Политика за защита на личните данни
Въведение
Като взеха предвид, че:
- на 25 май 2018 година влезе в сила Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, ОРЗЛД),
- в съответствие с ОРЗЛД и останалите приложими актове на европейско и вътрешно законодателство, включително Закона за защита на личните данни, обн. в ДВ, бр.1 от 4 януари 2002 година, последно изм. и доп. към датата на настоящия документ в ДВ., бр.17 от 26 февруари 2019 година („приложимото право относно защитата на данните“), установените на територията на Република България юридически лица, които обработват лични данни, следва да въведат подходящи технически и организационни мерки, за да спазят изискванията и да осигурят правото на физическите лица на защита на личните им данни,
- ОРЗЛД насърчава изготвянето на политики за защита на данните, задължителни фирмени правила и кодекси за поведение, които има за цел да допринесат за правилното му прилагане, при отчитане на специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия,
с оглед осигуряване на адекватно ниво на защита на данните при предоставянето на туристически, хотелиерски, ресторантьорски и други услуги, непосредствено свързани с тях, в обектите, описани в Приложение No. 1, „ФЪРСТ ЛАЙН ХОТЕЛС“ ЕООД, регистрирано в Търговския регистър, воден от Агенцията по вписванията към Министерството на правосъдието, с ЕИК: 205481600, със седалище и адрес на управление в гр. Пловдив 4000, район Централен, бул. „Княгиня Мария Луиза“ №8, представлявано от управителя Нели Иванова (по-долу за краткост „хотелиерът“) приема и се задължава да спазва настоящата политика за защита на физическите лица при обработването на техните лични данни, („Политиката“):
Основни понятия
- Всички понятия в настоящата Политика, свързани със защитата на данните, и производните им, се ползват със значението, с което са използвани в приложимото право относно защитата на данните, освен ако по-долу не е предвидено друго:
- “Лични данни” или само „данни“ по смисъла на настоящата Политика означава всяка информация, свързана със субектите на данни и обработвана от Хотелиера, включително име, дата на раждане, пол, ЕГН или друг личен номер; номер, държава на издаване, дата на издаване и дата на валидност на паспорт, лична карта или друг документ за самоличност; постоянен или настоящ адрес; гражданство, регистрационен номер на МПС, образ, данни за кредитни и дебитни карти, IP адрес, MAC адрес на компютри, телефони и други персонални устройства; ел. поща или други физически, физиологични, генетични, психически, умствени, икономически, културни или социални признаци.
- “Обработване” означава всяка операция или съвкупност от операции, извършвани с личните данни чрез автоматчни или други средства, включително събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
- “Субекти на данни” означава физическите лица, които могат да бъдат идентифицирани пряко или непряко чрез данните, които Хотелиерът обработва за тях. Основните категории субекти на данните са служителите на Хотелиера; гостите на хотелите; посетителите на уебсайта на Хотелиера и получателите на електронния бюлетин, разпространяван от името на Хотелиера.
- „Специални категории лични данни” означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на субектите на данни.
- “Администратор на данни” означава „ФЪРСТ ЛАЙН ХОТЕЛС“ ЕООД, регистрирано в Търговския регистър, воден от Агенцията по вписванията към Министерството на правосъдието, с ЕИК: 205481600, със седалище и адрес на управление в гр. Пловдив 4000, район Централен, бул. „Княгиня Мария Луиза“ №8, представлявано от управителя Нели Иванова, от чието име се обработват лични данни съгласно определените от него цели и средства. Освен ако и доколкото приложимото право относно защитата на данните не предвиди друго, съгласно Политиката Хотелиерът определя целите и средствата на обработването включително, но не само, при: предоставяне на хотелиерски и ресторантьорски услуги, управление на профилите на гостите на хотелите и служителите на Хотелиера, набиране и подбор на персонал, сключване на договор с дружество за наемане на персонал, договор за счетоводни или правни услуги, осъществяване на видеонаблюдение и охранителна дейност в управляваните от Хотелиера туристически обекти, публикуване и събиране на лични данни на уебсайта на Хотелиера и използване на личните данни, включително за маркетингови цели, както и предаването им на трети страни и др.
- “Обработващ данни” означава (1) всяко лице, различно от Хотелиера и неговите служители, което обработва лични данни в рамките на посочените по-горе неизчерпателно дейности, целите и средствата за които се определят от Хотелиера, както и (2) Хотелиерът, в случаите, при които не действа като администратор на данни, например при изпълнението на договор с организация, провеждаща събитие или заснемане на аудиовизуални произведения на територията на управлявания от Хотелиера обект. Във всички случаи, когато обработва данни съвместно с или в качеството на обработващ данни Хотелиерът сключва договор или друг правен акт по чл.28, пар.3 от ОРЗЛД.
- „Съгласие“ означава свободно изразено, конкретно, информирано и недвусмислено указание за волята на субектите на данните, чрез потвърждаващо действие/кликване на уебсайта на Хотелиера или подпис на документ в писмена форма.
- „Дете“ означава всяко лице ненавършило 18-годишна възраст освен ако и доколкото не бъде определено друго в приложимото право относно защитата на данните.
- „Нарушение на сигурността на личните данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Хотелиерът задължително уведомява надзорния орган и субектите на данни (когато действа като администратор на данни) или администратора на данни (когато действа като обработващ данни) за нарушенията на сигурността на данните.
- “Заявление за упражняване на права на субектите на данни” означава всяко волеизявление за упражняване на права на субекта на данни във връзка със защита на личните данни чрез попълване на предоставения формуляр или чрез действия в електронен интерфейс на системите на Хотелиера, в случай, че бъде предвидена такава възможност и доколкото по сигурен начин е установена самоличността на заявителя.
- “Трета страна” означава физическо или юридическо лице, публичен орган или друга организация, установена извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, на което Хотелиерът и/или обработващите предават личните данни.
- “Надзорен орган” означава Комисията за защита на личните данни на Република България (КЗЛД) или друга институция, действаща като водещ надзорен орган по смисъла на приложимото право относно защитата на данните.
- „Профилиране“ означава всяка форма на автоматизирано обработване на данни, предназначена за оценяване на лични аспекти, свързани с техните субекти, или за анализиране/прогнозиране на изпълнението на професионални задължения, икономическо състояние, местоположение, здраве, лични предпочитания, надеждност или поведение.
- „Длъжностно лице за защита на данните“ означава физическо или юридическо лице, на което Хотелиерът възлага задачите, предвидени в приложимото право относно защитата на данните.
- „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
Общи разпоредби
- Управителят и ръководството на „ФЪРСТ ЛАЙН ХОТЕЛС“ ЕООД, регистрирано в Търговския регистър, воден от Агенцията по вписванията към Министерството на правосъдието, с ЕИК: 205481600, със седалище и адрес на управление в гр. Пловдив 4000, район Централен, бул. „Княгиня Мария Луиза“ №8, се задължават да спазват правото на ЕС и националното право по отношение на защита на личните данни и защитата на правата и свободите на лицата, чиито данни Хотелиерът събира и обработва в съответствие с ОРЗЛД и ЗЗЛД.
- Хотелиерът се задължава да въведе подходящи технически и организационни мерки за спазване на приложимото право относно защитата на данните, включително чрез утвърждаването и спазването на настоящата политика по отношение на:
- прилагането на принципите за защита на данните;
- правилата за събиране, съхраняване и заличаване на данните и прилагане на мерки за тяхната сигурност;
- прилагането на системите за контрол на достъпа, работното време и трудовата дисциплина;
- процедурата за преносимост/предаване на данни на трети страни;
- задачите на длъжностното лице за защита на даннитеи процедурата за извършване на оценка на въздействието на риска;
- системата за докладване на нарушенията на сигурността на данните и отговорността за нарушенията;
- процедурата за разглеждане на заявленията на субектите на данни;
- провеждането на обучения по защита на данните за персонала;
- както и реда за утвърждаване на настоящата Политика.
- Настоящата Политика се прилага по отношение на всички дейности, свързани с обработване на лични данни, и описани в регистрите на дейностите по обработване за Хотелиера, разработени в съответствие с чл.30, пар.1 и чл.30, пар.2 от ОРЗЛД („регистрите на дейностите по обработване на лични данни“).
- Регистрите на дейностите по обработване на личните данни се преглеждат поне веднъж годишно предвид настъпването на промени в осъществяваните от Хотелиера процеси, и всякакви допълнителни законодателни изисквания.
- Регистрите на дейностите по обработване на лични данни се предоставят на надзорния орган или администратора при проверка или одит.
Принципите, свързани с обработването на данните
- (1) Всяко обработване на лични данни трябва да бъде извършвано в съответствие с принципите, предвидени в чл. 5 на ОРЗЛД. Личните данни се обработват законосъобразно, добросъвестно и прозрачно. Законосъобразно означава при предварително определено правно основание за обработването. Добросъвестно означава, че хотелиерът полага необходимите усилия да способства упражняването на права на субектите на данни, аизискването за прозрачност включва задължението на хотелиера да предостави на субектите на данните на информацията по чл. 13-14 от ОРЗЛД в разбираема и достъпна форма на ясен и прост език.
(2) Конкретната информация, която трябва да бъде предоставена на субекта на данните, включва най-малко:
- данните, които идентифицират Хотелиера, неговите данни за връзка с него и неговите представители;
- данни за връзка с длъжностното лице за защита на данните;
- информация за целите на обработването на личните данни, както и правното основание за обработването;
- срокът, за който се обработват и съхраняват личните данни;
- съществуването на право на достъп, коригиране, изтриване, оттегляне на съгласие или подаване на възражение срещу обработването, както и реда за разглеждане на заявленията за упражняване на права на субектите на данни;
- категории обработвани лични данни;
- информация за получателите и/или третите страни-получатели на личните данни, както и нивото на защита на данните;
- всякаква необходима допълнителна информация.
(3) Личните данни се събират за конкретни, изрично указани и легитимни цели.Целите се описват за всяка дейност в регистрите, поддържани от Хотелиера.
(4) Събраните лични данни трябва да бъдат
ограничени до необходимото,като не се събират лични данни, които не са строго необходими за посочените по-горе цели. Всички формуляри за събиране на данни на електронен или хартиен носител трябва да бъдат одобрени от Длъжностното лице за защита на данните. Всички методи за събиране на данни се преглеждат поне веднъж на всеки две години.
(5)_ Личните данни трябва да бъдат съхранявани за период, не по- дълъг от необходимото. Личните данни се съхраняват за посочените срокове, след което се унищожават по сигурен начин. Когато е необходимо съхранението им да продължи след изтичането на предвидения срок, данните се анонимизират и/или, псевдонимизират.
(6) Личните данни трябва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност.
(7) Администраторът на данни трябва да е в състояние да докаже спазването на останалите принципи за защита на данните (“отчетност”). За да осигурят доказването на спазването на принципите Хотелиерът документира писмено: (1) политиките, правилата и процедурите си за защита на данните – чрез настоящата Политика; (2) утвърждаването на настоящата Политика и назначаването на длъжностно лице за защита на данните – чрез нарочна заповед на управителя на Хотелиера; (3) получаването и разглеждането на заявления за упражняване на права на субектите на данни, (4) воденето на регистри на дейностите по обработване на данни, (5) извършването на оценка на въздействие на риска, (6) предварителната консултация и уведомяването на надзорния орган, администраторите и субектите на данни за нарушение на сигурността на данните, както и (7) провеждането на обучения по защита на данните – чрез съответните формуляри, както и чрез публикуване на уебсайта на документацията по защита на данните в цялост или отчасти.
Събиране, съхранение и унищожаване на лични данни
- При събиране на лични данни непосредствено от субектите на данни или индиректно (напр. чрез получаването им от друга организация, набирането им от публичен регистър или прилагането на друг способ за data mining) Хотелиерът предоставя информация, съответна на изискванията по чл.13-14 от ОРЗЛД и настоящата Политика.
- Всеки документи, с който субект предоставя личните си данни, задължително включва декларация от имено на субекта за точност и актуалност на данните.
- Хотелиерът се задължава да въведе мерки, позволяващи достъп до събраните лични данни единствено на лицата, на които същите трябва да бъдат достъпни тъй като се нуждаят от тях за изпълнение на служебни или други задължения (принцип на достъп до данните на база “Необходимост да знае”). Служителите на Хотелиерът е длъжен да не се разкрива личните данни на лица, извън лицата по предното изречение.
- Гарантирането на сигурността на личните данни е свързана и с предприемането на подходящи технически мерки, които могат да включват най-малкото:
- Защита с парола;
- Автоматично заключване на бездействащи работни станции в мрежата; (може да има изключение при осигурени задължителна проверка за вируси и регистриране на трансфера на данни);
- Антивирусен софтуер и защитни стени;
- Правата за достъп основани на роли, включително тези, на назначен временно персонал;
- Защитата на устройства, които напускат помещенията на организацията, като лаптопи или други;
- Сигурност на локални и широкообхватни мрежи;
- Технологии за подобряване на поверителността, като например псевдонимизиране и анонимизиране;
- Идентифициране на подходящи международни стандарти за сигурност, подходящи за Хотелиера;
- При оставяне на работното място без надзор следва да бъдат предприети мерки екраните на компютрите и терминалите да не се виждат от други лица, включително чрез активиране на screen saver на съответното устройство. Обработването на лични данни дистанционно трябва да бъде разрешено изрично от упълномощено лице от хотелиера с писмен акт
- Всички документи, съдържащи лични данни, следва да бъдат съхранявани при подходящите организационни мерки за защита на данните, които ще включват най-малко следното:
- Нивата на подходящо обучение на персонала на Хотелиера;
- Мерките, които отчитат надеждността на служителите (например атестационни оценки, препоръки и т.н.);
- Включването на защитата на данните в трудовите договори;
- Идентификация на дисциплинарни мерки за нарушения по отношение на защита на личните данни;
- Редовна проверка на персонала за спазване на съответните стандарти за сигурност;
- Контрол на физическия достъп до електронни и хартиено базирани записи;
- Приемането на политика на „чисто работно място“;
- Съхраняване на хартия на базата данни в заключващи се шкафове;
- Ограничаване на използването на портативни електронни устройства извън работното място;
- Ограничаване на използването от служителите на лични устройства на работното място; Приемане на ясни правила за създаване и ползване на пароли;
- Редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън работните офиси на места с подходящо ниво на сигурност;
- Налагане на договорни задължения на организации контрагенти да предприемат подходящи мерки за сигурност при прехвърляне на данни извън ЕС.
- Събирането, съхраняването и унищожаването на личните данни се уреждат с правила и процедури за съхранение на личните данни, утвърдени от Управителя на Дружеството.
- Хотелиерът не съхранява лични данни във форма, която да позволява идентифицирането на субектите на данни за период, не по-дълъг от определените сроковете за съхранение.
- За целите на архивирането в обществен интерес, за научни или исторически изследвания, или за статистически цели, Хотелиерът може да съхранява личните данни за по-дълъг срок.
- След изтичане на съответните сроковете по писмено разпореждане на упълномощен служител на Хотелиера личните данни се анонимизират, псевдономизират или унищожават съгласно процедура, утвърдена от Управителя на Дружеството.
Видеонаблюдение
- (1) Хотелиерът осъществява видеонаблюдение единствено при наличието на следните условия:
- Хотелиерът е направил общодостъпна на уебсайта си информация за субектите на данни, свързана с правата им във връзка с видеонаблюдението;
- зоните, в които се осъществява наблюдението, са обозначени със стикери, рефериращи към горната информация;
- видеонаблюдението се извършва така че да не се засяга достойнството на субектите на данни.
(2) Хотелиерът не осъществява видеонаблюдение в тоалетни помещения, съблекални, кухненски помещения или зали за почивка на персонала.
(3) При осъществяване на видеонаблюдение на публични места Хотелиерът осигурява предварително изготвянето на оценка на въздействието върху защитата на данните.
Съгласие
- Хотелиерът обработва лични данни за целите на маркетинга (предоставяне на информация относно актуални промоции, проучване на удовлетвореността на гостите на хотелите от престоя им и други) въз основа на валидно дадено съгласие или въз основа на легитимния им интерес, доколкото той е конкретно обоснован.
- За да е валидно дадено, съгласието отговаря на следните условия:
- е дадено от съответното лице;
- съгласието е дадено след като на съответното лице е представена информация за обработването на личните му данни;
- обработването на данни въз основа на съгласие е винаги ограничено в определен срок;
- извода за наличието на съгласие произтича от липсата на противопоставяне на общи условия;
- субектът може да оттегли съгласието си по всяко време;
- предвиденият ред за оттегляне на съгласие съответства на реда, по който същото е дадено.
- Когато данните за ел. поща не са събрани непосредствено от субектите на данни, още с първия имейл ще им бъде предоставена информация по чл.14 от ОРЗЛД, както и запитване за предоставяне на съгласие.
- Хотелиерът събира и обработва лични данни на деца единствено въз основа на съгласието на техния родител или настойник или попечител или лице, упълномощено да даде съгласие от тяхно име.
Заявления за упражняване на права на субектите на данни
- Заявленията за упражняване на права на субектите на данни се подават и разглеждат по реда, установен в настоящата Политика, и в политиките, правилата и процедурите по нейното прилагане.
- Субектите на данни упражняват правата си чрез подаване на писмено заявление по образец до Хотелиера или чрез действия в интерфейса на електронните системи, поддържани от Хотелиера, в случай, че такава възможност е осигурена технически и е удостоверена самоличността на съответното лице.
- Подадените заявления се разглеждат от длъжностното лице за защита на данните, което предоставя на субектите на данни необходимите информация и съдействие за упражняването на техните права.
- Хотелиерът осигурява прилагането на следните права на субектите на данни:
- на информация дали се обработват лични данни и достъп до документите, съдържащи данните, в случаи, че такива се обработват;
- на възражение срещу обработването на лични данни, основано на легитимните интереси на хотелиера и/или на обществения интерес; при подаване на възражение хотелиерът ще прекрати обработването, освен ако не са налице законови основания за него и/или последното не е необходимо за защита на правни претенции;
- на преносимост, в случай че личните данни се обработва въз основа на съгласието на субекта или по автоматизиран начин;
- на коригиране, в случай че обработваните от хотелиера данни са неверни, неактуални или неточни;
- на ограничаване на обработването при подаване на възражение срещу обработването или оспорване на точността на данните;
- на оттегляне на съгласие за обработване на лични данни;
- на изтриване на данните (право „да бъда забравен“).
Длъжностно лице за защита на данните
- Длъжностното лице за защита на данните гарантира спазването на приложимото право за защита на данните като:
- изпълнява предвидените от приложимото право задачи;
- изготвя политики, процедури и други документи и образци, осигуряващи отчетността на Хотелиера за спазването на приложимото право относно защита на данните, и следи за тяхното прилагане;
- преглежда и при необходимост актуализира водените от Хотелиера регистри, включително регистрите на дейностите по обработване на лични данни.
- Длъжностното лице за защита на данните изпълнява задачите по чл. 39, пар. 1, букви а) и б) от ОРЗЛД:
- като отправя становища и препоръки относно приложението на настоящата Политика и приложимото право относно защита на данните;
- като организира обучения и/или способства повишаването на осведомеността на служителите на Хотелиера във връзка с изпълнение на задълженията им по защита на данните в съответствие с настоящата Политика и в политиките, правилата и процедурите, утвърдени за нейното прилагане.
- Длъжностното лице за защита на данните реализира задачите по чл. 39, пар. 1, букви в) и д) от ОРЗЛД, като изготвя или наблюдава изготвянето на оценка на въздействието, в случай, че такава е необходима.
- Длъжностното лице за защита на данните реализира задачите по чл. 39, пар. 1, буква г ) от ОРЗЛД, като докладва на надзорния орган и му предоставя информация и разяснения във връзка със спазването на приложимото право относно защита на данните.
- Длъжностното лице за защита на данните преглежда прилагането на настоящата Политика поне веднъж годишно.
- Длъжностното лице за защита на данните преглежда регистрите на дейностите по обработване на личните данни поне веднъж годишно
Разкриване на данни
- Хотелиерът не разкрива данни на неупълномощени лица.
- При получаване на искане за разкриване на данни Хотелиерът незабавно уведомява длъжностното лице за защита на данните.
- Исканията трябва да бъдат съпроводени с документи, удостоверяващи правото на лицето да получи достъп до данните.
- В случаите, когато Хотелиерът разкрива данни на трети страни по повод на заявления за упражняване на право на преносимост, Хотелиерът разкрива данните по ред, определен и утвърден в настоящата Политика и в политиките, правилата и процедурите, утвърдени за нейното прилагане.
- Във всички случаи по настоящия раздел Хотелиерът не разкрива лични данни пред лица, намиращи се извън територията на Европейския съюз, Европейското икономическо пространство и Конфедерация Швейцария, освен когато:
- е налице решение на Европейската комисия относно адекватно ниво на защита на данните в съответната държава;
- при липсата на решение по буква а) хотелиерът предприеме подходящи мерки, за да компенсира липса на адекватно ниво на защита на данните в съответна държава при спазване на приложимото право.
Регистри на дейностите по обработване на данни
- Регистрите на дейностите по обработване включват:
- бизнес процесите, свързани с обработване на лични данни;
- източниците на лични данни;
- категориите субекти на данни;
- категориите обработвани лични данни;
- целите, за които се използва всяка категория лични данни;
- получатели и потенциални получатели на личните данни;
- ролята на организацията в обработката на данни (администратор или обработващ данните).
Оценка на въздействието върху защитата на данните
- Когато съществува вероятност дадена дейност, свързана с обработване на лични данни, включително дейност при която се използват нови технологии, да породи висок риск за правата и свободите на субектите на данни, се извършва оценка на въздействието в съответствие с настоящата Политика и политиките, правилата и процедурите, утвърдени за нейното прилагане.
- При неизвършване на оценка на въздействието или неприлагане или неправилно прилагане на предписаните мерки за третиране на риска, длъжностното лице за защита на данните възразява пред Управителя на Дружеството писмено срещу съответната дейност.
- Възражението спира изпълнението на планираната дейност до разглеждането му от Управителя на Дружеството, който се произнася с писмено решение.
- Сроковете на съхранение се определят за всеки вид лични данни, съответно за всяка категория субекти на данни, както следва:
СУБЕКТИ | СРОК | ОТ КОГА ТЕЧЕ СРОКЪТ | ПРАВНООСНОВАНИЕ | ВИДОВЕ ДОКУМЕНТИ |
Служители на Хотелиера | За срока на действие на съответния договор; и 5 години след това. | Дата на прекратяване на правоотношения със служителя | Изпълнение на трудовия или гражданския договор; легитимен интерес на работодателя; | Всички данни и записи на данни от трудовото досие на служителя, за които не е приложим законово определен срок |
Кандидати за работа | 6 месеца | Дата на приключване на кампанията по набиране на персонал | Легитимен интерес | Всички документи, предоставени на Дружеството по повод провеждането на кампанията по набиране на персонал |
Кандидати за работа | 1 година | След изтичането на 6 месеца, считано от края на кампанията по набиране на персонал или от дата на получаването им от друг администратор | Съгласие на субектите на данни | Всички документи, предоставени на Дружеството по повод провеждането на кампанията по набиране на персонал |
Бивши служители/Служители | 50 години | Месец януари на отчетния период, следващ счетоводния период, за който документите се отнасят | Чл. 12 от ЗСч, чл. 38 от ДОПК | Данни за заплати, данни от ведомости |
Настанени лица в хотели на хотелиера | 5 години | Месец януари на отчетния период, следващ счетоводния период, за който документите се отнасят | Общ срок за съхранение в съответствие с чл. 12 от ЗСч, чл. 38 от ДОПК, във връзка с чл. 40 ППЗДДС и чл. 116 от ЗТ | Счетоводни записи и финансови извлечения, включително документи за данъчен контрол, одити и последващи финансови инспекции |
Служители и представители на доставчици, туристически оперaтори, агенти, организатори на събития и други контрагенти | 5 години | Месец януари на отчетния период, следващ счетоводния период, за който документите се отнасят | Общ срок за съхранение в съответствие с чл. 12 от ЗСч, чл. 38 от ДОПК, в случай, че не е предвиден друг | Счетоводни записи и финансови извлечения, включително документи за данъчен контрол, одити и последващи финансови инспекции |
Лица чиито данни са получени във връзка с промоционални кампании и т.н. | 1 година | Дата на получаване на данните, дата на приключване на промоционална кампания или дата на сключване на договор за хотелиерски услуги | Общ срок за съхранение, в случаите, когато не е приложим 5-годишния срок по чл.6, ал.4 от Закона за хазарта | Електронни регистри с лични данни, кореспонденция, документи, свързани с активностите. |
Служители и гости на хотели, барове, ресторанти, плажове и други за предоставяне на туристически и свързани с тях услуги | 30 дни | Дата на видео записа | Легитимен интерес | Записи от видеонаблюдение |
Служители и представители на контрахенти | 5 години | Началото на годината след сключването на сделка или прекратяване на правоотношението | Чл. 67, ал. 1 от ЗМИП | Всякакви документи и информация във връзка със задълженията, произтичащи от ЗМИП |
Подали заявления, жалби и сигнали по ОРЗЛД | 2 години | Получаване на документа | Заявления от субектите на данни и всякакви други искания, жалби и сигнали | |
Субекти – подали заявления и служители на хотелиера | 2 години | Изпращане на резолюция по заявлението на субекта на данни | Резолюция на длъжностното лице за защита на данните и свързана кореспонденция | |
Всички субекти на данни | 2 години | Дата на нарушение на сигурността на данните/уведомяване за нарушение от обработващ данните | Документи , свързани с нарушения на сигурността на личните данни; уведомявания; | |
Служители и гости, които посещават територията на обектите на хотелите с МПС | 30 дни | Дата на посещението на обекта с МПС | Регистрационен номер на МПС |
Заключителни разпоредби
- Настоящата политика се прилага по отношение на обработването на лични данни от Хотелиера при всички негови дейности, считано от датата на утвърждаването им със заповед на неговия управител.
- За изпълнението на настоящата политика, Хотелиерът въвежда политики, правила и процедури, като за неуредените в тези политики, правила и процедури ще се прилага настоящата политика и приложимото право.
- Длъжностното лице за защита на данните се определя от управителя на всеки хотелиер. То може да отговаря за защита на данните в повече от един обект на Хотелиера.
- (1) Настоящата политика е задължителна за всички служители и външни доставчици на Дружеството.
(2) Настоящата политика е утвърдена за изпълнение на основание на чл. 126, т. 10 от Кодекса на труда със заповед на управителя на Дружеството. Неспазването на настоящата политика съставлява нарушение на трудовата дисциплина по смисъла на чл. 37 от Правилника за вътрешния трудов ред във връзка с чл. 187, ал. 1, т. 3 и т. 7 от Кодекса на труда.
(3) Не спазването на настоящата политика от външните доставчици на Дружеството съставлява съществено нарушение на съответния договор с този доставчик.
Приложение №1:
Списък на Хотелите и обектите за туристически услуги, управлявани от Хотелиера
- Хотел „Роял Касъл Дизайн&СПА“, находящ се в комплекс Роял Клуб „Виктория“ в курортно селище Елените п.к. 8259, община Несебър, област Бургас
и всички находящи се в тях обекти за хранене и предлагане на туристически услуги, различни от настаняването.