България
България

Правила за обработване и защита на личните данни във връзка с договори с клиенти

Настоящите Правила за обработване и защита на личните данни във връзка с договори с клиенти („Правилата“) са приети от “Идънред България” АД, ЕИК: 130526402, със седалище и адрес на управление в гр. София 1784, р-н "Слатина", бул. „Цариградско шосе“ 137, ет. 3, представлявано от изпълнителния директор Меди Бенбугера („Идънред“ или “Обработващ ”) на 25.05.2018г. 
Правилата са насочени към клиентите, с които Идънред сключва договори за отпечатване и предоставяне на ваучери за храна, ваучери за безплатна храна, ваучери за подарък и ваучери за ‘награда’ („Договорите“), като клиентите ще бъдат наричани в настоящите Правила „Клиент“ или „Администратор“, а Клиентът и Идънред заедно „Страни“ и поотделно „Страните“.
Правилата целят да регламентират дейностите по обработване на лични данни в съответствие с разпоредбите на действащото законодателство за защита на личните данни в Република България, включително с оглед на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защита на личните данни“ или „Регламента“).

1.    ДЕФИНИЦИИ
1.1    В тези Правила термините „лични данни“, „субект на данни“ и „обработване на лични данни“ имат значението, което им е дадено в Регламента или в съответните български закони, наредби и насоки, в сила към съответния момент.

2.    ПРЕДМЕТ НА ПРАВИЛАТА
2.1    Настоящите Правила урежда правата и задълженията на Страните във връзка с обработването на лични данни, които Обработващият ще обработва от името на Администратора по прозрачен за субектите на данните начин.
2.2    Спазването на Правилата от всяка една от Страните е без допълнителни разходи за другата Страна.
2.3    Обработването, което следва да бъде осъществено от Обработващия по Договорите, ще включва обработването, посочено в Приложение № 1 (Информация относно Обработването на данните) към Правилата.
2.4    За избягване на съмнение, настоящите Правила могат да бъдат изменяни едностранно от Идънред, в следствие изменение на регулаторната рамка, приложимото законодателство и/или с цел да се отразят промени произтичащи от вътрешните правила или решения взети в групата дружества на Идънред. Изменената версия ще се счита за приложима от датата на поставянето й на интернет страницата на Идънред, като ще отразява поредността на версията и датата на изменението й. 

3.    ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
3.1    Всяка Страна спазва законите за защита на личните данни, поверителността или други подобни закони, наредби и насоки, в сила към съответния момент в Република България („Закони за защита на личните данни“), включително, но не само, Общия регламент за защита на личните данни, които се прилагат във връзка с всички лични данни, обработвани по и във връзка с Договорите.
3.2    По отношение на личните данни, предоставени на Обработващия във връзка с Договорите (и независимо дали са предоставени от Администратора, от субекта на данните или по друг начин), Обработващият гарантира, че: 
3.2.1    обработва такива лични данни единствено за целите и съгласно указанията, съобщени му от Администратора и документирани, съгласно българското законодателство, включително Закона за електронния документ и електронните удостоверителни услуги, в съответствие с принципите и изискванията на Общия регламент за защита на личните данни;
3.2.2    поддържа подходящите технически и организационни мерки за сигурност на обработването (включително, но не само, подходящите политики, съобщени на служителите, непрекъснатото управление на спазването им в хода на работата и ефективни мерки за защита) по отношение на личните данни, а също и за защита срещу случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване на личните данни, така че да осигури обработването и степента на защита на личните данни, съгласно Законите за защита на личните данни;
3.2.3    по-конкретно, Обработващият ще предприеме мерки, за да осигури всяко физическо лице, действащо съгласно неговите правомощия, което има достъп до лични данни, да обработва личните данни при спазване на Законите за защита на личните данни.
3.3    Всяка от Страните, с цел да улесни спазването от другата Страна на Законите за защита на личните данни, осигурява на другата Страна достъп до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящите Правила и Законите за защита на личните данни; предоставя копия от доклади за защита, одит и контрол, както и други документи, изготвени от одиторите или други лица, действащи по поръчение на, за или от името на Страната или от компетентните органи, които се отнасят до обработването или защитата на личните данни и които могат да бъдат резонно изисквани от другата Страна; както и позволява и допринася за извършването на проверки и одити, както и за осъществяването на правата и задълженията на Страната съгласно Законите за защита на личните данни, в случай че такива документи, действия и съдействие се изискват резонно от другата Страна или от оправомощени от нея лица.  В случай че някоя от Страните има информация за случай на неоторизирано, незаконно или недобросъвестно поведение, или дейности или каквото и да е друго нарушение на условията на настоящите Правила, или на приложимите Закони за защита на личните данни, съответната Страна уведомява незабавно другата Страна за това и сътрудничи с цел предприемане на необходимите мерки съгласно приложимите Закони за защита на личните данни.
3.4    С оглед спазването на правата на субектите на данни, Обработващият ще запише и след това реферира всички молби на субекти на данните, които получи, към Администратора в рамките на 5 (пет) работни дни от получаването на всяка молба.  Доколкото е възможно, Обработващият ще съдейства на Администратора при осъществяването на неговото задължение да отговори на молбите на субектите на данни.  В случай, че Администратора получи молби на субекти на данните, адресирани директно до него, Администратора ще уведоми Обработващия в рамките на 5 (пет) работни дни от получаването на всяка молба.
3.5    Във връзка с всяко неспазване на защитата на личните данни (реално или подозирано), свързано с Договорите, включващо Обработващия (или подизпълнител), или по друг начин узнато от Обработващия, по силата на Законите за защита на личните данни, Обработващият ще: 
(a)    информира Администратора за нарушението без ненужно забавяне (но в никакъв случай по-късно от 24 часа след като е бил уведомен за нарушението на личните данни);
(b)    предостави на Администратора без ненужно забавяне (където това е възможно, не по-късно от 48 часа след като е бил информиран за нарушението) информация, която той би изискал разумно, относно: 
(i)    характера на нарушението, включително категориите и средния брой на субектите на лични данни и засегнатите записи на лични данни; 
(ii)    всички разследвания по такова нарушение; 
(iii)    евентуалните последствия от нарушението; и
(iv)    всички предприети мерки, или тези, които Обработващият препоръчва да бъдат взети, за да се овладее нарушението, с цел да се смекчат неговите възможни неблагоприятни последствия,
при условие, че Обработващият разумно счита, че няма да бъде възможно информацията да бъде предоставена в тази времева рамка, то той, ще обясни на Администратора преди края на периода причините за забавянето и кога очаква да успее да я предостави (което може да бъде поетапно) и ще дава на Администратора регулярни актуализации по тези въпроси; и  
(c)    осигури разумно сътрудничество и помощ на Администратора във връзка с всяко коригиращо действие, което да бъде предприето в отговор на нарушаване на личните данни, включително що се отнася до всяка комуникация относно нарушаването на лични данни на физическите лица, чиито лични данни са засегнати.
3.6    Администраторът ще има право да споделя всяко уведомление и информация, предоставени от Обработващия по силата на клауза 3.5, с Комисията за защита на личните данни или всеки друг регулаторен орган при спазване на Законите за защита на личните данни.

4.    ПОДИЗПЪЛНИТЕЛИ
4.1    Обработващият може да възложи обработването на лични данни на трето лице.  В случай, че Обработващият включи друг обработващ лични данни (подизпълнител) за извършването на специфични дейности по обработване, Обработващият налага на подизпълнителя и съблюдава изпълнението на същите задължения, гаранции и отговорности за защита на личните данни съгласно тези Правила и Законите за защита на личните данни.

5.    ОБЕЗЩЕТЕНИЕ
5.1    Обработващият ще обезщети и ще осигурява обезщетение на Администратора във връзка с всички искове, претенции, дела, разходи, разноски (включително, но не само, правни разходи и плащания на база пълно обезщетение), вреди, загуби и щети, претърпени или възникнали от, присъдени срещу или договорени да бъдат платени от Администратора, произтичащи от или във връзка с:
5.1.1    Обработващия, действащ извън или против законните инструкции на Администратора; и
5.1.2    всяко съществено нарушение от страна на Обработващия на неговите задължения за защита на данни по тези Правила или Законите за защита на личните данни. 
5.2    Администраторът ще обезщети и ще осигурява обезщетение на Обработващия във връзка с всички искове, претенции, дела, разходи, разноски (включително, но не само, правни разходи и плащания на база пълно обезщетение), вреди, загуби и щети, претърпени или възникнали в резултат от, присъдени срещу или договорени да бъдат заплатени от Обработващия, произтичащи от или във връзка с: 
5.2.1    всяко съществено нарушение от страна на Администратора на негово задължение по тези Правила; и
5.2.2    Всяко обработване, извършено от Обработващия или от подизпълнител по силата на инструкция на Администратора, която нарушава Законите за защита на личните данни:
(i)    При условие, че Обработващият е уведомил Администратора, че инструкцията му нарушава Законите за защита на личните данни;
(ii)    Освен до степента, в която Обработващият е в нарушение на настоящите Правила по друг начин, а това нарушение отделно причинява или допринася за претърпените вреди.
5.3    Ако някоя от Страните получи претенция за компенсация, свързана с обработката на лични данни, то тя надлежно ще предостави на другата уведомление и подробна информация за такава претенция.
5.4    Страната, която ще осъществи действието:
5.4.1    няма да признае отговорност, нито ще се съгласи на договорка или компромис относно съответната претенция без предварителното писмено съгласие на другата Страна (която няма да бъде неоснователно възпирана или задържана); и 
5.4.2    ще се консултира изцяло с другата Страна във връзка с всяко такова действие, а условията на всяко споразумение или компромис, относно претенцията, ще бъдат ексклузивно решение на Страната, която носи отговорност по настоящите Правила за заплащане на компенсацията.

6.    СРОК И ПРЕКРАТЯВАНЕ
6.1    Страните са обвързан с тези Правила за срока на действие на Договорите.
6.2    След прекратяване на Договорите или след приключване на съответната услуга по обработване или при писмено искане от страна на Администратора, Обработващият заличава по сигурен начин или връща на Администратора (съгласно инструкциите на Администратора) всички лични данни след приключване на услугите по обработване или след изпълнение на целите по обработване и заличава съществуващите копия, освен ако Законите за защита на личните данни не изискват тяхното съхранение.

7.    ОБЩИ РАЗПОРЕДБИ
7.1    Изменения и допълнения на Правилата могат да се извършват от Обработващия само в писмена форма, като съответните изменения ще бъдат качени на уебсайта на Обработващия.
7.2    Приложимото право към тези Правила е българското право.  За избягване на съмнение, в случай на противоречие на клаузите на тези Правила с разпоредба на Законите за защита на личните данни, законовите разпоредби ще имат предимство.
7.3    Всички спорове, възникнали от или във връзка с тези Правила, включително тяхната валидност, прекратяване и тълкуване, се решават от Страните по взаимно съгласие, а доколкото такова не бъде постигнато, спорът се отнася пред компетентния български съд.
7.4    В случай на несъответствие между българския и английския текст на настоящите Правила, българската версия има предимство.

В съответствие с приложимото законодателство, Вие имате право на достъп, коригиране и възражение за употребата на Вашите лични данни и можете да оттеглите съгласието си, когато обработката на Вашите лични данни е на основание съгласие. При определени обстоятелства и в случаите, произтичащи от закона, Вие имате право да ограничите обработката на лични данни и право на преносимост на данните.

 

Вие може да упражните правата си, като попълните следния формуляр. Може да е необходимо да удостоверим Вашата идентичност, преди да обработим Вашето искане.

В съответствие с приложимото законодателство Ви напомняме, че може да подадете оплакване за обработката на вашите лични данни и към Комисията за защита на личните данни: София 1592, бул. „Проф. Цветан Лазаров” № 2.