Политика за поверителност

в Диджибърн АД

I. Въведение
II. Определения
III. Принципи, свързани с обработването на лични данни
IV. Категории субекти на данни и категории лични данни
V. Задължение за законосъобразно и добросъвестно обработване на лични данни
VI. Задължение за обработване на личните данни за конкретни цели
VII. Задължение за уведомяване на субекта на данните
VIII. Задължение за адекватно, релевантно и ограничено обработване на лични данни
IX. Задължение за обработване на точни и актуални лични данни
X. Предоставяне на лични данни на субекта на трети лица
XI. Международен трансфер на лични данни – предаване на лични данни на трети страни извън ЕС и ЕИП
XII. Задължение за ограничаване на съхраняването на лични данни
XIII. Задължение за обработване на лични данни в съответствие с правата на субекта на данни
XIV. Задължение за отчетност при обработване на лични данни
XV. Задължение за гарантиране на сигурност при обработване на лични данни
XVI. Конфиденциалност
XVII. Нарушаване на сигурността на личните данни
XVIII. Заключителни разпоредби

Защитата на всички лични данни, по-специално стриктното спазване на поверителността на данните за потребителите/клиентите и служителите и спазването на приложимите закони за защита на данните, не е само законово изискване за нас. Осигуряването на защита на данните е в основата на надеждните отношения с потребители/клиенти, бизнес партньори и служители. Следователно е от голямо значение за нас да защитаваме поверителните личните данни от всеки неоторизиран достъп. Обръщаме внимание на тази тема в настоящата Политика.

Наясно сме, че здравната информация е много чувствителна и се нуждае от максимална защита. Ето защо събираме възможно най-малко лични данни и ги защитаваме с най-високите технически стандарти.

Онлайн въпросникът Digiburn и приложението Digiburn могат да се използват анонимно. Събираме вашия имейл адрес, за да можем да настроим вътрешно вашия профил и ви позволяваме лесно да се идентифицирате за повтарящо се въвеждане. Споделянето на вашето име е изцяло по избор. Всички други данни, като пол, възраст, професия и други подобни, са необходими за оценка на вашето лично и професионално благосъстояние.

I. Въведение

  1. „ДиджиБърн“ АД („DIGIBURN“, „ние“) е търговско дружество, вписано в Търговския регистър към Агенция по вписванията с ЕИК 206260843, със седалище и адрес на управление гр. София 1202, район Оборище, ул. „Бачо Киро” № 47.
  2. DIGIBURN е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общия регламент за защита на данните).
  3. При осъществяване на търговската си дейност DIGIBURN се ангажира да обработва лични данни при стриктно спазване на нормите на Общия регламент за защита на данните и Закона за защита на личните данни (ЗЗЛД).
  4. В изпълнение на ангажимента си да осигури пълно съответствие със законодателството на Европейския съюз (ЕС) и Република България относно обработването на лични данни, DIGIBURN приема настоящата Политика за защита на личните данни, която е приложима към всички извършвани от DIGIBURN дейности по обработване на лични данни.
  5. Тази политика се прилага по отношение на всички обработвани от DIGIBURN лични данни, включително лични данни на потребители и клиенти, работници и служители, доставчици, подизпълнители, партньори.
  6. Настоящата политика за защита на личните данни е задължителна и следва да се спазва от всички доставчици, подизпълнители, партньори, служители, които работят с или за DIGIBURN, както и от трети лица, които имат или могат да имат достъп до обработваните от DIGIBURN лични данни.

II. Определения

По смисъла на Общия регламент за защита на данните и за целите на настоящата политика за защита на личните данни, посочените по-долу понятия имат следното значение:

  1. Лични данни – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
    Различни сведения, които събрани заедно, могат да доведат до идентифициране на конкретно лице, също представляват лични данни.
  2. Специални категории лични данни – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;
  3. Обработване – операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  4. Администратор – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
  5. Обработващ лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
  6. Субект на данни – физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация;
  7. Получател – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава членка, не се считат за получатели; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
  8. Трета страна – физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, който под прякото ръководство на администратора или на обработващия лични данни има право да обработва лични данни;
  9. Нарушение на сигурността на лични данни – означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
  10. Надзорен орган означава Комисията за защита на личните данни в Република България.

III. Принципи, свързани с обработването на лични данни

DIGIBURN обработва лични данни в съответствие с принципите, свързани с обработването на лични данни, уредени в чл. 5 от Общия регламент за защита на данните, а именно:

  1. Законосъобразност, добросъвестност и прозрачност
    DIGIBURN обработва лични данни при спазване на повелителните норми на Общия регламент за защита на данните и ЗЗЛД, честно и открито.
  2. Ограничение на целите
    DIGIBURN обработва лични данни само за конкретни, изрично указани и законни цели и не ги обработва по-нататък по начин, несъвместим с тези цели.
  3. Свеждане на данните до минимум
    DIGIBURN обработва лични данни, ограничени до необходимост във връзка с целите, за които се обработват. DIGIBURN събира и обработва само минимум необходимите лични данни на физически лица, които:

    • са предвидени в закон;
    • са нужни за изпълняване на договор и/или с оглед предоставяените услуги от DIGIBURN;
    • са предоставени след изрично съгласие на субекта.
  4. Събрани лични данни се обработват за други цели само след съгласие на лицата
    Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, DIGIBURN  уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.
  5. Точност и актуалност
    Съхраняваните от DIGIBURN лични данни се поддържат точно и в актуален вид, като  се предприемат всички разумни мерки, за да се гарантира своевременното коригиране на неточни лични данни.
  6. Ограничение на съхранението
    DIGIBURN  съхранява лични данни във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“).
  7. Цялостност и поверителност
    DIGIBURN обработва лични данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически или организационни мерки.
  8. Отчетност
    DIGIBURN носи отговорност и е в състояние да докаже, че спазва задълженията си във връзка с обработването на лични данни.

IV. Категории субекти на данни и категории лични данни

  1. Потребители/Клиенти
    DIGIBURN събира и обработва лични данни на своите потребители и клиенти, които са свързани с онлайн въпросника Digiburn и с Digiburn-App.

    1. Каква информация събира DIGIBURN
      DIGIBURN залага на принципно ниво да не събира никакви данни, които позволяват директна идентификация на конкретно лице. За да използват потребителите/клиентите приложението на DIGIBURN, не е нужно да въвеждат никакви ясно идентифицируеми данни за себе си (например име, имейл адрес или домашен адрес). Ако обаче използват приложението като част от онлайн терапията (налично само в България) или създадават незадължителен личен акаунт (напр. за повторен достъп до старите си данни при промяна смартфон), се изисква използването на лични данни.
    2. Лични данни за създаване на незадължителен личен акаунт
      За да създадете незадължителен личен акаунт, който ви позволява лесно да осъществите достъп до историята си, дори когато смените смартфона си, ние събираме и обработваме следните лични данни по начина, по който ни го предоставяте:

      • Първо име
      • Второ име
      • Псевдоним
      • имейл адресПравното основание за обработка на данни е чл. 6 Параграф I осветена. b GDPR.
    3. В. Разширени лични данни при използване на онлайн терапия Digiburn (тази услуга и полетата за данни са достъпни само в България)
      • Пощенски адрес
      • Доставчик на застраховка
      • Номер на осигурено лице
      • Телефонен номер
    4. Данни, свързани със здравето
      Винаги отделно получаваме съгласие от вас за обработката на вашите здравни данни. Можете да дадете съгласието си за обработката на тези данни, като кликнете върху съответния бутон. Вашето съгласие ще бъде регистрирано от нас.
      В рамките на приложението можете да преминете през 14-дневна фаза на скрининг, за да получите цялостна оценка на вашето психично здраве. По време на този скрининг ще отговорите на различни въпроси и ще уведомите приложението как се чувствате. Също така можете да използвате допълнителни услуги, напр. оферти за плащане, които са описани по-подробно в Раздел 2 на нашите ОУ. Ние събираме, обработваме и използваме следните здравни данни, за да можем да Ви предоставим услугите, следвайки Раздел 2 от нашите ОУ
    5. Данни от ежедневните въпроси за скрининг и допълнителни тагове и бележки
      • Въпроси, свързани със симптомите на депресия
      • Въпроси относно други психологически и соматични оплаквания и симптоми
      • Въпроси относно условията на живот, занимания и биография
      • Оценки на гореспоменатите данни относно тежестта и вида на симптомите, както и корелацията между отговорите, базирани на психологически теории.
      • Вашите записи на скала на усмивки, с които можете редовно да документирате настроението си.
      • Създадени от вас текстови бележки, които се предават в криптирана форма и се съхраняват при нас.
      • Ако изрично се съгласите с това в приложението, ние съхраняваме данни от вашето приложение Apple Health (iOS) или Google Fit (Android). Това са предимно броят на стъпките на ден и други индикации за вашата физическа активност. Ние използваме тези данни, за да предоставяме нашите услуги в рамките на Digiburn, по-специално, за да ви докладваме за всякакви връзки между психологически фактори и вашата физическа активност. Digiburn не изпраща данни до Apple Health или Google Fit.
    6. Данни от психологическите упражнения
      • Текстови записи за упражненията
      • Гласови записи
      • Снимките, които сте качили по време на упражненията.Правното основание за обработка на данни е чл. 9 ал. II лит. h GDPR.
    7. Технически данни
      Това са данни, които показват какъв хардуер и софтуер използва потребителят/клиентът за достъп до DIGIBURN приложението:

      • Данни за мобилната платформа (iOS / Android)
      • Версията на приложението
      • Модел на устройството
      • Версия на системата
      • „Идентификатор за реклама в Apple“ за устройства с iOS
      • „Рекламен идентификатор“ за устройства с AndroidПравното основание за обработка на данни е чл. 6 ал. Запалих. f GDPR.
    8. Данни за използване на приложението
      Това са данни, които показват как потребителят/клиентът използва DIGIBURN приложението:

      • Колко често е отваряно приложението?
      • Кои области са щракнати в приложението?
      • Използвани настройки на приложението (езикови настройки, известия)
      • Данни за обратна връзка (вкл. Услуга за електронна поща)Правното основание за обработка на данни е чл. 6 ал. Запалих. f ОРЗД и чл. 6 ал. Запалих. GDPR за данните за обратна връзка.
    9. Как обработваме вашите данни
      Ние събираме и съхраняваме вашите лични, разширени лични, здравни, технически и данни за използване на приложение, докато използвате нашето приложение. Освен това, e е възможно да предаваме вашите здравни данни в напълно анонимна форма на университети, научни институти или доставчици на услуги за обработка и оценка на данни, с които DIGIBURN си сътрудничи в рамките на научните изследвания.
      Правното основание за обработка на данни е чл. 9 ал. II лит. a GDPR
  2. Бизнес партньори и доставчици
    DIGIBURN обработва лични данни на физически лица, които представляват (по закон или по пълномощие) или работят за бизнес партньори, доставчици и инвеститори на DIGIBURN. Поради това, и доколкото е допустимо в процеса на обичайната търговска дейност, DIGIBURN може да обработва следните категории лични данни:

    • Обикновени лични данни: Имена, адрес, телефон, електронен адрес и други данни, които са относими в конкретния случай.
      В случай, че DIGIBURN реши да обработва данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.
  3. Кандидати за работа
    • Обикновени лични данни: Информация, съдържаща се в CV/автобиография на кандидата, като имена на лицето, данни за контакт (телефонен номер и електронна поща), копия от документи за професионална и образователна квалификация и др.
      В процедурата по подбор на кандидатите за работа DIGIBURN може да провежда различни видове психологически тестове за оценка на личността с насоченост към поведението, уменията, личностните характеристики и качества на лицето, чрез които е възможно да добие данни за когнитивните умения и поведенческите нагласи на каднидата.
      За целите на процедурата по подбор кандидатът изразява писмено съгласието си за обработка на предоставените данни, след като му е била предоставена информация за обработваните данни, съгласно приложимото законодателство и настоящата Политика.
  4. Персонал
    DIGIBURN събира следните категории лични данни от служители:

    • Обикновени лични данни: имена, ЕГН, паспортни данни, образование и квалификации, професия, трудов стаж, трудовото възнаграждение, данни за банкова сметка и други;
    • Специална категория лични данни: информация за здравен статус, съдържаща се в болнични листове, документи, удостоверяващи трайна неработоспособност и/или други документи, необходими съгласно приложимото законодателство за съответната длъжност или с оглед упражняване на специфични права на служителя.
      В общия случай, DIGIBURN не обработва лични данни на служители въз основа на съгласие. Въпреки това е възможно, в определени ситуации съгласието да е необходимо, когато същото се изисква според приложимото законодателство, включително за обработването на специална категория лични данни.

V. Задължение за законосъобразно и добросъвестно обработване на лични данни

  1. DIGIBURN установява основанието за обработване на личните данни по чл. 6, параграф 1 от Общия регламент за защита на данните:
    1. Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели.
    2. Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.
    3. Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.
    4. Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
    5. Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
    6. Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
  2. DIGIBURN извършва само дейности по обработване на лични данни, за които е налице някое от основанията по чл. 6, параграф 1 от Общия регламент за защита на данните.

VI. Задължение за обработване на личните данни за конкретни цели

  1. Обработването на лични данни се извършва в изпълнение на законовите задължения на DIGIBURN, както и в изпълнение на поети от DIGIBURN договорни задължения или на основание дадено от клиента информирано съгласие за това.
  2. При осъществяване на търговската си дейност DIGIBURN събира и използва категории лични данни, посочени в регистъра на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните (Приложение № 1). DIGIBURN получава лични данни пряко от субекта на данни  (например при попълване на утвърдени образци на документи или при кореспонденция по имейл, телефон или други средства за комуникация) или от други източници (например от партньори, подизпълнители, доставчици на платежни услуги и др.).
  3. DIGIBURN  обработва лични данни само за конкретни и изрично указани цели, посочени в регистъра на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните, а именно:
    1. За изпълнение услугите, предлагани от DIGIBURN;
    2. за регистрация клиента и съответно за отчетност;
    3. за провеждане на процедури по подбор на кандидати за работа
    4. за да се изпълни договор, който е сключен или който е в процес на сключване със клиент на DIGIBURN, както и за сключване и изпълнение на трудови договори със служители на DIGIBURN;
    5. когато това е необходимо за защита на легитимни интереси на DIGIBURN или трето лиця, при условието, че легитимните интереси и основни права и свободи на субекта на данни нямат преимущество над тези легитимни интереси;
    6. за актуална иформация за контакт със субекта на данни;
    7. за изследователски цели се предоставят само здравни данни в напълно анонимна форма на партньорски университети, научни институти или доставчици на услуги за обработка и оценка на данни, с които DIGIBURN си сътрудничи в рамките на научните изследвания.
    8. за предоставяне на информация, включително маркетингова комуникация чрез избраните от клиента канали (прим. електронна поща или телефон).
  4. В случай, че се наложи данни на субекта да бъдат използвани за цел, несъвместима с първоначалната, DIGIBURN го уведомява своевременно и му разяснява каква е законовата основа, която позволява данните да бъдат използвани и с тази нова цел.
  5. DIGIBURN предоставя на субектите на данни възможност да избират опция дали да споделят своите лични данни с дружеството. В случай че субектът на данни възрази на обработването от страна на DIGIBURN на личните данни, дружеството уважава този избор в съответствие със законовите си задължения. Възражението може да означава, че DIGIBURN няма да има възможност да осъществява дейностите, необходими за изпълнението на описаните по-горе цели. То може да означава и че е възможно субектът да не може да се ползва от предлаганите от DIGIBURN услуги и продукти, ако не му предостави лична информация за себе си или в случай, че след като субектът на данни е предоставил тази информация, възрази на обработването й от страна на DIGIBURN.
  6. За данните на потребителите/ клиентите се прилага следното
    1. DIGIBURN събира, обработва и използва данните, посочени в раздел IV, точка 1, за да предоставя услугите, съгласно Общите условия (чл. 1 от ОРЗД). Предоставяйки ни вашата информация, ние можем да предоставим нашите услуги.
    2. Обработката на вашите данни е необходима за сключването или изпълнението на вашия договор с нас за използване на приложението Digiburn и в случай на създаване на незадължителен акаунт. В допълнение, това се изисква при използване на незадължителната оферта на услугата Digiburn Online Therapy (https://www.Digiburn.health), която е независима от нашите GTC. Ако не ни предоставите тази информация, ние няма да можем да предоставим услугите, посочени в нашите ОУ.
  7. За данните за служителите на DIGIBURN се прилага следното
    1. Личните данни на служителите могат да бъдат обработвани във връзка с трудовите правоотношения, когато това е необходимо за вземане на решения за назначаване или след наемане, за изпълнение или прекратяване на трудовия договор или за упражняване или задоволяване на правата и задълженията на представителите на работниците и служителите. Личните данни на служителите могат да бъдат обработвани за откриване на престъпления само ако има основателна причина да се смята, че субектът на данни е извършил престъпление, докато е бил в трудови правоотношения, обработването на такива данни е необходимо за разследване на престъплението и в случай, че законния интерес на субекта на данните същите да не се обработват не надделява и по-специално видът и обхватът на обработката не са непропорционални на причината.
    2. Дружеството предприема необходимите мерки, за да осигури спазването на принципите за обработка на лични данни, съгласно Общия Регламент, подробно описани по-горе в раздел III.
    3. Тези правила се прилагат и когато личните данни, включително специални категории лични данни, на работниците и служителите се обработват, без да участват или да са предназначени да бъдат част от регистрационна система за документи.
    4. В този контекст лицата, които ще бъдат считани за служители, са и лица, наети за целите на професионалното обучение (стажанти).
    5. Обработката на данни на служители е необходима за спазването на законовите задължения на DIGIBURN. Тя е допустима, когато националното законодателство изисква, предписва или разрешава обработка на данни. Характерът и обхватът на обработката на данни трябва да са необходими за законно вменените дейност по обработка на данни и да отговарят на съответните правни разпоредби. Така например, DIGIBURN предоставя лични данни на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.

VII. Задължение за уведомяване на субекта на данните

  1. В изпълнение на задълженията си по чл. 12, 13 и 14 от Общия регламент за защита на данните DIGIBURN предоставя на субекта на данните разбираема и лесно достъпна информация относно личните данни, които обработва.
    1. В случай, че DIGIBURN получава лични данни пряко от субекта на данни, до знанието на субекта на данни се свежда съобщение за поверителност в подходяща форма, съдържаща ясен, опростен и разбираем език и включващ следната информация:
      1. данните, които идентифицират DIGIBURN и координатите за връзка с DIGIBURN, а когато е приложимо и тези на представителя на DIGIBURN;
      2. координатите за връзка с координатора по защита на данните, когато е приложимо;
      3. целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
      4. когато обработването се извършва въз основа на член 6, параграф 1, б. „е)“ от Общия регламент за защита на данните (легитимни интереси на DIGIBURN или на трета страна), законните интереси, преследвани от DIGIBURN или от трета страна;
      5. получателите или категориите получатели на личните данни, ако има такива;
      6. когато е приложимо, намерението на DIGIBURN да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Европейската комисия (ЕК) относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, ал. 2 от Общия регламент за защита на данните позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични;
      7. срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
      8. съществуването на право да се изиска от DIGIBURN достъп до лични данни, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
      9. когато обработването се основава на съгласие на субекта на данните, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
      10. правото на жалба до Комисията за защита на личните данни (КЗЛД);
      11. дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
      12. съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
    2. В случай, че DIGIBURN получава лични данни от други източници, различни от субекта на данни, до знанието на субекта на данни се свежда съобщение за поверителност в подходяща форма, съдържаща ясен, опростен и разбираем език и включващ информацията по предходната точка, както и информация за съответните категории лични данни, както и източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник. Съобщението за поверителност се свежда до знанието на субекта на данни в разумен срок, след получаването на личните данни, но най-късно до 1 месец или най-късно при осъществяване на контакт със субекта данните или при разкриване на личните данни пред друг получател за първи път.

VIII. Задължение за адекватно, релевантно и ограничено обработване на лични данни

DIGIBURN събира лични данни в рамките на необходимото за целта на обработването, сведена до знанието на субекта на данните.

IX. Задължение за обработване на точни и актуални лични данни

  1. (1) DIGIBURN събира точни лични данни и осигурява своевременната им актуализация.
  2. (2) При получаване на лични данни, служителите на DIGIBURN, ангажирани в процеса по събиране на лични данни, извършват проверка за точността на предоставените на DIGIBURN лични данни
  3. Съхраняваните от DIGIBURN лични данни се преглеждат периодично.
  4. DIGIBURN е приело правила за обработка на заявленията за корекция на личните данни от страна на субекта на данните (Приложение № 2).
  5. Всички доставчици, подизпълнители, партньори, работници и служители, които работят с или за DIGIBURN, както и трети лица, които предоставят лични данни на DIGIBURN , са длъжни да уведомяват за всяка промяна в предоставените от тях лични данни.

X. Предоставяне на лични данни на субекта на трети лица

  1. DIGIBURN не предава лични данни на потребители/клиенти на трети страни, освен ако не е законно упълномощено или задължено да го направи, или ако субектът на данните не е дал съгласието си.
  2. Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.
  3. DIGIBURN предава данни на други физически/юридически лица, които предоставят определен вид стока или услуга на DIGIBURN, включително услуги по информационно поддържане и сигурност на IT системите, счетоводно обслужване, архив и правно облужване и други. В тези случаи, DIGIBURN сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.
  4. DIGIBURN поддържа партньорски отношения с други независими администратори на лични данни. Във връзка с тези партньорски отношения е възможно страните да споделят помежду си определени данни. В тези случаи, DIGIBURN информира по подходящ начин субектите на данни за тези категории получатели, както и сключва допълнително споразумение със съответния независим администратор, с което гарантира поверителността и конфиденциалността на личните данни, които се споделят.
  5. Когато е налице фигурата на съвместни администратори между DIGIBURN и трето лице администратор, те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламент (ЕС) 2016/679 посредством договореност помежду си.
  6. DIGIBURN може да предава здравни данни на потребители/клиенти в контекста на научноизследователско сътрудничество в напълно анонимна форма на университетски партньори, научни институти или доставчици на услуги за обработка и оценка на данни, с които DIGIBURN си сътрудничи в рамките на научните изследвания.
  7. В случай че DIGIBURN обработва лични данни в трета държава (т.е. извън Европейския съюз (ЕС) или Европейското икономическо пространство (ЕИП)) или ги обработва (виж. също инструментите на трети страни, както е описано в раздел XI), това ще се извършва в съответствие със съответните законови изисквания. В тези случаи DIGIBURN винаги предприемa подходящи мерки за адекватна защита на личните данни (например чрез стандартни договорни клаузи).

XI. Международен трансфер на лични данни – предаване на лични данни на трети страни извън ЕС и ЕИП

  1. DIGIBURN може да предава лични данни на трети страни извън Европейския съюз и Европейското икономическо пространство само при спазване на изискванията на Регламент (ЕС) 2016/679 и по-специално на тези, разписани в глава V от него.
  2. Предаването се извършва въз основа на решение на Европейската комисия, относно адекватното ниво на защита, което осигурява въпросната трета страна. При липса на такова решение на Европейската комисия, предаването на трета страна може да се извърши само ако са налице подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящи гаранции представляват стандартни клаузи за защита на личните данни включени в споразумения за обработка на личните данни сключени между DIGIBURN и съответната трета страна.
  3. Алтернативно, предаване на лични данни към трета страна, може да се извърши и след дадено изрично съгласие на субекта на данните или когато са налице други основания, посочени в член 49, параграф 1 от Регламент (ЕС) 2016/679.
  4. Инструменти на трети страни, с които DIGIBURN има партньорски отношения
    DIGIBURN понякога възлага на доставчици от трети страни да предоставят услуги за анализ и оценка на поведението на потребителите. Tова има за цел да подобрява постоянно услугите и да развива DIGIBURN. Информацията, предоставена за тази цел, обикновено е псевдонимизирана. Ако тези доставчици на услуги обработват лични данни, DIGIBURN сключва споразумение с тях за обработка на поръчки в съответствие с член 28 GDPR, който задължава тези доставчици на услуги да спазват законовите стандарти по отношение на защитата на данните и сигурността на данните. Това означава, че процесорите са обвързани от инструкциите на DIGIBURN и се наблюдават редовно от DIGIBURN. Обработващите, чиито услуги се използват, няма да предават тези данни на трети страни, но ще ги изтрият след изпълнението на договора и сключването на законоустановените срокове за съхранение, освен ако не сте дали съгласието си за съхранение след това.
  5. В детайли DIGIBURN използва следните инструменти:
    1. Google Firebase
      В мобилното приложение използваме Firebase (https://www.firebase.com/), рамка от дъщерното дружество на Google Firebase, базирана в Сан Франциско, Калифорния, САЩ, чрез която проследяваме и управляваме следните функции в реално време:

      • Използваме Firebase Crashlytics, за да проследяваме сривове на приложения, както се случват, и за предотвратяване на бъдещи сривове. В случай на срив на приложение се генерира отчет, който включва вида и операционната система на устройството, скорошната активност в приложението и геолокацията в псевдоним и се изпраща на Google. За информация относно функционалността на Crashlytics, моля, посетете https://firebase.google.com/products/crashlytics/.
      • Мобилното приложение използва Firebase Remote Config, за да ни позволи да променим приложението на устройствата, на които е инсталирано, без да се налага да преинсталираме приложението напълно в съответния App Store. За целта информацията за устройството, езикът, държавата и регионалните настройки се прехвърлят на Google в САЩ и се обработват там. Информация за функционалността на Remote Config може да бъде намерена на https://firebase.google.com/products/remote-config/
        За всички споменати услуги на Firebase във Firebase (Google) се предават само анонимизирани или псевдонимизирани потребителски данни. Декларацията за поверителност на Firebase е достъпна на https://www.firebase.com/terms/privacy-policy.html, а информация за конкретните данни, използвани в споменатите услуги, може да бъде намерена на https://firebase.google.com/support /поверителност
        Правното основание за използването на Firebase е законният ни интерес да поддържаме Moodpath постоянно и да оценяваме неговите резултати съгласно член 6, параграф 1 от GDPR.
    2. Branch Metrics (само за потребители на Digiburn в Съединените американски щати / САЩ)
      Нашето приложение използва Branch Metrics, което се управлява от Branch Metrics Inc. 2443 Ash Street, Palo Alto, CA 94306, USA. Тази услуга е решение с отворен код, което ни позволява да генерираме интелигентни връзки към съдържание в приложение за статистически анализ и за маркетингови дейности (последното само в САЩ). Това може да се направи с подходящи комплекти за разработка на софтуер (SDK) за уеб, iOS и Android операционни системи. В процеса на предоставяне на услугата и нейните функции Branch Metrics събира данни като операционна система и версия, времеви клей, API ключ (идентификационен ключ на приложението), версия на приложението, модел на устройството, производител и идентификационен номер, идентификационен ключ на iOS за реклама, iOS идентификационен ключ за доставчици, идентификационен ключ за Android за реклама, IP адрес и състояние на мрежата. Горните данни се събират и криптират само за тази цел.
      Правното основание за това е член 6, параграф 1, лит. GDPR.
      Как мога да предотвратя това? Можете да деактивирате тази колекция за вашето устройство чрез тази връзка https://branch.app.link/device-opt-out или като цяло да ограничите използването на определени данни във вашето устройство с Android или iOS.
    3. За изпращане на имейли в контекста на създаване, проверка и управление на вашия личен, незадължителен акаунт в Digiburn, използваме Mailgun (535 Mission St., 14th Floor San Francisco, CA 94105, USA). Този доставчик обработва и съхранява имейл адреса, неговото съдържание, предмет и други мета данни в център за данни с висока степен на сигурност във Франкфурт на Майн и ги изтрива след максимум 5 дни.
    4. За хостинг на данни, както и на нашите приложения, бази данни и сървъри, ние използваме облачните услуги на Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland), която действа като процесор за нас и съхранява данни в център за данни с висока степен на сигурност във Франкфурт на Майн и Ирландия.
    5. За да изпратим Push Notifications, използваме услуги на OneSignal, американска компания, разположена на 2850 S Delaware St Suite 201, San Mateo, CA 94403, която обработва данни на устройството, за да идентифицира вашето устройство за изпращане на Push Notifications. Моля, посетете https://documentation.onesignal.com/docs/data-collected-by-the-onesignal-sdk, за да видите кои данни се обработват от OneSignal (Забележка: OneSignal автоматично няма да събира IP адреси от всички потребители в ЕС.)
      Правното основание за това е член 6, параграф 1, буква 1. f GDPR.

XII. Задължение за ограничаване на съхраняването на лични данни

  1. DIGIBURN съхранява лични данни само за срок, не по-дълъг от необходимото за целите, за които се обработват личните данни.
  2. След изтичане на срока на съхранение DIGIBURN осигурява тяхното надлежно унищожаване или изтриване по установен ред.
  3. Срокове за съхранение на лични данни в DIGIBURN
    1. Личните данни на служители, съдържащи се в трудовоосигурителната документация, се съхраняват за срок от 50 (петдесет) години в съответствие със Закона за националния архивен фонд, Закона за счетоводството, Кодекса за социално осигуряване и Данъчноосигурителния процесуален кодекс;
    2. Личните данни на кандидати за работа, които не са одобрени за назначаване в DIGIBURN се съхраняват за срок не по-дълго от 6 (шест) месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин. Личните данни може да се съхраняват за подълъг период до 3 години с цел отправяне на предложения за работа само при наличие на предоставено съгласие от кандидата за работа;
    3. Записите от техническите средства за видеонаблюдение се съхраняват 2 (два) месеца от изготвянето им;
    4. Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по член 12 от Закона за счетоводството.
    5. Наред с тези основни срокове, DIGIBURN е утвърдило свои правила за определяне на сроковете за съхранение и процедура по унищожаване на лични данни (Приложение № 3).
  4. Място на съхранение на данни на потребители/клиенти и начин за защита
    1. DIGIBURN не съхранява лични данни на устройството на потребителя, за да осигури максимална сигурност и безпроблемното функциониране на приложението. DIGIBURN съхранява личните данни на потребителите на сървъри на доставчиците на ИТ услуги в платоформата Typeform, която обработва тези данни от името на DIGIBURN и на правното основание на чл. 28 GDPR и са задължени да спазват законовите разпоредби за защита на данните и сигурност на данните.
    2. DIGIBURN взима предпазни мерки за защита на данните и за предотвратяване на злоупотреба.
    3. Приложението комуникира със сървър на DIGIBURN чрез криптирани връзки, използвайки SSL (Secure Socket Layer), което предотвратява достъпа на трети страни до данните на потребителите без разрешение. И сървърите, и базите данни са зад защитни стени, за да ограничат достъпа.
    4. Моля, обърнете внимание, че в някои трудови правоотношения не е разрешено използването на Интернет за лични цели по време на работно време или от вашето работно място. Някои работодатели наблюдават неразрешената интернет дейност на работното място. Дори ако сте свързани по друг начин в множество мрежови среди, трябва да знаете, че винаги съществува риск от нежелан достъп.

XIII. Задължение за обработване на лични данни в съответствие с правата на субекта на данни

DIGIBURN  обработва лични данни, като осигурява упражняване на правата на субекта на данните, а именно:

  1. право на информация за съхраняваните от DIGIBURN негови лични данни и получаване на копие от съхраняваните негови лични данни (право на достъп);
  2. право на коригиране на неговите лични данни, ако същите са неточни или неактуални;
  3. право на изтриване на неговите лични данни, ако е приложимо (право „да бъдеш забравен“);
  4. право на ограничаване на обработването на неговите лични данни;
  5. право на оттегляне на съгласието за обработване на неговите лични данни, ако е приложимо;
  6. право на преносимост на неговите лични данни (да ги получи или да бъдат прехвърлени на друг администратор на лични данни вструктуриран, широко използван и пригоден за машинно четене формат), ако е приложимо;
  7. право неговите лични данни да не бъдат обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;
  8. право на възражение срещу обработването на неговите лични данни, ако е приложимо;
  9. право на жалба срещу обработването на неговите лични данни пред Комисията за защита на личните данни (КЗЛД) – гр. София, 1592, бул. „Проф. Цветан Лазаров“ № 2 или на адрес cpdp.bg.

Ако искате да използвате едно от тези права, можете да изтриете данните си директно в приложението в раздела „Настройки → Данни и сигурност“. Разбира се, можете да прехвърлите данните си предварително, като използвате функция за автоматично експортиране. Като алтернатива можете да ни изпратите имейл от регистрирания при нас адрес на gdpr@digiburn.health или да ни пишете, посочвайки вашия личен идентификационен номер (UID – можете да го намерите в раздела за настройки в долната част на страницата на профила). След това веднага ще проверим това и ще се свържем с вас.

XIV. Задължение за отчетност при обработване на лични данни

  1. DIGIBURN носи отговорност и е в състояние да докаже, че спазва задълженията си във връзка с обработването на лични данни.
  2. В качеството си на администратор на лични данни DIGIBURN е създало и поддържа регистър на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните, по утвърден образец, който съдържа следната информация:
    1. дейност по обработване на личните данни;
    2. цел на обработването на личните данни;
    3. основание за обработване на личните данни;
    4. категория субекти на личните данни;
    5. категории лични данни;
    6. източник на личните данни;
    7. срок на съхранение на личните данни;
    8. зполучатели на личните данни;
    9. автоматизирано вземане на решения/профилиране;
    10. организационни и технически мерки за защита;
    11. име на държавата или международната организация при предаване на лични данни;
    12. гаранции при предаване на лични данни към трети държави или международни организации;
    13. съвместни администратори;
    14. обработващ личните данни.
  3. В случаите, в които е необходимо DIGIBURN извършва оценка на въздействието върху защитата на личните данни, като вземе предвид всички обстоятелства, свързани с дейностите по обработване на лични данни.
  4. Когато в резултат на оценката на въздействието върху защитата на личните данни е ясно, че DIGIBURN ще започне да обработва лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, трябва да бъде предадено за преглед от страна на координатора за защита на данните.
  5. В случай, че координаторър по защита на данните има сериозни опасения относно потенциалната вреда или опасност, или относно количеството на съответните данни, то въпросът следва да се отнесе до КЗЛД.
  6. DIGIBURN доказва изпълнение на задълженията си във връзка с обработването на лични данни посредством документиране на основните процеси по обработване на лични данни, приемане и прилагане на правила и процедури за обработване на лични данни, както и посредством присъединяване към кодекси за поведение, внедряване на подходящи технически и организационни мерки, приемане на техники по защита на личните данни на етапа на проектирането и защита на личните данни по подразбиране, оценка на въздействието върху защитата на личните данни и др.

XV. Задължение за гарантиране на сигурност при обработване на лични данни  

  1. DIGIBURN е наясно с рисковете, свързани с обработването на определени категории лични данни.
  2. При определянето на това доколко уместно е обработването DIGIBURN разглежда степента на евентуална вреда или загуба, която може да бъде причинена на субекта на данните, ако възникне нарушение на сигурността, както и всяка вероятна вреда за репутацията на DIGIBURN, включително евентуална загуба на доверие на клиентите
    1. При оценяването на подходящи технически мерки за гарантиране на сигурността при обработване на лични данни, DIGIBURN анализира следните обстоятелства:
      1. предвидени защити чрез въвеждане на парола;
      2. наличието на автоматично заключване на бездействащи работни станции в мрежата;
      3. премахване на права на достъп за USB и други преносими носители с памет;
      4. антивирусен софтуер и защитни стени;
      5. правата за достъп;
      6. защитата на устройства, които напускат помещенията на организацията, като например преносими компютри и мобилни телефони;
      7. сигурността на локални и широкообхватни мрежи;
      8. технологии за подобряване на поверителността, като например псевдонимизиране и анонимизиране;
      9. идентифициране на подходящи международни стандарти за сигурност
    2. При оценяването на подходящите организационни мерки за гарантиране на сигурността при обработване на лични данни, DIGIBURN взима предвид:
      1. а) подходящо обучение на служителите на DIGIBURN;
      2. гаранции за надеждността на служителите на DIGIBURN (например препоръки);
      3. включването на задължения по отношение на защитата на личните данни в трудовите договори на служителите на DIGIBURN;
      4. предвиждането на дисциплинарни наказания за служителите на DIGIBURN за допуснати нарушения при обработването на лични данни;
      5. редовни проверки на служителите на DIGIBURN за спазване на съответните стандарти за сигурност;
      6. упражняване на контрол върху физическия достъп до лични данни, записани на електронен носител или съдържащи се на хартия;
      7. приемането и спазването на политика на „чисто работно място“;
      8. съхраняване на лични данни, съдържащи се на хартия в заключващи се стенни шкафовею
      9. ограничаване на използването от страна на работниците и служителите на DIGIBURN на мобилни електронни устройства на и извън работното място;
      10. приемане и спазване на правила за създаване и ползване на защитни пароли;
      11. редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса;
      12. включването на задължения по отношение на защитата на личните данни в договорите с доставчици, подизпълнители, партньори и трети лица, както и задължение за предприемане от тяхна страна на подходящи мерки за сигурност при прехвърляне на данни извън ЕС.
  3. Всички доставчици, подизпълнители, партньори, служители, които работят с или за DIGIBURN и които имат или могат да имат достъп до обработваните от DIGIBURN лични данни, отговарят за гарантиране сигурността на съхраняването на личните данни.
  4. Всички доставчици, подизпълнители, партньори, служители, които работят с или за DIGIBURN и които имат или могат да имат достъп до обработваните от DIGIBURN лични данни, са длъжни да съхраняват сигурно и да не разкриват лични данни пред трети лица, освен ако DIGIBURN не е предоставило право на достъп до тези данни, като за целта е сключило споразумение за поверителност.

XVI. Конфиденциалност

  1. Личните данни са предмет на конфиденциалност. Забранява се служителите да извършват неразрешено събиране, обработка или използване на лични данни. Всяка обработка, извършена от служител без разрешение, която му е поверена при изпълнение на неговите задължения, е неоторизирана. Прилага се принципът „необходимост да се знае“: Служителите могат да имат достъп само до лични данни, ако и доколкото това е необходимо за съответните им задачи. Това изисква внимателното разделение и отделяне на ролите и отговорностите, както и тяхното внедряване и поддръжка в рамките на обхвата на разрешителните концепции.
  2. В случаите на обработване на специални категории лични данни (чувствителни лични данни) за целите, посочени в чл. 9, параграф 2, буква з) от Общия регламент, въпросните данни се обработват от или под ръководството на професионален служител, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.
  3. Служителите не са упълномощени да разкриват лични данни на неупълномощени лица или по какъвто и да е друг начин или да ги използват за лични или икономически цели. Ръководителите в Дружеството трябва да информират своите служители за задължението за защита на тайната на данните при започване на работа. Това задължение остава в сила и след приключване на трудовата заетост на съответния служител.
  4. Личните данни трябва да бъдат защитени от всякакъв неоторизиран достъп, незаконна обработка или разкриване, както и случайно изгубване, или унищожаване по всяко време. Това се прилага независимо от обработката на данните, извършена по електронен път или на хартиен носител.
  5. Преди да се приложат нови процеси или обработка на данни, особено нови информационни системи, трябва да се определят и изпълнят всички технически и организационни мерки за защита на личните данни. Тези мерки трябва да бъдат подходящи по отношение на настоящите технологични стандарти, рисковете, произтичащи от обработката и необходимостта от защита на данните (определени от процеса на класификация на информацията). Отговорният отдел може да се консултира с координатора по защита на данните на корпоративните клиенти. Техническите и организационни мерки за защита на личните данни са част от управлението на безопасността на информацията на Дружеството и трябва да бъдат непрекъснато съгласувани с техническите промени и организационните промени.

XVII. Нарушаване на сигурността на личните данни

  1. Правилното справяне с нарушаване на сигурността на личните данни е от съществено значение, тъй като Общият Регламент предвижда доста строго задължително изискване за докладване за нарушения на данните. В случай на нарушение на сигурността на данните съществуват правни задължения за уведомяване на надзорния орган и субектите на данните.
    1. „Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Нарушаването на сигурността на данни е нарушение на сигурността на данните и защитата на данните, при което вероятно или доказано е, че личните данни са известни на неупълномощени лица. Нарушенията на сигурността на данните често са свързани със значителни рискове за засегнатите лица, като например повреда в репутацията, дори злоупотреба с кредитна карта или кражба на самоличност, както и сериозни недостатъци за компанията.
    2. Общият Регламент предвижда задължително изискване за докладване за нарушения на данните. Член 33 от Общия Регламент (за уведомяване на надзорния орган) и член 34 същия регламент (за уведомяване на субектите на данни) определят кога такова задължение е приложимо.
  2. В случай на нарушаване на сигурността на лични данни администраторът уведомява без ненужно забавяне и, когато е възможно, не по-късно от 72 часа след като е узнал за него, нарушението на личните данни компетентния надзорен орган в съответствие с член 55 от Общия Регламент, освен ако нарушението на личните данни е малко вероятно да доведе до риск за правата и свободите на физическите лица. Когато уведомлението до надзорния орган не бъде направено в рамките на 72 часа, то се придружава от обяснение за забавянето.
  3. Обработващият лични данни уведомява администратора без неоснователно забавяне, след като е узнал за нарушение на личните данни. Горепосоченото уведомление трябва да съдържа най-малко:
    1. Да описва естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой засегнати субекти на данни, както и категориите и приблизителния брой записи за лични данни;
    2. Да съобщава името и данните за контакт на служителя за защита на данните или на друго звено за контакт, където може да се получи повече информация;
    3. Да опише възможните последици от нарушението на личните данни;
    4. Да опише мерките, предприети или предложени да бъдат предприети от администратора за справяне с нарушаването на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици;
      Когато и доколкото не е възможно да се предостави информацията по едно и също време, информацията може да бъде предоставена на фази без неоправдано по-нататъшно забавяне.
  4. Администраторът документира всякакви нарушения на сигурността на лични данни, включващи фактите, свързани с нарушението на личните данни, неговите последици и предприетите корективни действия. Тази документация дава възможност на надзорния орган да проверява спазването на гореспоменатите разпоредби съгласно чл. 33 Общия Регламент.
  5. Когато нарушаването на личните данни може да доведе до висок риск за правата и свободите на физическите лица, администраторът съобщава нарушението на личните данни на субекта на данните без неоправдано забавяне.
  6. Горепосоченото съобщение на субекта на данни описва на ясен език характера на нарушението на сигурността на личните данни и най-малкото:
    1. Съобщава името и данните за контакт на служителя за защита на данните или друго звено за контакт, където може да бъде получена повече информация;
    2. Описват вероятните последици от нарушението на личните данни;
    3. Описва предприетите или предложени мерки от страна на администратора за справяне с нарушението на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици.
  7. Горепосоченото съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:
    1. Администраторът е приложил подходящи технически и организационни мерки за защита и тези мерки са били приложени към личните данни, засегнати от нарушението на личните данни, и по-специално тези, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях като криптиране;
    2. Администраторът е предприел последващи мерки, които гарантират, че високият риск за правата и свободите на субектите на данни, посочени по-горе (вж. чл. 34(1) от Общия Регламент) вече не е вероятно да се материализира;
    3. Би довело до непропорционални усилия. В такъв случай вместо това трябва да има публична комуникация или подобна мярка, при която субектите на данни да бъдат информирани по еднакъв ефективен начин.
  8. Ако администраторът все още не е съобщил на субекта за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията посочени по-горе (както е посочено в член 34(3) от Общия Регламент)..

XVIII. Заключителни разпоредби

  1. Координатор по защита на данните в DIGIBURN
    1. DIGIBURN е определило координатор по защита на данните, като всички заинтересовани субекти имат осигурен лесен достъп до този служител.
    2. Координаторът по защита на данните контролира спазването на настоящата Политика и служи като единната точка за контакт за всички субекти на данни, във връзка с упражняване на правата им съгласно тази Политика и приложимото законодателство за защита на личните данни.
    3. Координаторът по защита на данните е:
      Георги Начев
      тел.: + 359 888 888 248
      електронна поща: gdpr@digiburn.health
    4. Координаторът по защита на данните оказва съдействие на субектите на данни. Субектът на данни може да адресира всички свои искания и въпроси, свързани с упражняване на правата му по Регламента към посочения координатор.
  2. Изменения и допълнения на Политиката за защита на личните данни
    DIGIBURN  запазва правото си да променя тази Политика за защита на личните данни, като при необходимост ще уведоми по подходящ начин за това всички заинтерeсовани страни.

Ако имате някакви въпроси, предложения или коментари, можете да се свържете с нашия екип за поддръжка на клиенти на gdpr@digiburn.health или с нашия служител по защита на данните: Георги Начев.

Настоящата Политика за защита на личните данни е последно изменена и допълнена на 24.02.2021 г.

Настоящата Политика за защита на личните данни е налична на уебсайта на DIGIBURN, както и за справка от служителите на DIGIBURN на сървъра на Дружеството, а също така е достъпна на хартиен или електронен носител в офиса на Дружеството и се предоставя на разположение на всеки заинтересован субект на лични данни за надлежното му запознаване с нея.

Меню