от личните данни за целите на обработването, но субектът ги изисква за установяването, упражняването или защитата на правни претенции;
• когато субектът е възразил срещу обработването съгласно т. 8.4 в очакване на проверка дали легитимните основания за обработка на Юзит Клърс имат преимущество пред интересите на субекта.
В изброените случаи Юзит Калърс може да извършва обработване на съответните лични данни, различно от тяхното съхранение, единствено със съгласието на субекта или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Република България или за Европейския съюз.
8.7 Право на преносимост на данните
Субектът има право да получи личните данни, които го засягат и които е предоставил, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от страна на Юзит Калърс, когато:
• Юзит Калърс обработва данните въз основа на съгласие или когато обработката на данните е необходима за изпълнението на задължение по договор между субекта и Юзит Калърс; и
• обработването се извършва по автоматизиран начин.
За целите на упражняването на правото си на преносимост на данните, субектът има право да получи пряко прехвърляне на личните си данни от Юзит Калърс към друг администратор, само доколкото това е технически осъществимо.
8.8 Правото на жалба до надзорен орган
Ако субектът смята, че Юзит Калърс обработва личните му данни в нарушение на разпоредбите на приложимото законодателство, включително, но не само, Общия регламент относно защитата на данните и Законна за защита на личните данни, субектът има право да подаде жалба до надзорния орган в държавата членка на Европейския съюз на обичайното си местопребиваване, място на работа или място на предполагаемото нарушение.
В Република България компетентният надзорен орган е Комисията за защита на личните данни.
IX. Мерки за сигурност
Юзит Калърс предприема технически и организационни мерки за сигурност с цел защита на администрираните данни срещу неразрешено и незаконно обработване, случайна загуба, унищожаване или увреждане на лични данни, каквито може да се изискват, като се има предвид състоянието на техническо развитие, обичайната практика и законовите изисквания.
• Използване на защитени уебсайтове, криптиране, маскиране;
• Извършване не прегледи на практиките за събиране, съхранение и обработка на лични данни, включително на физическите мерки за сигурност, с цел предотвратяването на неразрешен достъп до системите, които се използват;
• Достъп до личните данни в рамките на организацията имат само лица, чиито трудови функции изискват достъп до данните с оглед осъществяването на дейностите, за които данните са били събрани и се обработват;
• Включване на договорни клаузи за поверителност във всички договори със служителите и третите лица, на които се възлага обработване на лични данни;
• Възлагане обработката на лични данни само на такива организации, които се придържат към най-високите стандарти за информационна сигурност и сигурност на личните данни, демонстрирана както чрез наличието на съответни сертификации, така и чрез възможността за извършване на регулярни одити за съответствие.
X. Политика за "бисквитките" (cookies)
Юзит Калърс използва онлайн идентификационни технологии - като бисквитки, уеб маяци или пиксели - в уеб сайтовете си. "Бисквитките" са малки текстови файлове, поставени на твърдия диск на потребителя, които помагат при предоставянето на персонализирано съдържание и улесняват навигацията в сайтовете на компанията: www.usitcolours.bg, www.crusit.bg, www.gotousa.bg, www.usitplus.bg.
Юзит Калърс събира информация за посещенията на страници и навигацията, за да определи кои туристически услуги са от най-голям интерес и дали потребителите могат лесно да намерят съдържание.
Юзит Калърс може да използваа онлайн идентификационните технологии от маркетингови партньори, сайтове на трети лица и социални медийни платформи. Тези технологии дават възможност да се измери ефикасността на маркетинговите и осведомителни кампании.
Използването на бисквитки става само с изричното съгласие на посетителя на сайта, като е предоставена възможност да бъдат избрани само част от тях или всички да бъдат отказани. Възможно е контролиране и управляване на "бисквитките" чрез браузъра на потребителя или посредством страницата за управление на бисквитки на съответния сайт. Следва да се има предвид, че премахването или блокирането на "бисквитките" може да повлияе на практическата работа на сайта, а някои функции вече няма да са налице.
Подробна информация за Политиката за бисквитки можете да намерите тук.
XI. Данни за контакт
„Юзит Калърс България“ ООД
гр. София 1000, бул. „Васил Левски“ № 35
тел.: 0700 15 115
e-mail: office@usitcolours.bg
За контакт с длъжностното лице по защита на личните данни:
гр. София 1000, бул. „Васил Левски“ № 35
тел.: 0876 11 56 11
e-mail: dpo@usitcolours.bg
Компетентен надзорен орган: Комисията за защита на личните данни
https://www.cpdp.bg/
Заявления могат да се подават към Юзит Калърс до пощенския адрес или имейл адреса на длъжностното лице по защита на данните, посочени по-горе. Когато заявлението се подава по електронен път, същото трябва да бъде подписано с квалифициран електронен подпис. Ще отговорим на заявлението Ви във възможно най-кратък срок, който във всички случаи няма да надвишава един месец.
Следва да се има предвид, че няма възможност да бъде изпълнено дадено искане, ако Юзит Калърс не може да се увери, че искането действително изхожда от субекта на данните (възможно е, например, да не можем да се уверим от заявление, отправено по пощата, че субектът е действителният изпращач на съобщението). Затова, в определени случаи е възможно да бъде отправена молба заявлението да бъде представено в наш офис (за да можем да бъде осъществено идентифицирането).