Политика

Политика за защита на данните

Последно изменение: 23 октомври 2019г.

Неприкосновеността на Вашия личен живот е важна за нас. Разработихме настоящата Политика за защита на данните, за да Ви позволим да разберете как събираме, използваме, съхраняваме, споделяме, предаваме, разкриваме, изтриваме или обработваме по друг начин Вашите Лични данни (операции, наричани заедно „обработване“). Тази Политика за защита на данните описва мерките, които предприемаме, за да осигурим и гарантираме защитата на Вашите Лични данни. С нея също така Ви информираме как да се свържете с нас, за да отговорим на всякакви въпроси, които имате относно защитата на данните. 


Обхват


Политиката за защита на данните се прилага за дружеството „Содексо Пасс България” ЕООД (наричано по-долу „Содексо“), за всички дейности и във всички географски райони, в които оперираме.


Разпоредбите на настоящата Политика се отнасят до обработването на Лични данни, събирани от Содексо директно или индиректно от всички физически лица, включително, но не само, от настоящите, предходни или бъдещи кандидати за работа в Содексо, служители, клиенти, потребители, деца, доставчици/търговци, изпълнители/подизпълнители, акционери/съдружници или трети лица, като под „Лични данни“ се разбира всякакви данни, отнасящи се до идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано със средствата, които има вероятност да бъдат използвани от Содексо.


В тази Политика „Вие“ и „Ваша“ означава всяко засегнато физическо лице. „Ние“, „нас“, „нашият“ и „Содексо“ означава дружеството „Содексо Пасс България” ЕООД.


Събиране и обработване на вашите лични данни 


Съответствие с европейското и с приложимото национално законодателство за защита на данните 


Ние се ангажираме да спазваме цялото приложимо законодателство, свързано със защитата на  Личните данни, и гарантираме, че Личните данни ще бъдат събирани и обработвани в съответствие с правото на ЕС в сферата на защита на данните и с всяко друго национално право на държавите-членки, ако такова е приложимо. 


Законосъобразност, добросъвестност и прозрачност 


Ние не събираме или обработваме Лични данни, без да имаме законосъобразна причина да правим това. Може да се наложи да събираме и обработваме Ваши Лични данни, когато това е необходимо за изпълнението на договор, по който Вие сте страна или когато това се изисква за спазване на законово задължение, което се прилага спрямо нас, или когато е необходимо – с Вашето предварително съгласие. Също така можем да събираме и обработваме Вашите лични данни за целите на законните интереси на Содексо, освен когато пред такива интереси преимущество имат Вашите собствени интереси или основни права и свободи.


Когато събираме и обработваме Ваши Лични данни, ние ще Ви предоставим Декларация за поверителност със справедлива и пълна информация за това кой отговаря за обработването на Вашите Лични данни, за какви цели се обработват Вашите Лични данни, кои са техните получатели, какви са Вашите права и начините за упражняването им и др., освен ако това се окаже невъзможно или изисква несъразмерно големи усилия от наша страна.


Когато това се изисква от приложимото законодателство, ние ще потърсим Вашето предварително съгласие (примерно, преди да започнем събирането от Вас на каквито и да е Чувствителни лични данни).


Законност и ограничаване на целите, свеждане на данните до мимимум 


Вашите Лични данни се събират за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели. 


Когато Содексо действа за свои собствени цели, Вашите Лични данни се обработват основно, но не само, за следните цели: управление на персонала, управление на човешките ресурси, счетоводство и финансов мениджмънт и съответните проверки и отчитане, финанси, управление на паричните потоци и данъците, управление на риска, управление на физическата безопасност на служителите, опериране на активни директории, ИТ инструменти или уебсайтове и всякакви други цифрови решения или платформи за сътрудничество, ИТ поддръжка, включително управление на информационна инфраструктура, системи и приложения, управление на здравето и безопасността, управление на информационната сигурност, управление на взаимоотношенията с клиенти, изготвяне и предоставяне на оферти, управление на продажбите и маркетинга, управление на доставките, вътрешна и външна комуникация, управление на събития, спазване на задълженията за борба срещу изпирането на пари или други законови изисквания, операции за анализиране на данни, юридическо корпоративно управление и прилагане на процедури за спазване на законодателството.


Точност на данните и ограничаване на съхранението 


Содексо ще поддържа Личните данни точни и при необходимост ще ги актуализира. Ще съхраняваме Личните данни за такава продължителност, колкото е необходима за изпълнение на целите, за които сме ги събрали, включително за целите на изпълнение на всички правни, данъчно-счетоводни или отчетнически нормативни изисквания, както и когато е необходимо Содексо да упражнява свои права по съдебен ред или да се защитава срещу заведени срещу него искове, до изтичане на съответните давностни срокове или до уреждане на съответните претенции. 


Ако желаете да научите повече за конкретните периоди на съхранение на Вашите Лични данни, установени в нашата Политика за съхранение на данните, можете да се свържете с нас по имейл на адрес: dpo.bg@sodexo.com


След изтичане на приложимия период за съхранение, ние ще унищожим Вашите Лични данни в съответствие с приложимите нормативни разпоредби.


Сигурност на вашите лични данни 


Ние сме въвели и прилагаме подходящи технически и организационни мерки за защита на Личните данни срещу случайно или незаконно изменение или загуба, както и срещу неразрешено използване, разкриване или достъп, в съответствие с нашата групова Политика за сигурност на информацията и системите. 


Когато е целесъобразно, ние предприемаме всички разумни мерки, основани на принципите за защита на данните на етап на проектирането и по подразбиране, като прилагаме необходимите мерки за сигурност при обработването на Личните данни. В зависимост от нивото на риска при обработването, извършваме оценка на въздействието върху защитата на данните („ОВЗД“) за да установим и приемем подходящите мерки за справяне с рисковете и да гарантираме защитата на Личните данни. Също така прилагаме допълнителни предпазни мерки по отношение на данните, считани за чувствителни Лични данни.


Разкриване на вашите лични данни 


Ние споделяме Вашите Лични данни в следните случаи:


  • с Дружества Содексо за целите, описани в настоящата политика;
  • с трети страни, включително с определени доставчици на услуги във връзка с целите, описани в тази политика, и с услугите, които предоставяме;
  • с компании, предоставящи услуги за извършване на проверки във връзка с изпирането на пари и финансирането на тероризма и други услуги с цел предотвратяване на измами и престъпления, и с други лица, предоставящи подобни услуги, включително финансови институции и регулаторни органи, с които се споделят такива Лични данни;
  • със съдилища, правоприлагащи органи, регулаторни органи, държавни служители, адвокати или други лица, когато това е необходимо за установяването, упражняването или защитата на права или за целите на провеждане на поверителни процедури за алтернативно разрешаване на спорове;
  • с доставчици на услуги, напр. споделени центрове за обслужване, в страната или в чужбина, на които възлагаме в рамките на Содексо или извън Содексо обработването на лични данни за която и да е от изброените по-горе цели от наше име и в съответствие с нашите инструкции;
  • ако продаваме или купуваме предприятия или активи, в който случай можем да разкрием личните Ви данни на бъдещия продавач или купувач на такова предприятие или активи, на който прехвърляме някое от нашите права и задължения.


Международно предаване на лични данни 


Европейското законодателство за защита на данните не позволява предаването на лични данни на държави извън ЕИП, които не осигуряват адекватно ниво на защита на данните. Някои от третите държави, в които Содексо работи извън ЕИП, не осигуряват същото ниво на защита на данните като държавата, в която пребивавате, и не са считани от Европейската Комисия като осигуряващи адекватно ниво на защита на личните данни на физическите лица. 


За целите на предаването на Вашите Лични данни на такива държави, било то към дружества в или извън групата на Содексо, Содексо е въвело адекватни средства за защита, за да защити Вашите Лични данни. Ще получите повече информация за всяко предаване на Лични данни извън Европа в момента на събирането на Вашите Лични данни, посредством подходящите Декларации за поверителност. 


За допълнителна информация, включително за да получите копие от документите, използвани за защита на Вашите данни, молим да се свържете с нас на: dpo.bg@sodexo.com


Бисквитки 


Някои от нашите уебсайтове могат да използват „бисквитки“. „Бисквитките“ са части от текст, които се записват на твърдия диск на Вашия компютър, когато посещавате определени уебсайтове. Можем да използваме „бисквитки“, за да разберем, примерно, дали сте посещавали нашия сайт преди или сте нов посетител и за да ни помогнете да идентифицираме кои са функциите, които представляват най-голям интерес за Вас. „Бисквитките“ могат да подобрят Вашата онлайн дейност като запазят Вашите предпочитания, докато посещавате даден уебсайт. 


Ще Ви уведомим, когато посещавате нашите уебсайтове, какви видове „бисквитки“ използваме и как да ги забраните. Когато се изисква от закона, ще имате възможността да посетите нашите уебсайтове и да откажете използването на „бисквитки“ по всяко време на Вашия компютър. За повече информация, прочетете нашата Политика за бисквитките.


Вашите права 


Содексо се ангажира да спазва Вашите права съгласно изискванията на приложимото законодателство. По-долу ще намерите таблица, обобщаваща Вашите различни права: 


Право на достъп и коригиране Можете да поискате копие от Лични данни, които съхраняваме за Вас. Можете също така да поискате коригирането на неточни Лични данни или да поискате допълването на непълни Лични данни. 
Право на изтриване Правото да бъдете забравени Ви позволява да поискате изтриване на Вашите Лични данни в случай, че:Личните данни повече не са необходими за целите, за които са събрани;избрали сте да оттеглите Вашето съгласие, ако обработването се основава на съгласието и няма друго правно основание за обработването;възразили сте срещу обработването на Вашите Лични данни; Вашите Лични данни са били обработвани незаконосъобразно;съществува правно задължение за изтриване на Вашите лични данни;изтриването е необходимо за спазване на приложимото законодателство.
Право на ограничаване на обработването Можете да поискате ограничаване на обработването на Вашите Лични данни, когато:оспорвате точността на Вашите Лични данни;Содексо не се нуждае повече от Вашите Лични данни за целите на обработването;сте възразили срещу обработване, основаващо се на законни интереси.
Право на преносимост на данните Имате право да получите, когато е приложимо, Вашите Лични данни, които сте предоставили на Содексо, в структуриран, широко използван и пригоден за машинно четене формат. Имате право да прехвърлите тези данни на друг Администратор без възпрепятстване от Содексо, когато:(a) обработването на Вашите Лични данни е основано на съгласие или на договор; и(b) обработването се извършва по автоматизиран начин.Можете също така да поискате Вашите Лични данни да бъдат директно прехвърлени на друго лице по Ваш избор (когато технически е възможно). 
Право на възражение  Имате право да възразите срещу обработването на Вашите Лични данни, включително във връзка с профилиране или директен маркетинг (маркетинг съобщения). Когато обработването на Вашите Лични данни се основава на Вашето съгласие, можете да оттеглите съгласието си по всяко време.
Право да не бъдете обект на решение, основаващо се единствено на автоматично обработване Имате право да не бъдете обект на решение, основаващо се единствено на автоматично обработване, включително профилиране, което поражда правни последици за Вас или което Ви засяга в значителна степен.
Право да подадете Жалба  Имате право да подадете Жалба пред съответния Надзорен орган за защита на данните в държавата на обичайното Ви пребиваване, Вашето място на работа или мястото на предполагаемото нарушение, независимо дали сте претърпели вреди.Имате също така право да подадете Жалба пред съдилищата в държавите, в които Дружеството Содексо е установено или където е Вашето обичайно пребиваване.


За да упражните гореописаните права, можете да изпратите Вашето искане по имейл на общия имейл адрес, посочен в информационните известия и/или в декларациите за поверителност, предоставени Ви по време на събирането на Вашите лични данни, и/или до Местната точка за контакт на следния имейл адрес: dpo.bg@sodexo.com, и/или до Длъжностното лице по защита на данните на Групата на следния имейл адрес: dpo.group@sodexo.com. За повече информация, прочетете нашата Политика за обработване на искания във връзка със защитата на данните.


Можете да изберете да подадете Жалба пред съответния Надзорен орган за защита на данните в държавата на обичайното Ви пребиваване, Вашето място на работа или мястото на предполагаемото нарушение, независимо дали сте претърпели вреди.


Имате също така право да подадете Жалба пред съдилищата в държавите, в които Дружеството Содексо е установено или където е Вашето обичайно пребиваване.


Закрила на децата 


Децата заслужават специална защита по отношение на техните Лични данни, тъй като те не познават достатъчно добре съответните рискове, последствия и предпазни мерки, свързани с обработването на Лични данни. Тази специална защита следва да се прилага по-специално при използването на Лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и при събиране на Лични данни на деца при ползване на услуги, предоставяни пряко на деца. 


Ние не събираме и не обработваме Лични данни на деца без съгласието на носещия  родителска отговорност за детето. По-специално, ние не популяризираме и не предлагаме нашите услуги на деца, освен за конкретни услуги и със съгласието на носещия родителска отговорност. Ако смятате, че погрешно сме събрали Лични данни на деца, молим да ни уведомите на посочените по-долу координати за връзка с нас.


Актуализации 


Настоящата глобална Политика за защита на данните може да бъде актуализирана в случай на изменение на нашата дейност или на нормативните изисквания. Ако промените в тази Политика са значителни, ще публикуваме известие на нашия уебсайт при влизането им в сила. Когато е уместно, ще Ви изпратим директно известие за настъпилите промени.


Свържете се с нас 


Ако имате въпроси, коментари или искания относно настоящата политика, можете да ги изпратите по имейл до Местната точка за контакт на следния имейл адрес: dpo.bg@sodexo.com, и/или до Длъжностното лице по защита на данните на Групата на следния имейл адрес: dpo.group@sodexo.com, или да ги изпратите по пощата до: „Содексо Пасс България” ЕООД, гр. София 1766, р-н Младост, ж.к. Младост – 4, ул. Бизнес парк София № 1, бл. 12, ет. 1. 


Определения 


Жалба означава жалбата, подадена от субект на данни до Надзорен орган или съд, когато Субектът на данни счита, че правата му съгласно приложимото законодателство за защита на данните са нарушени.


Администратор означава физическото или юридическо лице, което определя целите и средствата за обработването на Лични данни. 


ЕС/ЕИП означава Европейския съюз/Европейското икономическо пространство.


Европейско законодателство за защита на данните или Общ Регламент относно защитата на данните или ОРЗД означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО. 


Местна точка за контакт означава физическо лице, определено от Дружество Содексо и отговарящо за обработването на локални въпроси относно защитата на данните.  Тази Местна точка за контакт е част от глобалната мрежа за защита на данните на Содексо.


Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.


Обработване или Обработване на Лични данни означава всяка операция или съвкупност от операции, извършвана с Лични данни или набор от Лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.


Защита на етапа на проектирането означава,  че когато се започне работа по нов дигитален проект или нова бизнес възможност, включващ/а Обработване на Лични данни, се въвеждат подходящи технически и организационни мерки за защита на данните както към момента на определянето на средствата за Обработване, така и към момента на самото Обработване. Същият принцип се прилага, когато Содексо възнамерява да се слее с или да придобие дружество, при което се гарантира, че изискванията за защита на данните са спазени.


Защита по подразбиране означава, че персоналът следва да бъде обучен как да борави с Лични данни  и че са въведени подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само Лични данни, които са необходими за всяка конкретна цел на обработването (включително по отношение на обема на събраните лични данни, степента на обработването, периода на съхраняването им) и че Личните данни са достъпни само за ограничен брой лица, които действително следва да имат достъп до тях.


Искане означава един от механизмите по ОРЗД, позволяващ на физическите лица да упражняват техните права (като право на достъп, на коригиране, на изтриване и др.). Физическото лице може да отправи Искане до всяко лице, обработващо негови Лични данни.


Чувствителни данни означава  “Специалните категории лични данни” по смисъла на ОРЗД, включително всички Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице. В това определение се включват също и Лични данни, свързани с присъди и нарушения. 


Дружество Содексо или Дружества Содексо означава всяко дружество, партньорство или друго образувание или организация, което е член на Групата Содексо.

Надзорен орган означава независим публичен орган, създаден от държава-членка, както е посочено в ОРЗД.