POLITYKA PRYWATNOŚCI

I. Wprowadzenie i prezentacja

1) Zgodnie z art. 4, ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Administratorem danych osobowych jest ЕВРОПЕЙСКИ ЦЕНТЪР НЕЙРОГРАФИКА ЕООД. Zgodnie z art. 4 ust. 8 Rozporządzenia ЕВРОПЕЙСКИ ЦЕНТЪР НЕЙРОГРАФИКА ЕООД jest podmiotem przetwarzającym dane osobowe

II. Podstawowe informacje o FIRMIE

2) Nazwa firmy: ЕВРОПЕЙСКИ ЦЕНТЪР НЕЙРОГРАФИКА ЕООД

3) Siedziba i adres zarządu: miasto Sofia, p.k. 1000, dzielnica “Vazrazhdane”, ul. “Lavele”, blok 31B, wejście B, fl. 4, lok. 24

4) EIK: 206663125

5) Telefon: 0887625818

6) E-mail: neurograffbg@gmail.com

7) Strona internetowa: https://neurograff-bg.com

III. Cel polityki ochrony danych osobowych

Celem niniejszej polityki jest przedstawienie stanowiska kierownictwa ЕВРОПЕЙСКИ ЦЕНТЪР НЕЙРОГРАФИКА ЕООД, zwanego dalej w skrócie Administratorem, w sprawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (zwanego dalej zwane w skrócie Regulaminem). Poprzez tę politykę kierownictwo zapewnia, że ​​działania Administratora mają na celu przestrzeganie wymogów Rozporządzenia oraz Ustawy o ochronie danych osobowych.

Polityka ochrony danych wyznacza ramy, w jakich firma będzie działać zgodnie z wymogami i dobrymi praktykami.

IV. Zakres ochrony danych osobowych

Niniejsza polityka ochrony danych osobowych określa działalność Administratora oraz spółek zależnych i ich pracowników. „Zależny” w niniejszej polityce oznacza, że ​​Administrator może wymusić akceptację niniejszej polityki ochrony danych bezpośrednio lub pośrednio na podstawie umowy lub porozumienia. Polityka ochrony danych obejmuje całość przetwarzania danych osobowych.

V. Definicje

Zgodnie z Rozporządzeniem (art. 4) w niniejszej Polityce stosowane są następujące definicje:

1) „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

2) „osoba, której dane dotyczą” to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, adres zamieszkania, identyfikator internetowy lub na podstawie jednej bądź kilku charakterystyk, określających tożsamość fizyczną, fizjologiczną , genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną osoby fizycznej;

3) „przetwarzanie” oznacza operację lub zestaw operacji dokonywanych na danych osobowych lub zestawie danych osobowych w sposób automatyczny lub w inny sposób, takie jak gromadzenie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub udostępnianie danych w inny sposób, porządkowanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

4) „rejestr danych osobowych” oznacza każdy ustrukturyzowany zbiór danych osobowych, do którego dostęp odbywa się według określonych kryteriów, niezależnie od tego, czy jest on scentralizowany, zdecentralizowany czy rozproszony według zasady funkcjonalnej lub geograficznej;

5) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inną strukturę, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

6) „przetwarzający dane osobowe” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inną strukturę, która przetwarza dane osobowe w imieniu administratora;

7) „zgoda osoby, której dane dotyczą” oznacza dobrowolnie wyrażone, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą, w drodze oświadczenia lub wyraźnego działania potwierdzającego, które wyraża zgodę na przetwarzanie danych osobowych jej dotyczących;

8) „naruszenie bezpieczeństwa danych osobowych” oznacza naruszenie bezpieczeństwa, którego skutkiem jest przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.”

VI. Zasady przetwarzania danych osobowych (zgodnie z art. 5 Rozporządzenia)

1. Ograniczenie do określonego celu

1.1 Dane osobowe mogą być przetwarzane wyłącznie w celu, który został określony przed ich zebraniem. Późniejsze zmiany celu są możliwe jedynie w ograniczonych przypadkach i wymagają uzasadnienia.

1.2 Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do badań naukowych lub historycznych albo do celów statystycznych nie będzie uważane za niezgodne z pierwotnymi celami zgodnie z art. 89 ust. 1.

2. Legalność, dobra wiara i przejrzystość

2.1 Dane osobowe są przetwarzane zgodnie z prawem, w dobrej wierze i przejrzyście.

2.1.1 Zgodne z prawem – posiadające określoną podstawę prawną/podstawy prawne.

2.1.2 W dobrej wierze – Administrator przekazuje niezbędne informacje osobom, których dane dotyczą, o ile jest to praktycznie możliwe. Obowiązuje to niezależnie od tego, czy dane osobowe zostaną otrzymane bezpośrednio przez osoby, których dane dotyczą, lub z innych źródeł.

2.1.3 Przejrzystość – Administrator może w każdej chwili przekazać zwięzłe, konkretne i zrozumiałe informacje w przystępny sposób.

3. Minimalizacja danych;

3.1 Dane osobowe, które organizacja przetwarza, są adekwatne, istotne, ograniczone do tego, co niezbędne do ich przetwarzania w związku z właściwym celem ze względu na zachowanie zasady niezbędnego minimum.

3.2 Kierownictwo zapewni coroczny przegląd wszystkich metod gromadzenia danych w celu zapewnienia, że ​​gromadzone dane są w dalszym ciągu adekwatne, istotne i nie nadmierne.

4. Dokładność

Dane osobowe muszą być zawsze dokładne i aktualne oraz dołożono wszelkich starań, aby umożliwić ich niezwłoczne (w ramach możliwych rozwiązań technicznych) usunięcie lub poprawienie.

5. Ograniczenia przechowywania

Administrator nie zezwala na wcześniejsze zbieranie danych osobowych i ich przechowywanie dla ewentualnych przyszłych celów. Administrator przechowuje przetwarzane dane osobowe w terminach przewidzianych przepisami prawa danego kraju.

6. Integralność i poufność danych

6.1 Dane osobowe przetwarzane są w sposób zapewniający odpowiedni stopień bezpieczeństwa, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i/lub organizacyjnych;

6.2 Dane osobowe traktowane są jako informacje poufne i zapewnione są odpowiednie środki organizacyjne i techniczne w celu ich ochrony, aby zapobiec ich udostępnieniu osobom nieupoważnionym, nielegalnemu przetwarzaniu lub rozpowszechnianiu, a także przypadkowej utracie, zmianie lub zniszczeniu.

7. Odpowiedzialność

Administrator wykaże przestrzeganie zasad ochrony danych poprzez wdrożenie polityk ochrony danych, a tam gdzie ma to zastosowanie – poprzez przestrzeganie kodeksów postępowania, wdrożenie odpowiednich środków technicznych i organizacyjnych, przyjęcie technik ochrony danych na etapie projektowania i domyślnej ochrony danych, ocenę wpływu na prywatność , procedury powiadamiania o naruszeniu ochrony danych osobowych itp.

VII. Kategorie osób, których dane dotyczą

Administrator w swojej działalności gospodarczej wchodzi w interakcję z następującymi kategoriami osób, których dane dotyczą:

1. Przedstawiciele osób prawnych, których dane są publicznie dostępne w rejestrach Agencji Rejestracyjnej.

2. Osoby fizyczne – użytkownicy usług Administratora lub potencjalni użytkownicy.

3. Osoby zatrudnione na podstawie umów o pracę/cywilnych na rzecz Administratora lub znajdujące się w innych stosunkach umownych.

VIII. Kategorie danych osobowych

1. Dane osobowe, w tym. wrażliwe, które są przetwarzane przez Administratora

1.1 Imiona i nazwiska, data i miejsce urodzenia, numer PESEL, inny numer identyfikacyjny, wiek, płeć.

1.2 Adres, numer telefonu, dane z dokumentu tożsamości.

1.3 Zdjęcie, szkolenia i kwalifikacje, informacje o zatrudnieniu.

1.4 Stan cywilny, dzieci.

1.5 Stan zdrowia.

1.6 Informacje finansowe (dane bankowe, numer karty bankowej, imię i nazwisko posiadacza karty).

1.7 Identyfikator internetowy (identyfikator IP, pliki cookie, adres MAC itp.).

2. Dane osobowe, w tym. wrażliwe, które NIE są przetwarzane przez administratora to:

2.1 Elektroniczne dane lokalizacyjne (lokalizacja GSM, GPS itp.);

2.2 Informacje rasowe i etniczne;

2.3 Zdrowie psychiczne;

2.4 Przekonania polityczne;

2.5 Przekonania religijne lub podobne;

2.6 Członkostwo w stowarzyszeniach branżowych lub innych, stowarzyszeniach itp.;

2.7 Życie seksualne;

IX. Podstawa prawna

1. Zgoda (od klienta, partnera, dostawcy, pracownika itp.):

1.1 Administrator przechowuje informację o danych zebranych na podstawie zgody podmiotu.

1.2 Administrator przechowuje dokumentację (w formie papierowej lub elektronicznej) wyrażonej zgody w celu dowodu przed właściwymi organami.

1.3 Administrator zapewnia możliwość cofnięcia wyrażonej zgody w dowolnym momencie w etn sam sposób, w jak została wyrażona.

2. Zawarcie lub wykonanie umowy, w tym. umowy o pracę i umowy cywilne.

3. Obowiązek prawny lub uzasadniony interes.

Rodzaj i zakres przetwarzania danych w przypadku istnienia podstawy prawnej musi być obiektywnie niezbędny.

Dane osobowe mogą być przetwarzane, jeśli istnieje prawnie uzasadniony interes firmy.

X. Cele przetwarzania danych

1. O stosunkach pracy/cywilnych – przy zawieraniu umów o pracę i cywilnych;

2. Dla celów sprawozdawczości księgowej;

3. Do działań handlowych i marketingowych;

4. Zgodnie ze stosunkami umownymi z kontrahentami.

XI. Prawa osób, których dane dotyczą

1. Administrator zapewnia praktyczną możliwość realizacji praw, które Rozporządzenie 2016/679 przyznaje osobom, których dane dotyczą:

1.1 prawo dostępu do przetwarzanych przez Administratora danych osobowych;

1.2 prawo do poprawiania lub uzupełniania nieprawidłowych lub niekompletnych informacji;

1.3 prawo do usunięcia („do bycia zapomnianym”) danych osobowych przetwarzanych niezgodnie z prawem lub z utraconą podstawą prawną (upłynął okres przechowywania, wycofana zgoda, zrealizowany pierwotny cel, dla którego zostały zebrane itp.);

1.4 prawo do ograniczenia przetwarzania – w przypadku sporu prawnego pomiędzy Administratorem a osobą, której dane dotyczą, do czasu jego rozstrzygnięcia i/lub w celu ustalenia, dochodzenia lub obrony roszczeń;

1.5 prawo do przenoszenia danych – jeżeli przetwarzane są w sposób zautomatyzowany na podstawie zgody lub umowy. W tym celu dane są przesyłane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu;

1.6 prawo do wniesienia sprzeciwu – w dowolnym momencie i z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą, pod warunkiem, że nie istnieją istotne podstawy prawne przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub procesu prawnego;

1.7 prawo do tego, aby nie podlegać w pełni zautomatyzowanej decyzji polegającej na profilowaniu, która rodzi skutki prawne dla osoby, której dane dotyczą, lub wpływa na nią w istotnym zakresie;

1.8 prawo odwołania do organu nadzorczego.

XII. Podanie danych osobowych

Administrator zapewnia warunki, w których dane osobowe nie zostaną udostępnione nieupoważnionym osobom trzecim, do których zaliczają się członkowie rodziny, znajomi, organy państwowe, a nawet dochodzeniowe, jeżeli istnieje uzasadniona wątpliwość, że w ustalonym porządku nie są one wymagane.

Wszelkie prośby stron trzecich o udostępnienie danych muszą być poparte odpowiednią dokumentacją, a wszelkie takie ujawnienia danych muszą być wyraźnie zatwierdzone przez Inspektora Ochrony Danych osobowych.

Poza organizacją Administrator udostępnia dane następującym kontrahentom:

1. Organy publiczne – Krajowa Agencja Statystyczna, Narodowy Instytut Statystyki Narodowej.

2. Innym podmiotom przetwarzającym dane osobowe stosownie do potrzeb prowadzonej działalności:

2.1 Biuro rachunkowe

XIII. Transfer danych

1. Administrator traktuje każdy eksport danych z obszaru UE do krajów spoza UE (zwanych w Rozporządzeniu „krajami trzecimi”) jako nielegalny, chyba że zapewniony jest odpowiedni poziom ochrony praw podstawowych osób, których dane dotyczą.

2. Wyjątki: przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej następuje wyłącznie pod warunkiem spełnienia jednego z poniższych warunków:

2.1 przekazanie jest niezbędne do zawarcia lub wykonania umowy pomiędzy Administratorem a inną osobą fizyczną lub prawną,  zawartej w interesie osoby, której dane dotyczą;

2.2 transmisja jest konieczna ze względu na ważne przesłanki interesu publicznego;

2.3 przekazanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń;

2.4 przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

2.5 przeniesienie następuje z rejestru, który zgodnie z prawem UE lub prawem państw członkowskich ma na celu dostarczanie informacji społeczeństwu i jest dostępny do wglądu dla ogółu społeczeństwa lub każdej osoby, która może wykazać, że posiada w tym uzasadniony interes, ale tylko w zakresie, w jakim w danym przypadku spełnione są warunki odniesienia określone w prawie Unii lub prawie państw członkowskich.

XIV. Przechowywanie i niszczenie danych

1. Administrator nie przechowuje danych osobowych w formie umożliwiającej identyfikację podmiotów przez okres dłuższy, niż jest to konieczne, w związku z celami, dla których dane zostały zebrane.

2. Administrator może przechowywać dane przez dłuższy okres jedynie wówczas, gdy dane osobowe będą przetwarzane w celach archiwalnych, w interesie publicznym oraz w celach statystycznych i wyłącznie przy zastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających prawa i wolności podmiotu danych.

3. We wszystkich przypadkach obowiązuje przyjęta przez Administratora procedura niszczenia danych.

4. Dane osobowe zostaną zniszczone w sposób bezpieczny, zgodnie z zasadą zapewnienia odpowiedniego poziomu bezpieczeństwa (art. 5 ust. 1 lit. f) Rozporządzenia Ogólnego) – w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzenia, poprzez zastosowanie odpowiednich środków technicznych lub organizacyjnych.

XV. Środki bezpieczeństwa

1. Administrator zapewnił odpowiednie techniczne i organizacyjne środki bezpieczeństwa przetwarzanych danych, określone w Rejestrze czynności przetwarzania danych.

2. Wszyscy pracownicy Administratora ponoszą odpowiedzialność za zapewnienie bezpieczeństwa przechowywania danych, za które odpowiadają, a które Administrator gromadzi, oraz aby dane te były bezpiecznie przechowywane i nie były w żadnym wypadku udostępniane osobom trzecim, chyba że Administrator przyznał takie prawa takiej osobie trzeciej poprzez zawarcie umowy/klauzuli o zachowaniu poufności.

3. Wszystkie dane osobowe muszą być dostępne dla tych, którzy ich potrzebują, a dostęp może zostać przyznany wyłącznie zgodnie z ustalonymi zasadami kontroli dostępu.

XVI. Powiadomienie o naruszeniu danych

1. W przypadku naruszenia bezpieczeństwa danych osobowych Administrator bez zbędnej zwłoki, a gdy jest to możliwe, ale nie później niż w terminie 72 godzin od powzięcia o tym informacji, powiadamia CPLD jako organ nadzorczy dla Rzeczypospolitej Polskiej danych osobowych naruszenie bezpieczeństwa zgodnie z art. 55. Powiadomienie organu nadzorczego zawiera przyczyny opóźnienia, jeżeli nie zostało złożone w ciągu 72 godzin.

2. Przetwarzający dane osobowe, po powzięciu wiadomości o naruszeniu bezpieczeństwa danych osobowych, niezwłocznie powiadamia Administratora.

3. Jeżeli iw zakresie, w jakim nie jest możliwe jednoczesne przekazanie informacji, informacje można przekazywać etapami, bez dalszej zbędnej zwłoki.

4. Administrator dokumentuje wszelkie naruszenia bezpieczeństwa danych osobowych, w tym fakty związane z naruszeniem bezpieczeństwa danych osobowych, jego skutki oraz działania podjęte w celu jego usunięcia. Dokumentacja ta umożliwia organowi nadzorczemu sprawdzenie, czy zastosowano art. 33 Rozporządzenia. Wszelkie zmiany w niniejszej polityce zostaną niezwłocznie odzwierciedlone na stronie internetowej ЕВРОПЕЙСКИ ЦЕНТЪР НЕЙРОГРАФИКА ЕООД.

28.03.2022

miasto Sofia