"Елдрайв Чарджинг“ ЕАДПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ
1. ОСНОВНИ ОПРЕДЕЛЕНИЯ
1.1. "Отговорно лице" означава служителят на Администратора на данни, който по естеството на работата си има право да изпълнява специфичните функции, свързани с обработката.
1.2. "ОРЗД" означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните)
1.3. "Служител" означава лице, което е сключило трудов договор или подобен договор с Администратора на лични данни.
1.4. "Данни/ лични данни" означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице (субект на данни); идентифицируемо физическо лице е лице, което може да бъде идентифицирано пряко или косвено, по-специално чрез позоваване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическата, физиологичната, генетична, умствена, икономическа, културна или социална идентичност на това физическо лице.
1.5. "ДОД" означава договор за обработка на данни, който ще бъде подписан с всеки Обработващ лични данни в съответствие с условията, посочени в раздел 3 по-долу;
1.6. "Получател" означава физическо или юридическо лице, държавен орган, агенция или друг орган, на който се разкриват личните данни, независимо дали е трета страна, или не.
1.7. "Субект на личните данни" означава клиент или служител на Администратора на данни или всяко друго лице, чиито лични данни се обработват от Администратора на лични данни.
1.8. "Обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
1.9. "Обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора;
1.10. "Администратор" означава "Елдрайв Чарджинг“ ЕАД е регистрирано в Търговския регистър при Агенция по вписванията с ЕИК 205175105 и адрес: гр. София, п.к. 1612, район "Красно село", ул. Юнак 11-13, ет. 4.
1.11. "Клиент" означава лице, което използва или е използвало услугите, предоставяни от Администратора.
1.12. "Политика" означава настоящата Политика за защита на личните данни.
1.13. "Собственик на мобилното приложение" означава „АМПЕКО“ ЕООД / Ampeco LTD, вписано в Търговския регистър и регистъра на ЮЛНЦ при Агенция по вписванията под единен идентификационен код („ЕИК“), с място на стопанска дейност Република България / седалище и адрес на управление гр. София, бул. „Драган Цанков“ № 36, вход А, ет. 5, София 1113,
България („Ampeco“)
1.14. "Титуляр на сайта" означава Елдрайв Чарджинг ЕАД" е регистрирано в Търговския регистър при Агенция по вписванията с ЕИК 205175105 и адрес: : гр. София, п.к. 1612, район "Красно село", ул. Юнак 11-13, ет. 4.
1.15. За целите на настоящата Политика останалите термини съответстват на термините, използвани в ОРЗД, българския Закон за защита на личните данни (наричан по-долу "ЗЗЛД") и българския Закон за електронния документ и електронния подпис (наричан по-долу "ЗЕДЕП").
2. ОБЩИ РАЗПОРЕДБИ
2.1. Администраторът събира определени Лични данни за целите на администрирането, провеждане на собствена дейност и упражнявано на законовите задължения.
2.2. Настоящата политика съдържа основните принципи и процедури за събиране, обработване и съхранение на лични данни на потребителите на уебсайта https://www.eldrive.eu/, администриран от Администратора (наричан по-долу "уебсайт") и мобилното приложение ELDRIVE (наричано по-долу "мобилно приложение"). Преди да започнете да използвате Уебсайта и / или мобилното приложение, трябва внимателно да прочетете и да се запознаете с настоящата политика. Чрез използването на услугите, предоставяни от Администратора, потвърждавате, че приемате да спазвате настоящата Политика.
2.3. Субектът на данните няма право да използва Уебсайта и / или Мобилното приложение, ако не се е запознал с Политиката и не я приема. В случаите, когато Субектът на данни не е съгласен с Политиката или съответната част от нея, той не трябва да използва Уебсайта и / или Мобилното приложение. В противен случай се счита, че Клиентът се е запознал и е приел безусловно Политиката, с която изрично се е съгласил при регистрация.
2.4. Администраторът трябва да се съобразява с неприкосновеността на личните данни. Настоящата политика обяснява приемливата практика относно поверителността в нашата компания. Тя обяснява начините за събиране и използване на Вашите Лични данни и правата, упражнявани от Вас.
2.5. Използването на услугите на трети страни, като например услугите на социалната мрежа Facebook, може да се подчинява на общите условия на трети страни. Например, всички потребители и посетители на Facebook се подчиняват на Политиката за поверителност на данните. Следователно, за целите на използването на услугите на трети страни, се препоръчва да се запознаете с техните приложими условия.
2.6. Администраторът на данните следва да гарантира, че отговаря на следните основни принципи за защита на данните:
2.6.1. Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на Субекта на данните (законосъобразност, добросъвестно и прозрачност);
2.6.2. Личните данни се събират за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели; последващото обработване на лични данни за целите на архивирането в интерес на обществото, научни или исторически изследвания или статистически цели не се счита за несъвместимо с първоначалните цели (ограничаване на целта);
2.6.3. Личните данни трябва да бъдат подходящи, свързани с и ограничени до онези данни, които са необходими по отношение на целите, за които се обработват (минимизиране на данните);
2.6.4. Личните данни трябва да бъдат точни и, при необходимост, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или коригират незабавно (точност);
2.6.5. Лични данни, съхранявани във форма, която позволява идентифициране на субектите на данни, се съхраняват не по-дълго от необходимото за целите, за които се обработват личните данни; Личните данни могат да се съхраняват за по-дълги периоди, доколкото те ще бъдат обработвани единствено с цел архивиране за обществени интереси, научни или исторически изследвания или статистически цели в съответствие с член 89, параграф 1 от ОРЗД при условие, че са въведени подходящи технически и организационни мерки, изисквани от Регламента, за да се защитят правата и свободите на Субекта на данните (ограничаване на съхранението);
2.6.6. Личните данни се обработват по начин, който осигурява подходяща защита на личните данни, включително защита срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване или повреждане, като се използват подходящи технически или организационни мерки (цялост и поверителност).
2.6.7. Администраторът носи отговорност и следва да е в състояние да докаже спазването на принципите, изложени по-горе (отчетност).
2.7. Данните се обработват, като се изпраща надлежно уведомление за поверителност до Субектите на данните. Потребителите на мобилното приложение трябва изрично да се съгласят с уведомлението и политиката за защита на личните данни на Администратора преди да се регистрират и инсталират приложението.
2.8. Данните се съхраняват за периодите, посочени за всеки вид лични данни, предвиден в настоящата политика. Съхраняването се извършва в съответствие с процедурите, предвидени в раздел А от настоящата политика.
2.9. Правата на Обработващия данни до данните се отменя в случай на прекратяване на договора, сключен с Администратора.
2.10. Данните се предават на Администраторите и получателите, когато нормативните актове предвиждат правото и / или задължението да се извърши това на съответните основания.
2.11. Администраторът ще има право да предоставя лични данни на органите на следствието, прокуратурата или съда за целите на административното, гражданското, наказателното производство като доказателства или в други случаи, установени в закона.
3. ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ПРЕДОСТАВЯНЕ НА УСЛУГА ЗА ЗАРЕЖДАНЕ НА ЕЛЕКТРОМОБИЛ
3.1. Администраторът предоставя на своите Клиенти услугата за зареждане на електрически автомобили, за чието предоставяне се обработват следните групи от Данни на Клиентите (лично от Администратора, от собственика на Мобилното приложение или чрез техни подизпълнители, задължени да съобразяват действията си с разпоредбите на ОРЗЛД):
3.1.1. Лични данни като:
- Име, фамилия
3.1.2. Данни за връзка като:
- Домашен адрес
- Адрес на офис / работното място (в случай, че регистрацията е направена от името на Работодателя на клиента)
- Адрес за предоставяне на услуга / продукт
- Телефон и мобилен номер
- Имейл адрес / факс номер
3.1.3. Транзакционни подробности като:
- История на покупките и услугите
- Клиентски номер
- Информация за транзакцията и история на плащането
- Номер на банкова сметка
- Номер на кредитна / дебитна карта
- Детайли за комуникацията между доставчик и клиент
3.1.4. Данни за сигурността като:
- Потребителски имена и пароли
- Информация за наблюдението на съоръженията и системата
- Информация за инцидента със сигурността
3.1.5. ИТ управленски данни като:
- IP адрес, данни за операционната система, местонахождение и др. неидентифициращи данни за мобилното устройство, които се получават при инсталиране на мобилното приложение
- Подробности за данните за оборудването, свързани с предоставяните услуги, включително технически идентификатори, местоположение, комуникационни данни и метаданни
- Технически събития, свързани с предоставяните услуги, включително регистрационни файлове за системата и приложенията
Забележка: За целите на предоставяне на услугата, клиентът трябва да предостави информация за своя разплащателна карта чрез директна регистрация на сайта на администраторите на платежни операции.
3.2. Данните, посочени в параграфи 3.1.1 - 3.1.5, се получават директно от Клиента, но част от данните, записани в системата, могат да бъдат получени и от работодателя на Клиента, ако последният използва услугите на Администратора като клиент или служител на съответното дружество.
3.3. За целите на регистрацията и записването на Клиентите, сключването, администрирането и изпълнението на договор, спазване на законови изисквания за счетоводна отчетност, действащото данъчно законодателство в страната и приложимите подзаконови нормативни актове по прилагането му, защита и контрол върху притежаваните от дружеството активи, Администраторът допълнително осигурява следните Данни:
3.3.1. Момент на стартиране на сесията и приключване на сесията за зареждане на електрическото превозно средство;
3.3.3. Начислена такса;
3.3.4. Данни за задължението;
3.3.5. Данни за задълженията (ниво на задълженост, размер на задължението, дата на възникване на задължението, краен срок, дата на плащане).
3.4. Данните на бившите Клиенти се предоставят единствено на правоприлагащите органи съгласно установената в закона процедура.
3.5. Правните основания за обработката на лични данни са член 6, параграф 1, буква б) и член 6, параграф 1, буква в) от ОРЗД.
3.6. При съгласие от субекта на данни могат да се получат и данни за местонахождението на мобилното устройство, докато се използва мобилното приложение с цел уведомяване за наличните зарядни станции в непосредствена близост, докато се използва приложението. Субектът на данни запазва правото си да оттегли по всяко време така даденото съгласие, като промени настройките на мобилното си устройство.
3.7. На основание легитимния интерес за защита и контрол на притежаваните от Администратора активи и развитие на бизнеса (чл. 6, пара. 1, буква е) от ОРЗД), данните могат да бъдат обработвани също с цел:
- установяване, упражняване и защита на правни претенции;
- статистически анализ и маркетинг проучвания на използваните от нашите клиенти услуги след анонимизиране и премахване на идентифициращите Клиентите лични данни
3.7. За да осигури гладко и висококачествено уреждане на плащането на предоставените услуги, собственикът на мобилното приложение трябва да сключи договор за подизпълнение с доставчиците на платежни операции, които посредничат при извършването на платежни операции.
3.8. За да осигури функционирането на системата за зареждане на електромобили с подходящо качество, собственикът на мобилното приложение трябва да сключи договор за подизпълнение с Обработващ данни, който да администрира платформата за зареждане на електромобили, да извършва програмиране на системата и поддръжка.
3.9. Администраторът потвърждава, че за да се осигури защита на данните, са внедрени всички технически и организационни мерки за защита на данните.
3.10. Собственикът на мобилното приложение също така сключва договор за подизпълнение с Amazon Web Services Limited като Обработващ данни, който осъществява услугите по отдаване под наем и инсталиране на сървъри.
3.11. Администраторът сключва споразумения за обработка на данни със собственика на мобилното приложение във връзка с обработката на личните данни от името на Администратора. Обработващите обработват лични данни само от името на Администратора за целите, определени в тези споразумения за защита на данните. В частност, всеки Обработващ следва да:
- обработва Лични данни само съгласно документираните указания на Администратора, включително по отношение на трансфера на лични данни към трета държава или международна организация, освен ако не се изисква да се отклони от тези инструкции, за да изпълни законови изисквания, на който се подчинява Обработващият. В такъв случай, Обработващият трябва без неоснователно забавяне да информира Администратора за съответното изискване преди обработката на лични данни;
- гарантира, че лицата, упълномощени да обработват личните данни, са поели задължение за поверителност и спазване на приложимия регламент за защита на данните в рамките на ЕС или са обвързани с надлежно законово задължение за поверителност;
- съдейства на Администратора по негово изрично писмено искане, с оглед осигуряване на изпълнение на неговите законови задължения, като например свързаните със сигурността на данните при Администратора, оценката за въздействието върху защита на данните и предварително консултиране, заложени в Регламента за защита на личните данни, и, в частност, да внедри подходящи технически и организационни мерки за защита на Личните данни, попадащи в обхвата на Споразуменията за обработка на данни, от случайно или незаконно унищожаване, изгубване, изменение, неразрешено оповестяване или достъп до личните данни. За да се избегнат всякакви съмнения, с настоящото страните изрично приемат, че Обработващият ще е длъжен да изпълнява всички свои задължения като Обработващ лични данни, при пълно спазване на Регламента за защита на личните данни, за своя собствена сметка;
- подпомага Администратора чрез прилагане на подходящи технически и организационни мерки за изпълнение на задължението на Администратора като Администратор на лични данни, а именно: да отговаря на исканията за упражняване на правата на Субектите на данни съгласно Регламента за защита на данните. Обработващият трябва незабавно да уведоми Администратора за всяко искане, отправено от който и да е Субект на данните, и да не отговаря на съответното искане, преди да получи указанията на Администратора.;
- предоставя на Администратора цялата информация, необходима за доказване на спазването на задълженията на Обработващия личните данни, посочени в тези споразумения за обработка на данни и в регламента за защита на данните, и да разрешава и да съдейства при одити, включително проверки, извършвани от Администратор или друг одитор, упълномощен от Администратора;
- поддържа точни записи за всички дейности по обработка съгласно договора за обработване на данни в съответствие с изискванията, посочени в ОРЗД, и да предоставя на Администратора съответните записи в рамките на десет (10) работни дни от получаване на искането от Администратора;
- гарантира, че никакви лични данни не се прехвърлят, пускат, възлагат, оповестяват или по друг начин предоставят на трета страна без предварителното изрично писмено съгласие на Администратора.
- гарантира, че задължения за защита на данните, подобни на тези посочени в настоящия документ, са наложени на другите Обработващи лични данни, които са ангажирани от Обработващия посредством договор. Обработващият носи отговорност пред Администратора за изпълнението на тези задължения от другите Обработващи;
- информира незабавно Администратора, ако дадено указание на Администратора нарушава Регламента за защита на данните или ако личните данни се обработват или ще бъдат обработвани при нарушаване на Регламента за защита на данните или Споразумението и информира незабавно Администратора на данните относно жалбите или одитите от надзорните органи за защита на данните, които са свързани с обработката на Лични данни;
- информира Администратора без неоправдано забавяне (но не по-късно от 48 часа), след като е узнал за нарушение в сигурността на личните данни, което означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни, които са предавани, съхранявани или обработвани по друг начин. Уведомлението трябва да описва естеството на нарушението, броя на засегнатите Субекти, вероятните последици от нарушението, предприетата или предложена мярка, както и други данни, свързани с нарушението, изброени в член 33, параграф 3 от ОРЗД; и
- при прекратяване на договора за обработка или по писмено искане на Администратора, или да унищожи, или да върне всички Лични данни, освен ако не е предвидено друго в ОРЗД или в националното закондоателство в рамките на ЕС, на който се подчинява Обработващият
3.12. С цел да гарантира качеството на предоставяните услуги и да се отговори своевременно на въпросите на клиентите, служителите на Администратора на данни, действащи като специалисти по обслужване на клиенти, отговарят за обажданията на клиентите и предоставят консултации по телефона 24 (двадесет и четири) часа в денонощието, 7 (седем) дни в седмицата. Служителят, отговарящ за обработката на данните, записва разговорите между него и Клиента, които се съхраняват в продължение на 180 (сто и осемдесет) дни
4. ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ДИРЕКТЕН МАРКЕТИНГ
4.1. Администраторът осъществява директен маркетинг по отношение на Клиентите.
4.2. За да получава предложения за услугите, предоставяни от Администратора, Клиентът трябва да даде съгласието си за обработка на Данни за целите на директния маркетинг в момента на регистрацията или да влезе в личния си профил и да избере функцията за получаване на информационен бюлетин.
4.3. Администраторът обработва следните лични данни на Клиентите за целите на директния маркетинг:
4.3.1. Име;
4.3.2. Фамилия;
4.3.3. Имейл адрес;
4.3.4. Телефонен номер;
4.3.5. Адрес.
4.4. Администраторът също така извършва директен маркетинг (изпращане на бюлетини и предложения по електронна поща) по отношение на лицата, които са въвели електронната си поща на уеб сайта на Администратора – www.eldrive.eu и/ или в Мобилната заявка и са изразили желание да получават такива съобщения. В такъв случай Администраторът обработва електронния адрес на съответното лице.
4.5. Субектът на данни може да оттегли съгласието си по всяко време и да откажете получаването на бюлетини, като кликнете върху връзката в изпратените от нас имейл съобщения, промени настройките за известия от профила си или изпрати нарочно съобщение с искане за това.
4.6. Данните, обработвани за целите на директния маркетинг, не се предават от Администратора на получателите.
4.7. Правното основание за обработката на данните е член 6, параграф 1, буква а) от ОРЗД.
4.8. При обработка на данни за целите на директния маркетинг Администраторът използва платформа, чрез която се изпращат информационни бюлетини на Субектите на данни, както и Amazon Web Services Limited като обработващ данни, осъществяващ услугите по отдаване под наем и инсталиране на сървъри.
5. СПОДЕЛЯНЕ НА ДАННИ
5.1. Администраторът пази поверителността и не разкрива лични данни на трети лица, освен със съгласието на субектите на данни и в допустимите от закона случаи. В определени случаи Администраторът има законово задължение да разкрие данни на трети лица (напр. НАП или други контролни органи) или задължение, свързано с изпълнението на договора със субекта.
5.2. При гарантирани мерки за защита и контрол, разкриване е възможно с други дружества част от корпоративната група или с доставчици на услуги с цел да се осигури гладко функциониране на системата за зареждане на електромобили и високо качество на услугите, както и с цел спазването на действащото законодателство с страната при предоставяне на услугите, в това число, но не само изпълнението на задълженията по повод счетоводната отчетност на Администратора и спазването на изискванията въведени с разпоредбите от действащото данъчно законодателство и подзаконовите нормативни актове по прилагането му (напр. с доставчици на сървъри, доставчици на софтуерни услуги / продукти, доставчици на онлайн / софтуерни платформи подпомагащи дигитализацията на предоставяните услуги, платформа за зареждане на електромобили, изпращане на бюлетини, анализ на статистическите данни, правни услуги и др.). В този случай, използваните от Администратора доставчици на услуги са длъжни да спазват стриктно договорните си задължения и действащото законодателство за защита на личните данни, включително като вземат необходимите мерки за защита поверителността на получената лична информация.
5.3. При възникнала оправдана необходимост е възможно също така Администраторът да разкрие лични данни с цел да предотврати измами, да приложи общите условия за използване на мобилното приложение, да гарантира имуществото на дружеството, свои права и законни интереси, както и да защити сигурността, правата и интересите на други клиенти или трети лица.
6. ТРАНСФЕР НА ДАННИ ИЗВЪН ЕС
6.1. Забранява се предаването на лични данни на трета държава или международна организация извън Европейския съюз и Европейското икономическо пространство, освен ако е налице едно от следните условия:
6.1.1. Компанията е базирана в САЩ и е сертифицирана по САЩ-ЕС щитът за защита на личните данни (https://www.privacyshield.gov)
6.1.2.Налице е решение на Европейската комисия относно адекватното ниво за защита на личните данни, което третата държава, в която се получават данните, предоставя;
6.1.3. Налице е изрично съгласие на субекта на данни, след като е бил информиран за свързаните с предаването възможни рискове поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;
6.1.4. Предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;
6.1.5. Предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между Дружеството/Групата и друго физическо или юридическо лице;
6.1.6. Предаването е необходимо за установяването, упражняването или защитата на правни претенции;
6.1.7. Предаването се извършва от публичен регистър.
6.2. Към момента, трансфер на данни извън Европейския съюз (ЕС) се налага единствено с нашите доверени партньори за изпращане на бюлетини и хостинг услуги, базирани в САЩ. Те са сертифицирани по ЕС-САЩ щита за защита на личните данни и предоставят адекватно ниво на защита на личните данни, което е еквивалентно на Общия регламент за защита на личните данни.
7. ПЕРИОДИ НА СЪХРАНЕНИЕ НА ДАННИТЕ
7.1. Администраторът прилага различни периоди на съхранение на личните данни в зависимост от категориите обработени лични данни и целите на обработване.
7.2. Администраторът прилага следните периоди на съхранение на лични данни:
7.3. Изключения от горепосочените периоди на съхранение могат да бъдат установени дотолкова, доколкото съответните отклонения не нарушават правата на Субектите на данните, отговарят на законовите изисквания и са надлежно документирани.
7.4. Документите и данните на Клиенти, по отношение на които Администраторът е образувал административни или съдебни производства, се съхраняват и унищожават съгласно инструкциите на правния отдел за срок от 5 години след приключване на производството с влязло в сила съдебно решение или окончателно изплащане на дълга .
7.5. След изтичане на установените срокове, данните се анонимизират или унищожават по сигурен начин чрез изтриването им от информационните системи и чрез нарязване, ако са налице хартиени копия.
8. ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ
8.1. Субектът на данни има право да упражнява следните права съгласно процедурата, установена в ОРЗД и ЗЗЛД:
8.1.1. Право на информираност: преди обработването на данните, Администраторът е длъжен да предостави на субекта на данни информация под формата на уведомление за поверителност за това какви лични данни събира, на какви основания и за какви цели ги използва, с кого ги споделя, намерението на Администратора да предаде данните на трети страни извън ЕС, срока за съхранение и мерките за сигурност, последиците при непредоставянето на данните, наличието на автоматизирано вземане на решения, правата на субекта на данни, включително правото му да подаде жалба до надзорен орган. Преди да се регистрира като потребител и да инсталира мобилното приложение, субектът на данни е длъжен да се запознае и да се съгласи с уведомлението за поверителност, за да може да използва мобилното приложение;
8.1.2. Право на достъп: това право дава възможност субектът на данни да получи копие на личните данни, които Администраторът съхранява за него, както и информация, свързана с обработването. Достъп до историята на използваните от субекта услуги и до данните, предоставени при регистрация, може да се получи чрез профила на клиента на мобилното приложение, като може също така да се подадете и специално искане за достъп;
8.1.3. Право за изтриване: това право дава възможност на субекта на данни да изиска личните му данни да бъдат изтрити, когато няма валидна причина Администраторът да продължи обработката им напр. ако е постигната целта, за която данните са събрани, или ако субектът на данни е оттеглил съгласието си. Ако са изпълнени законовите изисквания, Администраторът следва да изтрие личните данни в срок до 1 месец, освен ако няма законово задължение да продължи обработката им или запазването на данните е необходимо за установяването, упражняването или защитата на правни претенции;
8.1.4. Право на коригиране: това право дава възможност субектът на данни да изиска да бъде коригирана всяка непълна или неточна информация за него. Субектът на данни е длъжен да отбелязва своевременно всяка промяната във своите лични данни в профила си или да ни уведоми за това;
8.1.5. Право на ограничаване на обработката на данни: това право дава възможност субектът на данни да изиска от Администратора временно да преустанови обработването на личните данни, ако например желае да се установи точността на данните или причините за тяхното обработване.;
8.1.6. Право на преносимост на данните: това право е ограничено до случаите, когато данните се обработват по автоматизиран начин и са предоставени от субекта на данни на основание неговото съгласие или за целите изпълнението на договор, като дава възможност да се изиска от Администратора да предостави съхраняваните в електронна форма лични данни на субекта на данни или на трето лице.;
8.1.7. Право на възражение: в случаите, в които Администраторът разчита на легитимните си интереси като основание за обработка, субектът на данни може да възрази срещу тази обработка на основания, свързани с неговата конкретна ситуация. Има право също да направи възражение, когато обработването е за целите на директния маркетинг или данните се обработват за статистически цели;
8.1.8. Права, свързани с автоматичното вземане на решения и профилиране: субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
8.1.9. Оттегляне на съгласие: субектът на данни има право да оттегли съгласието си по всяко време в случай, че е дал такова без това да засяга обработването до този момент. Когато е дадено съгласие за целите на директния маркетинг субектът на данни може да откаже получаването на бюлетини по всяко време, като кликне върху връзката „отписване“ в изпратените от нас имейл съобщения или да промени настройките на мобилното си приложение. Ако субектът на данни е предоставил достъп до местонахождението си чрез мобилното устройство с цел намиране на електромобили в близост, може да промени така избраните настройки.
8.1.10 Право на жалба: Ако субектът на данни счита, че някое от правата му е било нарушено има право да подаде жалба до надзорния орган Комисия за защита на личните данни - https://www.cpdp.bg/.
8.2. Исканията могат да бъдат подадени от субекта на данни или от упълномощено от него лице, като Администраторът взема мерки, за да потвърди самоличността на субекта на данни с цел защита на данните. Администраторът е длъжен да обработи исканията на субектите на данни, посочени в т. 8.1.2 - 8.1.9 от настоящата политика, в сроковете, определени в ОРЗД.
8.4. Администраторът има право да откаже основателно на Субекта на данни упражняването на правата му или да наложи разумна такса при условията, предвидени в член 12, параграф 5, буква б) от ОРЗД.
9. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ
9.1. Съгласно ОРЗД, в случаите когато основните дейности на Администратора се състоят от операции по обработка, които изискват редовен и систематичен мониторинг на Субектите на данни в голям мащаб или когато основните дейности на Администратора или Обработващия се състоят от обработване в големи мащаби на специални категории лични данни, наличието на Длъжностно лице по защита на данните е задължително.
9.2. Правата и задълженията на Длъжностното лице по защита на данните са описани подробно в ОРЗД, приложенията към Политиката, длъжностните характеристики, ако длъжността е заета от служител на Администратора, или в договора за услуги, ако длъжността Длъжностно лице по защита на данните се заема от външен доставчик на услуги.
9.3. С оглед горепосочените критерии и дейностите, извършвани от Администратора, последният не е длъжен да назначава Длъжностно лице по защита на данните.
10. ПРОЦЕДУРА ЗА УПРАВЛЕНИЕ НА НАРУШЕНИЯТА НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ И СПРАВЯНЕ С ТАКИВА НАРУШЕНИЯ
10.1. Ако служителите на Администратора, имащи право на достъп до данните, забележат или бъдат уведомени за нарушения на сигурността на данните (бездействие или действия от страна на лицата, които могат да доведат или са довели до риск за сигурността на данните), те следва да уведомяват отговорното лице и своя пряк ръководител.
8.2. Като се вземат предвид рисковите фактори за нарушаване на сигурността на данните, степента на въздействие на нарушението, вредите и последствията, спазвайки съответните вътрешни процедури, Администраторът взема решения относно необходимите мерки за отстраняване на нарушението на сигурността на данните и последствията от него и за уведомяване за съответните лица.
11. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ
11.1. Организационните и технически мерки за сигурност на данните, въведени от Администратора, осигуряват такова ниво на сигурност, което съответства на естеството на данните, обработвани от Администратора, и на риска от обработката на данните, включително, но не само, мерките, посочени в настоящия раздел.
11.2. Мерките за сигурност на личните данни включват следното:
11.2.1. Административни (установяване на процедура за сигурност на документи и компютърни данни и техните архиви и организация на работата в различни сфери на дейност, задължително обучение по защита на личните данни на персонала, който е нает към момента, и при напускане на работа / уволнение, декларации за конфиденциалност и забрана за разкриване на лични данни, процедура за предоставяне на достъп до информационни системи, и т.н.);
11.2.2. Техническа и софтуерна защита (администриране на сървъри, информационни системи и бази данни, поддръжка на работните места, защита на операционни системи, наблюдение (контрол) на достъпа на потребителите, защита от компютърни вируси и др.);
11.2.3. Администриране на информационни системи и бази данни, поддръжка на работни места, защита на операционни системи, защита от компютърни вируси и др .;
11.2.4. Защити за комуникационните и компютърни мрежи (технически и софтуерни мерки за кодиране и предаване на данни за общо ползване, приложения, Лични данни, филтриране на нежелани пакети данни и др.).
11.2.5. Двуфакторната удостоверяване/верификация (2FA), която действа като допълнителна мярка за сигурност, има за цел да гарантира, че Клиентът е единственото лице, което има достъп до неговия акаунт, дори ако други лица знаят паролата му.
11.3. Горепосочените мерки за защита на личните данни осигуряват: 1) оборудване на хранилището за копия на операционни системи и бази данни, контрол на съхранението на копирната техника; 2) технология за непрекъсната работа с данни (обработка); 3) стратегия за възстановяване на функционирането на системите в спешни случаи (управление на несигурностите); 4) система за уникална идентификация на потребителя и парола; 5) физическо (логическо) разделяне на средата за тестване на приложения от процесите в оперативен режим; 6) регистрирано използване на данни и неприкосновеност на данните.
11.4. Администраторът следва да въведе процедура за възстановяване на Лични данни в случай на инцидентна загуба на Данните. Администраторът прави резервни копия на данните, налични в системата. Данните се извличат съгласно вътрешната процедура, използвайки софтуера на Amazon Web Services от библиотеките за резервно копирно оборудване. При всички случаи архивите на данните се съхраняват, без да се засяга периодът за съхранение на данни, посочен в Политиката.
11.5. Администраторът прилага и други мерки, гарантиращи сигурността на личните данни:
11.5.1. Технологията VPN се използва за отдалечено свързване към вътрешната мрежа на Администратора, а за идентифициране на потребителя се използва цифров сертификат;
11.5.2. Достъпът до лични данни чрез организационни и технически мерки за сигурност на данните, които регистрират и контролират усилията за регистриране и придобиване на права, подлежат на надлежен контрол;
11.5.3. Водят се следните записи при влизане в базата данни от лицата, на които е предоставено правото да обработват лични данни: идентификатор при влизане, дата, час, продължителност, резултат от влизането (успешен, неуспешен). Горепосочените записи се съхраняват в продължение на най-малко 1 (една) година;
11.5.4. Необходимо е да се гарантира сигурността на помещенията, в които се съхраняват Лични данни (достъп до съответните помещения единствено от оторизирани лица и др.);
11.5.5. Исканията за търсене на предоставените лични данни трябва да имат за цел идентифициране на лицето;
11.5.6. Необходимо е да бъдат полагани усилия за гарантиране на използването на защитни протоколи и / или пароли при предоставяне на лични данни чрез външни мрежи за пренос на данни;
11.5.7. Необходимо е да се осигури контрол върху сигурността на личните данни на външни носители на данни и електронната поща и изтриването им след използване на Личните данни чрез прехвърлянето им в базите данни;
11.5.8 Спешните действия за възстановяване на лични данни (кога и кой е извършил действията за възстановяване на лични данни с автоматични и неавтоматични средства) се записват;
11.5.9. Необходимо е да се гарантира, че тестването на информационни системи не се извършва с реални лични данни, освен в случаите, когато се използват организационни и технически мерки за защита на личните данни, гарантиращи реална сигурност на личните данни;
11.5.10. Личните данни в преносими компютри, ако последните не се използват в мрежата за пренос на данни на Администратора, следва да бъдат защитени посредством съответните мерки, отговарящи на риска при обработване.
11.6. Администраторът прилага подходящи технически и организационни мерки, осигуряващи стандартизирана обработка на лични данни, която е необходима за конкретната цел на обработката на данни. Горепосоченото задължение се прилага за съответното количество събрани Лични данни, обхвата на тяхната обработка, периода на съхранение на Лични данни и достъпността на личните данни.
12. ДАННИ ЗА КОНТАКТ
12.1. Можете да се свържете с нас с въпроси, свързани с настоящата политика и / или защитата на данните като цяло, използвайки следните данни за контакт:
Електронна поща: privacy@eldrive.eu
Тел. +359 2 4897 047
13. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
13.1. Политиката се преразглежда ежегодно по инициатива на администратора и / или в случай на промени в нормативните актове, регламентиращи обработката на лични данни.
13.2. Политиката и измененията към нея влизат в сила от датата на тяхното одобрение.