България
България

ПРАВИЛА ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ВЪВ ВРЪЗКА С ДОГОВОРИ ЗА КАРТИ

Настоящите Правила за обработване и защита на личните данни във връзка с договори за карти („Правила“) са приети от “Идънред България” АД, ЕИК: 130526402, със седалище и адрес на управление в гр. София 1784, р-н "Слатина", бул. „Цариградско шосе“ 137, ет. 3, представлявано от изпълнителния директор Меди Бенбугера („Идънред“) на 25.05.2018г. 
Правилата са насочени към клиентите на Идънред („Клиенти“), с които Идънред сключва Договори за Предоставяне на Услуги, Свързани с Програмата за Compliments Kарти и Compliments Карти Selection („Договорите“), съгласно които Идънред дистрибутира Картите на своите Клиенти в България като продукти за подаръци/ поощрение на техните служители или техните роднини или бизнес партньори.
Правилата целят да регламентират дейностите по обработване на лични данни в съответствие с разпоредбите на действащото законодателство за защита на личните данни в Република България, включително с оглед на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защита на личните данни“ или „Регламента“).


1.    ДЕФИНИЦИИ
1.1    В тези Правила термините „лични данни“, „субект на данни“ и „обработване на лични данни“ имат значението, което им е дадено в Регламента или в съответните български закони, наредби и насоки, в сила към съответния момент.
1.2    Термините, които не са изрично дефинирани тук, ще имат значението, дадено им в Договорите. 

2.    ПРЕДМЕТ НА ПРАВИЛАТА
2.1    Настоящите Правила уреждат правата и задълженията на Идънред и Клиентите (заедно „Страни“ и поотделно „Страна“) във връзка с обработването на лични данни на Картодържателите, които Страните ще обработват съвместно, в качеството им на съвместни администратори по смисъла на чл. 26 от Регламента, по прозрачен за субектите на данните начин.
2.2    Спазването на Правилата от всяка една от Страните е без допълнителни разходи за другата Страна.
2.3    Обработването, което следва да бъде осъществено от Страните по Договорите, ще включва обработването, посочено в Приложение № 1 (Информация относно Обработването на данните) към Правилата.
2.4    За избягване на съмнение, настоящите Правила могат да бъдат изменяни едностранно от Идънред, в следствие изменение на регулаторната рамка, приложимото законодателство и/или с цел да се отразят промени произтичащи от вътрешните правила или решения взети в групата дружества на Идънред. Изменената версия ще се счита за приложима от датата на поставянето й на интернет страницата на Идънред, като ще отразява поредността на версията и датата на изменението й. 

3.    ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
3.1    Всяка Страна спазва законите за защита на личните данни, поверителността или други подобни закони, наредби и насоки, в сила към съответния момент в Република България („Закони за защита на личните данни“), включително, но не само, Общия регламент за защита на личните данни, които се прилагат във връзка с всички лични данни, обработвани по и във връзка с Договорите.
3.2    Всяка Страна ще спазва онези изисквания на вътрешните политики на другата Страна, които се отнасят до нейните задължения по отношение на обработването на личните данни по Договорите и които са й съобщени от другата Страна.
3.3    По отношение на личните данни на Картодържателите, предоставени на Идънред във връзка с Договорите (и независимо дали са предоставени от Клиента, от субекта на данните или по друг начин), Идънред гарантира, че обработва такива лични данни единствено за целите и съгласно указанията, съобщени му от Клиента и документирани, съгласно българското законодателство, включително Закона за електронния документ и електронните удостоверителни услуги, в съответствие с принципите и изискванията на Общия регламент за защита на личните данни.
3.4    По отношение на личните данни на Картодържателите, всяка една от Страните гарантира, че: 
3.4.1    поддържа подходящите технически и организационни мерки за сигурност на обработването (включително, но не само, подходящите политики, съобщени на служителите, непрекъснатото управление на спазването им в хода на работата и ефективни мерки за защита) по отношение на личните данни, а също и за защита срещу случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване на личните данни, така че да осигури обработването и степента на защита на личните данни, съгласно Законите за защита на личните данни;
3.4.2    по-конкретно, всяка Страна гарантира, че лицата, оправомощени да обработват личните данни (нейни служители или подизпълнители), са поели ангажимент за поверителност или са задължени по закон да спазват поверителност, както и че ще предприеме мерки, за да осигури всяко физическо лице, действащо съгласно неговите правомощия, което има достъп до лични данни, да не обработва личните данни освен при спазване на Законите за защита на личните данни.
3.5    Всяка от Страните, с цел да улесни спазването от другата Страна на Законите за защита на личните данни, осигурява на другата Страна достъп до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящите Правила и Законите за защита на личните данни; предоставя копия от доклади за защита, одит и контрол, както и други документи, изготвени от одиторите или други лица, действащи по поръчение на, за или от името на Страната или от компетентните органи, които се отнасят до обработването или защитата на личните данни и които могат да бъдат резонно изисквани от другата Страна; както и позволява и допринася за извършването на проверки и одити, както и за осъществяването на правата и задълженията на Страната съгласно Законите за защита на личните данни, в случай че такива документи, действия и съдействие се изискват резонно от другата Страна или от оправомощени от нея лица.  В случай че някоя от Страните има информация за случай на неоторизирано, незаконно или недобросъвестно поведение, или дейности или каквото и да е друго нарушение на условията на настоящите Правила, или на приложимите Закони за защита на личните данни, съответната Страна уведомява незабавно другата Страна за това и сътрудничи с цел предприемане на необходимите мерки съгласно приложимите Закони за защита на личните данни.
3.6    С оглед спазването на правата на субектите на данни, всяка Страна ще запише и след това реферира всички молби на субекти на данните, които получи, към другата Страна в рамките на 3 (три) работни дни от получаването на всяка молба.  Доколкото е възможно, другата Страна ще съдейства на Страната, получила молбата, при осъществяването на нейното задължение да отговори на молбите на субектите на данни.  
3.7    Във връзка с всяко неспазване на защитата на личните данни (реално или подозирано), свързано с Договорите, Страната узнала за това нарушение ще: 
(a)    информира другата Страна за нарушението без ненужно забавяне (но в никакъв случай по-късно от 24 часа след като е била уведомена за нарушението на личните данни);
(b)    предостави на другата Страна без ненужно забавяне (където това е възможно, не по-късно от 48 часа след като е била информирана за нарушението) информация, която другата Страна би изискала разумно, относно: 
(i)    характера на нарушението, включително категориите и средния брой на субектите на лични данни и засегнатите записи на лични данни; 
(ii)    всички разследвания по такова нарушение; 
(iii)    евентуалните последствия от нарушението; и
(iv)    всички предприети мерки, или тези, които Страната, узнала за нарушението, препоръчва да бъдат взети, за да се овладее нарушението, с цел да се смекчат неговите възможни неблагоприятни последствия,
при условие, че Страната, узнала за нарушението разумно счита, че няма да бъде възможно информацията да бъде предоставена в тази времева рамка, то тя, ще обясни на другата Страна преди края на периода причините за забавянето и кога очаква да успее да я предостави (което може да бъде поетапно) и ще дава на другата Страна регулярни актуализации по тези въпроси; и  
(c)    осигури разумно сътрудничество и помощ на другата Страна във връзка с всяко коригиращо действие, което да бъде предприето в отговор на нарушаване на личните данни, включително що се отнася до всяка комуникация относно нарушаването на лични данни на физическите лица, чиито лични данни са засегнати.
3.8    Всяка Страна ще има право да споделя всяко уведомление и информация, предоставени от другата Страна по силата на клауза 3.6, с Комисията за защита на личните данни или всеки друг регулаторен орган при спазване на Законите за защита на личните данни.

4.    ПОДИЗПЪЛНИТЕЛИ
4.1    Никоя Страна няма право да възлага обработването на лични данни на трето лице без изричното писмено съгласие на другата Страна.  В случай, че някоя от Страните включи обработващ лични данни (подизпълнител) за извършването на специфични дейности по обработване, тази Страна налага на подизпълнителя да съблюдава изпълнението на същите задължения, гаранции и отговорности за защита на личните данни съгласно тези Правила и Законите за защита на личните данни.
4.2    В случай, че третото лице, обработващо личните данни по инструкция на една от Страните не изпълни задължението си за защита на данните, Страната, възложила обработването на третото лице, продължава да носи пълна отговорност пред другата Страна за изпълнението на задълженията на този обработващ лични данни.
4.3    Горните ограничения не се отнасят до обработването, извършвано от ППТ, в съответствие с Договорите. 

5.    ОБЕЗЩЕТЕНИЕ
5.1    Всяка от Страните ще обезщети и ще осигурява обезщетение на другата Страна във връзка с всички искове, претенции, дела, разходи, разноски (включително, но не само, правни разходи и плащания на база пълно обезщетение), вреди, загуби и щети, претърпени или възникнали от, присъдени срещу или договорени да бъдат платени от една от Страните, произтичащи от или във връзка с:
5.1.1    Идънред, действащ извън или против законните инструкции на Клиента;
5.1.2    всяко съществено нарушение от някоя от Страните на нейните задължения за защита на данни по тези Правила или Законите за защита на личните данни; и
5.1.3    Всяко обработване, извършено от една от Страните или от нейния подизпълнител по силата на инструкция на другата Страна, която нарушава Законите за защита на личните данни:
(i)    При условие, че Страната, извършила обработването е уведомила инструктиращата Страна, че инструкцията й нарушава Законите за защита на личните данни;
(ii)    Освен до степента, в която Страната, извършваща обработването е в нарушение на настоящите Правила по друг начин, а това нарушение отделно причинява или допринася за претърпените вреди.
5.2    Ако някоя от Страните получи претенция за компенсация, свързана с обработката на лични данни, то тя надлежно ще предостави на другата уведомление и подробна информация за такава претенция.
5.3    Страната, която ще осъществи действието:
5.3.1    няма да признае отговорност, нито ще се съгласи на договорка или компромис относно съответната претенция без предварителното писмено съгласие на другата Страна (която няма да бъде неоснователно възпирана или задържана); и 
5.3.2    ще се консултира изцяло с другата Страна във връзка с всяко такова действие, а условията на всяко споразумение или компромис, относно претенцията, ще бъдат ексклузивно решение на Страната, която носи отговорност по настоящите Правила за заплащане на компенсацията.
5.4    Без да се ограничава задължението на Страната спрямо субект на лични данни по силата на Законите за защита на личните данни, с цел избягване на съмнение, във връзка с всякаква компенсация, която е разпоредена от Комисия за защита на личните данни или друг компетентен орган да бъде заплатена от страна ("Компенсираща страна"), страните се споразумяват, че Компенсиращата страна няма да бъде упълномощена да претендира на свой ред от другата Страна каквато и да е част от компенсация, платена от Компенсиращата страна във връзка с такава щета до степента, до която Компенсиращата страна носи отговорност за обезщетяването на другата Страна в съответствие с клауза 5.1 или 5.2 (според случая).

6.    СРОК И ПРЕКРАТЯВАНЕ
6.1    Страните са обвързани с тези Правила за срока на действие на Договорите.
6.2    След прекратяване на Договорите или след приключване на съответната услуга по обработване или при писмено искане от страна на Клиента, Идънред заличава по сигурен начин или връща на Клиента (съгласно инструкциите на Клиента) всички лични данни на Картодържателите след приключване на услугите по обработване или след изпълнение на целите по обработване и заличава съществуващите копия, освен ако Законите за защита на личните данни не изискват тяхното съхранение.

7.    ОБЩИ РАЗПОРЕДБИ
7.1    Изменения и допълнения на Правилата могат да се извършват от Страните само в писмена форма, като съответните изменения ще бъдат качени на уебсайта на Идънред.
7.2    Приложимото право към тези Правила е българското право.  За избягване на съмнение, в случай на противоречие на клаузите на тези Правила с разпоредба на Законите за защита на личните данни, законовите разпоредби ще имат предимство.
7.3    Всички спорове, възникнали от или във връзка с тези Правила, включително тяхната валидност, прекратяване и тълкуване, се решават от Страните по взаимно съгласие, а доколкото такова не бъде постигнато, спорът се отнася пред компетентния български съд.
7.4    В случай на несъответствие между българския и английския текст на настоящите Правила, българската версия има предимство.

В съответствие с приложимото законодателство, Вие имате право на достъп, коригиране и възражение за употребата на Вашите лични данни и можете да оттеглите съгласието си, когато обработката на Вашите лични данни е на основание съгласие. При определени обстоятелства и в случаите, произтичащи от закона, Вие имате право да ограничите обработката на лични данни и право на преносимост на данните.

 

Вие може да упражните правата си, като попълните следния формуляр. Може да е необходимо да удостоверим Вашата идентичност, преди да обработим Вашето искане.

В съответствие с приложимото законодателство Ви напомняме, че може да подадете оплакване за обработката на вашите лични данни и към Комисията за защита на личните данни: София 1592, бул. „Проф. Цветан Лазаров” № 2.