INTERNAL RULES
on
COLLECTION, PROCESSING, ARCHIVING, STORAGE, DESTRUCTION
AND PROTECTION OF PERSONAL DATA IN THE REGISTER OF
COUNTERPARTIES AND PROCEDURE FOR THE EXERCISE OF THE RIGHTS
OF DATA SUBJECTS
SECTION І
GENERAL PROVISIONS
Subject matter
Article 1. /1/ These Rules (hereinafter referred to as Rules/the Rules) are issued
by
Talent Hunter Ltd as a personal data controller (hereinafter also referred to as Controller).
/2/ The Rules shall determine the procedure for collection, processing, storage,
archiving, destruction and protection of personal data by the Controller in connection with
the conclusion, modification, performance, termination/rescission of commercial /civil/
contracts between Talent Hunter Ltd and third parties, as well as in connection with any
other annex, additional agreement and/or protocol establishing legal relationships with a
third party, except in in the case of employment and/or civil contracts with natural persons.
/3/ The rules shall regulate the rights, obligations and responsibility in the event of
non- fulfillment of the obligations by:
1. data subjects – natural persons who are party to a specific commercial contract
concluded with the Controller; natural persons who represent or are employees of
a counterparty of the Controller; natural persons whose personal data the Controller
collects, processes, stores and destroys by virtue of their explicit consent given for and upon
the exercise of its lawful activity and in protection of its legitimate interest relating to
selection or other inquiry with a view to future, potential establishment of an
employment or other legal
relationship; natural persons whose personal data the Controller collects, processes, stores
and destroys by virtue of a contract and/or another form assigning to it an activity of
selection and/or other inquiry with a view to future, potential establishment of an
employment relationship between the counterparty and the respective natural persons;
2. data processors – the employees who, in the performance of their
function or by order of the Controller, collect, process, store, archive or destroy
personal data /data processors/;
3. data users – natural persons, legal persons and/or bodies performing public
functions who/which, by virtue of a law or the internal rules of the Controller, have access
to the personal data /data users/.
Article 2. /1/ The rules shall regulate:
1. The procedure for keeping, maintaining and protecting personal data in the
Register of Counterparties.
2. The procedure and rules for collecting, processing, storing, archiving,
destroying the personal data by Talent Hunter Ltd as a controller and/or processor.
3. The rights and obligations of the data processors and users, their
responsibility in the event of non-fulfillment of these obligations in the Register of
Counterparties.
4. The procedure and rules for the implementation of the rights of
information of the data subjects whose personal data are collected, processed, stored,
archived, destroyed in the Register of Counterparties.
5. The procedure and rules for the implementation of the right of access of data
subjects, public authorities and third parties to the personal data that are collected,
processed and stored in the Register of Counterparties.
6. The procedure and rules for the implementation of the right of data
subjects to rectification and supplementing of inaccurate and/or incomplete personal
data that are processed, stored, archived, destroyed in the Register of Counterparties.
7. The procedure and rules for the implementation of the right of data subjects
to erasure of the personal data (the right to be forgotten) that are processed, stored,
archived, destroyed in the Register of Counterparties.
8. The procedure and rules for the implementation of the right of data subjects
to object processing of the personal data that are processed, stored, archived, destroyed
in the Register of Counterparties, including the objection that personal data should
not be subject to an automated decision which includes profiling.
9. The procedure and rules for the implementation of the right of data
subjects to notification in case of breach of the security of the personal data that are
processed, stored, archived, destroyed in the Register of Counterparties.
10. The procedure and rules for the implementation of the relationships
of Talent Hunter Ltd, as a controller, with the Commission for Personal Data Protection.
Purpose of the Rules
Article 3. /1/ The purpose of the Rules is to create a legal form and organization,
which shall ensure and guarantee the collection, processing, storage, archiving and
destruction of personal data in full compliance with the requirements of Regulation
2016/679, the Personal Data Protection Act, the regulations on their implementation
and the instructions of the Commission for Personal Data Protection.
/2/ The purpose of the Rules is to create a legal form and organization in the process
of collecting, processing, storing, archiving and destroying the personal data that
will fully guarantee their protection and security within the meaning of Regulation
2016/679, the Personal Data Protection Act, the regulations on their implementation
and the instructions of the Commission for Personal Data Protection.
/3/ The purpose of the Rules is to create a procedure and organization for the
exercise of the right to information, access, rectification and supplementing, erasure,
objection and notification in the event of a security breach, which will ensure and
guarantee to the data subjects their lawful and effective implementation.
Compliance of the Rules with Regulation 2016/679, the Personal Data
Protection Act and other regulatory acts
Article 4. /1/ The Rules are issued by Talent Hunter Ltd pursuant to
Regulation 2016/679, the Personal Data Protection Act /PDPA/, in conjunction with Article
4 of Ordinance No. 1 of 30 January 2013 on the minimum level of technical and
organizational measures and the permissible type of personal data protection, issued by the
Chairman of the Commission for Personal Data Protection and in fulfillment of his duties
as a data controller.
/2/ Upon amendment to the provisions of the regulatory acts mentioned in the
previous paragraph or other regulatory acts specified in these Rules, the Controller
must, within 10 working days after their promulgation, make the necessary changes to
the latter.
/3/ In the event that the Controller does not make the necessary changes to the
Rules and does not bring their content into line with the amendments to the PDPA
and/or other regulatory acts, the data processors, data subjects, as well as all other
persons who are their addressees shall be entitled to refuse to fulfill the obligations arising
from the relevant texts that do not comply with the regulatory framework.
SECTION II
APPLICATION OF THE INTERNAL RULES
Effect of the Rules over time
Article 5. The Rules shall enter into force on the date of their approval.
Effect of the Rules on persons
Article 6. /1/ The Rules shall
apply to:
1. The Controller, the data processors, the users, the persons to whom the
Controller provides access, as well as to all third parties who, by virtue of a law, are
entitled to access to another person’s data that are collected, processed, stored, archived
and destroyed in the Register of Counterparties.
2. all natural persons who are representatives or a party to an existing
commercial /civil/ contract concluded with the Controller; natural persons who are
employees of a current counterparty of the Controller, whose personal data are already
collected, processed, stored, archived and destroyed or are to be collected, processed,
stored, archived and destroyed in the Register of Counterparties,
3. all natural persons who are a party to a specific
terminated/rescinded/performed commercial /civil/ contract concluded with the Controller
or natural persons who are employees of a former counterparty of the Controller, whose
personal data are collected, processed, stored, archived in the Register of Counterparties
and not have been destroyed and/or transmitted to other state authorities, including the
relevant state archives for storage /if they are subject to it/.
4. all natural persons whose personal data the Controller collects, processes,
stores and destroys by virtue of their express consent given for and in the exercise of its
lawful activity and in protection of its legitimate interest relating to the selection or other
inquiry with a view to future, potential establishment of an employment or other legal
relationship;
5. all natural persons whose personal data the Controller collects, processes,
stores and destroys by virtue of a contract and/or other form assigning to it an activity of
selection and/or other inquiry with a view to future, potential establishment of an
employment relationship between a counterparty of the Controller and the respective
natural persons.
6. All subjects that are not explicitly mentioned in the previous paragraphs
for whom the Rules give rise to obligations, rights or responsibilities.
/2/ The Rules shall enter into force and give rise to rights, obligations
and responsibilities from the date of the persons’ acquaintance with their content.
/3/ The Controller shall bring the Rules to the knowledge of the abovementioned
persons within 10 working days from their adoption.
SECTION ІІІ
TYPES OF PERSONAL DATA THAT ARE COLLECTED,
PROCESSED, STORED, ARCHIVED AND DESTROYED IN THE
REGISTER OF COUNTERPARTIES
Personal data on physical identity
Article 7. /1/ The Controller shall collect, process, store, archive and destroy
personal data on the physical identity of the subjects as follows: full names, personal
identification number, number of identity card or other identity document, date and place
of issue, up-to-date permanent address, current address, telephone number, name and
position of a contact person.
/2/ The personal data are necessary for the lawful implementation of the rights
and obligations of the Controller and its counterparties, including for conclusion,
modification, performance, termination/rescission of commercial contracts between
Talent Hunter Ltd and its counterparties, as well as any other contract establishing
relationships with a third party
/except in the cases of an employment and/or civil contract with a natural person/; for
contacting the representatives of the respective counterparty regarding the
performance, termination/rescission of the relevant legal relationship; for
implementation of its lawful activity and in protection of its legitimate interest relating
to selection or other inquiry with a view to future, potential establishment of an
employment or other legal relationship; for implementation of the activitiesforselection
and/or other inquiry assigned with the commercial contract with a view to future, potential
establishment of an employment relationship between the counterparty of the Controller
and the respective natural persons, etc.
/3/ The personal data shall be provided on the basis of the fulfillment of obligations
that are assigned in the respective commercial contract concluded with the counterparty
under the Commercial Act (CA), the Obligations and Contracts Act (OCA), the Health
and Safety at Work Act (HSWA), the Accountancy Act (AA), the Value Added Tax
Act (VAT Act), the Corporate Income Tax Act (CITA), and the regulations on their
implementation.
Personal data on representative functions, professional activity and bank
accounts Article 8. /1/ The Controller shall collect, process and store personal
data on representative functions, professional activity such as: exercised
representative functions, occupied positions, performed functions, completed projects,
type, content and status of the projects /national, international/, bank account
numbers, correspondence addresses for the
implementation of the activities assigned with a commercial contract;
professional qualification, professional experience and other personal data for the
purposes of its lawful activity and in protection of its legitimate interest relating to
selection or other inquiry with a view to future, potential establishment of an employment
or other legal relationship for which the subjects have given it their explicit consent;
professional qualification, professional experience and other personal data for the
purposes of selection and/or other inquiry with a view to future, potential establishment
of an employment relationship between the counterparty of the Controller and the
respective natural persons are designated/agreed between the Controller and the
counterparty, etc.
/2/ The personal data are necessary for the lawful implementation of the rights
and obligations of the Controller and its counterparties in the respective legal relationship,
including for conclusion, modification, performance, termination/rescission of
commercial contracts between Talent Hunter Ltd. and third parties, as well as any other
contract establishing legal relationships with a third party /except in the cases of an
employment and/or civil contract with a natural person/; contacting the representatives of
the respective counterparty in connection with the performance, termination/rescission of
the relevant legal relationship; for the purposes of his lawful activity and in protection of
its legitimate interest relating to selection or other inquiry with a view to the future,
potential establishment of an employment or other legal relationship for which the
subjects have given it their explicit consent; for carrying out the selection and/or other
inquiry with a view to the future, potential establishment of an employment
relationship between the counterparty of the Controller and the respective natural persons
in the execution of a contract between the Controller and the counterparty, etc.
/3/ The personal data are provided on the basis of fulfillment of normative
obligations, set out in the respective contract concluded with the third party, the
Commercial Act (CA), the Obligations and Contracts Act (OCA), the Health and
Safety at Work Act (HSWA), the Accountancy Act (AA), the Value Added Tax Act
(VAT Act), the Corporate Income Tax Act (CITA), and the regulations on their
implementation.
SECTION ІV
DOCUMENTS COLLECTED, PROCESSED AND STORED IN
THE REGISTER OF COUNTERPARTIES
Purpose of the documents
Article 9. /1/ All the personal data which are necessary for the Controller for the
lawful conclusion, modification, performance, termination/rescission of commercial
/civil/ contracts between Talent Hunter Ltd and third parties, as well as any other
contract establishing legal relationships with a third party /except in the cases of an
employment and/or civil contract with a natural person/ shall be collected, processed,
stored, archived and destroyed in the Register of Counterparties.
/2/ The personal data which the Controller must obtain in the fulfillment
of its obligations under the the Commercial Act (CA), the Obligations and Contracts Act
(OCA), the Health and Safety at Work Act (HSWA), the Accountancy Act (AA), the Value
Added Tax Act (VAT Act), the Corporate Income Tax Act (CITA), and the regulations on
their implementation, etc. shall be collected, processed, stored, archived and
destroyed in the Register of Counterparties.
/3/ The personal data which are specified/agreed in the contract between the
Controller and the counterparty and are necessary for carrying out the selection and/or
other inquiry with a view to future, potential establishment of an employment
relationship between the counterparty of the Controller and the respective natural persons
shall be collected, processed, stored, archived and destroyed in the Register of
Counterparties.
/4/ The personal data for which the subjects have given the Controller their
explicit consent for the purposes of its lawful activity and in protection of its legitimate
interest relating to selection or other inquiry with a view to future, potential establishment
of an employment or other relationship shall be collected, processed, stored, archived and
destroyed in the Register of Counterparties.
/5/ The personal data which the Controller, by virtue of its internal acts, rules,
statutes and at its discretion, receives in order to protect effectively its interests
relating to the
conclusion, modification, performance, termination/ rescission of commercial /civil/
contracts between Talent Hunter Ltd and third parties, as well as any other contract
establishing relationships with a third party /other than the cases of an employment
and/or civil contract with a natural person/ shall be collected, processed, stored,
archived and destroyed in the Register of Counterparties.
/6/ The types of documents which, by virtue of a law, regulation or an act of
the Controller, are necessary to enable the lawful implementation of the subjective
rights and obligations of employees and contractors shall be collected, processed, stored,
archived and destroyed in the Register of Counterparties.
Main types of documents
Article 10. /1/ Talent Hunter Ltd, as a controller within the meaning of Article
3 (1) of the PDPA, shall be entitled to request, collect, process and store the following
documents:
1. Identity documents for the identification of the respective counterparty,
where it is required by law.
2. Certificate of good standing or excerpts from the relevant registers
(for example, Commercial Register and Register of Non-Profit Legal Entities).
3. Bank account certificate; invoices relating to price payment; statements
required by
law.
4. Documents for which the subjects have given their explicit consent.
5. Documents which are specified/agreed in the contract between the
Controller and
the counterparty and are necessary for the selection and/or other inquiry with a view to
future, potential establishment of an employment relationship between the
counterparty of the Controller and the respective natural persons.
/2/ In case of failure to provide the originals of the documents, copies thereof that
duly guarantee the conformity to the original content may also be processed with the
consent of the controller.
/3/ If it is necessary the relevant supporting documents to be kept by the
controller, originals or copies thereof may be provided.
/4/ The listing of the required documents is not exhaustive and the data controller
may request other documents in connection with the data that are subject to processing.
SECTION V
PERSONS RELATED TO THE REGISTER OF COUNTERPARTIES
Processors of personal data in the Register of Counterparties
Article 11. A data processor for the purposes of these Rules shall be the natural or
legal person who/which, by office, order or contract, updates, records, modifies,
organizes, copies, completes, stores, maintains, uses personal data, makes inquiries,
obtains information from personal data in connection with the processing of the
documentation of the controller, stores, archives, deletes, destroys and otherwise
treats the personal data in the Register of Counterparties.
Article 12. /1/ Data processors of the Register of Counterparties shall be the
employees holding the position: assistant junior specialist of human resources, junior
specialist of human resources, specialist of human resources, team leader.
/2/ The rights and obligations of the processors of personal data in the Register
of Counterparties shall be regulated in these rules, in the job descriptions, in the
statements that they have signed (Appendix No. 1), in the orders of the controller and
other procedures of Talent Hunter Ltd.
Obligations of the data processor
Article 13. The data processor shall have the following obligations:
1. to collect, process, store, archive and destroy the personal data in the
Register of Counterparties,subject to the requirements of Regulation 2016/679, the PDPA,
these Rules, the statements signed and the orders of the Controller.
2. to collect only the personal data determined by type and content, as well as
to process, store, archive and destroy them for the purposes and in the manner
determined by the Controller.
3. to collect, process, store, archive and destroy the personal data in the
Register of Counterparties in such a manner as to prevent their disclosing, submitting or
making known to third parties who are not entitled to it.
4. to collect, process, store, archive and destroy the personal data in the
Register of Counterparties in a manner that guarantees their security and protection.
5. to interact with the other processors in the collection, processing, storage,
archiving and destruction of the personal data in a manner that guarantees the application
of the PDPA and these Rules.
6. to inform in the manner described in these Rules any natural person whose
personal data are collected in the Register of Counterparties.
7. to ensure that the natural persons complete the written documents that are
required upon informing, to collect and store the written documents completed by them.
8. to implement the right of access of any natural person to his or her personal
data in the Register of Counterparties in the manner described in these Rules.
9. to implement the right of rectification, of erasure /right to be forgotten/,
objection of any natural person regarding the collected, processed, stored, archived
personal data in the Register of Counterparties in the manner described in these Rules.
10. to keep and complete the Register for the exercise of the rights of data
subjects in the manner described in these Rules.
11. to file duly in the Register for the exercise of the rights of data subjects any
submitted application for the exercise of the relevant right, to examine it and check its
lawfulness within the stipulated time limit, to draw up a refusal, a reply, a certificate
for the provision of the requested information, to serve on the person the requested and/or
provided information.
12. to inform the data protection officer of any breach of these Rules, of
any risk or danger to the security and confidentiality of the personal data that become
known or available to it.
Obligation to keep secret the available personal data
Article 14. /1/ All personal data from the Register of Counterparties, which
become available to the data processors during or in connection with the performance of
their duties, shall be confidential information of the highest sensitivity for the employer as
a data controller.
/2/ The personal data from the Register of Counterparties may not be disclosed in
any form and to anyone, may not be shared, discussed, commented on, used, interpreted
during and after the termination of the activities for their collection, processing, storage,
archiving and destruction.
/3/ The data processors shall be responsible to the controller and the respective
natural person for any material and/or non-material damage caused as a result of improper
actions or inactions related to a breach of the rules on protection and confidentiality, where
the damage is a direct and immediate consequence of the actions/inactions of the data
processor, user, or data protection officer.
/4/ Disciplinary responsibility may also be imposed on data processors, if they
are subject to such responsibility, including disciplinary dismissal.
/5/ As a controller, Talent Hunter Ltd shall ensure the protection of the personal
data in the area by means of controlling access to the building and the work premises with
individual cards for each employee/contractor, a key and special access mode for outside
visitors.
Obligation to treat personal data lawfully and correctly
Article 15. /1/ The data processors, users and data protection officers must treat
the personal data from the Register of Counterparties only within the statutory purposes
and the purposes determined by the controller, while preserving their authenticity,
completeness and accuracy.
/2/ The personal data from the Register of Counterparties shall not be
altered, supplemented, deleted at the discretion of the data processors, users and data
protection officers without an explicit decision of the controller, a change in the current
legislation or in these Rules.
/3/ The processors, users and data protection officers shall be responsible to
the Controller or the respective natural person for any material and/or non-material damage
caused as a result of improper actions or inactions related to the change, supplementing,
deletion of personal data, where the damage is the direct and immediate
consequence of the actions/inactions of the processor, user or data protection officer.
SECTION VІІ
INFORMING THE SUBJECTS WHOSE PERSONAL DATA
ARE COLLECTED IN THE REGISTER OF COUNTERPARTIES
Content of the obligation to inform
Article 16. The Controller must inform each natural person before collecting his
or her personal data about the following circumstances:
1. The data that he or she has provided are personal data within the meaning of
the PDPA and as such they are subject to special protection arrangements.
2. Pursuant to Regulation 2016/679 and the PDPA, any person has a right of
access to the documents that contain his or her personal data, subject also to these Rules.
3. Pursuant to Regulation 2016/679 and the PDPA, any person has a right to
rectification of the collected personal data when they are incorrect, incomplete, inaccurate.
4. Pursuant to Regulation 2016/679 and the PDPA, any person has a right
of erasure (right to be forgotten), right to object to the processing of personal data, right
to object to the disclosure or use of his or her personal data for direct marketing purposes,
right to be notified prior to the first disclosure of his or her personal data for direct
marketing purposes.
5. Pursuant to Regulation 2016/679 and the PDPA, any person has a right to be
informed in the event of a breach of the security of his or her personal data and of his or
her right to file a complaint with the Commission for Personal Data Protection.
6. The Controller undertakes to collect, process, store, archive, destroy, use
and grant access to his or her personal data for the sole purpose of the implementation
of the rights and obligations under the employment /civil/ legal relationship.
7. The Controller undertakes to collect, process, store, archive, destroy, use
and grant access to his or her personal data, guaranteeing that they are kept secret from
other employees or third parties and ensuring their security and protection.
8. The Controller undertakes not to disclose the personal data to third
parties, except with the written consent of the person or in cases specified in a statutory
act.
Persons who fulfill the obligation to inform
Article 17. The obligation to inform shall be fulfilled by the following
positions: assistant junior specialist of human resources, junior specialist of human
resources, specialist of human resources, team leader.
Fulfillment of the obligation to inform upon collection of personal data
Article 18. /1/ The Controller must inform about the circumstances referred
to in Article 20 any person whose personal data are collected in connection with the
establishment of a future commercial or civil legal relationship /other than an
employment or civil legal relationship with a natural person/, as well as any person
whose personal data are collected in connection with the selection or other form of inquiry
in the performance of a contract.
/2/ When sending a request for the submission of a tender/contract offer, the text
which constitutes Appendix No. 2 to these Rules shall be written at the end of each
contract.
/3/ The obligation to inform shall be fulfilled by the following positions: assistant
junior specialist of human resources, junior specialist of human resources, specialist
of human resources, team leader.
/4/ The manager of Talent Hunter Ltd shall exercise incidental and ongoing
control over the manner in which the obligation to inform is fulfilled, in compliance with
the manner set out in the Rules.
SECTION VІІІ
COLLECTION OF PERSONAL DATA
Initial collection of personal data
Article 19. /1/ The personal data in the Register of Counterparties shall be
collected before the relevant legal relationship is established and/or modified.
/2/ The personal data shall be collected in writing – on paper and/or on a
technical medium.
/3/ Only the types of personal data and only the types of written documents
that are determined by the Controller shall be collected.
/4/ Provided that a data subject submits personal data or a written document
containing personal data which the Controller does not request or prohibit to be collected,
the document shall be returned immediately to the subject or, if it is impossible to be
returned, shall be immediately destroyed.
/5/ Personal data shall be collected from the following positions: assistant
junior specialist of human resources, junior specialist of human resources, specialist
of human resources, team leader, subject also to the obligations set out in these Rules.
/6/ Other employees or third parties, outside those mentioned in the previous
paragraph, shall not be entitled to collect the personal data from the Register of
Counterparties.
/7/ By way of exception, the Controller may, by written order, assign to other
employees the collection of personal data. The order shall specify: the persons/positions
to whom/which the collection of personal data from the Register of Counterparties is
assigned; the period of assignment and the collection procedure. In this case, the authority
assigning the collection of personal data must declare them confidential information and
prohibit their disclosure in any form and to anyone, ensuring also that a confidentiality
and non-disclosure statement is signed, and acquaintance with these Rules.
/8/ The processors shall not be entitled to collect personal data and written
documents containing personal data in the presence of persons who are not processors
of the respective personal data or are not users with access to the respective personal data.
Procedure for the initial collection of personal data
Article 20. /1/ The documents containing personal data shall be collected in one
copy and shall be distributed as follows:
1. the original documents shall be returned to the holder: identity
documents, bank account certificate, certificates of good standing.
2. documents that remain: contracts, agreements, annexes, offers, notarial acts,
invoices, tenders, proposals, statements, extracts from the relevant registers (for example,
Commercial Register and Register of Non-Profit Legal Entities), documents on briefings
and the like.
3. the documents that are collected for the implementation of selection and/or
other form of inquiry in the performance of the lawful activity and in protection of
the Controller’s legitimate interest, for which the subjects have given their explicit
consent.
4. the documents that are collected for the implementation of the selection
and/or other form of inquiry in the performance of the contract between the Controller and
the counterparty shall be submitted to the counterparty in accordance with the
agreed/determined procedure.
/2/ The paper documents remaining with the controller shall be collected and filed in:
1. the dossier kept in connection with the respective legal relationship for
which the data are required.
2. the dossiers relating to invoices issued and amounts received.
/3/ The personal data collected from an identity document, bank account
certificates, representative functions, positions held shall be entered in:
а/ draft documents in an electronic form on the information server;
b/ The access to the information server shall be encrypted. Each employee shall
connect to the IT systems of Talent Hunter Ltd with an individual user name and
password, but he or she will also have a personal certificate of access.
/4/ Personal data on a technical media shall be stored in files/directories
on the information server, which shall be accessed only by the data processors.
Subsequent collection of personal data
Article 21. /1/ The Controller shall be entitled at any time to collect personal data
that are new and different in kind and content, when they are necessary for the
implementation of the rights and obligations of the counterparties in the respective legal
relationships /other than
employment or civil ones with natural persons/ or for the implementation of its legal rights
and obligations.
/2/ The subsequent collection of personal data shall be subject to full compliance
with the requirements of these Rules.
/3/ The subsequent collection of personal data shall be carried out by the data
processors referred to in Article 16.
/4/ Other employees or persons, except those that are explicitly stated in the
previous paragraph, shall not be entitled to collect personal data.
/5/ The processors shall not be entitled to collect personal data and written
documents containing personal data in the presence of persons who are not processors
of the respective personal data or are not users with access to the respective personal data.
/6/ The subsequent collection of personal data shall be done in writing (on paper
and/or on a technical medium) in the manner described in these Rules.
SECTION ІX
PROCESSING OF PERSONAL DATA
Processing of personal data
Article 22. /1/ Processing of personal data in the Register of Counterparties is any
use, recording, copying, reproduction on another medium/media, use related to the
processing of other types of personal data, updating, maintenance, retaining in the
memory, storage, etc. of collected personal data for the purpose of implementing the
rights and obligations of the counterparties in commercial or civil legal relationships
/other than employment or civil ones with natural persons/ or for the implementation
of the legal rights and obligations of the controller.
/2/ Within the meaning of these Rules, processing is ongoing and incidental.
Ongoing processing of personal data
Article 23. /1/ Ongoing processing of personal data is any processing,
irrespective of the frequency /daily, weekly, monthly, every three months, etc./, which
is necessary for the
implementation of constantly arising rights and obligations of third parties -
counterparties in commercial or civil legal relationships /other than employment or
civil ones with natural persons/ or of the Controller.
/2/ The ongoing processing of personal data shall be carried out by the data
processors referred to in Article 16 of these Rules.
/3/ By way of exception, the Controller may, by written order, assign to other
employees to process personal data. The order shall specify: the positions to which
the processing of personal data from the Register of Counterparties is assigned; the
assigned period of processing and the processing procedure. In this case, the persons
assigning the processing of personal data shall declare them confidential information and
shall prohibit their disclosure in any form and to anyone, ensuring also that a
confidentiality and non-disclosure statement is signed, and acquaintance with these
Rules.
/4/ Employees or other persons outside the designated data processors shall
be prohibited from processing the personal data in the Register of Counterparties.
/5/ The data processors must process personal data in person and must personally
use and treat the written documents, files, electronic media, which contain the personal
data.
/6/ The processors may not transmit, provide, display or make available the
content of a written document, file and electronic medium, which contain personal data
of persons who are not designated as processors of the respective personal data or are not
users with access to the respective personal data.
/7/ The processors are required, after the processing of the documents, folders and
other written materials containing personal data, to put them in the designated places or
return them in the relevant dossiers.
/8/ The processors are required, after the processing on a technical medium, to close
the files or electronic media containing personal data and/or to shut down their computer.
/9/ The processors may not process written documents containing personal data
in the presence of persons who are not processors of the respective personal data or are not
users with access to the respective personal data.
/10/ After the end of the working time, the processors may not leave any
documents, folders, materials, accessible switched on computers, which contain
personal data, in their workplaces and in the work premises.
/11/ The processors may not take any type of written documents, folders or
materials, computers containing personal data outside of the area of Talent Hunter
Ltd, except upon notice /permission/ of the controller.
Incidental processing of personal data
Article 24. /1/ Incidental processing of personal data is any one-time processing
that is necessary for the implementation of incidentally arising rights and obligations of
employees, contractors and/or of the controller.
/2/ The Controller shall, by written order, specify: the legal grounds on which
the incidental processing is assigned and the types of personal data that are subject
to such processing; the positions to which incidental processing is assigned; the period
of incidental processing; the position/person providing them with the processed data;
special rules for handling personal data; declaring processed personal data as
confidential information and prohibiting their disclosure in any form and to anyone.
/3/ The processors may not transmit, provide, display or make available a
written document containing personal data, or the content of information made known
to them about personal data of persons other than those specified in the order of the
controller.
/4/. The processors must, after processing the documents, folders and other
materials containing personal data, place them in the respective dossiers.
/5/ The processors may not process written documents containing personal data in
the presence of persons who are not processors of the respective personal data or are not
users with access to the respective personal data.
/6/ The processors may not leave documents and materials containing personal data
in their workplaces and in the work premises after the end of the working time.
/7/ The processors may not carry any type of documents or materials containing
personal data outside of the area of the enterprise, except upon notice /permission/ of the
Controller.
SECTION X
STORAGE OF PERSONAL DATA
Storage of personal data on paper
Article 25. /1/ Documents on paper containing personal data from the Register
of Counterparties shall be stored in the dossier which is kept in connection with the
relevant commercial or civil legal relationship in Talent Hunter Ltd.
/2/ The dossiers referred to in paragraph 1 shall be stored in special/filing cabinets
in the premises, which are the workplace or archive of the data processors.
/3/ The special/filing cabinet shall be locked with a key which shall be stored in a
place known only to the data processors who handle the documents from the respective
cabinet.
/4/ The data processors who are designated to use the keys may not submit them to
other persons, except after an explicit order and/or with the knowledge of the controller.
/5/ The data processors who are designated to use the keys may not leave
them unattended in their workplaces, in the work premises, on the doors of the
special/filing cabinet.
/6/ The data processors who are designated to use the keys must store the keys
in the designated place at the end of the working time.
/7/ The data processors who use the keys may not take them outside of the area of
Talent Hunter Ltd, except upon notice /permission/ of the controller.
Storage of personal data on a technical medium
Article 26. /1/ The documents on a technical medium shall be stored on a hard
disk and/or a server.
/2/ Only data processors shall have access to personal data files and it shall be
protected with a password.
/3/ The access password shall be individual and available only to the personal
data processors. The password shall be changed by a controller every 3 months.
/4/ The data processors may not submit their password to other persons, including
other data processors, except after an explicit order and/or with the knowledge of the
controller.
/5/ The data processors may not make their password available to third parties.
/6/ The software programs which are used in the processing of personal data
shall be adapted to the requirements of the PDPA and these Rules. The software program
shall contain an antivirus program.
Article 27. /1/ Each processor shall use an own computer located in a lockable room.
/2/ Only data processors can access the room by means of:
A service access card and an own key.
/3/ The designated data processors may not submit their service card or room
key to other persons, except after an explicit order and/or with the knowledge of the
controller.
/4/ The designated data processors may not leave their service card or room
key unattended in their workplaces, in the work premises, or on the doors of the work
premises.
SECTION XI
ARCHIVING AND DESTRUCTION
Article 28. /1/ Within the statutory time limit or within the time limit for which
the persons have given their explicit consent, the dossiers with all documents containing
personal data shall be archived by the data processors.
Article 29. /1/ The archiving of personal data on a technical medium shall be done
on a server and the information shall be encrypted.
Article 30. /1/ Collected personal data that are not stored and archived shall be
destroyed in a way that ensures that they will not be reproduced and/or preserved,
and that the data subjects will not be identified.
/2/ Each month, the data processors shall determine the types of personal data and
their media that are subject to destruction.
/3/ The data processors shall personally destroy the written documents containing
the personal data by means of shredding.
/4/ The data processors shall personally erase the files containing personal data.
/5/ By way of exception, by written order, the controller shall assign to other
employees the destruction of the designated personal data. The order shall specify: the
positions to which the destruction of the personal data of the Register of Counterparties is
assigned; the period of
assignment and the destruction procedure. In this case, the persons assigning the
destruction of personal data must declare them confidential information and prohibit their
disclosure in any form and to anyone, ensuring also that a confidentiality and nondisclosure statement is signed, and acquaintance with these Rules.
/6/ It is prohibited to designate employees or persons other than those designated
as data processors for destruction and to destroy the personal data in the Register of
Counterparties.
SECTION XII
ACCESS TO ANOTHER PERSON’S DATA
Access by state and public authorities
Article 31. /1/ Access to the personal data in the Register of Counterparties shall
be granted to all state or public authorities, which by virtue of a special statutory act are
entitled to such access, including, but not limited to: the Commission for Personal Data
Protection, the investigation authorities, the prosecutor’s office, the court, the State
Agency for National Security, the National Revenue Agency, the General Labour
Inspectorate Executive Agency, their employees, the Ministry of Interior, etc.
/2/ The Controller must grant the access to the personal data in the Register
of Counterparties requested by the state authorities within the scope of their competences
without any written or oral permission from their holder.
/3/ Access shall be granted by the respective data processor or officer responsible
for the protection of the personal data in the Register of Counterparties.
/4/ Access shall be granted to personal data and the documents containing
them as specified by the authority.
/5/ In cases where expert examinations are assigned in proceedings conducted
by or against the controller, access for the respective expert/experts shall be allowed
only on presentation of an explicit document issued by the authority wherein the respective
proceedings are pending, indicating the type and the tasks of the assigned expert
examination or the type and nature of the personal data and the type and nature of the
documents containing them and after signing a confidentiality statement by the expert
(Appendix No. 3).
/6/ Access shall be granted after notification to the controller, who will assess
the lawfulness of the requested access in view of the availability of the relevant personal
data.
/7/ The officials shall be provided with the document personally and in such a way
as to guarantee the protection of the personal data in them.
/8/ The right of access of officials from a state or public authority shall be exercised
in the presence of the following positions: assistant junior specialist of human resources,
junior specialist of human resources, specialist of human resources, team leader, who
shall not interfere with the activities of the competent authorities, but shall perform the
controller’s duties related to the preservation and protection of provided personal data
within the meaning of the Personal Data Protection Act.
SECTION XII
RIGHT OF ACCESS, RECTIFICATION, OBJECTION, ERASURE
OF PERSONAL DATA
Right of access to own personal data
Article 32. /1/ Any person whose personal data are available in the Register
of Counterparties shall have the right of access, rectification, objection and erasure.
/2/ Access to their personal data, rectification of the collected and stored personal
data, objection to the collection of personal data and erasure of the collected and stored
personal data shall have: the natural persons-counterparties; the natural persons-legal
representatives of counterparties; the natural persons-attorneys of counterparties,
employees of counterparties; the natural persons who have given their explicit consent
to participate in the selection or other form of inquiry in the framework of the
implemented legal activity and legitimate interest of Talent Hunter Ltd; the natural
persons who have participated in the selection and/or other form of inquiry in the
performance of a contract between the Controller and its counterparty.
Article 33. /1/ A person who requests access or rectification, objects or requests
erasure should state it personally.
/2/ The person shall complete an application for access, rectification, objection
or erasure in a standard form approved by the controller /Appendix No. 4/.
/3/ The application shall be in writing and shall have the following content:
1. Name, address and other data required for the controller to identify him
or her. Information about the current address /which is also the correspondence address/,
telephone, fax, etc.
2. Indication of the right which he or she wishes to exercise and a
description of the information which he or she wishes to obtain, to be rectified, to
which he or she objects or wishes to be erased.
3. Signature, date of submission of the application.
/4/ Granting of access, rectification, objection and erasure without a duly
completed application are prohibited.
Article 34. If the person requests access, he or she shall also specify the preferred
form of access to his or her personal data as follows:
- oral information;
- written information;
- a personal review of the documents in which they are contained;
- submission of the data on paper or by electronic means.
Article 35. /1/ The person requesting access may submit the application
through an attorney.
/2/ The person shall fill in a power of attorney in a standard form approved by
the controller.
/3/ The power of attorney shall be made in plain written form and shall have
the following content:
1. Name, address and other data required for the controller to identify the
authorized
person.
2. It shall explicitly state:
а/ the data of the person who is authorized to submit an application to Talent Hunter
Ltd
for access;
b/ for access to which data the person is authorized to submit an application to
Talent Hunter Ltd.
3. It shall be signed by the authorizing person and shall be dated.
/4/ The person submitting the application shall present an original power of
attorney, which shall be kept by the controller.
/5/ Access to personal data is prohibited unless the application is accompanied
by an original power of attorney.
Article 36. /1/ Each person shall have a right of access to another person’s data in
the Register of Counterparties, subject to the procedure in these Rules.
/2/ The person requesting access shall fill in an application for access in a standard
form approved by the controller /Appendix No. 4/. In addition to the necessary content,
the reason why access to another person’s data is requested must also be stated. The
wording shall be made in a free format, indicating what rights the person derives from
another person’s data and/or what obligations the person performs.
/3/ The person to whose data access is requested shall permit the access in writing.
The permission shall contain the following attributes: name of the person, signature and
date, which shall be personally affixed; the personal data to which access is granted and
the names of the person to whom access is granted.
/4/ The controller must provide the requested access without the permission of the
data holder in any of the following hypotheses:
1. The personal data are required for the protection of the life and health of their
holder.
2. The holder’s condition does not enable him or her to give written permission.
3. The personal data are required for research or statistical purposes and are
provided anonymously.
4. The processing is necessary for the fulfillment of the legitimate interests
of the controller or of a third party to whom the data are disclosed, except where the
interests of the natural person to whom the data relate override those interests.
/5/ The person requesting the access proves the existence of the specific hypothesis
by attaching to the application the relevant documents /hospital record, death certificate,
certificate of heirs, etc./.
Register of access, rectification, objection or erasure of personal data in
the Register of Counterparties
Article 37. /1/ The register is a book (notebook) in which the individual pages
are numbered, signed and stamped.
/2/ The Register of access, rectification, objection or erasure of personal data in
the Register of Counterparties contains:
1. Column “Number and date” – the application is filed with a sequence
number and date of receipt, and each application is entered with an incoming number,
starting from one, without missing consecutive numbers.
2. Column “Name and signature of the applicant”, consisting of two
columns – the person who submits the application is indicated in the first column and the
same person attests it by his or her own personal signature in the second column.
3. Column “Notification”, consisting of two columns – the date on which
the person should personally receive the information is entered in the first column and
the person signs. Having exercised his or her right, the person signs in the second column.
4. Column “Refusal” states the date of its service and the fact of the service is
attested.
Submission of the application
Article 38. /1/ Applications for access, rectification, objection or erasure of
personal data in the Register of Counterparties shall be submitted to Talent Hunter Ltd and
shall be filed by the following positions: assistant junior specialist of human resources,
junior specialist of human resources, specialist of human resources, team leader.
/2/ Each application shall be filed and given an incoming number, and shall be
entered in a Register of access to personal data.
/3/ The applications shall be stored and placed in folders, separately from the
other documents received by Talent Hunter Ltd.
/4/ The applications shall be stored in a separate folder within the statutory time
limits and after that they will be destroyed.
Obligation to notify
Article 39. /1/ After the application is filed, the person shall be notified on which
date to appear in order to receive information about the exercised right.
/2/ An employee, holding any of the following positions: assistant junior
specialist of human resources, junior specialist of human resources, specialist of human
resources, team leader shall notify the person of the date on which he or she is to receive
information about the exercised right.
Assessment of the lawfulness of the application
Article 40. /1/ After the application is filed in the Register, its admissibility and
the lawfulness of the requested access shall be verified.
/2/ The controller shall:
1. verify if the application submitted meets the formal legal requirements/is
completed in accordance with the form approved by the controller; is accompanied by a
power of attorney, written permission, documents required to prove the reasonableness,
etc./;
2. verify if the application submitted meets the substantive legal requirements;
/3/ The verifications and/or assessments referred to in the previous paragraph
shall be performed by the following positions: assistant junior specialist of human
resources, junior specialist of human resources, specialist of human resources, team
leader.
Obligations of the controller
Article 41. /1/ The controller must satisfy the person’s right when there are
legal grounds to do so.
/2/ The controller may submit the requested data in another form in the following
cases:
1. Compliance with the form requested by the applicant would result in
the improper processing of the information.
2. There is no technical ability to comply with the requested form.
Technical difficulty in granting access
Article 42. Within the meaning of the PDPA, a technical difficulty for the
controller is any of the following hypotheses:
1. Provision of more than 2 copies of the requested documents;
2. Provision of the requested information by electronic means.
Refusal of requested access
Article 43. /1/ In case that the Controller is not entitled to provide the
requested information, the following positions: assistant junior specialist of human
resources, junior specialist of human resources,specialist of human resources, team leader
shall draw up a refusal in an approved standard form /Appendix No. 5/.
/2/ The refusal shall comply with the following requirements: it shall be in writing
and shall contain the following attributes: which data; for what reason and on what legal
grounds their provision or rectification is refused, or why the controller refuses to stop
processing them or to erase them; the authority before which and the period within
which the refusal may be appealed.
Service of notice /refusal/ or provision of information
Article 44. /1/ Any notice or refusal to provide information shall be served
personally on the applicant requesting access to personal data.
/2/ The notice or refusal shall be served by the following positions: assistant
junior specialist of human resources, junior specialist of human resources, specialist
of human resources, team leader, manager within 14 days of receipt of the application.
/3/ The notice /refusal/ shall be served in the following ways:
1. Against the applicant’s signature in the register.
2. By mail, against an advice of delivery.
/4/ Upon service, the number of the advice of delivery and the date marked on it
shall be entered in the register in the Column “Notification” or “Refusal”.
Appeal
Article 45. In case of violation of the natural person’s rights under the PDPA, the
person shall have the legal opportunity:
1. to file a complaint with the Commission for Protection of Personal Data
within one year after finding out about the violation, but not later than five years after its
commission;
2. to appeal against the actions of the controller before the respective
administrative court or before the Supreme Administrative Court, subject to the general
rules of jurisdiction.
SECTION XIV FINAL
PROVISIONS
Article 46. /1/ The Rules shall be effective from 1 May 2018 and after all the
persons for whom they establish subjective rights and obligations have been acquainted
with their content.
/2/ Talent Hunter Ltd undertakes to bring these Internal Rules to the attention of
all employees/contractors.
Article 47. /1/ Copies of these Internal Rules shall be available to the
employees of Talent Hunter Ltd.
APPENDIX No. 2
INFORMATION
on
the implementation of Regulation (EU) 2016/679 of the European Parliament and of the
Council of 27 April 2016 on the protection of natural persons with regard to the
processing of personal data and on the free movement of such data and repealing
Directive 95/46/EC, the Personal Data Protection Act and the regulations on its
implementation, and the internal rules and policy of Talent Hunter Ltd as a controller
during and in connection with the performance of selection or other inquiry in
pursuance of a contract with a contracting entity and for the purpose of future, possible
establishment of an employment relationship between the contracting entity and the data
subject.
Talent Hunter Ltd informs you that the data voluntarily provided for the purposes of the
selection or other inquiry made as part of its lawful activity and/or under a contract,
aiming at possible establishment of an employment relationship with the contracting entity
are personal and are subject to special protection arrangements within the meaning of
Regulation 2016/679 and the Personal Data Protection Act. The personal data voluntarily
provided shall be collected, stored and processed only for the achievement of legally
permitted purposes and for the fulfillment of the legitimate interests of the controller related
to its activity of selection and/or other forms of lawful inquiry. With your explicit consent,
Talent Hunter Ltd shall process, store, use and archive the voluntarily provided personal data
for a period of 3 years from the date of the consent, when there is no statutory period to
regulate and guarantee their security and secrecy.
Talent Hunter Ltd informs and the persons whose personal data are provided agree
that Talent Hunter Ltd shall submit the personal data to state authorities and institutions, or
third parties, when it has such an obligation by virtue of a law or if it is necessary for the
implementation of your rights and legitimate interests as a participant in the selection for the
purpose of future, possible establishment of an employment relationship.
Talent Hunter Ltd informs the persons whose data are provided that, subject to its
internal rules, the persons have a right of access and a right to rectification of their personal
data, a right their personal
data to be erased, and are also entitled to object to the processing, provision and
disclosure of their personal data for purposes other than those stated herein.
APPENDIX No. 4
To
…………………. Incoming No...................................
APPLICATION
by ................................................................................................................
/first name and surname/
holder of identity card No..............................................
address.............................................................................................................
contact telephone.......................................................................................
position......................................in .............................................................
/structure – Directorate, Department, Workshop, etc./
The application is submitted personally/by an authorized person.
/delete as appropriate/
The application is for access to personal data/ rectification of personal data/
objection to the processing of personal data/erasure of the data subject /delete as
appropriate/
1. I hereby request the preparation
/provision/ of: Oral information
Written information
Review of the data in the personal dossier
Copy of .................................................................. documents.
/Please specify the information you request by writing in detail the types of
documents to which you wish access./
The personal data are necessary in order to serve before
.......................................................................................................................................................
...................................................................................................................................
/Please specify before which authority and for what purpose you need the personal
data./
2. Please rectify the following personal data:
…………………………………………………………………………..
……………………………………………………………………….
/Please specify the types of personal data that you wish to be rectified./
3. I object to the processing of the following personal data:
…………………………………………………………………………..
……………………………………………………………………….
/Please specify the types of personal data to the processing of which you object. /
4. I want to be erased as a subject whose personal data you are processing.
Enclosure: ........................................................................
Date: ................ Applicant: .........................................
/The information below shall be completed by the official of the controller./
The person was personally/through an attorney notified by.......................................,
holding the position.................................., to appear on...........................................,
at.............................., in order to receive information about the exercised right.
Date: ............................
Official: ....................................... Applicant: .......................................
On......................................................................................................... personally and
within the statutory period, information about the exercised right was provided as follows:
....................................................................................................................................................
.......................................................................................................................................................
....................................................................................................................................................
Date: ............................
Official: ....................................... Applicant: .......................................
APPENDIX No. 5
TO
..................................................................
/Write the Applicant’s names /
REFUSAL
Outgoing No.
..................date...................
By: ……………., UIC…………………., having its seat and registered office in
the city of ………………………., represented by………………
We would like to inform you that based on Application for …………………….. /
specify the type of right requested to be exercised / incoming No......date....................., on the
grounds of ........................................... of the PDPA and due to the following reasons:
..........................................................................................................................................
..........................................................................................................................................
/Write the arguments for the refused access/
We refuse to……………………:
..........................................................................................................................................
We would like to inform you that the refusal may be appealed before the
Commission for Personal Data Protection within....................period.
Date: ............................
Official: ....................................... Applicant: .......................................
ВЪТРЕШНИ ПРАВИЛА
за
“СЪБИРАНЕ, ОБРАБОТВАНЕ, АРХИВИРАНЕ, СЪХРАНЕНИЕ,
УНИЩОЖАВАНЕ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В РЕГИСТЪР
„СЪКОНТРАГЕНТИ” И РЕДА ЗА УПРАЖНЯВАНЕ НА ПРАВАТА НА
СУБЕКТИТЕ НА ЛИЧНИТЕ ДАННИ ”
РАЗДЕЛ І
ОБЩИ ПОЛОЖЕНИЯ
Предмет
Чл.1. /1/ Настоящите Правила /наричани по-долу за краткост Правила/Правилата/
се издават от „Талънт Хънтър“ ООД в качеството му на администратор на лични данни
/наричано по-долу и Администратор/.
/2/ С Правилата се определя редът за събиране, обработване, съхранение,
архивиране, унищожаване и защита на личните данни от страна на Администратора във
връзка със сключването, изменението, изпълнението, прекратяването/развалянето на
търговски /граждански/ договори между Талънт Хънтър ООД и трети лица, както и
във връзка с всеки друг анекс, допълнително споразумение и/или протокол, създаващ
правоотношения с трето лице, извън случаите на трудов и/или граждански договор с
физически лица.
/3/ Правилата уреждат правата, задълженията и отговорността при неизпълнение
на задълженията от страна на:
1. субектите на личните данни-физически лица, страна по конкретен търговски
договор, сключен с Администратора; физически лица, представляващи или служители
на съконтрагент на Администратора; физически лица, чиито лични данни
Администраторът събира, обработва, съхранява и унищожава по силата на тяхното
изрично съгласие, дадено за и при реализирането на неговата законосъобразна дейност
и в защита на неговия законов интерес, свързани с подбор или друго проучване с оглед
бъдещо, потенциално учредяване на трудово или друг вид правоотношение; физически
лица, чиито лични данни Администраторът събира, обработва, съхранява и унищожава
по силата на договор и/или друга форма, с която му се възлага дейност по подбор и/или
друго проучване с оглед бъдещо, потенциално учредяване на трудово правоотношение
между съконтрагента и съответните физически лица;
2. обработващи лични данни-служителите, които при изпълнение на своята
длъжност или по нареждане на Администратора събират, обработват, съхраняват,
архивират или унищожават лични данни /обработващи лични данни/;
3. потребители на лични данни-физически, юридически лица и/или органи,
изпълняващи публични функции, които по силата на закон или вътрешните правила на
Администратора на лични данни имат достъп до личните данни /потребители на лични
данни/.
Чл.2. /1/ Правилата уреждат:
1. Реда за водене, поддържане и защита на личните данни в Регистър
„Съконтрагенти”.
2. Реда и правилата за събиране, обработване, съхранение, архивиране,
унищожаване на личните данни от „Талънт Хънтър“ ООД в качеството му на
администратор и/или обработващ.
3. Правата и задълженията на обработващите лични данни и потребителите на
лични данни, тяхната отговорност при неизпълнение на тези задължения в Регистър
„Съконтрагенти”.
4. Реда и правилата за реализиране правата на информация на субектите на лични
данни, чиито лични данни се събират, обработват, съхраняват, архивират, унищожават в
Регистър „Съконтрагенти”.
5. Реда и правилата за реализиране правото на достъп на субектите на лични
данни, държавните органи и на третите лица до личните данни, които се събират,
обработват и съхраняват в Регистър „Съконтрагенти”.
6. Реда и правилата за реализиране на правото на субектите на лични данни на
коригиране и допълване на неточните и/или непълни лични данни, които се обработват,
съхраняват, архивират, унищожават в Регистър „Съконтрагенти”.
7. Реда и правилата за реализиране на правото на субектите на лични данни на
изтриване на лични данни /правото да бъдеш забравен/, които се обработват, съхраняват,
архивират, унищожават в Регистър „Съконтрагенти”.
8. Реда и правилата за реализиране на правото на субектите на лични данни на
възражение срещу се обработват, съхраняват, архивират, унищожават в Регистър
„Съконтрагенти”, включително възражение срещу това личните данни да не са обект на
автоматизирано решение, включващо профилиране.
9. Реда и правилата за реализиране на правото на субектите на лични данни на
уведомяване при нарушаване на сигурността на личните данни, които се обработват,
съхраняват, архивират, унищожават в Регистър „Съконтрагенти”.
10. Реда и правилата за реализиране на отношенията на „Талънт Хънтър“ ООД
в качеството му на администратор с Комисията за защита на личните данни.
Предназначение на Правилата
Чл.3. /1/ Целта на Правилата е създаването на правна форма и организация, които
да осигуряват и гарантират събирането, обработването, съхранението, архивирането и
унищожаването на личните данни в пълно съответствие с изискванията на Регламент
2016/679, Закона за защита на личните данни, подзаконовите нормативни актове по
тяхното прилагане и указанията на Комисията по защита на личните данни.
/2/ Целта на Правилата е създаването на правна форма и организация в процеса на
събиране, обработване, съхранение, архивиране и унищожаване на личните данни, които
в пълна степен да гарантират тяхната защита и сигурност по смисъла на Регламент
2016/679, Закона за защита на личните данни, подзаконовите нормативни актове по
тяхното прилагане и указанията на Комисията по защита на личните данни.
/3/ Целта на Правилата е създаването на ред и организация за упражняване на
правото на информация, на достъп, на коригиране и допълване, на изтриване, на
възражение и на уведомяване при евентуално нарушаване на сигурността, които да
осигурят и гарантират на субектите на лични данни тяхното законосъобразно и
ефективно реализиране.
Съответствие на Правилата с Регламент 2016/679, Закона за защита на
личните данни и други нормативни актове
Чл.4. /1/ Правилата се издават от „Талънт Хънтър“ ООД на основание Регламент
2016/679, Закона за защита на личните данни /ЗЗЛД/ във връзка с чл. 4 от Наредба № 1
от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и
допустимия вид защита на личните данни, издадена от Председателя на Комисията за
защита на личните данни и в изпълнение на неговите задължения като администратор на
лични данни.
/2/ При изменение в разпоредбите на посочените в предходната алинея
нормативни актове или други нормативни актове, които настоящите Правила
конкретизират, Администраторът е длъжен в срок от 10 работни дни от обнародването
им да внесе необходимите промени в последните.
/3/ В случай, че Администраторът не внесе необходимите промени в Правилата и
не съгласува тяхното съдържание с измененията в ЗЗЛД и/или други нормативни актове,
обработващите лични данни, субектите на лични данни, както и всички останали лица,
които са техни адресати, имат право да откажат да изпълняват задълженията, които
произтичат от съответните текстове, които не са в съответствие с нормативната уредба.
РАЗДЕЛ II
ПРИЛОЖЕНИЕ НА ВЪТРЕШНИТЕ ПРАВИЛА
Действие на Правилата във времето
Чл.5. Правилата влизат в сила от датата на тяхното утвърждаване.
Действие на Правилата по отношение на лицата
Чл.6. /1/ Правилата се прилагат по отношение на:
1. Администратора, обработващите лица, потребителите, лицата, на които
Администраторът дава достъп, както и по отношение на всички трети лица, които по
силата на закон имат право на достъп до чужди лични данни, събрани, обработвани,
съхранявани, архивирани и унищожавани в Регистър „Съконтрагенти”.
2. всички физически лица, представляващи или страна по действащ търговски
/граждански/ договор, сключен с Администратора; физически лица, служители на
настоящ съконтрагент на Администратора, чиито лични данни вече се събират,
обработват, съхраняват, архивират и унищожават или предстоят да се събират,
обработват, съхраняват, архивират и унищожават в Регистър „Съконтрагенти”,
3. всички физически лица, страна по конкретен прекратен/развален/изпълнен
търговски /граждански/ договор, сключен с Администратора или физически лица,
служители на бивш съконтрагент на Администратора, чиито лични данни са събирани,
обработвани, съхранявани, архивирани в Регистър „Съконтрагенти” и не са унищожени
и/или не са предадени на други държавни органи в това число на съответния държавен
архив за съхранение /ако подлежат на това/.
4. всички физически лица, чиито лични данни Администраторът събира,
обработва, съхранява и унищожава по силата на тяхното изрично съгласие, дадено за и
при реализирането на неговата законосъобразна дейност и в защита на неговия законов
интерес, свързани с подбор или друго проучване с оглед бъдещо, потенциално
учредяване на трудово или друг вид правоотношение;
5. всички физически лица, чиито лични данни Администраторът събира,
обработва, съхранява и унищожава по силата на договор и/или друга форма, с която му
се възлага дейност по подбор и/или друго проучване с оглед бъдещо, потенциално
учредяване на трудово правоотношение между съконтрагент на Администратора и
съответните физически лица.
6. Всички изрично не посочени в предходните алинеи субекти, за които
Правилата пораждат задължения, права или отговорности.
/2/ Правилата влизат в сила и пораждат права, задължения и отговорности от
датата на запознаване на лицата с тяхното съдържание.
/3/ Администраторът е длъжен да доведе Правилата до знанието на посочените
лица в срок от 10 работни дни тяхното приемане.
РАЗДЕЛ ІІІ
ВИДОВЕ ЛИЧНИ ДАННИ, СЪБИРАНИ, ОБРАБОТВАНИ,
СЪХРАНЯВАНИ, АРХИВИРАНИ И УНИЩОЖАВАНИ В РЕГИСТЪР
„„СЪКОНТРАГЕНТИ” ”
Лични данни относно физическата идентичност
Чл.7. /1/ Администраторът събира, обработва, съхранява, архивира и унищожава
лични данни относно физическата идентичност на субектите, както следва: трите имена,
ЕГН, номер на лична карта или друг документ за самоличност, дата и място на издаване,
актуален постоянен адрес, настоящ адрес, телефон, име и длъжност на лице за връзка.
/2/ Личните данни са необходими за законосъобразното реализиране на правата и
задълженията на Администратора и неговите съконтрагенти, включигелно за сключване,
изменение, изпълнение, прекратяване/разваляне на търговски договори между „Талънт
Хънтър“ ООД и съконтрахентите му, както и на всеки друг договор, създаващ
правоотношения с трето лице /извън случаите на трудов и/или граждански договор с
физическо лице/; за осъществяване на контакт с представители на съответния
съконтрагент по повод изпълнението, прекратяването/развалянето на съответното
правоотношение; за реализиране на неговата законосъобразна дейност и в защита на
неговия законов интерес, свързани с подбор или друго проучване с оглед бъдещо,
потенциално учредяване на трудово или друг вид правоотношение; за реализиране на
дейностите по възложения с търговски договор подбор и/или друго проучване с оглед
бъдещо, потенциално учредяване на трудово правоотношение между съконтрагента на
Администратора и съответните физически лица и т. н.
/3/ Личните данни се предоставят на основание изпълнение на задължения,
възложени в съответния търговския договор, сключен със съконтрагента по силата на
Търговския закон /ТЗ/, Закона за задълженията и договорите /ЗЗД/, Закона за
здравословни и безопасни условия на труд /ЗЗБУТ/, Закона за счетоводството /ЗС/,
Закона за данък върху добавената стойност /ЗДДС/, Закона за корпоративното подоходно
облагане /ЗКПО/, и подзаконовите нормативни актове по тяхното прилагане.
Лични данни относно представителните функции, професионалната дейност
и банкови сметки
Чл.8. /1/ Администраторът събира, обработва и съхранява лични данни относно
представителните функции, професионалната дейност като: упражнявани
представителни функции, заемани длъжности /позиции/, изпълнявани функции,
реализирани проекти, вид, съдържание и статут на проектите /национални,
международни/, номера на банкови сметки, адреси за кореспонденция за реализиране на
дейностите по възложения с търговски договор; професионална квалификация,
професионален опит и други лични данни за целите на своята законосъобразна дейност
и в защита на своя законов интерес, свързани с подбор или друго проучване с оглед
бъдещо, потенциално учредяване на трудово или друг вид правоотношение, за които
субектите са му дали изрично съгласие; професионална квалификация, професионален
опит и други лични данни за целите на подбора и/или друго проучване с оглед бъдещо,
потенциално учредяване на трудово правоотношение между съконтрагента на
Администратора и съответните физически лица са определени/договорени между
Администратора и съконтрагента и т. н.
/2/ Личните данни са необходими за законосъобразното реализиране на правата и
задълженията на Администратора и неговите съконтрагенти по съответното
правоотношение, включително за сключване, изменение, изпълнение,
прекратяване/разваляне на търговски договори между и трети лица, както и на всеки друг
договор, създаващ правоотношения с трето лице /извън случаите на трудов и/или
граждански договор с физическо лице/; за осъществяване на контакт с представители на
съответния съконтрагент по повод изпълнението, прекратяването/развалянето на
съответното правоотношение; за целите на неговата законосъобразна дейност и в защита
на неговия законов интерес, свързани с подбор или друго проучване с оглед бъдещо,
потенциално учредяване на трудово или друг вид правоотношение, за които субектите
са му дали изрично съгласие; за извършване на подбора и/или друго проучване с оглед
бъдещо, потенциално учредяване на трудово правоотношение между съконтрагента на
Администратора и съответните физически лица в изпълнение на договор между
Администратора и съконтрагента и т. н.
/3/ Личните данни се предоставят на основание изпълнение на нормативни
задължения, установени в съответния договор, сключен с третото лице, Търговския
закон /ТЗ/, Закона за задълженията и договорите /ЗЗД/, Закона за здравословни и
безопасни условия на труд /ЗЗБУТ/, Закона за счетоводството /ЗС/, Закона за данък върху
добавената стойност /ЗДДС/, Закона за корпоративното подоходно облагане /ЗКПО/ и
подзаконовите нормативни актове по тяхното прилагане.
РАЗДЕЛ ІV
ДОКУМЕНТИ, СЪБИРАНИ, ОБРАБОТВАНИ И СЪХРАНЯВАНИ В
РЕГИСТЪР „СЪКОНТРАГЕНТИ”
Предназначение на документите
Чл.13. /1/ В Регистър „Съконтрагенти” се събират, обработват, съхраняват,
архивират и унищожават всички лични данни, които са необходими на Администратора
за законосъобразното сключване, изменение, изпълнение, прекратяване/разваляне на
търговски /граждански/ договори между „Талънт Хънтър“ ООД и трети лица, както и
на всеки друг договор, създаващ правоотношения с трето лице /извън случаите на трудов
и/или граждански договор с физическо лице/.
/2/ В Регистър „Съконтрагенти” се събират, обработват, съхраняват, архивират и
унищожават тези лични данни, които Администраторът е длъжен да получи в
изпълнение на задълженията си по реда на Търговския закон /ТЗ/, Закона за
задълженията и договорите /ЗЗД/, Закона за здравословни и безопасни условия на труд
/ЗЗБУТ/, Закона за счетоводството /ЗС/, Закона за данък върху добавената стойност
/ЗДДС/, Закона за корпоративното подоходно облагане /ЗКПО/ и подзаконовите
нормативни актове по неговото прилагане и т. н.
/3/ В Регистър „Съконтрагенти” се събират, обработват, съхраняват, архивират и
унищожават тези лични данни, които са определени/договорени в договора между
Администратора и съконтрагента и са необходими за извършване на подбора и/или друго
проучване с оглед бъдещо, потенциално учредяване на трудово правоотношение между
съконтрагента на Администратора и съответните физически лица.
/4/ В Регистър „Съконтрагенти” се събират, обработват, съхраняват, архивират и
унищожават тези лични данни, за които субектите са дали своето изрично съгласие на
Администратора за целите на неговата законосъобразна дейност и в защита на неговия
законов интерес, свързани с подбор или друго проучване с оглед бъдещо, потенциално
учредяване на трудово или друг вид правоотношение.
/5/ В Регистър „Съконтрагенти” се събират, обработват, съхраняват, архивират и
унищожават тези лични данни, които Администраторът по силата на своите вътрешни
актове, правилници, устави и по своя преценка получава, за да може ефективно да
защитава интересите си, свързани с сключване, изменение, изпълнение,
прекратяване/разваляне на търговски /граждански/ договори между „Талънт Хънтър“
ООД и трети лица, както и на всеки друг договор, създаващ правоотношения с трето
лице /извън случаите на трудов и/или граждански договор с физическо лице/.
/6/ В Регистъра „Съконтрагенти” се събират, обработват, съхраняват, архивират и
унищожават видове документи, които по силата на законов, подзаконов акт или акт на
Администратора са необходими, за да може той законосъобразно да се реализират
субективните права и задължения на служителите и изпълнителите.
Основни видове документи
Чл.14. /1/ „Талънт Хънтър“ ООД в качеството си на администратор по смисъла
на чл. 3, ал. 1 ЗЗЛД има право да изисква, събира, обработва и съхранява следните
документи:
1. Документи за самоличност с оглед идентификация на съответния съконтрагент,
в случаите, когато това се изисква по закон.
2. Удостоверение за актуално състояние или извадки от съответните регистри
(например Търговски регистър и регистър на юридическите лица с нестопанска цел).
3. Удостоверение за банкова сметка; фактури, свързани със заплащането на цена;
декларации, изисквани по закон.
4. Документи, за които субектите са дали своето изрично съгласие.
5. Документи, които са определени/договорени в договора между
Администратора и съконтрагента и са необходими за извършване на подбора и/или друго
проучване с оглед бъдещо, потенциално учредяване на трудово правоотношение между
съконтрагента на Администратора и съответните физически лица.
/2/ При невъзможност да се предоставят оригинали на документите, със
съгласието на администратора могат да се обработват и техни копия, които по надлежен
начин гарантират съответствие с оригиналното съдържание.
/3/ При необходимост от съхраняване на съответните удостоверителни документи
от администратора, могат да бъдат предоставени оригинали или копия от тях.
/4/ Изброяването на изискуемите документи не е изчерпателно и администраторът
на лични данни може да изисква и други във връзка с подлежащите на обработване
данни.
РАЗДЕЛ V
ЛИЦА, СВЪРЗАНИ С РЕГИСТЪР „СЪКОНТРАГЕНТИ”
Обработващи лични данни в Регистър „Съконтрагенти”
Чл.15. Обработващ личните данни за целите на тези Правила е това физическо
или юридическо лице, което по длъжност, заповед или договор актуализира, записва,
изменя, организира, копира, окомплектова, складира, поддържа, използва лични данни,
прави справки, черпи информация от лични данни във връзка с обработването на
документацията на администратора, съхранява, архивира, заличава, унищожава и по
всякакъв друг начин третира личните данни в Регистър „Съконтрагенти ”.
Чл.16. /1/ Обработващи лични данни на Регистър „Съконтрагенти ” са служители,
заемащи длъжност: асистент младши специалист човешки ресурси, младши специалист
човешки ресурси, специалист човешки ресурси, тийм лидер.
/2/ Правата и задълженията на обработващите лични данни в Регистър
„Съконтрагенти ” са уредени в настоящите правила, в длъжностните характеристики, в
подписани от тях декларации /Приложение №1/, в заповеди на администратора и други
процедури на „Талънт Хънтър“ ООД
Задължения на обработващия лични данни
Чл.17. Обработващият личните данни има следните задължения:
1. да събира, обработва, съхранява, архивира и унищожава личните данни в
Регистър „Съконтрагенти ”, като спазва изискванията на Регламент 2016/679, ЗЗЛД,
настоящите Правила, подписаните декларации и заповедите на Администратора.
2. да събира само определените по вид и съдържание лични данни, както и да ги
обработва, съхранява, архивира и унищожава за определените от Администратора цели
и начин.
3. да събира, обработва, съхранява, архивира и унищожава личните данни в
Регистър „Съконтрагенти ” по начин, че да предотвратява тяхното разпространяване,
предоставяне или узнаване от трети лица, които нямат право на това.
4. да събира, обработва, съхранява, архивира и унищожава личните данни в
Регистър „Съконтрагенти ” по начин, който гарантира тяхната сигурност и защита.
5. да взаимодейства с останалите обработващи при събирането, обработването,
съхранението, архивирането и унищожаването на личните данни по начин, който
гарантира прилагането на ЗЗЛД и настоящите Правила.
6. да информира по описания в настоящите Правила начин всяко физическо лице,
чиито лични данни се събират в Регистър „Съконтрагенти ”.
7. да осигурява физическите лица да попълват необходимите при информирането
писмени документи, да събира и съхранява попълнените от тях писмени документи.
8. да реализира правото на достъп на всяко физическо лице до неговите лични
данни в Регистър „Съконтрагенти ” по описания в настоящите Правила начин.
9. да реализира правото на коригиране, на заличаване /право да бъде забравено/,
на възражение на всяко физическо лице за събираните, обработвани, съхранявани,
архивирани в Регистър „Съконтрагенти ” лични данни по описания в настоящите
Правила начин.
10. да поддържа и попълва Регистъра за упражняване на правата на субектите на
лични данни по описания в настоящите Правила начин.
11. да извежда надлежно в Регистъра за упражняване на правата на субектите на
лични данни всяко подадено заявление за упражняване на съответното право, да го
разглежда и в срок проверява неговата законосъобразност, да съставя отказ, отговор,
удостоверение за предоставяне на поисканата информация, да връчва на лицето
поисканата и/или предоставената информация.
12. да информира отговорния за защитата на личните данни служител за всяко
нарушаване на настоящите Правила, за всеки риск или опасност за сигурността и
поверителността на личните данни, които му стават известни или достояние.
Задължение за опазване в тайна на достъпните лични данни
Чл. 18. /1/ Всички лични данни от Регистър „Съконтрагенти ”, които стават
достъпни на обработващите личните данни, при или по повод изпълнение на неговите
задължения са поверителна информация с най-висока чувствителност за работодателя в
качеството му на администратор на лични данни.
/2/ Личните данни от Регистър „Съконтрагенти ” не могат да се разпространяват
под каквато и да е форма и пред когото и да е, не могат да бъдат споделяни, обсъждани,
коментирани, използвани, тълкувани по време и след прекратяване на дейностите по
тяхното събиране, обработване, съхранение, архивиране и унищожаване.
/3/ Обработващите личните данни лица носят отговорност пред администратора и
пред съответното физическо лице, за всички имуществени и/или неимуществени вреди,
причинени в резултат на неправомерни действия или бездействия, свързани с
нарушаване на правилата за защита и поверителност, когато вредите са пряка и
непосредствена последица от действията/бездействията на обработващия, потребителя
или отговорния за защитата на личните данни служител.
/4/ Спрямо обработващите на личните данни лица може да се налага и
дисциплинарна отговорност, ако подлежат на такава, включително и дисциплинарно
уволнение.
/5/ „Талънт Хънтър“ ООД в качеството му на администратор осигурява
защитата на личните данни на територията чрез пропускателен режим до сградата и
работните помещения с индивидуални карти за всеки служител/изпълнител, ключ и
специален режим на достъп за външни посетители.
Задължение за законосъобразно и коректно третиране на лични данни
Чл. 19. /1/ Обработващите, потребителите и отговорните за защитата на личните
данни, имат задължение да третират личните данни от Регистър „Съконтрагенти ” само
в рамките на законовите и определените от администратора цели, като запазват тяхната
достоверност, пълнота и точност.
/2/ Личните данни от Регистър „Съконтрагенти ” не могат да бъдат променяни,
допълвани, заличавани по преценка на обработващите, потребителите и лицата по
защита на лични данни без изрично решение на администратора, промяна в действащото
законодателство или в настоящите Правила.
/3/ Обработващите, потребителите и отговорните за защита на лични данни носят
отговорност пред Администратора или съответното физическо лице за всички
имуществени и/или неимуществени вреди, причинени в резултат на неправомерни
действия или бездействия, свързани с промяна, допълване, заличаване на личните данни,
когато вредите са пряка и непосредствена последица от действията/бездействията на
обработващия, потребителя или отговорния за защитата на личните данни служител.
РАЗДЕЛ VІІ
ИНФОРМИРАНЕ НА СУБЕКТИТЕ, ЧИИТО ЛИЧНИ ДАНННИ СЕ
СЪБИРАТ В РЕГИСТЪР „СЪКОНТРАГЕНТИ”
Съдържание на задължението за информиране
Чл.20. Администраторът има задължение да информира всяко едно физическо
лице преди да събере неговите лични данни относно следните обстоятелства:
1. Предоставените от него данни са лични данни по смисъла на ЗЗЛД и като такива
попадат под специален режим на защита.
2. По силата на Регламент 2016/679 и ЗЗЛД лицето има право на достъп до тези
документи, в които се съдържат личните му данни, и при спазване на настоящите
Правила.
3. По силата на Регламент 2016/679 и ЗЗЛД лицето има право на коригиране на
събраните лични данни, когато те са неверни, непълни, неточни.
4. По силата на Регламент 2016/679 и ЗЗЛД лицето има право на заличаване /право
да бъда забравен/, право на възражение срещу обработването на личните данни, право на
възражение срещу разкриването или използването на личните му данни за целите на
директния маркетинг, право да бъде уведомено преди първото разкриване на личните му
данни за целите на директния маркетинг.
5. По силата на Регламент 2016/679 и ЗЗЛД лицето има право да бъде
информирано при нарушаване на сигурността на личните му данни и за правото му на
жалба до Комисията за защита на личните данни.
6. Администраторът поема задължение да събира, обработва, съхранява,
архивира, унищожава, използва и предоставя достъп до личните му данни само и
единствено за реализиране на правата и задълженията по трудовото /гражданското/
правоотношение.
7. Администраторът поема задължение да събира, обработва, съхранява,
архивира, унищожава, използва и предоставя достъп до личните му данни, като
гарантира опазването им в тайна от други служители или от трети лица и осигурява
тяхната сигурност и защита.
8. Администраторът поема задължение да не предоставя личните данни на трети
лица, освен с писменото съгласие на лицето или в случаите, определени с нормативен
акт .
Лица, които реализират задължението за информиране
Чл.21. Задължението за информиране се реализира от следните длъжности:
асистент младши специалист човешки ресурси, младши специалист човешки ресурси,
специалист човешки ресурси, тийм лидер.
Изпълнение на задължението за информиране при събиране на личните
данни
Чл. 22. /1/ Администраторът е длъжен да информира за обстоятелствата по
чл. 20 всяко лице, чиито лични данни събира във връзка с учредяване на бъдещо
търговско или гражданско правоотношение /извън трудово или гражданско с физическо
лице/, както и всяко лице, чиито лични данни се събират във връзка с подбора или друга
форма на проучване в изпълнение на договор.
/2/ При изпращане на искане за предоставяне на оферта /предложение за договор
в края на всеки договор се изписва текст, който представлява Приложение № 2 към тези
Правила.
/3/ Задължението за информиране се реализира от следните длъжности: асистент
младши специалист човешки ресурси, младши специалист човешки ресурси, специалист
човешки ресурси, тийм лидер.
/4/Управителят на „Талънт Хънтър“ ООД реализира инцидентен и текущ
контрол върху начина на изпълнение на задължението за информиране по уредения в
правилата начин.
РАЗДЕЛ VІІІ СЪБИРАНЕ НА ЛИЧНИ ДАННИ
Първоначално събиране на лични данни
Чл. 23. /1/ Личните данни в Регистър „Съконтрагенти” се събират преди да бъде
учредено и/или изменено съответното правоотношение.
/2/ Личните данни се събират в писмена форма – на хартиен и/или технически
носител.
/3/ Събират се само определените от Администратора видове лични данни и само
определените от администратора видовете писмени документи.
/4/ При условие, че субект на лични данни предостави лични данни или съдържащ
лични данни писмен документ, който Администраторът не изисква или забранява да бъде
събиран, документът се връща веднага на субекта или при невъзможност да бъде върнат,
веднага се унищожава.
/5/ Личните данни се събират от следните длъжности: асистент младши
специалист човешки ресурси, младши специалист човешки ресурси, специалист
човешки ресурси, тийм лидер и при спазване уредените в настоящите Правила
задължения.
/6/ Други служители или трети лица, извън посочените в предходната алинея,
нямат право да събират личните данни от Регистър „Съконтрагенти”.
/7/ По изключение администраторът има право с писмена заповед да възлага на
други служители да събират лични данни. В заповедта се посочват: лицата/длъжностите,
на които се възлага събирането на личните данни на Регистър „Съконтрагенти”; срокът,
за който се възлага и редът за събирането. В този случай възлагащият събирането на
личните данни е длъжен да ги обяви за поверителна информация и да забрани тяхното
разпространяване под каквато и да е форма и пред когото и да е, както и да осигури
подписването на декларация за поверителност и неразпространение, и запознаването с
настоящите Правила.
/8/ Обработващите нямат право да събират лични данни и писмени документи,
съдържащи лични данни, в присъствието на лица, които не са обработващи на
съответните лични данни или не са потребители с достъп до съответните лични данни.
Ред за първоначално събиране на лични данни
Чл. 24. /1/ Документите, съдържащи личните данни, се събират в едно копие и се
разпределят както следва:
1. документите в оригинал се връщат на титуляра: документи за самоличност,
удостоверение за банкова сметка, удостоверения за актуално състояние.
2. документи, които остават: договори, споразумения, анекси, предложения
нотариални актове, фактури, оферти, предложения, декларации, извлечения от съответни
регистри (например Търговски регистър и регистър на юридическите лица с нестопанска
цел), документи относно проведени инструктажи и други подобни.
3. документите, които се събират за реализиране на подбор и/или другата форма
на проучване в изпълнение на законосъобразната дейност и в защита на законовия
интерес на Администратора, за които субектите са дали своето изрично съгласие.
4. документите, които се събират за реализиране на подбора и/или другата форма
на проучване в изпълнение на договора между Администратора и съконтрагента се
предават на съконтрагента по договорения/определения между тях ред.
/2/ Документите на хартиен носител, оставащи при администратора, се събират и
класират в:
1. досието, водено във връзка със съответното правоотношение, за което са
необходими данните
2. Досиета във връзка с издадени фактури и получени суми.
/3/ Събраните лични данни от документ за самоличност, удостоверения за банкови
сметки, представителни функции , заемани позиции се въвеждат в:
а/ проекти на документи в електронен вид на информационния сървър;
б/ Достъпа до информационния сървър е криптиран. Всеки служител се свързва с
ИТ системите на Талънт Хънтър ООД с индивидуално потребителско име и парола, но
също така разполага с личен сертификат за достъп.
/4/ Личните данни на технически носител се съхраняват във файлове/директории
на информационния сървър, до който имат достъп само обработващите личните данни.
Последващо събиране на лични данни
Чл. 25. /1/ Администраторът има право във всеки един момент да събира нови и
различни по вид и съдържание лични данни, когато те са необходими за реализиране на
правата и задълженията на съконтрагентите по съответните правоотношения /различни
от трудови или граждански с физически лица/ или за реализиране на негови законови
права и задължения.
/2/ Последващото събиране на лични данни става при пълно спазване
изискванията на настоящите Правила.
/3/ Последващото събиране на лични данни става от определените в чл. 16
обработващи лични данни.
/4/ Други служители или лица, освен изрично определените в предходната алинея,
нямат право да събират лични данни.
/5/ Обработващите нямат право да събират лични данни и писмени документи,
съдържащи лични данни, в присъствието на лица, които не са обработващи на
съответните лични данни или не са потребители с достъп до съответните лични данни.
/6/ Последващото събиране на лични данни става в писмена форма /хартиен и/или
технически носител/ по описания в настоящите Правила начин.
РАЗДЕЛ ІX
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Обработване на лични данни
Чл. 26. /1/ Обработване на лични данни в Регистър „Съконтрагенти” е всяко
използване, записване, копиране, възпроизвеждане на друг/и носител/и, използване във
връзка с обработване на други видове лични данни, актуализиране, поддържане,
запаметяване, складиране и т. н. на събрани лични данни с цел реализиране на правата и
задълженията на съконтрагентите по търговски или граждански правоотношения
/различни от трудови или граждански с физически лица/ или за реализиране на законните
права и задължения на администратора.
/2/ По смисъла на настоящите Правила обработването е текущо и инцидентно.
Текущо обработване на лични данни
Чл. 27. /1/ Текущо обработване на лични данни е всяко обработване, независимо
от периодичността /всекидневно, седмично, месечно, на три месеца и т. н./, което е
необходимо за реализиране на постоянно възникващи права и задължения на третите
лица-съконтрагенти по търговски или граждански правоотношения /различни от
трудови или граждански с физически лица/ или на Администратора.
/2/ Текущото обработване на лични данни се осъществява от определените в чл.16
настоящите правила обработващи на лични данни.
/3/ По изключение, Администраторът има право с писмена заповед да възлага на
други служители да обработват лични данни. В заповедта се посочва: длъжностите, на
които се възлага обработването на личните данни на Регистър „Съконтрагенти“; срокът,
за който обработването се възлага, и редът за обработване. В този случай възлагащите
обработването на личните данни са длъжни да ги обяви за поверителна информация и да
забранят тяхното разпространяване под каквато и да е форма и пред когото и да е, както
и да осигурят подписване на декларация за поверителност и неразпространение и
запознаване с настоящите правила.
/4/ Забранява се служители или други лица извън определените като обработващи
лични данни да обработват личните данни в Регистър „Съконтрагенти“.
/5/ Обработващите лични данни са длъжни да обработват лично личните данни,
да използват и третират лично писмените документи, файловете, електронните носители,
съдържащи личните данни.
/6/ Обработващите нямат право да предават, предоставят, показват или правят
достояние съдържанието на писмен документ, файл и електронен носител, които
съдържат лични данни на лица, които не са определени като обработващи съответните
лични данни, или не са потребители с достъп до съответните лични данни.
/7/ Обработващите са длъжни след обработване на документите, папките и
другите писмени материали, съдържащи лични данни, да ги поставят на определените за
това места или да ги върнат в съответните досиета.
/8/ Обработващите са длъжни след обработването на технически носител да
затворят файловете или електронните носители, съдържащи лични данни и/или да
изключат своя компютър.
/9/ Обработващите нямат право да обработват писмени документи съдържащи
лични данни в присъствието на лица, които не са обработващи на съответните лични
данни или не са потребители с достъп до съответните лични данни.
/10/ Обработващите нямат право след приключване на работното време да оставят
на работните си места и в работните помещения документи, папки, материали, включени
компютри с достъп, съдържащи лични данни.
/11/ Обработващите не могат да изнасят извън територията на „Талънт Хънтър“
ООД всякакви видове писмени документи, папки или материали, компютри, съдържащи
лични данни, освен след уведомяване /разрешение/ на администратора.
Инцидентно обработване на лични данни
Чл. 28. /1/ Инцидентно обработване на лични данни е всяко еднократно
обработване, което е необходимо за реализиране на инцидентно възникнали права и
задължения на служителите, на изпълнителите и/или на администратора.
/2/ Администраторът с писмена заповед определя: правното основание, на което
се възлага инцидентното обработване и видовете лични данни, които подлежат на такова
обработване; длъжностите, на които се възлага инцидентното обработване; срока за
инцидентното обработване; длъжността/лицето, което им предоставя обработваните
данни; специални правила за работата с личните данни; обявяване на обработваните
лични данни за поверителна информация и забрана за тяхното разпространяване под
каквато и да е форма и пред когото и да е.
/3/ Обработващите нямат право да предават, предоставят, показват или правят
достояние писмен документ, съдържащ лични данни, или съдържанието на станалата им
известна информация относно лични данни, на лица, извън посочените в заповедта на
администратора.
/4/ Обработващите са длъжни след обработването на документите, папките и
другите материали, съдържащи личните данни, да ги поставят в съответните досиета.
/5/ Обработващите нямат право да обработват писмени документи съдържащи
лични данни, в присъствието на лица, които не са обработващи на съответните лични
данни или не са потребители с достъп до съответните лични данни.
/6/ Обработващите нямат право след приключване на работното време да оставят
на работните си места и в работните помещения документи и материали, съдържащи
лични данни.
/7/ Обработващите не могат да изнасят извън територията на предприятието
всякакъв вид документи или материали, съдържащи лични данни, освен след
уведомяване /разрешение/ на Администратора.
РАЗДЕЛ X
СЪХРАНЯВАНЕ НА ЛИЧНИ ДАННИ
Съхраняване на личните данни на хартиен носител
Чл. 29. /1/ Документите на хартиен носител, съдържащи лични данни от Регистър
„Съконтрагенти”, се съхраняват в досието, водено във връзка със съответното търговско
или гражданско правоотношение, в „Талънт Хънтър“ ООД
/2/ Досиетата по ал. 1 се съхраняват в специални/картотечни шкафове в
помещенията, които са работно място или архив на обработващите в лични данни.
/3/ Специалният/Картотечният шкаф се заключва с ключ, който се съхранява на
място, известно само на обработващите лични данни, които работят с документите от
съответния шкаф.
/4/ Определените да ползват ключовете обработващи лични данни, нямат право
да ги предоставят на други лица, освен след изрична заповед и/или със знанието на
администратора.
/5/ Определените да ползват ключовете обработващи лични данни нямат право да
ги оставят без надзор на работните си места, в работните помещения, на вратите
специалния/картотечен шкаф.
/6/ Определените да ползват ключовете обработващи лични данни са длъжни с
приключване на работното време да прибират ключовете на определеното за целта
място.
/7/ Обработващите лични данни, които ползват ключовете, нямат право да ги
изнасят извън територията на „Талънт Хънтър“ ООД освен след уведомяване
/разрешение/ на администратора.
Съхраняване на личните данни на технически носител
Чл. 30. /1/ Документите на технически носител се съхраняват на харддиск и/или
на сървър.
/2/ Достъпът до файловете с личните данни се осъществява само от обработващи
личните данни и е защитен с парола.
/3/ Паролата за достъп е индивидуална и достъпна само за обработващите лични
данни. Паролата се променя от администратор на всеки 3 месеца.
/4/ Обработващите лични данни нямат право да предоставят на други лица,
включително други обработващи лични данни, своята парола, освен след изрична
заповед и/или със знанието на администратора.
/5/ Обработващите лични данни нямат право да правят достояние на трети лица
своята парола.
/6/ Софтуерните програми, които се ползват при обработването на личните данни,
се адаптират към изискванията на ЗЗЛД и настоящите Правила. Софтуерната програма
съдържа антивирусна програма.
Чл. 31. /1/ Всеки обработващ лични данни ползва собствен компютър, намиращ
се в помещение, което се заключва.
/2/ До помещението имат достъп само обработващите лични данни чрез:
Служебна карта за достъп и собствено притежаван ключ.
/3/ Определените обработващи лични данни, нямат право да предоставят
служебната си карта или ключа от помещението на други лица, освен след изрична
заповед и/или със знанието на администратора.
/4/ Определените обработващи лични данни нямат право да оставят служебната
си карта или ключа от помещението без надзор на работните си места, в работните
помещения, на вратите на работните помещения.
РАЗДЕЛ XI
АРХИВИРАНЕ И УНИЩОЖАВАНЕ
Чл. 32. /1/ В законовия срок или в срока, за който субектите са дали своето
изрично съгласие, досиетата с всички документи, съдържащи лични данни, се архивират
от обработващите лични данни.
Чл. 33. /1/ Архивирането на личните данни на технически носител става на
сървър, а информацията се криптира.
Чл. 34. /1/ Събраните лични данни, които не се съхраняват и архивират, се
унищожават по начин, който гарантира, че няма да бъдат възпроизведени и/или запазени,
както и че субектите на личните данни няма да бъдат идентифицирани.
/2/ Всеки месец обработващите лични данни определят видовете лични данни и
техните носители, които подлежат на унищожаване.
/3/ Обработващите лични данни лично унищожават писмените документи,
съдържащи личните данни, чрез шредиране.
/4/ Обработващите лични данни лично изтриват файловете, съдържащи лични
данни.
/5/ По изключение, с писмена заповед администраторът възлага на други
служители да унищожават определените лични данни. В заповедта се посочва:
длъжностите, на които се възлага унищожаването на личните данни на Регистър
„Съконтрагенти“; срокът, за който се възлага и редът за унищожаването. В този случай
възлагащите унищожаването на личните данни са длъжни да ги обявят за поверителна
информация и да забранят тяхното разпространяване под каквато и да е форма и пред
когото и да е, както и да осигурят подписването на декларация за поверителност и
неразпространение, и запознаване с настоящите правила.
/6/ Забранява се служители или други лица извън определените като обработващи
лични данни да определят за унищожаване и да унищожават личните данни в Регистър
„Съконтрагенти“.
РАЗДЕЛ XII
ДОСТЪП ДО ЧУЖДИ ЛИЧНИ ДАННИ
Достъп на държавни и обществени органи
Чл. 35. /1/ Достъп до личните данни в Регистър „Съконтрагенти” имат всички
държавни или обществени органи, които по силата на специален нормативен акт имат
право на такъв, включително, но не само: Комисия по защита на личните данни, органи
на следствието, прокуратурата, съда, Държавна агенция за национална сигурност,
Национална агенция по приходите, Изпълнителна агенция „Главна инспекция по труда“,
техните служители, Министерство на вътрешните работи и т.н.
/2/ Администраторът е длъжен да осигурява поискания от държавните органи в
кръга на техните компетентности достъп до личните данни в Регистър „Съконтрагенти”
без писмено или устно разрешение от страна на техния титуляр.
/3/ Достъпът се предоставя от съответния обработващ личните данни или
служител, отговарящ за защитата на личните данни в Регистър „Съконтрагенти”.
/4/ Достъпът се предоставя до посочените от органа лични данни и документите,
които ги съдържат.
/5/ В случаите, когато по производства, водени от или срещу администратора, има
назначени експертизи, достъп на съответното вещо лице/лица се допуска само при
представяне на изричен документ, изходящ от органа, пред който съответното
производство е висящо, в което се посочва видът и задачите на възложената експертиза
или видът и естеството на личните данни и видът и естеството на документите, които ги
съдържат и след подписване на декларация за конфиденциалност от страна на вещото
лице /Приложение № 3/.
/6/ Достъпът се предоставя след уведомяване на администратора, който преценява
законосъобразността на поискания достъп с оглед наличието на съответните лични
данни.
/7/ Документите се предоставят лично на длъжностните лица и по начин,
гарантиращ, защитата на личните данните в тях.
/8/ Правото на достъп на длъжностни лица от държавен или обществен орган става
в присъствието на следните длъжности: асистент младши специалист човешки ресурси,
младши специалист човешки ресурси, специалист човешки ресурси, тийм лидер, които
не възпрепятстват дейността на компетентните органи, а реализират задълженията на
администратора, свързани с опазване и защита на предоставените лични данни по
смисъла на Закона за защита на личните данни.
РАЗДЕЛ XII
ПРАВО НА ДОСТЪП, НА КОРИГИРАНЕ, НА ВЪЗРАЖЕНИЕ, НА
ЗАЛИЧАВАНЕ НА ЛИЧНИ ДАННИ
Право на достъп до собствените лични данни
Чл. 36. /1/ Всяко лице, чиито лични данни се намират в Регистър
„Съконтрагенти”, има право на достъп, на коригиране, възражение и на заличаване.
/2/ Достъп до личните си данни, коригиране на събраните и съхранявани лични
данни, възражение срещу събиране на личните данни и заличаване на събраните и
съхранявани лични данни имат: физическите лица-съконтрагенти; физическите лицазаконни представители на съконтрагенти; физическите лица-пълномощници на
съконтрагенти, служители на съконтрагенти; физическите лица, които са дали своето
изрично съгласие за участие в подбор или друга форма на проучване в рамките на
реализираната законова дейност и законовия интерес на „Талънт Хънтър“ ООД;
физическите лица, които са участвали в подбора и/или в друга форма на проучване в
изпълнение на договор между Администратора и негов съконтрагента.
Чл. 37. /1/ Лицето, което иска достъп или коригиране, възразява или иска
заличаване, следва да го заяви лично.
/2/ Лицето попълва заявление за достъп, коригиране, възражение или заличаване
по утвърден от администратора образец /Приложение № 4/.
/3/ Заявлението е в писмена форма и има следното съдържание:
1. Името, адреса и други данни, които са необходими, за да може администратора
да го идентифицира. Информация относно актуалния адрес /който е и такъв за
кореспонденция/, телефон, факс и т. н.
2. Посочване на правото, което иска да упражни, и описание на информацията,
която иска да получи, да бъде коригирана, срещу която възразява или иска да бъде
заличена.
3. Подпис, дата на подаване на заявлението.
/4/ Забранява се предоставянето на достъп, коригирането, възражението и
заличаването без заявление, попълнено по надлежен начин.
Чл. 38. В случаите, когато лицето иска достъп, посочва и предпочитаната форма
на достъпа до личните си данни, както следва:
- уста справка;
- писмена справка;
- личен преглед на документите, в които се съдържат;
- предоставяне на данните на хартиен или по електронен път.
Чл. 39. /1/ Лицето, което иска достъп, може да подаде заявлението чрез
пълномощник.
/2/ Лицето попълва пълномощно по утвърден от администратора образец.
/3/ Пълномощното трябва да е в обикновена писмена форма и да има съдържание:
1. Името, адреса и други данни, които са необходими, за да може администратора
да идентифицира упълномощеното лице.
2. В него изрично се посочват:
а/ данните на лицето, което се упълномощава да подаде заявление пред „Талънт
Хънтър“ ООД за достъп;
б/ за достъп до какви данни се упълномощава да подаде заявление пред „Талънт
Хънтър“ ООД
3. Да е подписано от упълномощаващия и да е датирано.
/4/ Лицето, което подава заявлението представя оригинално пълномощно, което
остава при администратора.
/5/ Забранява се достъп до лични данни в случай, че към заявлението няма
приложено оригинално пълномощно.
Чл. 40. /1/ Всяко лице има право на достъп до чужди лични данни, намиращи се
в Регистър „Съконтрагенти”, при спазване на реда по настоящите Правила.
/2/ Лицето, което иска достъп, попълва заявление за достъп по утвърден от
администратора образец /Приложение № 4/. В нея освен необходимото съдържание,
задължително се посочва и причината, поради която иска достъп до чуждите лични
данни. Формулировката се прави в свободен текст, като се посочва какви права черпи от
чуждите лични данни и/или какви задължения изпълнява.
/3/ Лицето, до чиито данни се иска достъп, го разрешава писмено. В разрешението
трябва да има следните атрибути: името на лицето, подпис и дата, поставени лично от
него; личните данни, до които се дава достъп и имената на лицето, на което се дава
достъп.
/4/ Администраторът е длъжен да предостави поискания достъп и без разрешение
на титуляра на данните във всяка една от следните хипотези:
1. Личните данни са необходими, за да бъде защитен живота и здравето на техния
титуляр.
2. Състоянието на титуляра не позволява той да даде писмено разрешение.
3. Личните данни са необходими за целите на научни изследвания или за
статистически цели и се предоставят анонимно.
4. Обработването е необходимо за реализиране на законните интереси на
администратора на лични данни или на трето лице, на което се разкриват данните, освен
когато пред тези интереси преимущество имат интересите на физическото лице, за което
се отнасят данните.
/5/ Лицето, което иска достъпа, доказва наличието на конкретната хипотеза, като
прилага към заявлението съответните документи /болничен лист, смъртен акт,
удостоверение за наследници и т. н./.
Регистър за достъп, коригиране, възражение или заличаване на лични данни
в Регистър „Съконтрагенти”
Чл. 41. /1/ Регистърът представлява книга /тетрадка/, в която отделните страници
се номерират и заверяват с подпис и печат.
/2/ Регистърът за достъп, коригиране, възражение или заличаване на личните
данни в Регистър „Съконтрагенти” съдържа:
1. Графа „Номер и дата” - заявлението се завежда с пореден номер и с датата на
постъпване, като всяко заявление се вписва с входящ номер, който започва от едно, без
да се пропускат поредни числа.
2. Графа „Име и подпис на заявителя”, състояща се от две колони – в първата
колона се посочва лицето, което подава заявлението и същото удостовери това с лично
полагане на подпис във втората колона.
3. Графа „Уведомление”, състояща се от две колони – в първата се вписва датата,
на която лицето трябва лично да получи информацията и лицето се подписва. Във
втората колона лицето, упражнило правото си, се подписва.
4. Графа „Отказ”се посочва датата на неговото връчване и се удостоверява факта
на самото връчване.
Подаване на заявлението
Чл. 42. /1/ Заявленията за достъп, коригиране, възражение или заличаване на
личните данни в Регистър „Съконтрагенти” се подават в Талънт Хънтър ООД и се
завеждат от следните длъжности: асистент младши специалист човешки ресурси,
младши специалист човешки ресурси, специалист човешки ресурси, тийм лидер
/2/ Всяко заявление се завежда и получава входящ номер и се вписва в Регистър
за достъп до личните данни.
/3/ Заявленията се съхраняват и класират в папки, отделно от другите документи
постъпващи в Талънт Хънтър ООД
/4/ Заявленията се пазят в отделна папка в законово уредените срокове, след което
се унищожават.
Задължение за уведомяване
Чл. 43. /1/ След като заявлението бъде заведено, лицето се уведомява на коя дата
да се яви, за да получи информация за упражненото право.
/2/ Служител, изпълняващ някоя от следните длъжности асистент младши
специалист човешки ресурси, младши специалист човешки ресурси, специалист
човешки ресурси, тийм лидер уведомяват лицето за датата, на която трябва да получи
информацията за упражненото право.
Преценка за законосъобразността на заявлението
Чл. 44. /1/ След завеждането на заявлението в Регистъра се проверява неговата
допустимост и законосъобразността на поискания достъп.
/2/ Администраторът е длъжен:
1. Да провери дали подаденото заявление отговаря на формалните законови
изисквания /попълнено е в съответствие с утвърдената от администратора форма; към
него са приложени пълномощно, писмено разрешение, документи, необходими за
доказване на основателността и т. н./;
2. Да провери дали подаденото заявление отговаря на материалните законови
изисквания
/3/ Посочените в предходната алинея проверки и/или преценки се извършват от
следните длъжности: асистент младши специалист човешки ресурси, младши
специалист човешки ресурси, специалист човешки ресурси, тийм лидер
Задължения на администратора
Чл. 45. /1/ Администраторът е длъжен да реализира правото на лицето, когато има
законово основание за това.
/2/ Администраторът има право да предостави поисканите данни в друга форма в
следните случаи:
1. Спазването на поисканата от заявителя форма би довела до неправомерно
обработване на информацията.
2. Няма техническа възможност за спазване на поисканата форма.
Техническо затруднение при предоставянето на достъп
Чл. 46. По смисъла на ЗЗЛД техническо затруднение за Администраторът е всяка
една от следните хипотези:
1. Предоставяне на повече от 2 броя копия от поисканите документи;
2. Предоставяне на поисканата информация по електронен път.
Отказ на поискания достъп
Чл. 47. /1/ В случай, че Администраторът няма право да предоставя поисканата
информация, следните длъжности: асистент младши специалист човешки ресурси,
младши специалист човешки ресурси, специалист човешки ресурси, тийм лидер съставят
отказ по утвърден образец /Приложение № 5/.
/2/ Отказът трябва да отговаря на следните изисквания: да е в писмена форма и да
съдържа следните атрибути: кои данни; поради каква причина и на какво правно
основание се отказва да бъдат предоставени, коригирани, или причините
администратора да откаже да спре да обработва или да заличи; органа, пред когото, и
срока, в който може да се обжалва отказа.
Връчване на уведомление /отказ/ или предоставяне на информацията.
Чл. 48. /1/ Всяко едно уведомление или отказ за предоставяне на информацията
се връчват лично на лицето, което е заявител на достъпа до личните данни.
/2/ Уведомлението или отказът се връчва от следните длъжности: асистент
младши специалист човешки ресурси, младши специалист човешки ресурси, специалист
човешки ресурси, тийм лидер, мениджър в 14 дневен срок от получаване на заявлението.
/3/ Уведомлението /отказът/ се връчва по следните начини:
1.Срещу полагане на подпис на заявителя в регистъра.
2. По пощата срещу обратна разписка.
/4/ При връчването се вписва в регистъра в Графата „Уведомление” или „Отказ”
номера на обратната разписка и датата, отбелязана на нея.
Обжалване
Чл. 49. При нарушение правата по ЗЗЛД на физическото лице, същото има правна
възможност:
1. да сезира Комисията за защита на личните данни чрез жалба в едногодишен срок
от узнаване на нарушението, но не по-късно от пет години от извършването му;
2. да обжалва действията на администратора пред съответния административен съд
или пред Върховния административен съд по общите правила за подсъдност.
РАЗДЕЛ XIV
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Чл. 50. /1/ Правилата влизат в сила от 01.05.2018 и след като всички лица, за които
тя създава субективни права и задължения се е запознаят с тяхното съдържание.
/2/ „Талънт Хънтър“ ООД има задължение да доведе до знанието на всички
служители/изпълнители настоящите Вътрешни правила.
Чл. 52. /1/ Копия от тези Вътрешни правила са на разположение на служителите
в „Талънт Хънтър“ ООД
ПРИЛОЖЕНИЕ № 2
ИНФОРМАЦИЯ
за
прилагане на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април
2016 година относно защитата на физическите лица във връзка с обработването на лични
данни и относно свободното движение на такива данни и за отмяна на директива
95/46/ЕО, Закона за защита на личните данни и подзаконовите нормативни актове по
неговото прилагане и вътрешните правила и политика на Талънт Хънтър ООД в
качеството му на администратор при и по повод реализиране на подбор или друго
проучване в изпълнение на договор с възложител и с цел бъдещо, възможно учредяване на
трудово правоотношение между възложителя и субекта на личните данни.
„Талънт Хънтър“ ООД Ви информира, че доброволно предоставените за целите на
извършвания подбор или друго проучване като част от неговата законосъобразна дейност и/или
по силата на договор с цел възможно учредяване на трудово правоотношение с възложителя са
лични и попадат под специален режим на защита по смисъла на Регламент 2016/679 и Закона за
защита на личните данни. Доброволно предоставените лични данни се събират, съхраняват и
обработват само за постигане на законово позволени цели и за реализиране на законните
интереси на администратора на личните данни, свързани с неговата дейност по подбора и/или
други форми на законосъобразно проучване. С Вашето изрично съгласие „Талънт Хънтър“ ООД
обработва, съхранява, използва и архивира доброволно предоставените лични данни в рамките
на 3 години от датата на съгласието, когато няма законов срок, който да урежда и да гарантира
тяхната сигурност и опазване в тайна.
„Талънт Хънтър“ ООД информира и лицата, чиито лични данни са предоставени се
съгласяват, че „Талънт Хънтър“ ООД предоставя личните данни на държавни органи и
институции, или трети лица, когато има такова задължение по силата на закон, или е
необходимо за реализиране на Вашите права и законни интереси като участник в подбора с цел
бъдещо, евентуално учредяване на трудово правоотношение.
„Талънт Хънтър“ ООД информира лицата, чиито лични данни са предоставени, че при
спазване на неговите вътрешни правила, лицата имат право на достъп и право на коригиране на
техните лични данни, право да бъдат заличени, както и имат право да възразят срещу
обработването, предоставянето и разкриването на техните лични данни за различни от тук
посочените цели.
ПРИЛОЖЕНИЕ № 4
До
…………………. Вх. №..................................
З А Я В Л Е Н И Е
От ................................................................................................................
/собствено и фамилно име/
с лична карта №.............................................
адрес.............................................................................................................
телефон за връзка.......................................................................................
длъжност......................................в .............................................................
/ структура – Дирекция, Отдел, Цех и т.н./
Заявлението се подава лично/чрез упълномощено лице.
/невярното се зачертава/
Заявлението е за достъп до лични данни/ за коригиране на лични данни/ за
възражение срещу обработване на лични данни/ за заличаване на субекта на личните
данни /невярното се зачертава/
1.Моля да ми бъде изготвена/осигурена/:
Устна справка
Писмена справка
Преглед на данните от личното досие
Копие от ..................................................................документи.
/Моля, посочете исканата от Вас информация, като подробно впишете видовете
документи, до които искате достъпа./
Личните данни са необходими, за да послужат пред
.......................................................................................................................................................
................................................................................................................................................
/Моля посочете пред кого и с каква цел да Ви необходими личните данни/
2.Моля да бъдат коригирани следните лични данни:
…………………………………………………………………………..
……………………………………………………………………….
/Моля, посочете видовете лични данни, които искате коригиране /
3.Възразявам срещу обработване на следните лични данни:
…………………………………………………………………………..
……………………………………………………………………….
/Моля, посочете видовете лични данни, за чието обработване възразявате /
4.Искам да бъда заличен като субект, чиито лични данни обработвате.
Приложения: ........................................................................
Дата:................ Заявител: .........................................
/Информацията по-долу се попълва от длъжностното лице при
администратора на лични данни/
Лицето лично/чрез пълномощник бе уведомено от......................................., на
длъжност..................................да се яви на..........................................., в..............................,
за да получи информация за упражненото право.
Дата:............................
Длъжностно лице:....................................... Заявител: .......................................
На.........................................................................................................лично и в
законоустановения срок бе предоставена информация за упражненото право, както
следва:....................................................................................................................................
.......................................................................................................................................................
................................................................................................................................................
Дата:............................
Длъжностно лице:....................................... Заявител: .......................................
ПРИЛОЖЕНИЕ № 5
ДО
..................................................................
/вписват се Имената на заявителя/
ОТКАЗ
Изх. № ..................дата...................
От: ……………., ЕИК…………………., със седалище и адрес на
управление в гр………………………., представлявано от………………
Уведомяваме Ви, че на основание Заявление за ………………………../посочвате
вида на правото, което е било поискано да бъде упражнено/ вх. №.....дата.....................,
на основание...........................................ЗЗЛД и поради следните причини:
..........................................................................................................................................
..........................................................................................................................................
/Вписвате аргументите за отказания достъп/
Отказваме да……………………:
..........................................................................................................................................
Уведомяваме Ви, че отказът може да се обжалва пред Комисията за защита на
личните данни в ....................срок.
Дата:............................
Длъжностно лице:....................................... Заявител: .......................................