Политика приватности GDPR-а

Као контролор података, Гранд Хотелс Менаџмент енд Маркетинг ЕООД има обавезу да вас обавести о томе шта можете очекивати приликом обраде ваших личних података.

Транспарентност у обради информација

I. Изјава о политици приватности

1. Овим документом, руководство компаније Grand Hotels Management and Marketing EOOD обезбеђује усклађеност са законодавством ЕУ и држава чланица у вези са обрадом личних података и заштитом „права и слобода“ појединаца чије личне податке Grand Hotels Management and Marketing EOOD прикупља и обрађује у складу са Општом уредбом о заштити података (Уредба (ЕУ) 2016/679).
2. У складу са Општом уредбом, остали релевантни документи, као и повезани процеси и процедуре, описани су у овој политици.
3. Ова политика се примењује на све активности обраде личних података, укључујући оне које се спроводе у вези са личним подацима купаца, запослених, добављача и партнера и свим другим личним подацима које организација Grand Hotels Management and Marketing EOOD обрађује из различитих извора.
4. Контролор ће водити регистар/регистаре активности обраде. У случајевима када је вођење регистра/регистра поверено службенику за заштиту података/служнику за заштиту података, он ће бити одговоран за уношење у овај/ове регистар/е свих промена у активностима Grand Hotels Management and Marketing EOOD, као и свих других додатних захтева, укључујући процене утицаја на заштиту података. Овај регистар ће бити доступан на захтев надзорног органа.
5. Ова политика се односи на све запослене/раднике (и заинтересоване стране) компаније Grand Hotels Management and Marketing EOOD, као и на обрађиваче и њихове запослене. Свако кршење Опште уредбе сматраће се кршењем радне дисциплине, а у случају претпоставке кривичног дела, ствар ће бити што пре достављена на разматрање надлежним државним органима.
6. Трећа лица која раде са или за Grand Hotels Management and Marketing EOOD, укључујући партнере, екстерне добављаче, клијенте итд., као и она која имају или могу имати приступ личним подацима администратора, дужна су да се упознају са овом политиком и да је се придржавају. Администратор је дужан да закључи уговор о поверљивости података са сваком трећом страном којој омогући приступ личним подацима које обрађује, који даје право Grand Hotels Management and Marketing EOOD да врши провере поштовања обавеза наметнутих уговором, осим ако обраду захтева право ЕУ или право државе чланице.

II. Обавезе и одговорности према Уредби (ЕУ) 2016/679

1. Гранд Хотелс Менаџмент енд Маркетинг ЕООД је контролор података у складу са Уредбом (ЕУ) 2016/679 и сноси сву одговорност и ризике могућег непоштовања захтева GDPR-а, укључујући и одговорност за развој и промоцију добрих пракси у области обраде личних података у Гранд Хотелс Менаџмент енд Маркетинг ЕООД.
2. Обрађивач личних података је свака особа ван организације контролора која директно обрађује личне податке у име контролора – чува, дигитализује, каталогизује итд. све информације.
3. Службеник за заштиту података, односно лице које, по опису посла или распореду, обавља послове везане за заштиту личних података (одговорно лице/служник за заштиту података), учествује на састанцима руководства администратора, на којима се разматрају питања из области заштите личних података, и саветује администратора о доказивању усклађености са законодавством о заштити података и добрим праксама.

Ово извештавање службеника за заштиту података укључује:

• развој и спровођење захтева УРЕДБЕ (ЕУ) 2016/679 како је то прописано овом политиком;
• безбедност и управљање ризицима у погледу усклађености са политикама.
• Службеника за заштиту података, који треба да буде одговарајући, квалификован и искусан, бира управљачки орган контролора (у зависности од његове структуре и правно-организационог облика). Службеник за заштиту података је дужан да саветује и обавештава контролора о примени GDPR-а и других аката домаћег и европског законодавства у области заштите личних података, у складу са својим уговорним обавезама и у складу са захтевима GDPR-а, укључујући праћење спровођења ове политике.
• Службеник за заштиту података такође има специфичне обавезе према GDPR-у – он/она је адресат свих захтева субјеката података у складу са Поступком за руковање захтевима субјеката података и контакт је особа за запослене код контролора који траже појашњење о било ком аспекту усклађености са заштитом података. Службеник за заштиту података је такође контакт особа пред надзорним органом.
• Усклађеност са законским прописима о заштити података је одговорност свих запослених код контролора који обрађују личне податке.
• Политика обуке компаније Grand Hotels Management and Marketing EOOD (Политика обуке) дефинише специфичне захтеве за обуку и подизање свести у вези са специфичним улогама запослених/радника компаније.
  
  

III. Принципи заштите података

Обрада личних података се врши у складу са принципима заштите података утврђеним у члану 5 Уредбе (ЕУ) 2016/679. Политике и процедуре компаније Grand Hotels Management and Marketing EOOD имају за циљ да обезбеде усклађеност са овим принципима.

1. Лични подаци морају бити обрађени законито, поштено и транспарентно

Законитост – идентификовати законитост пре обраде личних података. То су такозвани „основи за обраду“, на пример „сагласност“. Сагласност субјекта је један од основа за обраду личних података. То може бити и извршење уговора или легитимни интерес контролора, у којим случајевима сагласност није потребна.

Поштена обрада – да би обрада била поштена, контролор података мора да пружи одређене информације субјектима података, неопходне у сваком конкретном случају и за сваку конкретну сврху, на разумљив, сажет и приступачан начин за субјект података. Ово важи без обзира на то да ли се лични подаци добијају директно од субјеката података или из других извора.

Транспарентност – Уредба (ЕУ) 2016/679 поставља захтеве о томе које информације морају бити доступне субјектима података, што је обухваћено принципом „транспарентности“ регулисаним члановима 12 , 13 и 14 GDPR-а. Према цитираним одредбама GDPR-а, информације морају бити саопштене носиоцу података у разумљивом облику, користећи јасан и разумљив језик, тј. изјаве о приватности које потписују носиоци података морају бити детаљне и конкретне, разумљиве и приступачне. Правила за обавештавање лица на које се подаци односе од стране Гранд Хотелс Менаџмент енд Маркетинг ЕООД утврђена су у релевантној процедури транспарентности, а обавештавање се врши путем обавештења о поверљивом третману личних података.

Конкретне информације које компанија пружа субјекту података укључују најмање: податке који идентификују контролора и контакт податке контролора и контакте службеника за заштиту података, ако постоје; сврхе обраде за коју су лични подаци намењени, као и правни основ за обраду; период у коме ће се лични подаци чувати; постојање следећих права – захтевање приступа подацима, исправка, брисање (право на заборав), ограничавање обраде, као и право на приговор на услове (или недостатак истих) у вези са остваривањем ових права; категорије личних података; примаоце или категорије прималаца личних података, где је то применљиво; где је то применљиво, да ли контролор намерава да пренесе личне податке примаоцу у трећој земљи и ниво заштите података; све додатне информације неопходне за обезбеђивање праведне обраде.

• Лични подаци могу се прикупљати само у одређене, експлицитне и легитимне сврхе.

Подаци прикупљени у одређене сврхе не користе се у сврхе које се разликују од оних званично објављених као део Регистра активности обраде података ( члан 30 GDPR-а ) компаније Grand Hotels Management and Marketing EOOD. Поступак за транспарентност у обради личних података утврђује релевантна правила.

• Лични подаци које контролор прикупља морају бити ограничени на оно што је неопходно за релевантну сврху обраде (принцип минимизирања података који се могу обрађивати за одређеног субјекта)
• Лице одговорно за заштиту података осигурава да се прикупљају само оне информације које су строго неопходне за сврху обраде.
• Сви обрасци за прикупљање података (електронски или папирни), укључујући захтеве за прикупљање података у новим информационим системима, треба да садрже декларацију о поштеној обради или везу до Изјаве о приватности (обавештење о поверљивом третману личних података) и да их одобри одговорно лице, осим ако нису јавно објављени на веб-сајтовима компаније.
• Службеник за заштиту података има обавезу да врши периодичне провере најмање једном годишње како би се осигурало да су прикупљени подаци и даље адекватни, релевантни и да нису претерани.
• Лични подаци морају бити тачни и ажурни у сваком тренутку, и морају се уложити неопходни напори да се омогући њихово тренутно брисање или исправка (у оквиру могућих техничких решења).
• Подаци које чува контролор података морају се прегледати и ажурирати по потреби. Подаци не треба да се чувају ако је вероватно да су нетачни.
• Службеник за заштиту података/службеник за заштиту података мора да осигура да је целокупно особље обучено о важности прикупљања тачних података и њиховог одржавања.
• Такође је обавеза субјекта података да изјави да су подаци које он или она преноси на чување од стране Grand Hotels Management and Marketing Ltd. тачни и ажурни. Попуњавање обрасца од стране субјекта података намењеног контролору садржаће изјаву да су подаци садржани у њему тачни на дан подношења.
• Запослени, купци и сви остали су дужни да обавесте Grand Hotels Management and Marketing EOOD о свим променама околности како би се евиденција личних података могла ажурирати. Одговорност Grand Hotels Management and Marketing EOOD је да обезбеди да се свако обавештење о промени околности евидентира и да се предузму одговарајуће мере.
• Службеник за заштиту података/службеник за заштиту података обезбеђује да су на снази одговарајуће процедуре и политике за одржавање тачности и ажурности личних података, узимајући у обзир количину прикупљених података, брзину којом се могу мењати и друге релевантне факторе.
• Најмање једном годишње, службеник за заштиту података/служник за заштиту података ће прегледати периоде чувања свих личних података које обрађује Grand Hotels Management and Marketing EOOD, позивајући се на инвентар података, и идентификовати све податке који више нису потребни у контексту регистроване сврхе. Ови подаци се прописно уништавају у складу са процедурама и правилима контролора.
• Службеник за заштиту података/служник за заштиту података ће осигурати да се на захтеве за исправку података одговори у року од једног месеца. Овај рок се може продужити за додатна два месеца за сложене захтеве. Ако Grand Hotels Management and Marketing EOOD одлучи да не поступи по захтеву, службеник за заштиту података/служник за заштиту података ће одговорити лицу на које се подаци односе како би објаснио разлоге одбијања и обавестио га/је о његовом/њеном праву да поднесе жалбу надзорном органу и да тражи правну заштиту.
• Службеник за заштиту података/служник за заштиту података треба да обавести све треће стране којима су достављени нетачни или застарели лични подаци да су информације нетачне или застареле и да се не смеју користити за доношење одлука које се тичу носилаца података, као и да по потреби проследи сваку исправку личних података трећим лицима.

• Лични подаци морају бити сачувани у таквом облику да се лице на које се подаци односе може идентификовати само онолико дуго колико је то неопходно за обраду.
• Када се лични подаци чувају након датума обраде, они се чувају на одговарајући начин ( минифицирани, шифровани, псеудонимизовани ) како би се заштитио идентитет лица на које се подаци односе у случају кршења безбедности података.
• Лични подаци се чувају у складу са Поступком чувања и уништавања података и након истека периода чувања, морају се безбедно уништити како је наведено у овом поступку.
• Службеник за заштиту података/служник за заштиту података мора посебно одобрити свако чување података које прелази период чувања дефинисан у релевантној процедури и мора осигурати да је образложење јасно наведено и да је у складу са захтевима закона о заштити података. Ово одобрење мора бити у писаној форми.
• Лични подаци морају се обрађивати на начин који обезбеђује одговарајућу безбедност (чл. 24, чл. 32 GDPR-а)

Службеник за заштиту података ће спровести почетну процену утицаја, где је то потребно, узимајући у обзир све околности које се односе на операције обраде података компаније Grand Hotels Management and Marketing EOOD. У сваком конкретном случају повреде личних података, службеник за заштиту података, као одговорно лице у предузећу контролора, требало би да спроведе процену ризика и, тамо где се утврди висок ризик, да обавести надзорни орган и/или лице на које се подаци односе. Узимајући у обзир ризик у конкретном случају, службеник за заштиту података требало би да размотри обим потенцијалне штете или губитка који може бити проузрокован појединцима (нпр. особљу или купцима) уколико дође до повреде безбедности, сваку вероватну штету по углед контролора, укључујући сваки потенцијални губитак поверења купаца итд. Обезбеђивање безбедности личних података такође је повезано са предузимањем одговарајућих техничких мера, које службеник за заштиту података прати и које могу укључивати најмање:

• Заштита лозинком;
• Аутоматско закључавање неактивних радних станица на мрежи;
• Уклањање права приступа за УСБ и друге преносиве медије за складиштење података (може постојати изузетак ако је обезбеђено обавезно скенирање на вирусе и евидентирање преноса података);
• Антивирусни софтвер и заштитни зидови;
• Права приступа заснована на улогама, укључујући и права привременог особља
• Заштита уређаја који напуштају просторије организације, као што су лаптопови или други;
• Безбедност локалних и ширих мрежа;
• Технологије за побољшање приватности, као што су псеудонимизација и анонимизација;
• Идентификација одговарајућих међународних безбедносних стандарда погодних за Grand Hotels Management and Marketing Ltd.

Приликом процене одговарајућих организационих мера, службеник за заштиту података ће узети у обзир следеће:

• Нивои одговарајуће обуке у Grand Hotels Management and Marketing EOOD;
• Мере које узимају у обзир поузданост запослених (нпр. оцене учинка, препоруке итд.);
• Укључивање заштите података у уговоре о раду;
• Идентификација дисциплинских мера за прекршаје у вези са обрадом података;
• Редовна провера особља ради усклађености са релевантним безбедносним стандардима;
• Контрола физичког приступа електронским и папирним записима;
• Усвајање политике „чистог радног места“ – приликом напуштања радног места, сву радну документацију треба уклонити или чувати на одговарајућим и ограниченим местима – посебни ормари, закључане просторије, уништавање докумената који више нису потребни итд.;
• Чување папира за базу података у закључаним зидним ормарићима;
• Ограничавање употребе преносивих електронских уређаја ван радног места;
• Ограничавање коришћења личних уређаја запосленима на радном месту;
• Усвајање јасних правила за креирање и коришћење лозинки;
• Редовно креирање резервних копија личних података и физичко складиштење медија са копијама ван канцеларије;
• Наметање уговорних обавеза уговорним организацијама да предузму одговарајуће безбедносне мере приликом преноса података ван ЕУ.

Приликом процене одговарајућих мера, узимају се у обзир идентификовани ризици по личне податке, као и могућност штете за појединце чији се подаци обрађују.

• Усклађеност са принципом одговорности

Уредба (ЕУ) 2016/679 садржи одредбе које промовишу одговорност и управљивост и допуњују захтеве за транспарентност. Принцип одговорности у члану 5, став 2 захтева од контролора да докаже да се придржава осталих принципа GDPR-а и експлицитно наводи да је то његова одговорност.

Гранд Хотелс Менаџмент енд Маркетинг ЕООД демонстрира усклађеност са принципима заштите података применом политика заштите података, поштовањем кодекса понашања, спровођењем одговарајућих техничких и организационих мера, као и усвајањем техника заштите података у фази пројектовања и подразумеване заштите података, проценом утицаја на заштиту личних података, поступком обавештавања о кршењу личних података итд.

IV. Права носилаца података

1. Према GDPR-у, лице на које се подаци односе има следећа права у вези са обрадом својих личних података:
2. Да добије информације о личним подацима који се на њега/њу односе, а које обрађује контролор и сврси у коју се обрађују, укључујући добијање приступа подацима, као и информације о примаоцима тих података и трећим лицима којима се подаци преносе.
3. Да захтевају копију својих личних података од администратора;
4. Да захтева од администратора исправку личних података када су нетачни, као и када више нису ажурни;
5. Да захтевате од администратора брисање личних података (право на заборав);
6. Да захтева од администратора ограничење обраде личних података, у ком случају ће подаци бити само сачувани, али не и обрађени;
7. Да се ​​успротиви обради својих личних података;
8. Да се ​​успротиви обради личних података који се на њега/њу односе у сврхе директног маркетинга.
9. Да поднесе жалбу надзорном органу ако сматра да је прекршена било која од одредби GDPR-а;
10. Да захтевате и примате личне податке у структурираном, уобичајено коришћеном и машински читљивом формату;
11. Да у било ком тренутку повучете своју сагласност за обраду личних података посебним захтевом упућеним администратору;
12. Не смеју бити предмет аутоматизованих одлука које значајно утичу на њих, без могућности људске интервенције;
13. Да се ​​супротстави аутоматизованом профилисању које се врши без његовог/њеног пристанка;
14. Гранд Хотелс Менаџмент енд Маркетинг ЕООД пружа услове који гарантују остваривање ових права од стране субјекта података:
15. Субјекти података могу поднети захтеве за приступ подацима како је описано у релевантној процедури, која такође описује како ће Гранд Хотелс Менаџмент енд Маркетинг ЕООД осигурати да одговор на захтев субјекта података испуњава захтеве Опште уредбе.
16. Уколико су захтеви лица на које се подаци односе очигледно неосновани или претерани, посебно због њихове понављајуће природе, Grand Hotels Management and Marketing EOOD може или наплатити разумну накнаду, узимајући у обзир административне трошкове пружања информација, комуникације или предузимања тражене радње, или одбити да поступи по захтеву.
17. Субјекти података имају право да поднесу приговоре компанији FAIRPLAY INTERNATIONAL AD у вези са обрадом њихових личних података. Обрада захтева субјекта података и подношење приговора од стране субјекта података врши се у складу са правилима усвојеним у компанији. Надзорни орган у Бугарској је Комисија за заштиту личних података, адреса: Софија 1592, бул. „Проф. Цветан Лазаров“ 2 ( cpdp.bg ).

V. Сагласност

1. Под „сагласношћу“ Гранд Хотелс Менаџмент енд Маркетинг ЕООД подразумева сваку слободно дату, конкретну, информисану и недвосмислену изјаву о жељама лица на које се подаци односе, којом оно, изјавом или јасном потврдном радњом, означава сагласност са обрадом личних података који се на њега односе. Лице на које се подаци односе може повући своју сагласност у било ком тренутку. Сагласност лица на које се подаци односе је потребна кад год не постоји алтернативни правни основ за обраду.
2. Гранд Хотелс Менаџмент енд Маркетинг Лтд. подразумева „сагласност“ само у случајевима када је лице на које се подаци односе у потпуности обавештено о намераваној обради и изразило је своју сагласност, а без вршења притиска на њега/њу. Сагласност добијена под притиском или на основу обмањујућих информација неће бити валидан основ за обраду личних података.
3. Сагласност се не може закључити из недостатка одговора на комуникацију са лицем на које се подаци односе. Да би сагласност постојала, мора постојати активна комуникација између контролора и лица на које се подаци односе. Контролор је дужан да захтева и добије сагласност за активности обраде тамо где је за те активности потребна сагласност.
4. За посебне категорије података, мора се добити изричита писана сагласност у складу са Поступком за добијање сагласности за обраду личних података носилаца података, осим ако не постоји алтернативни законски основ за обраду.
5. Сагласност субјекта за обраду личних или посебних категорија података даје се – на основу релевантног документа о сагласности који субјект података доставља контролору за сваку конкретну сврху обраде. Када субјект потпише уговор, сагласност није потребна јер се његови подаци прикупљају по другом правном основу.
6. Када Grand Hotels Management and Marketing EOOD обрађује личне податке деце, добија дозволу од оних који врше родитељска права (родитеља, старатеља итд.). Овај захтев се односи на децу млађу од 16 година.

VI. Безбедност података

1. Запослени код администратора, који према опису послова имају обавезу да обрађују одређене личне податке у име администратора, дужни су да обезбеде безбедност обраде и чувања података од стране њих, укључујући и осигуравање да неће откривати податке трећим лицима, осим ако Grand Hotels Management and Marketing EOOD није овој трећој страни одобрио таква права приступа подацима.
2. Лични подаци или њихови делови треба да буду доступни само онима који имају обавезу да их обрађују/чувају, а приступ се може одобрити само у складу са утврђеним правилима контроле приступа. Сви лични подаци треба да се чувају, на пример:
3. у просторији са контролисаним приступом; и/или у закључаном ормару или ормару за документе; и/или
4. ако је компјутеризован, заштићен лозинком у складу са интерним захтевима наведеним у организационим и техничким мерама за контролу приступа информацијама (нпр. правила контроле приступа); и/или
5. чуване на преносивим рачунарским медијима који су заштићени у складу са организационим и техничким мерама за контролу приступа информацијама.
6. Да се ​​успостави организација која осигурава да екране и терминале рачунара не може да види било ко осим овлашћених запослених/радника компаније FAIRPLAY INTERNATIONAL AD. Сви запослени/радници су дужни да буду обучени и да прихвате релевантне уговорне клаузуле/декларацију о усклађености са организационим и техничким мерама приступа, као и правила за закључавање радних станица, пре него што им се одобри приступ информацијама било које врсте.
7. Папирни записи не треба остављати тамо где им могу приступити неовлашћена лица и не треба их уклањати из одређених канцеларијских просторија без изричите дозволе. Чим папирни документи више нису потребни за текући рад корисничке подршке, треба их уништити у складу са утврђеним процедурама/политикама и одговарајућим протоколима.
8. Лични подаци могу бити обрисани или уништени само у складу са утврђеном процедуром. Папирне евиденције за које је истекао рок чувања (архивирање) треба уситњавати и уништавати као „поверљиви отпад“. Подаци на чврстим дисковима сувишних персоналних рачунара треба да буду обрисани или дискови уништени, у складу са утврђеним политикама/процедурама.
9. Обрада личних података „ван локације“ представља потенцијално већи ризик од губитка, крађе или кршења безбедности личних података. Особље је посебно овлашћено за обраду података ван објеката контролора.

VII. Откривање података

1. Гранд Хотелс Менаџмент енд Маркетинг ЕООД мора да осигура да се лични подаци не откривају неовлашћеним трећим лицима, што укључује чланове породице, пријатеље, државне органе, чак и истражне стране, ако постоји основана сумња да то није потребно у складу са утврђеном процедуром. Сви запослени/радници морају бити опрезни када се од њих тражи да открију сачуване личне податке о другој особи трећем лицу. Важно је размотрити да ли је откривање информација повезано са потребама активности коју организација обавља. Неопходно је да запослени прођу посебну обуку и периодичне инструктаже како би се избегао ризик од таквог кршења.
2. Сви захтеви трећих лица за пружање података морају бити поткрепљени одговарајућом документацијом и сва таква откривања података морају бити координисана са службеником за заштиту података/служником за заштиту података, који мора дати изјаву.
3. Лични подаци биће достављени надлежним јавним органима у вршењу њихових службених овлашћења.

VIII. Чување и уништавање података

1. Гранд Хотелс Менаџмент енд Маркетинг ЕООД не чува личне податке у облику који омогућава идентификацију субјеката дуже него што је потребно у односу на сврхе за које су подаци прикупљени.
2. Гранд Хотелс Менаџмент енд Маркетинг ЕООД може чувати податке дуже време само ако се лични подаци обрађују у сврху архивирања, у сврху јавног интереса, научног или историјског истраживања и у статистичке сврхе, и само уз спровођење одговарајућих техничких и организационих мера за заштиту права и слобода лица на које се подаци односе.
3. Период чувања за сваку категорију личних података је наведен у Поступку за чување и уништавање података, као и критеријуми који се користе за одређивање овог периода, укључујући све законске обавезе које захтевају од Grand Hotels Management and Marketing EOOD да чува податке.
4. Поступак за чување и уништавање података, као и правила за уништавање информација на некоришћеним медијима за снимање, примењују се у свим случајевима.
5. Лични подаци морају бити уништени, у складу са принципом обезбеђивања одговарајућег нивоа безбедности ( члан 5, став 1 б. ф ) Опште уредбе) – укључујући заштиту од неовлашћене или незаконите обраде и од случајног губитка, уништења или оштећења, применом одговарајућих техничких или организационих мера („интегритет и поверљивост“);

IX. Пренос података

Сваки извоз података из ЕУ у земље ван ЕУ (које се у Општој уредби називају „треће земље“) је незаконит, осим ако не постоји „одговарајући ниво заштите основних права носилаца података“.

Пренос личних података ван ЕУ је забрањен осим ако се не примењује једна или више следећих заштитних мера или изузетака:

1. Одлука о адекватности

Европска комисија може проценити треће земље, територије и/или одређене секторе у трећим земљама како би проценила да ли постоји адекватан ниво заштите права и слобода физичких лица. У таквим случајевима није потребна никаква дозвола. Земље које су чланице Европског економског простора (ЕЕА), али нису чланице ЕУ, сматрају се да испуњавају услове за одлуку о адекватности.

• Обавезна правила компаније

Гранд Хотелс Менаџмент енд Маркетинг ЕООД може усвојити одобрена обавезујућа корпоративна правила за пренос података ван ЕУ, где је то применљиво. То захтева њихово достављање на одобрење надлежном надзорном органу.

• Стандардне уговорне клаузуле

Контролор може усвојити одобрене стандардне уговорне клаузуле за заштиту података приликом преноса података ван Европског економског простора. Уколико Grand Hotels Management and Marketing Ltd. усвоји стандардне уговорне клаузуле које је одобрио надлежни надзорни орган, долази до аутоматског признавања адекватности.

• Изузеци

У одсуству одлуке о адекватности, обавезујућих корпоративних правила и/или уговорних клаузула, пренос личних података у трећу земљу или међународну организацију врши се само под једним од следећих услова: лице на које се подаци односе је изричито пристало на предложени пренос након што је обавештено о могућим ризицима таквог преноса; пренос је неопходан за извршење уговора између лица на које се подаци односе и контролора или за извршење предуговорних мера предузетих на захтев лица на које се подаци односе; пренос је неопходан за закључење или извршење уговора закљученог у интересу лица на које се подаци односе између контролора и другог физичког или правног лица; пренос је неопходан из важних разлога јавног интереса; пренос је неопходан за успостављање, остваривање или одбрану правних захтева; пренос је неопходан за заштиту виталних интереса лица на које се подаци односе или других лица када је лице на које се подаци односе физички или правно неспособно да да сагласност; пренос се врши путем регистра који је, према праву ЕУ или државе чланице, намењен пружању информација јавности и доступан је за увид јавности у принципу или било којој особи која може доказати легитиман интерес за то, али само уколико су услови за увид утврђени у праву ЕУ или државе чланице испуњени у конкретном случају.

X. Регистар операција обраде података (инвентар података)

1. Гранд Хотелс Менаџмент енд Маркетинг ЕООД је успоставио процес инвентарисања података као део свог приступа решавању ризика и могућности у процесу усклађивања са политиком усклађености са Уредбом (ЕУ) 2016/679. Инвентар података у Гранд Хотелс Менаџмент енд Маркетинг ЕООД и ток рада са подацима идентификују:
2. пословни процеси који користе личне податке;
3. извори личних података;
4. број субјеката података;
5. опис категорија личних података и елемената сваке категорије;
6. активности обраде;
7. сврхе обраде за које су лични подаци намењени;
8. правни основ за обраду;
9. примаоци или категорије прималаца личних података;
10. главни системи и локације за складиштење;
11. сви лични подаци који су предмет преноса ван ЕУ;
12. периоде чувања и брисања.

• Гранд Хотелс Менаџмент енд Маркетинг ЕООД је свестан ризика повезаних са обрадом одређених врста личних података.
• Гранд Хотелс Менаџмент енд Маркетинг ЕООД процењује ниво ризика за појединце повезаног са обрадом њихових личних података. Када је то обавезно, процене утицаја на заштиту података се спроводе у вези са обрадом личних података од стране Гранд Хотелс Менаџмент енд Маркетинг ЕООД и у вези са обрадом коју спроводе друге организације у име Гранд Хотелс Менаџмент енд Маркетинг ЕООД.
• Гранд Хотелс Менаџмент енд Маркетинг ЕООД управља свим ризицима идентификованим проценом утицаја како би смањио вероватноћу непоштовања ових правила. Тамо где је вероватно да ће нека врста обраде резултирати високим ризиком по права и слободе физичких лица, посебно коришћењем нових технологија и узимајући у обзир природу, обим, контекст и сврхе обраде, Гранд Хотелс Менаџмент енд Маркетинг ЕООД ће такође спровести процену утицаја предвиђених операција обраде на заштиту личних података пре него што настави са обрадом. Општа процена утицаја може размотрити скуп сличних операција обраде које представљају сличне високе ризике.
• Када се, као резултат Процене утицаја, утврди да ће Гранд Хотелс Менаџмент енд Маркетинг ЕООД почети са обрадом личних података који, због високог ризика, могу проузроковати штету субјектима података, одлука о томе да ли ће се обрада наставити или не биће поднета на преиспитивање службенику за заштиту података/служнику за заштиту података.
• Ако службеник за заштиту података/служник за заштиту података има озбиљне забринутости било због потенцијалне штете или опасности или због количине дотичних података, требало би да се обрати надзорном органу.
• Службеник за заштиту података периодично прегледа почетно пописане податке, прегледа информације унете у „Регистар активности обраде“ у светлу било каквих промена у активностима Grand Hotels Management and Marketing EOOD.

ДОДАТНЕ ИНФОРМАЦИЈЕ О ПОЛИТИЦИ ЗАШТИТЕ ЛИЧНИХ ПОДАТАКА

1. Општа уредба о заштити података

Уредба (ЕУ) 2016/679 (Општа уредба о заштити података) замењује Директиву 95/46/ЕЗ о заштити података. Она има директно дејство и подразумева измену законодавства држава чланица у области заштите личних података. Њен циљ је да заштити „права и слободе“ физичких лица и да осигура да се лични подаци не обрађују без њиховог знања и, где је то могуће, уз њихов пристанак.

• Обим дефинисан Општом уредбом о заштити података

Материјални обим – ова уредба се примењује на обраду личних података у потпуности или делимично аутоматским средствима, као и на обраду личних података другим средствима који су део датотеке са личним подацима или који су намењени да чине део датотеке са личним подацима.

Територијални обим – правила Опште уредбе примењиваће се на све контролоре података са седиштем у ЕУ који обрађују личне податке појединаца у контексту својих активности. Такође ће се примењивати и на контролоре ван ЕУ који обрађују личне податке у сврху понуде робе и услуга или ако прате понашање носилаца података који бораве у ЕУ.

• Концепти

„Лични подаци“ – било која информација која се односи на идентификовано или идентификовано физичко лице („субјект података“); идентификовано физичко лице је оно које се може идентификовати, директно или индиректно, посебно позивањем на идентификатор као што је име, идентификациони број, подаци о локацији, онлајн идентификатор или на један или више фактора специфичних за физички, физиолошки, генетски, ментални, економски, културни или друштвени идентитет тог физичког лица;

„Посебне категорије личних података“ – лични подаци који откривају расно или етничко порекло, политичка мишљења, верска или филозофска уверења или чланство у синдикату и обрада генетских података, биометријски подаци за јединствену идентификацију физичког лица, подаци који се тичу здравља или подаци који се тичу сексуалног живота или сексуалне оријентације физичког лица.

„Обрада “ – значи свака операција или скуп операција које се врше на личним подацима или на скуповима личних података, било аутоматским средствима или не, као што су прикупљање, снимање, организовање, структурирање, складиштење, прилагођавање или измена, претраживање, консултација, коришћење, откривање преносом, дистрибуцијом или на други начин стављањем на располагање, усклађивање или комбиновање, ограничавање, брисање или уништавање;

„Контролер“ – свако физичко или правно лице, јавни орган, агенција или друго тело које, самостално или заједно са другима, одређује сврхе и средства обраде личних података; тамо где су сврхе и средства такве обраде одређени правом ЕУ или правом државе чланице, контролор или специфични критеријуми за његово одређивање могу бити утврђени правом Уније или правом државе чланице;

„Субјект података“ – свако живо физичко лице које је субјект личних података које чува Администратор.

„Сагласност лица на које се подаци односе“ – свака слободно дата, конкретна, информисана и недвосмислена изјава о жељама лица на које се подаци односе, изјавом или јасном потврдном радњом, која означава сагласност са обрадом личних података који се на њега односе;

„Дете“ – Општа уредба дефинише дете као сваку особу млађу од 16 година, а према националном закону, сваку особу млађу од 18 година. Обрада личних података детета је законита само ако је родитељ, старатељ или старатељ дао сагласност. Контролор ће уложити разумне напоре да у таквим случајевима провери да ли је носилац родитељске одговорности за дете дао или је овлашћен да да сагласност.

Контакт са администратором личних података:

Веб-сајт: www.pulsetherme.bg

Имејл:

Телефон: 02 8199 221