Резервация и доставка
0884 80 40 40

ПРАВИЛНИК ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
OT „МАЙ“ ЕООД
 


 
Правилник са съставени въз основа на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО,  в сила от 25.05.2018 година.
Информация за администратора на лични данни:
Наименование:  “МАЙ” ЕООД
ЕИК: 103597014
Седалище и адрес на управление: гр. София, ул. „Луи Айер“ 2
Данни за кореспонденция: гр. София, ул. „Луи Айер“ 2

Имейл: office@umami.bg
Уеб сайт: umami.bg

 

Дефиниции:

1. „Администратор“ на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на държава членка.
2. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
3. „Обработване на лични данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

 

I.Предмет и обхват
 
Чл.1. Този документ определят правилата и процедурите в “Май” ЕООД като администратор на лични данни (Администратора/ът), по отношение на защитата на физическите лица във връзка с обработването на лични данни. Правилникът определя и процедурите по информиране и упражняване на правата на физическите лица по отношение на достъпа, коригирането и защитата на техните личните данни.
Чл. 2. Физическите лица, чиито данни се събират и обработват от Администратора  са:
Клиенти на Ресторант „Умами“ и /или потребители на уебсайта  http//umami.bg//;
Служители на „Май‘ ЕООД;
Трети физически лица – партньори, консултанти, страни по договори и др;
Чл.3. Настоящите Правила се прилагат в „МАЙ“ ЕООД за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.
 Чл.4. Правилата са задължителни за всички категории служители на „Май“ ЕООД, съобразно с възникваща при изпълнението на служебните им задължения необходимост за събиране на лични данни и обработване на лични данни .
Чл.5. При обработването на лични данни от „Май“ ЕООД се спазват следните основни принципи:
(1) Личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
(2) Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. По-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с
 Първоначалните цели („ограничаване на целите“);
(3) Личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
(4) Личните данни са точни и където и доколкото е необходимо са поддържани в актуален вид. Предприемат се всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
(5) Личните данни са съхранявани във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
(6) Личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
(7) „Май“ ЕООД в качеството си на администратор носи отговорност и е в състояние да докаже спазването на горните принципи („отчетност“).

 

 

II. Информация за лицата, чиито лични данни се съхраняват и обработват. Регистри
 
Чл. 6. (1) Регистрите с лични данни, поддържани от Администратора, представляват структурирани набори от лични данни, изпълняващи конкретна функция за гарантиране на професионалното извършване на дейността на Администратора, достъпът до които се осъществява съгласно определени критерии.


(2) Регистърът на Клиентите на Ресторант Умами се състои от данните събирани, както следва:

А) От  потребителите на http//umami.bg//, Наборът от информация, който се вписва, се състои от:
– Имена, телефон, град, държава, пощенски код, адрес;
•    Адрес за доставка - държава, град, пощенски код, адрес;
•    Телефон за доставка;
•    Начин на доставка;
•    Начин на плащане;
•    Номер на поръчка;
•    Статус на плащане;
•    Статус на доставката.
•    Сума за плащане;
•    Електронна поща;
•    История на поръчките;
Начин за набиране на информацията и основание за обработването й: Регистрация на профил на http//umami.bg//

Б) Данни събирани при  поръчките за доставка по телефона или на  http//umami.bg// , в който случай, се  събират следните лични данни:
●    Имена, телефон, град, държава, пощенски код, адрес;
●    Лично и фамилно име на лицето за доставка;
●    Адрес за доставка - държава, град, пощенски код, адрес;
●    Телефон за доставка;
●    Начин на доставка;
●    Начин на плащане.
Начин за набиране на информацията и основание за обработването й: Заявка за доставка чрез сайта http/umami.bg//
(В) Данни на Клиенти,  участващи в програмата за лоялни клиенти, които клубни карти „Умами“ в който случай, се събират следните лични данни:
•    Име, презиме, фамилия
•    Дата на раждане
•    град, държава, пощенски код, адрес;
•    телефон;
•    имейл;
Начин за набиране на информацията и основание за обработването й: Попълване на регистрационен формуляр.

(3) Регистър на служителите на „Май“ ЕООД
Регистърът на  служителите съдържа лични данни за  служители по граждански и трудови правоотношения. Регистърът се поддържа в хартиена или електронна форма. Лични данни, необходими за изпълнение на законоустановени задължения на „Май“ ЕООД  като работодател може да се  съхраняват, обработват и предават към държавни институции по електронен път чрез счетоводни програми, официални автоматизирани системи и приложения за целите на изпълнението на данъчно-осигурителните задължения на работодателя и служителите.
Личните данни, които се съхраняват и обработват в този регистър са:
– Три имена (лично, бащино и фамилно име)
– Адрес за кореспонденция
– Постоянен адрес
– ЕГН
– Номер на лична карта, дата и място на издаване
– Телефонен номер
– Имейл адрес
– Копие на дипломи за завършена степен на образование, за придобита научна степен, за придобита следдипломна квалификация и специализации, копие на сертификати за владеене на чужди езици и на сертификати за дигитални умения
Регистърът събира и обработва лични данни и на кандидати за обявени свободни позиции за работа. Личните данни на тези кандидати се унищожават в срок от 30 дни от приключване на процедурата по подбор. Личните данни на служители с прекратени договори се съхраняват в регистъра за целите на поддържането на архив и изпълнение на законоустановените задължения на  „Май“ ЕООД като работодател.
Начин за набиране на информацията и основание за обработването й: Кодекс на труда, Кодекс на социалното осигуряване, нормативна уредба в областта на трудовото и данъчното законодателство.

(4) Във връзка и с оглед сключване на договор, съответно неговото изпълнение, „МАЙ”ЕООД съхранява и обработва лични данни на лица, ангажирани от  насрещната страна,при изпълнение на нейните задължения. В тази връзка дружеството може да получи лични данни за:
- Управители, Изпълнителни директори на дружества или други лица, които по закон представляват юридическите лица.
- Лица, които са упълномощени по надлежния от закона ред /по пълномощие/да представляват юридически лица.
- Лица, чрез които се осъществява кореспонденцията и контактите с трети лица и насрещната страна по договора.
- Лица, които като служители на насрещната страна по договора, е нужно да бъдат идентифицирани при изпълнение на служебните им задължения, касаещи сключения договор.
Начин за набиране на информацията и основание за обработването й: Сключен договор. Сайтове на държавни органи, предоставящи информация.Независимо от изложеното, събирането и обема на съхраняване на информация е специфично за всеки отделен случай– вземат се предвид клаузите на договора, нуждите на страните и законовите възможности и изисквания.  В тази връзка могат да се дадат за пример различни хипотези: при осъществяване на контакт с насрещната страна дружеството трябва да има информация за лицата за връзка; необходимо е да се знае кои лица могат валидно да изразят воля на насрещаната странапо договора и др.

Чл. 7. (1) Включването в регистър с лични данни с цел последващото им обработване става след съгласие на субекта на данните, изразено по свободен начин, след информиране за целите на събирането и обработването. Съгласието представлява конкретно и недвусмислено изявление или потвърждаващо действие.
(2) Администраторът поддържа архив с писмено изразените съгласия за обработване и осигурява използването на адекватни технологически решения за доказване на съгласие, изразено чрез специфични действия (напр. поставяне на отметка за съгласие преди изпращане на данни по електронен път чрез уебсайта на Администратора).
(3) Включването в регистър с лични данни може да стане без наличие на изрично съгласие само на предвидените в Регламент (ЕС) 2016/679 основания.
Чл. 8. Когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна (напр. обработка и подаване към данъчната администрация на лични данни с цел съставяне на разплащателни ведомости, хонорар-сметки, декларации за внесени данъци и осигуровки, издаването на служебни бележки) не се изисква изрично съгласие на субекта на данните.
Чл. 9. Когато обработването е необходимо за предприемане на стъпки по искане на субекта на данните преди сключването на договор (напр. подаване на автобиография и придружаващи документи при кандидатстване за позиция в „Май“ ЕООД), Администраторът полага усилия да осигури лесен достъп до настоящите Правила, съобразен с комуникационните канали, по които постъпва искането на субекта на данните.
Чл. 10. (1) Когато едни и същи данни се включват и обработват в различни регистри в Администратора, съгласието може да бъде изразено еднократно, доколкото информацията, предоставена на субекта на данните преди предоставянето на съгласие, ясно посочва целта на обработването на данните и включването в отделни регистри не променя тази цел.
(2) Включването на едни и същи данни в повече от един регистър може да бъде направено и без изрично изразено съгласие на субекта на данните на предвидените в Регламент (ЕС) 2016/679 основания.
Чл. 11. Когато обработването е необходимо за спазването на законово задължение, което се прилага спрямо „Май“ ЕООД в качеството му на администратор, Администраторът полага усилия да информира субектите на данните за този вид обработка, но не може да откаже да спази вменено му със закон или подзаконов нормативен акт задължение или указание на субекта на данните за отказ от такава обработка. В този случай Администраторът изпълнява задача в обществен интерес или свои официални правомощия, включително поддържането на архив за служителите.
Чл. 12. (1) Когато настъпва промяна в обхвата на обработваните данни на основание на задължение, вменено със закон или подзаконов нормативен акт, или указание на държавен орган в рамките на законоустановените му правомощия, Администраторът пристъпва към обработване, съобразено с промяната, когато данните вече са му били предоставени с общо съгласие за изпълнение на договор или на основание на извършване на обработването за изпълнение на обществена функция.
(2) Ако необходимите за обработването данни не са били предоставяни на Администраторът в рамките на описаните процедури, същият информира своевременно субектите на данни за промените и изисква предоставянето на лични данни в разумен срок.
(3) Информацията до субектите задължително указва по ясен начин нововъзникналото основание за събиране и обработване.
Чл. 13. Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език.
Чл. 14. (1) Администраторът не събира и не обработва лични данни, които се отнасят за следното:
– расов или етнически произход;
– политически, религиозни или философски убеждения, или членство в синдикални организации;
– генетични и биометрични данни;
– сексуалния живот или сексуалната ориентация.
Администраторът събира ограничени данни за здравословното състояние на служителите на основание КСО.

 

III. Основания за съхраняване и обработване на лични данни:

Чл.15. (1) Изискванията на Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и във връзка с отмяна на Директива 95/46/ЕО – Общ регламент относно защита на данните.
(2) „Май“ ЕООД  обработва Вашите лични данни на основание чл. 6, параграф1, б. „а“, б. „б“, б. „в“ и б. „е“ от GDPR, а именно:
-    чл. 6 , параграф1, б. „а“ от GDPR -  Дадено съгласие за обработване на лични данни за целите на директния маркетинг – рекламни, търговски съобщения, промоции, оферти и др.съгласно Политика за поверителност и Политика за Бисквитки.  Данните обработвани на това основание са бисквитки и Google Анализиране, бисквитки за функционалност и ефективност, задължителни бисквитки (еssential cookies), съгласно Политика за бисквитки;
-    чл. 6 , параграф1, б. „б“ от GDPR - обработването е необходимо за изпълнението на договор
-    чл. 6 , параграф1, б. „в“ от GDPR - обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора като задължения за счетоводно отчитане на търговската дейност и др. Данните обработвани на това основание са: две имена, телефонен номер, адрес за доставка.
-    чл. 6 , параграф1, б. „е“ от GDPR - обработването е необходимо за целите на легитимните интереси на „Май“ ЕООД , освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете. Данните обработвани на това основание са: две имена, ел.поща и потребителски профил.
Чл.16. Законодателството на Република България и международните нормативни актове.

 

 

IV. Средства и начини за съхраняване на лични данни:

Чл.17 Съхраняването се извършва по следните начини:
1. Хартиен носител – нормативно изискуеми и/или вътрешно организационни за дружеството и/или информативни документи и/или документи в пряка или косвена връзка среализирането на договора.
2. Електронна база данни – компютърен и всякакъв друг вид софтуер и вписана в него информация, съответно генерирани от същия  бази данни

V. Мерки за защита на личните данни
Чл.18 (1) Дружеството е създало вътрешно организационна структура, която гарантира защитата на личните данни и избягването на тяхното разкриване на трети лица, извън описаните по-горе случаи. Постигането на защита се осигурява и чрез внедряване на нови технологии, ангажиране на професионалисти, криптиране на файлове, ограничаване на свободен достъп и др. Извършва се периодично актуализаране на мерките за защита и анализ на тяхната ефективност и ефикасност.
Обработващият лични данни се задължава да предприеме подходящи технически и организационни мерки, във връзка със защитата на личните данни, подробно разработени в Приложение към настоящия Правилник, като:
а) прилагане на всички технически мерки за осигуряване на сигурност на данните, включващи например, но не само:
- използване на защитна стена за ограничаване на нерегламентиран достъп от интернет до сървъра, съхраняващ личните данни;
- система от подходящи права и пароли, ограничаващи достъпа до базата данни, съхранявана на сървъра само до легитимните потребители и до служители, имащи право да обработват такива данни;
- физическа сигурност за достъп до сървъра включваща контролиран достъп до помещенията, заключени помещения, постоянно видеонаблюдение, охранявани помещения и др. подходящи мерки
б) организационни мерки, регламентиращи правата на служителите на Обработващия данни
 


VI. Права на субектите на данни
 
Чл. 19. (1) Субектът на данни има правото да оттегли съгласието си по всяко време чрез искане в свободен текст. В такъв случай оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Оттеглянето на съгласие не може да се отнася до данни, които се поддържат в обществен интерес, в архив или за изпълнение на вменено със закон или подзаконов нормативен акт задължение на Администратора за поддържане и обработване на лични данни.
(2) Администраторът съдейства на субектите на данни, изявили желание за оттегляне на съгласието, осигурява информация за начина на оттегляне и за последствията от това и по никакъв начин не възпрепятства или създава условия за забавяне.
(3) Оттеглянето на съгласие става по процедура, сходна, съответстваща или по-лека от процедурата, по която съгласието е било дадено.
Чл. 20. (1) Субектът на лични данни има право да изиска и получи от Администратора потвърждение дали се обработват лични данни, свързани с него.
(2) Субектът има право да получи достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните му данни.
(3) Достъпът до данните е безплатен, но Администраторът си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.
(4) Достъп до данните в регистър може да бъде отказан, ако по технически причини не е възможно да се отдели визуализацията на всички данни за конкретен субект от данните за останалите субекти, което би довело до нарушаване на правата на други субекти на лични данни. В такива случаи Администраторът предоставя копие от обработваните данни в електронна или друга подходяща форма.

Чл. 21. (1) Субектът на лични данни има правото да поиска изтриване на свързаните с него лични данни, а Админостраторът има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания:
– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
– субектът оттегли своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
– субектът възрази срещу обработването на свързаните с него лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
– личните данни са били обработвани незаконосъобразно;
– личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Администратора;
(2) Администраторът не е длъжен да изтрие личните данни, ако ги съхранява и обработва:
– за упражняване на правото на свобода на изразяването и правото на информация;
– за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
– за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
– за установяването, упражняването или защитата на правни претенции.
(3) Администраторът не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

Чл. 22. Субектът на лични данни има право да изиска от Администратора да ограничи обработването на свързаните с него данни, когато:
– субектът оспори точността на личните данни, за срок, който позволява на Администратора да провери точността на личните данни;
– обработването е неправомерно, но субектът не желаете личните му данни да бъдат изтрити, а само използването им да бъде ограничено;
– Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът ги изисква за установяването, упражняването или защитата на свои правни претенции;
– субектът е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта.

Чл. 23. (1) Субектът на лични данни може да поиска от Администратора да го информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити.
(2) Администраторът може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.
Чл. 24. Субектът на лични данни може да възрази по всяко време срещу обработването на лични данни от Администратора, които се отнасят до него, включително ако се обработват за целите на профилиране или директен маркетинг. Възражението трябва да съдържа основания за повдигането им.
Чл. 25. Администраторът поддържа регистър, в който вписва заявленията и исканията, постъпили от субекти на лични данни по повод техните права.
Чл. 26. (1) Ако Администраторът установи нарушение на сигурността на личните данни, което може да породи висок риск за права и свободите на субекта на данни, той е длъжен да го уведоми без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. В уведомлението се посочва естеството на нарушението на сигурността на личните данни и се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици.
(2) Администраторът  не е длъжен да уведомява субекта на данните, ако:
– е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
– е взел впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата на субекта на лични данни;
– уведомяването би изисквало непропорционални усилия.
(3) При съмнения за наличието или приложимостта на основанията в ал. 2, Администраторът  ще приеме консервативно тълкуване и ще пристъпи към уведомяване на субекта на лични данни.
Чл. 27. В случай на нарушаване на правата на субекта на лични данни съгласно приложимото законодателство за защита на личните данни, той има право да подаде жалба до компетентния национален орган – Комисията за защита на личните данни (КЗЛД), Уеб сайт: www.cpdp.bg

Неразделна част от настоящия правилник са: Политика за поверителност и Политика относно бисквитките.