Вашата оценка

Политика за лични данни

ПОЛИТИКА ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ И ЗАЩИТАТА ИМ СРЕЩУ НЕЗАКОННИ
ФОРМИ НА ОБРАБОТВАНЕ В „
2М-КО " ООД
 
 
 
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
 
Чл. 1. Настоящите правила за технически и организационни мерки и допустимия вид на защита на личните данни, наричани за краткост „Правилата“, уреждат организацията на обработване на лични данни на клиентите на 2М-КО ООД, ЕИК BG121189808, както и тяхната защита.
Туроператор 2М-КО ООД с адрес по регистрация: гр. София 1164, ул. „Милин камък“ 33/Б, ЕИК BG121189808 и адрес за кореспонденция: гр. София 1000, ул.“6-ти септември“26, обработва лични даннив качеството си на администратор на лични данни,  вписан от Комисията за защита на личните данни в „Регистъра на администраторите за лични данни и на водените от тях регистри“ с идентификационен № 198766 от 15.12.2011г.
Контакт с 2М-КО ООД, във връзка с обработка на Ваши лични данни, може да се осъществи по телефон 02 988 38 67 и 0885 35 59 87, по електронна поща 2mko@2mko.com, както и да пишете на адрес гр. София- 1000, ул. „6-ти септември“ 26.
 
Чл. 2. (1) Обработването на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  1. Обработването на лични данни се състои и в осигуряване на достъп до определена информация само на лица, чиито служебни задължения или конкретно възложени задачи налагат такъв достъп.
 
Чл. 3. Дружеството е администратор на лични даннии и като такова води регистър „Клиенти“.
 
Чл. 4. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което може да бъде идентифицирано, пряко или непряко чрез нея (например име, ЕГН, данни за местонахождение, онлайн идентификатор) или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице (пол, раса, етнически произход, политически убеждения, членство в синдикални организации, сексуална ориентация и др.).
(2) Личните данни се обработват на следните принципи:
(а) законосъобразност, добросъвестност и прозрачност;
(б) ограничение на целите – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес или за статистически цели не се счита за несъвместимо с първоначалните цели;
(в) свеждане на данните до минимум – събират се само лични данни,ограничени до необходимото във връзка с целите, за които се обработват;
(г) ограничение на съхранението – личните данни са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес или за статистически цели, при условие че бъдат приложени подходящи технически и организационни мерки с цел да бъдат гарантирани правата и свободите на физическите лица, чиито данни се обработват;
(д) цялостност и поверителност - личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки.
 
Чл. 5. Личните данни се събират за конкретни, точно определени цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели.
 
 

Глава втора

РЕГИСТЪР КЛИЕНТИ
 
 
В регистър „Клиенти“ се събират и съхраняват личните данни на клиентите на  Дружеството с оглед:
  1. Индивидуализиране на съответните контрагенти.
  2. Изпълнение на нормативните изисквания на Закона за счетоводството и други относими нормативни актове.
  3. Използване на събраните данни за съответните лица за служебни цели само и единствено след получаването на надлежно съгласие от лицата за обработване на техните лични данни за следните цели:
(а)  за всички дейности, свързани със съществуването, изменението и прекратяването на договорните правоотношения, както и със събиране на вземания, произтичащи от последните - за изготвяне на всякакви документи в тази връзка (договори, допълнителни споразумения, всякакви търговски, счетоводни и други документи);
(б)   за установяване на връзка с лицата по телефон, адрес и/или електронна поща, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключените с Дружеството договори;
(в)   за водене на счетоводна отчетност;
(г)    за резервиране и закупуване на самолетни/круизни/железопътни/автобусни билети; хотелско настаняване; осигуряване на транспортно обслужване по програма;осигуряването на трансфери; участие в допълнителни екскурзии и други свързани с отганизирането и осъществяването на съответната програма; издаване на визи по съответните визови режими; издаване на застраховки /“Пътуване в чужбина“ и „Защита при отмяна на пътуване“/, както и за всички дейности, свързани с изискванията на туристическата услуга(пакет).
 
 Чл. 7. Групи данни в регистър КЛИЕНТИ:
     В регистър „Клиенти” се съхраняват следните видове лични данни относно категория „Физическа идентичност“ на лицата: имена и данни по лична карта/паспорт (ЕГН, пол, дата и място на раждане,  номер на лична карта/паспорт, дата и място на издаване, валидност, орган, който е издал документа, постоянен адрес-когато това е необходимо и относимо), телефони за връзка, електронна поща и др. Предоставят се на основание за сключването и изпълнението на договор.
 
Чл. 8. Форми на водене на регистрите.
(1) Регистри, водени на хартиен носител:
1.1. Форма на организация и съхраняване на личните данни:
-в писмена форма, като документите се съхраняват се в папки, където са обособени досиета за всеки клиент, с когото е сключен договор.  Достъпът до тези досиета е ограничен само до служителите на фирмата, обработващи лични данни на клиенти. Досиетата се съхраняват в офиса на 2М-КО ООД до 1 година след приключване на екскурзията и във външен архив на 2М-КО ООД след 1 година след приключване на екскурзията, със заключващ се механизъм, при съответна подредба на досиетата;
- в електронен форматна криптиран дигитален носител
1.2.Местонахождение на картотечните шкафове е определен във вътрешната политика защита на личните данни.
(2) Регистри, водени на технически носител:
2.1. Форма на организация и съхраняване на личните данни- картотеки и файлове
2.2. Местонахождение на компютрите: офис на фирмата
2.3. Достъп до тях: само оторизираните от фирмата оператори на лични данни
2.4. Програмно-апаратни мерки за гарантиране нивото на сигурност
Достъпът до съхраняваните в компютрите на фирмата данни е ограничен със специализиран софтуер с ограничен достъп,  а сървърите на които се съхранява информацията са разположени в страна от Европейския съюз.
2.4.1. Мрежата, изградена в офисите на Дружеството се базира изключително на комуникационни устройства, които предоставят богат набор от възможности, свързани със сигурността на достъпа до информация;
2.4.2. Работните станции, свързани в тази вътрешна мрежа са преминали през допълнително обработване - заличаване на данните, които не са необходими на съответните обработващи лични данни, и ограничаване на възможността за сваляне на информация, инсталиране на софтуер и т.н., посредством което е минимизиран рискът от изтичане на информация.
 
 
Глава трета
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
 
Чл. 9. Събиране на лични данни:
(1) Личните данни в регистър „Клиенти" се събират при воденето на преговори и съответно възлагане на поръчки от съответния клиент и подписване на договор.
(2) Администраторът/обработващият лични данни задължително информира лицето, чиито данни се събират за необходимостта от събиране на лични данни и целите, за които ще бъдат използвани, на кого ще се предоставят и срока за обработването им.
(3) След сключване на договор с клиент като основен хартиен носител на лични данни, тези документи заедно с приложените към тях други документи, се предават на обработващия лични данни. Изготвеният договор на технически носител остава в отделен файл на компютъра, като достъп до него има само обработващият лични данни
(4) На основание принципа за точност на обработваните лични данни,при необходимост от поправка на личните данни, лицата предоставят на Администратора и/или обработващия лични данни коригираните си лични данни по негово искане. Коригирането на личните данни на субекта на данните може да се извършва и по негово искане с подаването на декларация в свободен текст до Администратора/обработващия.
 
Чл. 10.(1) Дружеството възлага обработването на личните данни на обработващи. Обработването се възлага на повече от един обработващ съобразно спецификата на техните функции и с цел разграничаване на конкретните им задължения.
(2) Обработващите лични данни се определят с вътрешните правила и длъжностните характеристики на служителите на Дружеството, а в случай на превъзлагане обработката на лични данни на трето лице – обработващ - в съответния договор сключен между него и Администратора.
(3) Обработващите лични данни действат само по указание на Администратора, освен ако в закон не е предвидено друго.
 
Чл. 11. Лицата, обработващи личните данни във водените от Администратора регистър КЛИЕНТИ, са:
1.1. Лицата – служители на Дружеството, на които са възложени действия по обслужване на клиентите, изготвяне на договори, проверка на договори, писмена кореспонденция с клиентите;
1.2. Лицата, на които Дружеството е възложило обработването на личните данни по други организационни причини, извън посочените в 1.1;
Когато дейностите по настоящия член са възложени на физическо или юридическо лице, външно за Дружеството, то същото представлява обработващ лични данни и задълженията му в тази връзка се уреждат съгласно подписания между последния и Дружеството договор.
 
Глава четвърта
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА.
 
Чл. 12. Осигуряване на достъп на лицата до личните им данни:
      (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, Администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
      (2) Клиентите, имат право на достъп до личните си данни, които се съхраняват в Дружеството. За целта лицата подават писмено заявление до Дружеството, в това число и по електронен път по реда на Закона за електронния документ и електронния подпис.
      (3) Заявлението съдържа име на лицето, адрес и други данни, които го идентифицират – три имена, ЕГН, длъжност и месторабота (когато е относимо), описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес за кореспонденция, а когато заявлението се подава от упълномощено лице и нотариално заверено пълномощно. Заявлението се завежда в общия входящ регистър на Дружеството.
     (4) При получаване на заявление за достъп до собствени на заявителя лични данни, представляващият Дружеството или упълномощено от него лице разглежда заявлението за достъп. Срокът за разглеждане на заявлението и произнасяне по него е от 1 до 3 месеца от деня на подаване на искането. Администраторът предприема необходимите мерки за предоставяне на информация, която се отнася до обработването на лични данни на заявителя в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.
     (5) Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение, което отново се съобщава на заявителя по реда на предходното изречение.
     (6) Администраторът предоставя на заявителя следната информация:
     6.1.данните, които идентифицират Администратора и координатите за връзка с него, и когато е приложимо, тези на представителя на Администратора;
6.2. координатите за връзка с длъжностното лице по защита на личните данни, когато е приложимо;
   6.3. целите на обработването, за което личните данни са предназначени, както и правното основание за тяхното обработване;
   6.4. съответните категории лични данни на заявителя, които се обработват от Администратора;
   6.5. получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави по смисъла на Регламента или международни организации, както и техните гаранции за защита;
   6.6. когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
   6.7. съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със заявителя, както и правото да се направи възражение срещу такова обработване;
   6.8. Правото на жалба до Комисията за защита на личните данни.
   6.9. Съществуването на автоматизирано вземане на решения относно субекта на личните данни, включително профилиране, и съществената информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
 6.10. Когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник.
     (7) Администраторът се задължава да съобщава за всяко коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
 
Чл. 13. Достъп на трети лица до лични данни на клиенти на Дружеството.
  1. Носителите на лични данни не се изнасят извън сградата на Администратора и не се предоставят на трети лица освен в предвидените от закона и в настоящите Правила случаи.
  2. Никое трето лице няма право на достъп до личните данни на клиентите на Дружеството, освен ако същите не са изискани по надлежен ред от компетентни държавни и общински органи (органи на съдебната власт, ревизиращи държавни органи и др.) в предвидените в закона случаи. На компетентните органи се осигурява достъп до личните данни съгласно законовите изисквания в зависимост от конкретния случай.
  3. Решението си за предоставяне или отказване достъп до лични данни за съответното лице Администраторът съобщава на третите лица в подходящ срок от подаване искането, без ненужно забавяне.
 
Чл. 14.(1) Предоставянето на лични данни на КЛИЕНТ в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва при спазване на изискванията на действащото европейско и национално законодателство.
(2)Предоставяне на лични данни на КЛИЕНТ в трета държава извън тези по ал.1. се допуска само, ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
  1. Предоставяне на лични данни на КЛИЕНТ в трета държава извън тези по ал.1. , която не осигурява адекватно ниво на защита на личните данни на своя територия става само следизричнодадено от клиента свободно информирано съгласие за това.
 
Чл. 15. Срок за съхраняване на личните данни в регистър КЛИЕНТИ:
1.1. Различните носители на счетоводна и данъчна информация, съдържащи лични данни от регистър „Клиенти” - на клиентите на Дружеството, с които е сключен договор, се съхраняват в предвидените в Закона за счетоводството (ЗСч.) и в Данъчно – осигурителния процесуален кодекс (ДОПК) срокове, както следва:
(а) счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции - 10 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 2 от ЗСч.);
(б) всички останали носители на счетоводна информация, с изключение на ведомости за заплати и трудови досиета - 3 г., считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят (чл. 12, ал. 1, т. 3 от ЗСч.);
(в) документи за данъчно-осигурителен контрол - съхраняват се за срок до 5 г. след изтичане на давностния срок за погасяване на евентуални данъчни задължения на Дружеството за годината, през която договорът е прекратен/развален, считано от годината, през която съответния договор е прекратен/развален, и в случай че при прекратяването/развалянето на договора няма спорове относно неговото изпълнение.
1.2. Личните данни на клиентите, с които е сключен договор, и които не се съдържат в носителите на информация по предходната точка, се съхраняват за срок от 30 дни, считано от датата на отпадане на основанието за тяхното обработване (от прекратяването на договора – предсрочно или на друго основание, предвидено в същия, в т.ч. след изтичане на всички задължения по договора като евентуални съдебни претенции, гаранционна отговорност и др.
Ако съответният клиент, в рамките на посочения срок, изрично поиска личните му данни да бъдат изтрити (забравени) или обработването им да бъде ограничено, то съхраняването на съответните данни ще бъде преустановено и същите ще бъдат унищожени при първа възможност след получаване на искане от клиента, освен ако не е налице изрично законово основание за продължаване обработването им.
 
Чл. 16. Периодично архивиране - архивиране на личните данни на технически носител се извършва периодично всеки един месец от обработващия лични данни с оглед запазване на информацията за съответните лица в актуален вид. Същото се извършва на надеждни оптични носители (CD-носители, USB-флашки и др.), достъп до които има само обработващият съответните лични данни.
    
Чл. 17. (1) Дружеството се задължава, в случай на постъпила молба от физическо лице, чийто лични данни се обработват от Администратора, да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
  1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  2. лицето оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
  3. лицето възразява срещу автоматичното вземане на решения, прилагано от Администратора с неговите лични данни и няма други законни основания за обработването, които да имат преимущество, или лицето изрично възразява срещу обработването;
  4. личните данни са били обработвани незаконосъобразно;
  5. личните данни трябва да бъдат изтрити с цел спазване на задължение по европейското или национално право;
  6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца.
 
(2) Администраторът има право да откаже извършването на действията по ал.1, ако обработването е необходимо:
  1. За упражняването на правото на свобода на изразяването и свобода на информацията;
  2. За спазване на правно задължение, което изисква обработване, предвидено в европейското или национално законодателство, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора.
  3. По причини от обществен интерес в областта на общественото здраве.
  4. За целите на архивирането в обществен интерес, за научни или за статистически цели, доколкото съществува вероятност правото, установено в националното законодателство да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;
  5. За установяването, упражняването или защитата на правни претенции.
 
Чл. 18. (1) Преносимост на данните: Субектът на данните има право да получи личните данни, които той е представил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото е предоставил личните данни, когато:
(a) Обработването е основано на съгласието на субекта на данни или на договорно задължение;
(б) Обработването се извършва по автоматизиран начин.
(2)  Когато субектът упражнява правото си на преносимост на данните по ал.1, то той има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
 
Чл. 19. (1)В случай на нарушение на сигурността на личните данни, Администраторът, без ненужно забавяне, но не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни („КЗЛД“), освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако уведомлението до КЗЛД не е подадено в срок от 72 часа от нарушението, Администраторът трябва да съобщи и причините за забавянето.
 
(2) Уведомлението съдържа най-малко следната информация:
     1.описаниена естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
     2.посочване на името и координатите за връзка с длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
     3. описание на евентуалните последици от нарушението на сигурността на личните данни;
     4. описание на предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
 
(3) В случаите, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни. Съобщението следва да бъде дадено на ясен и прост език, да дава информация за естеството на нарушението на сигурността на личните данни и да съдържа най-малко информация относно:
1.името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
2.  евентуалните последици от нарушението на сигурността на личните данни;
3. предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
 
(4) Задължението на Администратора за уведомяване на субекта на личните данни по ал.3 не се прилага, в случай че е налице едно от следните условия:   
1.  Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
2. Администраторът  е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
3. То би довело до непропорционални усилия на Администратора. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
 
Чл. 20. Администраторът има задължение да извърши оценка на въздействието съгласно изискванията на Регламент 679/2016 ЕС, в случай че обработваните от него лични данни биха могли да породят висок риск за правата и свободите на физическите лица. Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, целостта или наличността на личните данни. Оценката на въздействието се извършва периодично на всеки две години, а при промяна на характера на обработваните лични данни или броя на засегнатите физически лица, оценката на въздействието може да бъде извършвана и по-рано.
 
Чл. 21. (1)Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването, като това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Подобни мерки гарантират, че по подразбиране без намеса от страна на субекта неговите лични данни не са достъпни за неограничен брой физически лица.
(2) При внедряване на нов програмен продукт за обработване на лични данни ръководният орган на Дружеството назначава нарочна комисия по тестване и проверка възможностите на продукта с оглед спазване изискванията на европейското и национално законодателство в тази връзка и осигуряване максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване на личните данни.
 
Чл. 22.Настоящите правила са сведени до знанието на всички служители на Дружеството, както и до назначените по граждански договор лица. За неизпълнение на задълженията по тази инструкция и действащото към съответния момент национално и европейско законодателство за защита на личните данни, съответните лица носят дисциплинарна и имуществена отговорност.

 
Данни по чл. 13 и чл. 14 от РЕГЛАМЕНТ (ЕС)2016/679  НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
 
Личните данни, предмет на обработка, се събират от фирма 2М-КО ООД с адрес по регистрация: гр. София 1164, ул. „Милин камък“ 33/Б, ЕИК BG121189808 и адрес за кореспонденция: гр. София 1000, ул.“6-ти септември“ 26, в качеството си на администратор на лични данни,  вписан от Комисията за защита на личните данни в „Регистъра на администраторите за лични данни и на водените от тях регистри“ с идентификационен № 198766 от 15.12.2011г.
Лични данни, които се обработват във връзка с туроператорската дейността на фирмата са следните:
При подписване на договор: три имена по лична карта, ЕГН, номер на лична карта и дата и място на издаване, адрес;
При издаване на застрахователни полици- три имена по паспорт/лична карта, адрес, телефон и ЕГН, пол;
При съдействие за издаване на визи и при организиране на пътуване в страна с визов режим: три имена по паспорт, други използвани имена, пол, семейно положение, роднински връзки, място и дата на раждане, националност, номер на паспорт/лична карта, копие на паспорт/лична карта, паспортни данни: държава/град/ орган на издаване,  дата на издаване, срок на валидност, адрес по лична карта и пощенски код, адрес за кореспонденция и пощенски код, телефонен номер, имейл адрес, информация за семейството /дата на раждане, работа и образование, информация, свързана със сигурността и здравето, дигитални данни и снимка;
При организиране на пътуване в страна без визов режим- три имена по паспорт/лична карта, копие на лична карта/паспорт, дата на раждане, ЕГН, дата на издаванеи валидност на документа за самоличност с който ще се пътува;
При закупуване на самолетен билет: три имена по паспорт/лична карта, дата на раждане, номер на паспорт/лична карта, дата на издаване и валидност на документа за самоличност с който ще се пътува и данни на визата (ако се изисква такава)
За счетоводството и свързаните с него дейности: три имена, ЕГН, адрес
Възможно е да се наложи да се съберат и други не упоменати по-горе лични данни, нуждата от които е възникнала в последствие при работата за осигуряване и обработка на съответните заявени от клиента услуги. Обработването на лични данни се прави единствено с цел да предоставят исканите услуги и да се защитят собствените законни бизнес интереси.
 
Данните се обработват в съответствие с Регламент (ЕС) № 2016/679 от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
 
Личните данни ще се предоставят на трети лица във връзка с предоставяне на съответните услуги. Такива трети лица се явяват: хотели, контрагенти- местни и чуждестранни, авиокомпании, резервационни системи, местни туристически агенти, транспортни фирми, застрахователни дружества и други.
 
Съхранението на личните данни става в законоустановените срокове в зависимост от целите за които са събрани.
 
Личните данни не се използват за профилиране, както и за директен маркетинг
 
Субектът на личните данни има правата съобразно РЕГЛАМЕНТ (ЕС) 2016/679https://www.cpdp.bg/?p=element&aid=991 ,  а именно:
  • да иска достъп до собствените си лични данни- има право да получи от АЛД информация за това дали обработва лични данни, свързани с него, и ако това е така, да получи достъп до самите данни, както и до информация за категориите лични данни, които се обработват, целите на обработването, получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации; когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
  • да иска корекция, изтриване или ограничаване на обработването на данните;
  • да прави възражения срещу обработването на данните- субектът има право да възрази срещу обработката на собствени лични данни в случаите, в които администраторът на лични данни (АЛД) ги обработва въз основа на обществен интерес или въз основа на фирмени легитимни интереси, когато смята, че в неговия конкретен случай това обработване е несъвместимо със защитата на личните му интереси, права и свободи. В такива случаи, ако АЛД не може да докаже, че съществуват убедителни легитимни основания за обработването на личните данни, които имат предимство пред субективните интереси, права и свободи, или че обработването е необходимо за установяването, упражняването или защитата на правни претенции, АЛД прекратява обработването на личните данни на субекта.
  • право на преносимост на данните- субектът на личните данни има право да получи личните данни, които го засягат и които сте предоставени на АЛД  в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от стана на АЛД;
  • право на възражение срещу профилиране
  • правото на жалба до надзорен орган- в случай, че субектът на данните смята, че личните му данни се обработват от АЛД в нарушение на разпоредбите на приложимото законодателство, включително, но не само, Общия регламент относно защитата на данните и Законна за защита на личните данни, той има право да подадете жалба до надзорния орган в държавата членка на Европейския съюз на обичайното си местопребиваване, място на работа или място на предполагаемото нарушение.
В нашата страна компетентният надзорен орган е Комисията за защита на личните данни
https://www.cpdp.bg/?p=pages&aid=6
 
 Политика за лични данни "2 М-КО"
Прикачен файл