Обща политика за поверителност

Защита на личните данни и съответствие с Общия регламент за защита на данните (GDPR)

POL.0 2 Политика за поверителност

Солун 08.03.2021

Този документ е собственост на Kappa Resort и не може да бъде публикуван изцяло или частично без разрешение от компанията.

История на публикациите

Дата Версия Автор сектор и Описание / Промени
08.03.2021 1.0 Мария Яковиду Оригинално издание

Проверка на документа

Пълно име Роля Дата

СЪДЪРЖАНИЕ

  1. Въведение. 5
  2. Обработващ. 5
  3. Спазване на принципите на обработка. 6
  4. Лични данни. 7

4.1. Смисъл. 7

4.2. Обработка. 8

4.3. Правни основания за обработка. 11

4.4. Категории лични данни. 12

4.5. Категории субекти на лични данни. 13

4.6. Споделяне. 14

4.7. Категории получатели. 15

4.8. Цели. 16

4.9. Период на съхранение. 16

4.10. Място на обработка / Прехвърляния. 19

  1. Сигурност. 19
  2. Бисквитки. 22

6.1. Какво са бисквитките? 22

6.2. Възможност за отказ. 23

6.3. Кои бисквитки се използват и защо? 23

  1. Съгласие. 25
  2. Достъп до лични данни. 26
  3. Право на корекция, изтриване, ограничаване на обработката, преносимост, възражение и прекратяване. 27

9.1. Право на корекция. 28

9.2. Право на изтриване. 28

9.3. Право на ограничаване на обработката. 29

9.4. Право на преносимост. 30

9.5. Право на възражение. 31

9.6. Право на прекратяване. 31

  1. Отказ от отговорност за уебсайтове на трети страни. 32
  2. Търговска комуникация – Бюлетин. 32
  3. Повтарящ се маркетинг. 34
  4. Нарушение на лични данни. 34
  5. Преглед / промяна на Политиката за поверителност. 35
  6. Контакт с администраторa на данни. 35

1. Въведение.

Тази Политика за поверителност (по-нататък „Политика“) обяснява как и защо Kappa Resort (по-нататък „Компанията“) събира, обработва, разкрива и защитава личните данни на физически лица, причините за съхранението на данните, вида на обработваните данни, периода на тяхното съхранение и подходящите технически и организационни мерки за защита, които компанията прилага.

Политиката за поверителност се прилага за всички лица, от които се получава информация или в чиято полза се събира информация.

Компанията придава особено значение и напълно уважава поверителността и конфиденциалността на личните данни, обработвани в контекста на предоставянето на услугите ѝ. Поради тази причина, тя е вложила време и ресурси за пълно съответствие с действащата национална, европейска и международна правна рамка, и по-специално с Общия регламент за защита на данните на ЕС № 679/2016 (по-нататък „GDR“), който влезе в сила през май 2018 г.

2. Обработващ .

Отговорен за обработката на лични данни е дружеството с ограничена отговорност с името „СТРОИТЕЛНА КОМПАНИЯ НА СОЛУН ЕООД“, със седалище в Солун, ул. М. Боцари 20, ПК 54643, с ДДС № 084276844 – Δ.Ο.Υ. Солун, с Г.Е.М.И. № 41979806000, тел. +30 2310 825385, имейл info@kateth.gr, и е законно представлявано (по-нататък „Компанията“). Компанията управлява хотел „Kappa Resort“ в Палиури, Халкидики, ПК 63085, тел. +30 23743 00713, имейл info@kapparesort.com.

3. Спазване на принципите на обработка .

Компанията се придържа към следните основни принципи за защита на личните данни, чието спазване се изисква от GDR:

  • Законност, обективност и прозрачност – Личните данни се обработват законно и прозрачно спрямо субекта на данни.
  • Ограничение на целта – Личните данни се събират за конкретни, изрични и законни цели и не се обработват допълнително по начин, несъвместим с тези цели; допълнителна обработка за научни или статистически цели не се счита за несъвместима с първоначалните цели съгласно чл. 89 (1) от GDR.
  • Минимизиране на данните – Личните данни са подходящи, релевантни и ограничени до необходимото за целите, за които се обработват.
  • Точност на данните – Личните данни са точни и при необходимост актуализирани; предприемат се всички разумни стъпки за незабавно изтриване или корекция на неточни лични данни.
  • Ограничение на периода на съхранение – Личните данни се съхраняват във формат, който позволява идентификация на субектите само за периода, необходим за целите на обработката; личните данни могат да се съхраняват за по-дълги периоди, ако са необходими за научни или статистически цели и при спазване на подходящи технически и организационни мерки, изисквани от GDR.
  • Цялост и поверителност – Личните данни се обработват по начин, който гарантира подходящата им сигурност, включително защита срещу неправомерна обработка и случайна загуба, унищожаване или повреда, чрез подходящи технически или организационни мерки.
  • Отговорност – Администраторът е отговорен и способен да демонстрира спазването на горните принципи.
  • Обработката на лични данни, включително предаването им на трети страни, се извършва само съгласно чл. 6 и 9 от GDR.
  • Обработката на данни се извършва с уважение към правата на информираност, достъп и възражение на субектите.
  • Обработката на лични данни е конфиденциална и се извършва от лица, ангажирани с поддържането на поверителност.

Целта на обработката на данните от изображения и регистрационните номера на превозни средства на субектите чрез системата за видеонаблюдение е да се защитят лицата и материалните ценности, намиращи се вътре и извън Kappa Resort, както и да се предотврати извършването на незаконни действия.

4.9. Период на съхранение.

Компанията съхранява личните данни и друга информация толкова дълго, колкото е необходимо за съответната цел на обработката или по настояване на действащото законодателство, според конкретната информация, предоставена отделно за всяка категория субекти на данни.

Особено за клиентите, периодът на съхранение на техните лични данни е 10 години, освен ако не се водят правни производства, в който случай периодът на съхранение се удължава до издаването на окончателно съдебно решение.

Относно обработката на лични данни чрез системата за видеонаблюдение, инсталирана от Компанията, данните от камерите се съхраняват седем (7) дни. В случай че през този период бъде засечен инцидент, част от видеото се изолира и се съхранява до един (1) месец, за да се разследва инцидентът и да се започнат правни действия за защита на законните интереси на Компанията, а ако инцидентът засяга трети лица, видеото се съхранява до още три (3) месеца.

Когато Компанията вече не се нуждае от личните данни на субекта, тя ще унищожи, изтрие или анонимизира информацията без предварително уведомяване.

Особено за данните, които Компанията обработва въз основа на съгласието на субекта (например за маркетингови цели), те се съхраняват от момента на получаване на съответното съгласие до момента на неговото оттегляне.

Следва таблица с периодите на съхранение на личните данни:

Α / Α Данни – Лични данни Период на съхранение на данните
1 Данни за клиент / резервации 10 години. В случай на правни претенции, данните се съхраняват до издаването на окончателно съдебно решение.
2 Данни за наемане на персонал 5 години след края на договора. В случай на правни претенции, данните се съхраняват до издаването на окончателно съдебно решение.
3 Информация за заплати Не се изтриват.
4 Данни за изпълнение на данъчни задължения Не се изтриват.
5 Данни за изпълнение на задължения на работодателя / застраховки Не се изтриват.
6 Данни за кандидати за персонал 6 месеца.
7 Данни за фактури / разписки за услуги 10 години.
8 Данни, събрани чрез системата за видеонаблюдение 7 дни.
9 Данни за изпращане на имейл – бюлетин 5 години.
10 Имейл данни 5 години.
11 Данни от договорен файл 5 години от изтичането на договора.
12 Данни от жалбен файл 1 година.
13 Данни за управление на документи и файлове SDAP 5 години.
14 Информация за управление / поддържане на файл с информационни ресурси Не се изтриват.
15 Данни за контрол на достъпа 5 години.
16 Данни за поддържане на файл с ключове 5 години.
17 Информация за водене на регистър на задачите в компютърната зала 5 години.
18 Данни за поддържане на регистър на доставчици 20 години.
19 Данни за процес на възстановяване на данни 5 години.
20 Данни за управление на бизнес непрекъснатостта 5 години.
21 Информация за управление на сигурността на информацията 5 години.

4.10. Място на обработка / Прехвърляне.

Личните данни се обработват в рамките на Европейската икономическа зона (ЕИЗ).

В случай че се изисква разследване за предоставяне на услуги извън ЕИЗ, това се извършва с изричното съгласие на субекта (чл. 49 § 4 GDR).

По-подробно относно обработката на лични данни чрез системата за видеонаблюдение, инсталирана от Компанията, данните не се предават на трети страни, трети държави или международни организации.

5. Сигурност.

Компанията полага всички усилия за защита на личните данни на субектите, които обработва, както по отношение на конфиденциалността и поверителността на информацията, така и по отношение на тяхната цялост (да не бъдат променяни, случайно повредени и др.). Гарантира се, че личните данни се обработват сигурно, съгласно политиките и процедурите и в съответствие с целите на обработката.

Като администратор на лични данни, Компанията, вземайки предвид наличните технологии и разходите за прилагане, естеството, обхвата и целите на обработката, както и тежестта и вероятността от рискове за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки за осигуряване на подходящо ниво на защита на личните данни. В случаи, които Компанията смята за подходящи и ефективни, се прилагат технически и организационни мерки като псевдонимизация и криптиране.

Индикативно, Компанията прилага следните мерки за сигурност:

  • Достъпът до лични данни е ограничен до ограничен брой упълномощени лица за конкретни цели.
  • Персоналът на Компанията, който има достъп до лични данни, е ангажиран да поддържа конфиденциалност за всяка информация, която получава или му се предоставя от клиента или трети лица (партньори, доставчици и др.).
  • Специални категории лични данни се съхраняват на компютри и информационни системи с разрешен достъп. Когато се съхраняват на хартиен носител, те се заключват в шкафове с достъп само за упълномощени лица.
  • Компанията избира надеждни партньори, които са обвързани писмено съгласно чл. 28 от GDR със същите задължения относно защитата на личните данни. Компанията си запазва правото да ги контролира.
  • Компютърните системи, използвани за обработка на данни, са технически изолирани от други системи, за да се предотврати неоторизиран достъп, например чрез хакерски атаки.
  • Достъпът до тези компютърни системи се наблюдава постоянно, за да се открие и предотврати незаконно използване на ранен етап.
  • Уебсайтът, поддържан от Компанията, използва HTTPS протокол.
  • Личните данни се съхраняват криптирани и с протоколи за сигурност на сървъра и са достъпни само от Компанията и само когато е необходимо, напр. за управление на запитвания на субекта.

Субектът трябва също да третира цялата информация, предоставена на Компанията, като поверителна и лична и да не я разкрива на трети лица. Освен това е негово единствено задължение да ограничи или блокира достъпа до своя компютър и браузър.

Управлението на чувствителни лични данни (особено здравни данни на служители и/или клиенти) се извършва с голяма грижа и дискретност от персонала на Компанията. Особено се подчертава следното към персонала:

  • Личните данни на служители и/или клиенти трябва да се обработват с абсолютна дискретност.
  • Персоналът трябва да бъде внимателен при работа с документи, съдържащи данни за клиенти.
  • Персоналът трябва да внимава при работа с компютър – когато се отдалечава, компютърът трябва да се заключва.
  • Паролите за компютри са строго лични и персоналът не трябва да ги споделя с никого.
  • Ако персоналът разбере, че трета страна е получила неоторизиран достъп до данни на клиенти, трябва да информира генералния мениджър.
  • Ако персоналът има съмнения относно правилното управление на личните данни на клиенти, трябва да информира генералния мениджър.

6. Бисквитки.

Бисквитките се използват за събиране на информация, изключително за ефективното функциониране на уебсайта www.kapparesort.com
 и за подобряване на онлайн изживяването на потребителите. Потребителите могат да кликнат върху съответната опция, за да продължат или да видят подробни описания на бисквитките и да изберат дали да приемат определени бисквитки или не. Ако не приемат бисквитки, може да не могат да използват някои функции на нашия уебсайт.

6.1. Какво са бисквитки?

Бисквитките са малки парчета информация, които под формата на много малък буквено-цифров текст се съхраняват на компютъра на потребителя след негово съгласие, подпомагайки по-ефективната работа на уебсайта. Бисквитките по никакъв начин не причиняват вреда на компютъра на потребителите или на файловете, съхранявани на него.

6.2. Възможност за отказ.

Повечето уеб браузъри автоматично приемат и събират бисквитки. Въпреки това, потребителят може да направи подходящите настройки, така че браузърът да приема всички бисквитки, да отхвърля всички бисквитки или да го уведомява, когато е зададена бисквитка. В зависимост от настройките за сигурност на браузъра, потребителят може да отхвърли всички бисквитки. Ако откаже всички бисквитки, може да не може да използва нашия уебсайт. Повече информация за това как потребителят може да промени настройките на браузъра или как да блокира/управлява бисквитки може да се намери на www.allaboutcookies.org.

6.3. Кои бисквитки се използват и защо?

  • За статистически цели, Компанията използва бисквитки на Google Analytics, за да разбере как потребителите посещават и разглеждат уебсайта ѝ и да идентифицира области за подобрение, напр. навигация. Събраните данни се обработват по начин, който не позволява идентифициране на потребителя (анонимизирани IP адреси). Google Inc. разкрива тази информация на трети лица само до степента, изисквана от закона. За отказ от Google Analytics можете да посетите Google Analytics Opt-out Browser Add-on.

Повече информация за използваните бисквитки и целите, за които Компанията ги използва, може да се намери в следната таблица:

Бисквитка Издател Цел Повече информация
_ga Google Analytics Анализ / Производителност Google Analytics
_gid Google Analytics Анализ / Производителност Google Analytics
_fbp Facebook Pixel Маркетинг / Проследяване Записва и проследява посещения между уеб страници.
_hjid Hotjar Статистика abouthotelier.com

За безопасна навигация на уебсайта, Компанията спазва Директива 2002/58/ЕО на Европейския съюз относно защитата на личните данни и поверителността в областта на електронните комуникации, както е изменена с Директива 2009/136/ЕО на Европейския съюз.

За използването на „бисквитки“ се изисква предварително съгласие на потребителя. Изключения от това правило са само бисквитките, които обслужват функционалните нужди на уебсайта (функционални бисквитки) и са необходими за визуализацията и ефективното функциониране на уебсайта на компютъра на потребителя. С приемането на настоящата Политика се счита, че потребителят е дал съгласие за използването на бисквитки, както е описано по-горе.

7.                  Съгласие.

Компанията може да получава лична информация за субекта от различни източници или по различни методи. За всеки източник или метод начинът на получаване на съгласие може да се различава.

Компанията приема, че чрез използването на услугите ѝ и/или достъп до уебсайта ѝ, субектът е прочел Политиката за поверителност. Освен това, като предоставя информацията, независимо дали е лична или не, субектът декларира, че е вярна и точна и изрично дава съгласие за разкриването и обработката ѝ за посочените цели, освен ако изрично не уведоми администратора, че не желае да използва информацията си. Съгласието на субекта за този достъп/разкриване включва случаи, при които за ефективността на предоставянето на услугите доставчиците могат да се намират в Съединените американски щати или в други държави или региони извън Европейското икономическо пространство.

В случай че физическо лице предоставя лични данни на трета страна, той е отговорен да информира това лице за използването на неговата информация и да получи изричното му съгласие, че такава информация се предоставя за посочените цели. Във всеки случай Политиката за поверителност се прилага за всяка информация, получена от трета страна.

Субектът може да оттегли съгласието си по всяко време чрез изпращане на имейл на info@kapparesort.com, без да се засяга законността на обработката, основана на съгласието преди неговото оттегляне.

8.                  Достъп до лични данни.

Субектът има право да получи потвърждение от Компанията дали личните му данни се обработват и, ако това е така, има право на достъп до своите лични данни, както и: a) целите на обработката, b) съответните категории лични данни, получателите или всякакви категории получатели, на които личните данни са разкрити или ще бъдат разкрити; c) ако е възможно, периодът, за който личните данни ще бъдат съхранявани или, когато е невъзможно, критериите; d) съществуването на право да се отправи искане към администратора за корекция или изтриване на лични данни или ограничение на обработката на лични данни или право на възражение срещу такава обработка; f) право на жалба пред надзорен орган; g) ако личните данни не са събрани от субекта, всяка налична информация за тяхния произход; както и значението и очакваните последици от такава обработка за субекта.

Субектът може да поиска от Компанията да му предостави копие от своите лични данни, които се обработват. За допълнителни копия, които може да се поискат, се предвижда такса от петнадесет (15) евро.

Всяка заявка за достъп до информация трябва да бъде адресирана до Компанията на info@kapparesort.com. Всяка подадена заявка трябва да бъде придружена от идентичността на субекта и да съдържа необходимата информация. Компанията може да поиска предоставяне на допълнителни методи за потвърждаване на идентичността на субекта.

Компанията ще отговори на заявката на субекта в срок от един (1) месец. Този срок може да бъде удължен с допълнителни два месеца, ако е необходимо, като се вземат предвид сложността на заявката и броя на заявките. Субектът ще бъде информиран за това удължаване в рамките на един месец от получаването на заявката, както и за причините за забавянето. Ако субектът подаде заявката по електронен път, информацията се предоставя, ако е възможно, по електронен път, освен ако субектът не поиска друго. Ако Компанията не предприеме действия по заявката на субекта, той ще бъде информиран незабавно и не по-късно от един месец от получаването на заявката.

9.                  Право на корекция, изтриване, ограничаване на обработката, преносимост, възражение и прекратяване.

Компанията е поела ангажимент да гарантира спазването на конфиденциалността на личните данни на субекта и да осигури упражняването от него на правата на достъп, корекция, изтриване, ограничаване, преносимост и възражение чрез изпращане на имейл на info@kapparesort.com. Всяка подадена заявка трябва да бъде придружена от идентичността на субекта и да съдържа необходимата информация. Компанията може да поиска предоставяне на допълнителни методи за потвърждаване на идентичността на субекта.

Компанията ще разгледа вашата заявка без забавяне и ще отговори в срок от един (1) месец от получаването на заявката. Този срок може да бъде удължен с допълнителни два месеца, ако е необходимо, като се вземат предвид сложността на заявката и броя на заявките. Субектът ще бъде информиран за това удължаване в рамките на един месец от получаването на заявката, както и за причините за забавянето. Ако субектът подаде заявката по електронен път, информацията се предоставя, ако е възможно, по електронен път, освен ако субектът не поиска друго. Ако Компанията не предприеме действия по заявката на субекта, той ще бъде информиран незабавно и не по-късно от един месец от получаването на заявката.

9.1. Право на корекция.

Субектът има право да поиска от Компанията корекция без ненужно забавяне на неточни лични данни, касаещи него. С оглед целите на обработката, има право да поиска допълване на непълни лични данни, включително чрез допълнително изявление.

9.2. Право на изтриване.

Субектът има право да поиска изтриване на лични данни. Заявките за изтриване на лични данни се обработват в срок от един (1) месец. В случай на разкриване на лични данни, Компанията, като взема предвид наличните технологии и разходи за изпълнение, предприема разумни мерки, включително технически, за да информира обработващите лични данни, че субектът е