Política de privacidad - Dias Flooring

POLÍTICA DE PRIVACIDAD DE "DIAS BULGARIA" EOOD,

con UIC 200203682, (abreviado "la Sociedad")

I. Declaración de confidencialidad

1. La dirección de la Empresa se compromete a garantizar el cumplimiento de la legislación de la UE y de los Estados miembros relativa al tratamiento de datos personales y a la protección de los derechos y libertades de las personas cuyos datos personales recopila y trata la Empresa, de conformidad con el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y demás legislación aplicable.

2. De conformidad con el Reglamento, se ha elaborado la presente Política de Privacidad "la Política", a la que se adjuntan otros documentos pertinentes y los procesos y procedimientos relacionados.

3. La Política se aplica a todas las funciones de tratamiento de datos personales, incluidas las que se llevan a cabo en relación con los datos personales de clientes, empleados, proveedores y socios y cualquier otro dato personal que la Empresa trate a partir de diversas fuentes.

4. La Empresa revisará anualmente la Política a la luz de cualquier cambio en su actividad y cumplirá con cualquier requisito adicional y llevará a cabo evaluaciones de impacto sobre la protección de datos.

5. Esta Política se aplica a todos los empleados y otros terceros a los que la Empresa se la haya facilitado en relación con el tratamiento de datos personales de los interesados. Cualquier infracción del Reglamento o de la Política se tratará como una infracción de la disciplina laboral y, en caso de que exista una acusación de delito penal, el asunto se remitirá a las autoridades gubernamentales pertinentes lo antes posible.

6. Los socios y terceros que trabajen con o para la Empresa, y que tengan o puedan tener acceso a datos personales, deberán leer, comprender y cumplir esta Política. Ningún tercero podrá tener acceso a datos personales que obren en poder de la Empresa sin haber suscrito previamente un acuerdo de confidencialidad de datos que imponga al tercero obligaciones no menos onerosas que las asumidas por la Empresa y que la faculte para llevar a cabo comprobaciones sobre el cumplimiento de las obligaciones impuestas por el acuerdo.

II. Deberes y funciones en virtud del Reglamento

1. La Sociedad puede tratar datos personales tanto en calidad de responsable del tratamiento de datos personales (determinando ella misma los fines y los medios del tratamiento) como en calidad de encargado del tratamiento que actúa por cuenta de terceros responsables del tratamiento de datos personales. La Sociedad lleva a cabo sus principales actividades de tratamiento de datos personales como responsable del tratamiento de datos personales.

2. La dirección de la empresa es responsable de desarrollar y promover las mejores prácticas en el tratamiento de la información.

3. El cumplimiento de la legislación sobre protección de datos es responsabilidad de todos los empleados que tratan datos personales.

III. Principios de protección de datos

El tratamiento de datos personales debe llevarse a cabo de conformidad con los principios de protección de datos establecidos en el artículo 5 del Reglamento. Las políticas y procedimientos de la Empresa están diseñados para garantizar el cumplimiento de estos principios.

1. Los datos personales deben tratarse de forma lícita, leal y transparente

Legítimo - La empresa debe identificar una base legítima antes de tratar los datos personales pertinentes. Esta base jurídica suele denominarse "motivo del tratamiento", por ejemplo "consentimiento".

Equitativo: para que el tratamiento sea equitativo, el responsable del tratamiento debe facilitar determinada información a los interesados en la medida de lo posible. Esto se aplica tanto si los datos personales se obtienen directamente de los interesados como de otras fuentes.

El Reglamento aumenta los requisitos sobre la información que debe ponerse a disposición de los interesados y que está cubierta por el requisito de "transparencia".

Transparente - El Reglamento incluye normas sobre el suministro de información confidencial a los interesados en los artículos 12, 13 y 14 del Reglamento. Son detalladas y específicas, y hacen hincapié en que los avisos de confidencialidad sean comprensibles y accesibles. La información debe comunicarse al interesado de forma inteligible, utilizando un lenguaje claro y comprensible.

La información específica que debe facilitarse al interesado debe incluir como mínimo:

los datos de identificación del responsable del tratamiento y los datos de contacto del responsable y, en su caso, de su representante;
los contactos del RPD/DPO si el responsable del tratamiento considera que entra en el ámbito de aplicación de la designación obligatoria de dicha persona;
los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; el periodo durante el cual se conservarán los datos personales;
la existencia de los siguientes derechos: a solicitar el acceso, la rectificación, la supresión (derecho al olvido), la limitación del tratamiento, y el derecho a oponerse a las condiciones (o a la ausencia de las mismas) relativas al ejercicio de estos derechos;
categorías de datos personales;
los destinatarios o categorías de destinatarios de los datos personales, en su caso;
en su caso, si el responsable del tratamiento tiene intención de transferir los datos personales a un destinatario en un tercer país y el nivel de protección de los datos;
derecho de recurso;
la fuente de los datos personales y, en su caso, si los datos proceden de una fuente de acceso público; la existencia de toma de decisiones automatizada, incluida la elaboración de perfiles;
cualquier información adicional necesaria para garantizar un tratamiento justo.

2. Los datos personales sólo podrán recogerse con fines específicos, explícitos y legítimos

Los datos obtenidos para fines específicos no deben utilizarse para un fin distinto de aquel para el que se recogieron previamente (artículo 30 del Reglamento).

3. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para el tratamiento con el fin en cuestión (principio del mínimo necesario).

El Administrador velará por que la Sociedad no recopile información que no sea estrictamente necesaria para el fin para el que se obtuvo.

Todos los formularios de recogida de datos (electrónicos o en papel), incluidos los requisitos de recogida de datos en nuevos sistemas de información, deben incluir una declaración de tratamiento leal o un enlace a una declaración de confidencialidad o a la presente política (Aviso de tratamiento leal).

4. Los datos personales deben ser exactos y estar actualizados en todo momento, y deben realizarse esfuerzos razonables para permitir su supresión o corrección sin demora (dentro de los límites de las posibles soluciones técnicas).

Los datos en poder del responsable del tratamiento deben revisarse y actualizarse cuando sea necesario. Los datos no deben almacenarse cuando sea probable que sean inexactos.

El director se asegurará de que todo el personal reciba formación sobre la importancia de recopilar datos precisos y de mantenerlos cuando se contrate.

Asimismo, es obligación del interesado, respectivamente del responsable del tratamiento -en los casos en que la Empresa actúe como encargada del tratamiento de datos personales-, declarar que los datos que transmite para su almacenamiento por la Empresa son exactos y están actualizados. La cumplimentación de un formulario por parte del interesado/responsable del tratamiento destinado a la Sociedad incluirá una declaración de que los datos contenidos en el mismo son exactos en la fecha de envío.

Debe exigirse a los empleados/trabajadores, clientes y proveedores de productos/servicios que notifiquen a la empresa cualquier cambio de circunstancias para que puedan actualizarse los registros de datos personales. Es responsabilidad de la empresa garantizar que toda notificación relativa a un cambio de circunstancias quede registrada y se actúe en consecuencia.

El Director de la Empresa declara que se han establecido procedimientos y políticas adecuados para mantener la exactitud y actualidad de los datos personales, teniendo en cuenta el volumen de datos recogidos, la velocidad a la que pueden cambiar y otros factores pertinentes.

Al menos una vez al año, el responsable de la empresa revisará los periodos de conservación de todos los datos personales que trate, consultando el inventario de datos e identificando aquellos que ya no sean necesarios en el contexto de la finalidad registrada. Dichos datos se destruirán de forma segura de conformidad con los procedimientos y políticas del responsable del tratamiento.

El Responsable de la Sociedad alineará los datos personales pertinentes con las solicitudes de corrección de datos debidamente recibidas en el plazo de un mes a partir de la fecha de recepción de la solicitud, de conformidad con las normas internas para la gestión de las solicitudes de los interesados. Este plazo podrá prorrogarse otros dos meses en el caso de solicitudes complejas. Si decide no atender la solicitud, la Empresa responderá al interesado para explicarle sus motivos e informarle de su derecho a presentar una reclamación ante la autoridad de control y a solicitar una reparación legal.

El director de la empresa tomará las medidas adecuadas cuando terceras organizaciones dispongan de datos personales inexactos u obsoletos, les informará de que la información es inexacta u obsoleta y no se está utilizando para tomar decisiones sobre las personas, informará a las personas afectadas y remitirá cualquier corrección de los datos personales a terceros cuando sea necesario.

5. Los datos personales deben conservarse de forma que el interesado sólo pueda ser identificado durante el tiempo necesario para su tratamiento.

Cuando los datos personales se conserven más allá de la fecha de tratamiento, se almacenarán de forma adecuada (encriptados, seudonimizados) para proteger la identidad del interesado en caso de violación de los datos.

Los datos personales se almacenarán de acuerdo con las normas internas de conservación y destrucción de datos descritas en la Sección VIII de la Política y, una vez transcurrido su periodo de conservación, deberán destruirse de forma segura en la forma especificada en este procedimiento.

El Gobernador aprobará toda conservación de datos que exceda el período de conservación previsto en la presente Política y deberá garantizar que la justificación esté claramente definida y cumpla los requisitos de la legislación sobre protección de datos. Esta aprobación deberá constar por escrito.

6. Los datos personales deben tratarse de forma que se garantice una seguridad adecuada (art. 24, art. 32 del Reglamento).

El responsable de la empresa realizará una evaluación de impacto (evaluación de riesgos) teniendo en cuenta todas las circunstancias relativas a las operaciones de gestión o tratamiento de datos.

Para determinar si el tratamiento es adecuado, el responsable de la empresa tendrá en cuenta el alcance de cualquier daño o pérdida potencial que pueda causarse a las personas (por ejemplo, al personal o a los clientes) si se produce una violación de la seguridad, así como cualquier posible daño a la reputación del responsable del tratamiento, incluida cualquier posible pérdida de confianza de los clientes.

A la hora de evaluar las medidas técnicas adecuadas, el Director de la empresa tendrá en cuenta las siguientes opciones:

Protección por contraseña;
Bloqueo automático de los puestos de trabajo inactivos en la red;
Elimine los derechos de acceso para USB y otros medios de almacenamiento portátiles;
Software antivirus y cortafuegos;
Derechos de acceso basados en funciones, incluidos los del personal asignado temporalmente
La protección de dispositivos que salen de las instalaciones de la organización, como ordenadores portátiles u otros;
Seguridad de las redes locales y de área extensa;
Tecnologías de mejora de la privacidad, como la seudonimización y la anonimización.

A la hora de evaluar las disposiciones organizativas adecuadas, el director de la empresa tendrá en cuenta lo siguiente:

Niveles de formación adecuados;
Medidas que tienen en cuenta la fiabilidad de los empleados (por ejemplo, evaluaciones, referencias, etc.);
Inclusión de la protección de datos en los contratos de trabajo;
Determinación de medidas disciplinarias por infracciones en materia de tratamiento de datos;
Comprobación periódica del cumplimiento de las normas de seguridad pertinentes por parte del personal;
Controlar el acceso físico a los registros electrónicos y en papel;
La adopción de una política de "lugar de trabajo limpio";
Guarde la base de datos en papel en armarios murales con cerradura;
Limite el uso de dispositivos electrónicos portátiles con fines laborales fuera del lugar de trabajo;
Restringir el uso de dispositivos personales en el lugar de trabajo;
Adopte normas claras para la creación y el uso de contraseñas;
Hacer copias de seguridad periódicas de los datos personales y almacenar físicamente los soportes con copias fuera de las instalaciones;
Imponer obligaciones contractuales a las organizaciones contraparte para que adopten medidas de seguridad adecuadas al transferir datos fuera de la UE.
Estos controles se seleccionan en función de los riesgos identificados para los datos personales, así como del potencial de perjuicio para las personas cuyos datos se tratan.

7. Cumplimiento del principio de responsabilidad

La empresa demostrará el cumplimiento de los principios de protección de datos mediante la aplicación de políticas de protección de datos, la suscripción de códigos de conducta, la aplicación de medidas técnicas y organizativas adecuadas, así como mediante la protección de datos por defecto, las evaluaciones de impacto de la protección de datos, el procedimiento de notificación de violaciones de datos, etc.

IV. Datos personales tratados por la Empresa

Trata los datos personales de sus clientes, empleados y otras personas con las que mantiene una relación contractual o a las que la ley obliga a tratar sus datos del siguiente modo (Registro):

1. Empleados de la empresa

Proceso (descripción)	Datos personales tratados	Terceros destinatarios de datos personales	Periodo de conservación de los datos personales	Método de tratamiento
Selección de empleados	Datos de contacto (nombre, teléfono, dirección de correo electrónico), datos sobre la formación y la experiencia laboral y demás información facilitada por el solicitante.	Jobs.bg, proveedores de servicios de contratación	6 meses desde la recepción de los datos	por medios no automatizados - en papel por medios automatizados - ordenador, disco duro, servidor en la nube
Celebración de contratos civiles	Nombres, número de identificación, datos l.k., dirección permanente, IBAN, teléfono, dirección de correo electrónico	Proveedores externos de servicios contables, ANR, INSS, FAB	Contratos civiles y protocolos de trabajo entregados: hasta 5 años a partir del 1 de enero del año siguiente al de su expedición (a efectos de control fiscal y de la Seguridad Social).	por medios no automatizados - en papel por medios automatizados - ordenador, disco duro, servidor en la nube
Administración de las relaciones laborales - pago de salarios	Nombres, IBAN, antigüedad, otros datos personales de la nómina	Proveedores externos de servicios contables, ANR, INSS, MLSP, FAB	Hasta (1) la disolución de la empresa y su entrega al NEO o (2) la expiración de 50 años, lo que ocurra primero.	por medios automáticos: en un ordenador, en un disco duro, en un servidor en la nube
Administración de las relaciones laborales - baja por enfermedad y medicina del trabajo	Nombres, información sanitaria de los partes de baja por enfermedad/otros	Oficina de Medicina del Trabajo, NOI	Baja por enfermedad - 3 años a partir del 1 de enero del año siguiente al de la expedición del parte de baja Datos de los exámenes preventivos - conservados únicamente por el servicio de salud laboral	por medios no automatizados - en papel por medios automatizados - en un ordenador, en un disco duro, en un servidor en la nube
Administración de las relaciones laborales: celebración de contratos de trabajo y mantenimiento de registros laborales.	A la conclusión del contrato de trabajo - nombres, número de identificación, datos de l.c., dirección permanente, IBAN, número de teléfono, dirección de correo electrónico, certificado médico, en los casos previstos por la ley. Documentos relativos a la relación laboral - órdenes de nombramiento, rescisión del contrato de trabajo, etc., que contengan nombres, NIF, datos de l.c., importe del salario, IBAN, etc. Copia del título - sólo cuando la descripción del puesto establezca que éste requiere un determinado nivel de educación o cualificación.	ANR, NOI Empresa de contabilidad externa	Contratos de trabajo y acuerdos complementarios - órdenes de nombramiento, órdenes de reasignación, órdenes de permisos no retribuidos superiores a 30 días laborables, órdenes de cese de empleo - hasta el cese de la actividad de la empresa y su presentación al Instituto Nacional de la Seguridad Social. Expedientes de trabajo no reclamados, registro de expedientes de trabajo expedidos, certificados - 50 años. Todos los demás documentos y datos personales del expediente (copia del diploma, foto, médico de ingreso, número de teléfono, órdenes distintas de las mencionadas anteriormente, etc.) - hasta que se produzca 1) el cese de la relación laboral o 2) el fin de las relaciones con el antiguo empleado, lo que ocurra más tarde.	por medios no automatizados - en papel por medios automatizados - ordenador, disco duro, servidor en la nube

Al incorporarse a la empresa, los empleados reciben avisos detallados en relación con sus datos personales.

El responsable de la administración de los datos personales mencionados es el Director.

2. Clientes de la empresa:

Proceso (descripción)	Datos personales tratados	Terceros destinatarios de datos personales	Periodo de conservación de los datos personales	Método de tratamiento
Realización de pedidos/solicitudes/consultas a través del sitio web de laempresa: www.diasflooring.com	Nombres, número de teléfono, correo electrónico, dirección de entrega	A un transitario/transportista para la entrega y la tramitación del pago	Hasta 3 años;	por medios no automatizados - en papel por medios automatizados - ordenador, disco duro, servidor en la nube
Responder a consultas, preguntas y comentarios	La cantidad de datos personales compartidos queda a discreción del usuario/cliente - Nombres, número de teléfono, correo electrónico, dirección de envío	No se pondrán a disposición de terceros a menos que la Empresa esté obligada a ello por ley.	Hasta 6 meses	por medios no automatizados - en papel por medios automatizados - ordenador, disco duro, servidor en la nube
Notificación de actualizaciones y noticias sobre los servicios y productos que ofrecemos	La cantidad de datos personales compartidos queda a discreción del usuario/cliente - Nombres, número de teléfono, correo electrónico, dirección de envío	No se pondrán a disposición de terceros a menos que la Empresa esté obligada a ello por ley.	Hasta 3 años	por medios automáticos: en un ordenador, en un disco duro, en un servidor en la nube

Recogemos sus datos personales directamente de usted, por lo que tiene control sobre el tipo de información que nos facilita. Es posible navegar por nuestro sitio web y nuestra página de Facebook/Instagram sin proporcionarnos información personal. Sin embargo, hay situaciones específicas que pueden requerir que nos proporcione información personal.

Algunos ejemplos de casos en los que es necesario facilitar dicha información son:

- En relación con la redacción y publicación de comentarios o información adicional en nuestro sitio web y/o nuestra página de Facebook/Instagram;

- Al enviar consultas y mensajes a través de nuestro correo electrónico, a través de nuestro sitio web, a través del módulo de mensajería privada de nuestra página de Facebook/página de Instagram, a través de mensajes en el sitio de compras en línea donde la Empresa tiene un perfil y ha publicado anuncios, y por teléfono;

- Al realizar pedidos en relación con los productos ofrecidos por nosotros, que pueden realizarse por teléfono, a través del sitio web, por correo electrónico, por mensaje a nuestra página de Facebook/página de Instagram, así como por mensajes en sitios de compras en línea en los que la Empresa tiene un perfil y anuncios publicados;

- En relación con cualquier sección del sitio web en la que usted facilite información y datos personales de forma consciente y voluntaria.

El responsable de la administración de los datos personales mencionados es el Director.

Cuando utiliza su cuenta en plataformas de medios sociales como Facebook y otras, así como en sitios web de compras en línea, tenemos derecho a procesar los datos personales que ha hecho visibles en su cuenta. En resumen, procesamos su información y datos personales para los siguientes fines:

- Responder a sus consultas, preguntas y comentarios;

- Tramitación de sus pedidos;

- Notificación de actualizaciones y noticias sobre los productos que ofrecemos;

- Detectar, investigar y prevenir acciones que puedan infringir nuestras políticas o ser ilegales.

Además, podemos recopilar y posteriormente procesar cierta información sobre su comportamiento de navegación en línea en nuestro sitio web con el fin de personalizar su experiencia y adaptar las ofertas a sus intereses. Puede obtener más información a este respecto leyendo la sección sobre tratamiento que figura a continuación.

Podemos almacenar y recopilar información en nuestro sitio web utilizando cookies. "Una cookie es un pequeño archivo de texto que se almacena en el ordenador del visitante de un sitio web para identificar el navegador del visitante mientras interactúa con un sitio web. Cualquier sitio web puede enviar una cookie a un navegador si la configuración de éste lo permite. El navegador sólo permite al sitio que ha almacenado las cookies acceder a la información almacenada. Nuestro sitio web utiliza cookies para almacenar las preferencias de los visitantes individuales del sitio, y para el análisis agregado del tráfico "recordando" su ordenador, no cualquier información personal sobre usted.

Motivos y fines del tratamiento de datos personales

Utilizaremos sus datos personales para los siguientes fines:

Suministro de bienes ofrecidos a través del sitio web de la Empresa, la página de Facebook/Instagram de la Empresa, y ofrecidos en nombre de la Empresa en sitios web de compras en línea.

Este objetivo general puede incluir, en su caso, lo siguiente:

la tramitación de los pedidos, incluida la aceptación, validación y facturación de los mismos;
Resolver cualquier problema relacionado con los pedidos y las mercancías adquiridas;
presentación de reclamaciones por parte de los consumidores de conformidad con lo dispuesto en la legislación búlgara vigente;
reembolso del valor de los bienes de conformidad con las disposiciones legales;
Proporcionar asistencia, incluida la respuesta a sus preguntas en relación con los pedidos realizados por usted desde el sitio web de la Empresa, nuestra página de Facebook/página de Instagram, correo electrónico, sitios web de compras en línea en los que la Empresa tiene un perfil y anuncios publicados o a través de los números de teléfono de contacto proporcionados por nosotros.

El tratamiento de sus datos personales para estos fines es necesario en la mayoría de los casos para la celebración y ejecución de un contrato entre usted y la Empresa (incluidos los contratos verbales y a distancia, así como para los contratos sin nombre aplicables, contrato de pedido, contrato de mano de obra, contrato de entrega, contrato de compra, etc.). Además, el cumplimiento de estos fines requiere el tratamiento de acuerdo con las disposiciones legales aplicables en el territorio de la República de Bulgaria, incluida la legislación fiscal y contable.

Marketing

Es nuestro deseo que esté siempre informado de todos los próximos eventos, así como de las mejores ofertas en cuanto a productos y servicios organizados u ofrecidos por la Empresa. En este sentido, podemos enviarle todo tipo de comunicaciones a través de canales de mensajería electrónica que contengan información general y temática. Siempre nos aseguramos de que este tratamiento se lleve a cabo respetando estrictamente sus derechos y libertades, y de que las decisiones que se adopten en relación con los mismos no tengan consecuencias jurídicas para usted.

Protección de nuestros intereses legítimos

Puede haber ocasiones en las que sea necesario que utilicemos o transmitamos información para proteger los derechos de la empresa. Esto puede incluir:

- medidas para proteger el sitio web de la empresa contra los ciberataques;

- medidas para prevenir y detectar a tiempo los intentos de fraude, incluida la transmisión de información a las autoridades públicas competentes;

- medidas para gestionar otros riesgos diversos.

El motivo principal de estos tipos de tratamiento son los intereses legítimos de la Empresa,
relacionados con la protección de sus actividades, y nos aseguramos de que cualquier medida que tomemos tenga en cuenta tanto nuestros intereses como sus derechos y libertades fundamentales.

Actualmente almacenamos y procesamos sus datos personales en la República de Bulgaria.

Sin embargo, existe la posibilidad de que algunos de sus datos sean transferidos a entidades situadas dentro o fuera de la Unión Europea.

V. Derechos de los interesados

1. Cada interesado tendrá los siguientes derechos con respecto al tratamiento de datos y a los datos registrados sobre su persona:

Presentar solicitudes para confirmar si se están tratando datos personales que le conciernen y, en caso afirmativo, obtener acceso a los datos e información sobre quiénes son los destinatarios de los mismos;

Solicitar al responsable del tratamiento una copia de sus datos personales;
Solicitar al responsable del tratamiento que rectifique los datos personales cuando sean inexactos o hayan dejado de estar actualizados;
Solicitar al responsable del tratamiento que borre los datos personales (derecho al olvido);
Solicitar al responsable del tratamiento que restrinja el tratamiento de los datos personales, en cuyo caso los datos sólo se almacenarán y no se tratarán de otro modo;
Oponerse al tratamiento de sus datos personales;
Oponerse al tratamiento de los datos personales que le conciernen con fines de venta directa.
presentar una denuncia ante una autoridad de control si considera que se ha infringido alguna de las disposiciones del Reglamento;
Solicitar y recibir datos personales en un formato estructurado, de uso común y lectura mecánica;
Retirar el consentimiento para el tratamiento de datos personales en cualquier momento mediante una solicitud por separado al responsable del tratamiento;
No estar sujeto a decisiones automatizadas que le afecten en un grado significativo sin posibilidad de intervención humana;
Oponerse a la elaboración de perfiles automatizados sin su consentimiento.

2. La empresa establecerá las condiciones que garanticen el ejercicio de estos derechos por parte del interesado.

Los interesados pueden presentar solicitudes de acceso a los datos tal y como se describe en la política de gestión de solicitudes de los interesados; este procedimiento también describe cómo garantizará la empresa que la respuesta a la solicitud del interesado cumple los requisitos del Reglamento.

Los interesados tienen derecho a presentar reclamaciones a la empresa en relación con el tratamiento de sus datos personales.

VI. Consentimiento

1. Por "consentimiento", la Sociedad entenderá toda manifestación de voluntad libre, específica, informada e inequívoca del interesado, mediante una declaración o una acción claramente afirmativa, que exprese su consentimiento al tratamiento de los datos personales que le conciernen. El interesado podrá retirar su consentimiento en cualquier momento.

2. La Sociedad entiende por "consentimiento" únicamente los casos en que el interesado ha sido plenamente informado del tratamiento previsto y ha expresado su consentimiento sin haber sido sometido a presiones. El consentimiento obtenido bajo presión o sobre la base de información engañosa no será una base válida para el tratamiento de datos personales.

3. El consentimiento no puede deducirse de la falta de respuesta a una comunicación al interesado. Debe haber una comunicación activa entre el responsable del tratamiento y el interesado para que exista consentimiento. El responsable del tratamiento debe poder demostrar que se ha obtenido el consentimiento para las actividades de tratamiento.

4. Para las categorías especiales de datos, debe obtenerse el consentimiento explícito por escrito de los interesados, a menos que exista una base jurídica alternativa para el tratamiento.

5. En la mayoría de los casos, el consentimiento para tratar datos personales y categorías especiales de datos se obtiene de forma rutinaria utilizando documentos de consentimiento estándar, por ejemplo, cuando un nuevo cliente firma un contrato o durante la contratación de nuevo personal, etc.

VII. Seguridad de los datos

1. Todos los directivos/empleados son responsables de garantizar que los datos de los que son responsables y que obran en poder de la empresa se almacenan de forma segura y que los datos no se revelan bajo ninguna circunstancia a terceros, a menos que la empresa haya otorgado tales derechos a dicho tercero mediante la firma de un acuerdo/cláusula de confidencialidad.

2. Todos los datos personales deben ser accesibles únicamente a quienes los necesiten, y el acceso sólo puede concederse de acuerdo con las normas de control de acceso establecidas. 3. Todos los datos personales deben tratarse con la máxima seguridad y conservarse:

- en una sala privada con acceso controlado; y/o en un armario o archivador cerrado con llave; y/o

- si está informatizada, protegida por contraseña de conformidad con los requisitos internos establecidos en las medidas organizativas y técnicas para controlar el acceso a la información(por ejemplo, normas de control de acceso); y/o

- almacenados en soportes informáticos portátiles protegidos con arreglo a medidas organizativas y técnicas para controlar el acceso a la información.

3. Establecer disposiciones para garantizar que las pantallas de ordenador y los terminales no puedan ser vistos por nadie que no sea personal autorizado. Todos los empleados deben recibir formación y aceptar las cláusulas/declaraciones contractuales pertinentes para cumplir las medidas organizativas y técnicas de acceso y las normas de bloqueo de puestos de trabajo antes de que se les dé acceso a información de cualquier tipo.

4. Los documentos en papel no deben dejarse en lugares a los que puedan acceder personas no autorizadas y no deben sacarse de las oficinas designadas sin autorización expresa. 5. Tan pronto como los documentos en papel dejen de ser necesarios para el trabajo en curso, deberán destruirse de acuerdo con las normas internas establecidas.

5. Los datos personales sólo podrán suprimirse o destruirse de conformidad con las normas de conservación y destrucción de datos establecidas en la Sección VIII de la presente Política. Los registros en papel que hayan alcanzado su fecha de conservación deben triturarse y destruirse como "residuos confidenciales". Los datos de los discos duros de los PC redundantes deben borrarse o destruirse los discos de acuerdo con las políticas/procedimientos establecidos.

6. El tratamiento de datos personales "fuera del sitio" plantea un riesgo potencialmente mayor de pérdida, robo o violación de los datos personales, por lo que se permite con carácter excepcional.

VIII. Divulgación de datos

1. La Empresa garantizará las condiciones para que los datos personales no sean revelados a terceros no autorizados, lo que incluye a familiares, amigos, autoridades gubernamentales, incluso de investigación, si existen dudas razonables de que no es necesario según el procedimiento establecido. Todos los empleados/trabajadores deben ser cautelosos cuando se les pida que revelen datos personales de otra persona a un tercero. Es importante considerar si la revelación de la información es pertinente o no para las necesidades de la actividad que lleva a cabo la organización.

Los empleados reciben formación especial y reuniones informativas periódicas para evitar el riesgo de que se produzca una infracción de este tipo.

2. Todas las solicitudes de terceros para el suministro de datos deben estar respaldadas por la documentación apropiada y todas estas divulgaciones deben estar específicamente autorizadas por el Director de la empresa.

Destinatarios de sus datos personales

La Empresa se compromete a aplicar los más altos estándares de prácticas éticas y legales en todas sus actividades, incluyendo la protección de la privacidad de todos los usuarios del sitio web. Salvo en los casos que se indican a continuación, no divulgaremos ni permitiremos que ninguna persona ajena a la Empresa acceda a sus datos personales ni los utilice.

Dependiendo de las particularidades de cada caso, podemos transferir o facilitar el acceso a algunos de sus datos personales a las siguientes categorías de destinatarios:

proveedores de servicios bancarios y de pago;
proveedores de servicios de mensajería;
subcontratistas de servicios ofrecidos por la Empresa;
y otras categorías de personas en relación con la celebración y ejecución de contratos (incluidos los contratos verbales e informales) entre usted y la Empresa.

Nos aseguramos de que el acceso a sus datos por parte de terceros privados se realice de conformidad con las disposiciones legales en materia de protección de datos y confidencialidad de la información, sobre la base de los contratos celebrados con ellos, y están obligados a proteger la confidencialidad y seguridad de su información y datos personales. No están autorizados a utilizar, divulgar o modificar esta información en modo alguno, salvo con el fin de realizar los servicios asignados por la empresa.

Si así nos lo exige la ley o si es necesario para proteger nuestros intereses legítimos, también podremos revelar determinados datos personales a las autoridades públicas.

IX. Almacenamiento y destrucción de datos

1. No conservará datos personales en una forma que permita la identificación de los interesados durante un período superior al necesario en relación con los fines para los que se recogieron los datos.

2. Podrá conservar los datos durante periodos más largos únicamente si los datos personales van a ser tratados con fines de archivo, interés público, investigación científica o histórica y fines estadísticos, y sólo si se aplican las medidas técnicas y organizativas adecuadas para salvaguardar los derechos y libertades del interesado.

3. El periodo de conservación de cada categoría de datos personales se establece en la presente Política.

4. Los datos personales se destruirán de forma segura de conformidad con los requisitos del Art. 1(f) del Reglamento, aplicando las medidas técnicas u organizativas adecuadas contra la pérdida, destrucción o daño accidentales ("integridad y confidencialidad");

5. Una vez que cese la necesidad de tratar la categoría pertinente de datos personales, la Empresa tomará medidas para destruir los datos de conformidad con el presente Reglamento.

6. Todos los datos personales almacenados en papel se destruirán en las oficinas de la empresa mediante un dispositivo de destrucción (trituradora). En caso de que no se disponga de dicho dispositivo en el momento en que surja la obligación de destruir, los datos se destruirán mediante trituración con tijeras y la persona responsable de la destrucción se asegurará de que los datos no puedan recuperarse tras la trituración. Cuando el soporte de papel en cuestión contenga también otros datos que la empresa siga tratando sobre una base jurídica específica, los datos innecesarios se borrarán del soporte de papel por medios que no permitan su recuperación;

7. Los datos almacenados en forma de mensajes electrónicos (correos electrónicos) se destruyen mediante borrado permanente (borrado tras el cual los correos electrónicos no son recuperables).

8. Los datos personales almacenados en formato electrónico se borrarán de forma que no permitan su recuperación.

9. Una vez llevada a cabo la destrucción de datos personales, la persona que la haya efectuado emitirá un informe especial, que contendrá información sobre la categoría de los datos personales, la forma en que estaban almacenados, el motivo de la destrucción, el método de destrucción segura, la fecha de destrucción, el nombre y la firma de la persona que la haya efectuado.

X. Registro de tratamiento de datos (inventario de datos)

1. La empresa utiliza un proceso de inventario de datos como parte de su enfoque para abordar los riesgos y oportunidades en el proceso de cumplimiento de la Política de Cumplimiento Normativo. El inventario de datos y el flujo de trabajo de datos identifican:

procesos empresariales que utilizan datos personales;
las fuentes de datos personales;
el número de interesados;
una descripción de las categorías de datos personales y de los elementos de cada categoría;
actividades de tratamiento;
los fines del tratamiento a que se destinan los datos personales;
la base jurídica del tratamiento;
los destinatarios o categorías de destinatarios de los datos personales;
principales sistemas y ubicaciones de almacenamiento;
todos los datos personales sujetos a transferencias fuera de la UE;
plazos de conservación y supresión.

2. La Empresa es consciente de los riesgos asociados al tratamiento de determinados tipos de datos personales.

3. La empresa evaluará el nivel de riesgo para las personas asociado al tratamiento de sus datos personales. Se llevan a cabo evaluaciones de impacto de la protección de datos en relación con el tratamiento de datos personales y en relación con el tratamiento realizado por otras organizaciones en nombre de la Empresa.

4. La empresa gestionará cualquier riesgo identificado por la evaluación de impacto para reducir la probabilidad de incumplimiento de estas normas.

XI. Quejas

Tiene derecho a presentar una reclamación ante la autoridad de control local sobre el tratamiento de sus datos personales. En el territorio de la República de Bulgaria, los datos de contacto de la autoridad supervisora de la protección de datos son los siguientes:

Comisión de Protección de Datos

Dirección. Sofía, bul. "2 Tsvetan Lazarov Street", Sofía

Tel. +359 2 915 3580; fax: +359 2 915 3525

Correo electrónico: kzld@cpdp.bg

Página web: http://www.cpdp.bg/

Sin limitar en modo alguno su derecho legal a ponerse en contacto con el supervisor en cualquier momento, le rogamos que se ponga en contacto con nosotros con antelación y le garantizamos que haremos todo lo posible por resolver amistosamente cualquier problema que surja.

Ponerlo en conocimiento de las personas mencionadas en esta Política.

Esta Política de Privacidad ha sido aprobada por el Director de la Sociedad.

gr. Sofía/2024

Inicio de sesión