Политика за защита на личните данни в сдружение „ХЕЛИОС – СОФИЯ“

ХЕЛИОС – СОФИЯ съдейства за развитието на културата, арт-фестивалите, образованието и гражданското общество, като предоставя знания и повишава уменията на свободни артисти и културни оператори в областта на различните изкуства и мениджмънта в културата.

Сдружението е създадено през 2022 г. с ЕИК 207063247 и адрес на регистрация: София 1000, ул. Сердика №1, наречено по-нататък Администраторът. Хелиос – София прилага, в изпълнение на обществено полезната си дейност, партньори и служители настоящата Политика за защита на личните данни.

 

На посочения пощенски адрес и на електронен адрес : info@helios-sofia.eu могат да бъдат изпращани лично или чрез изрично писмено упълномощено лице заявления, възражения, искания, жалби и други във връзка с обработване на лични данни от страна на Администратора, при спазване изискванията на ЗЕДЕП за използване на електронен подпис за електронен адрес  на вниманието на Албена Начева, Изпълнителен директор на сдружението.

 

ПРЕАМБЮЛ

По смисъла на чл. 4, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните; Регламент; GDPR) Хелиос – София е администратор на лични данни. Като такъв събира и обработва информация за физически лица,  която може да бъде квалифицирана като лични данни .

Тази информация може да се отнася до служители, управители, учредители, членове, клиенти, доставчици, контрагенти, партньори с техните представители, бизнес контакти, посетители на интернет страницата на Хелиос – София и други физически лица, с които Администраторът осъществява връзка или иска да установи контакт.

Настоящата политика за защита на личните данни урежда начините за събиране, обработване и съхраняване на личните данни, за да отговарят на стандартите на Администратора и да са в съответствие с правните изисквания.

 1. ПРАВНО ОСНОВАНИЕ:

Настоящата политика за защита на личните данни (ПЗЛД) се издава на основание и в съответствие с императивните изисквания на Закона за защита на личните данни и Общия регламент относно защитата на данните ЕС 2016/679 (GDPR).

Българското законодателство и GDPR предвиждат правила как организациите следва да събират, обработват и съхраняват лични данни (ЛД). Тези правила се прилагат от Администратора, независимо дали се отнася за данни, които се обработват електронно или на хартия.

За да бъде обработването на ЛД в съответствие с правните изисквания, ЛД се събират и използват основателно, съхраняват се сигурно и ограничено във времето, съобразно с целта на събиране и обработване, като Хелиос – София предприема необходимите мерки, за да не бъдат обработваните ЛД обект на незаконно разкриване.

 1. ПРИНЦИПИ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ:

Администраторът на ЛД следва принципите, предвидени в GDPR, а именно:

 1. Законосъобразност – обработване на лични данни изцяло в съответствие със закона и за цели, които не противоречат на действащи правни норми;
 2. Добросъвестност – обработване на лични данни, доколкото същите са необходими единствено за осигуряване на по-високо качество на услугите и дейностите, предоставяни от Администратора и осигуряване на ефективно партньорство;
 3. Прозрачност – не се обработват лични данни по начини, за който субектите на данни не са били информирани с настоящите правила и/или изрично при друга комуникация, като повече информация може да бъде получена от желаещите в обичайното работно време на Администратора чрез посочените лица за контакт в разумен срок;
 4. Ограничение на целите – обработване на лични данни единствено за посочените по-долу основания.
 5. Свеждане на данните до минимум – обработване единствено на тези лични данни, без които целите на обработването им не могат да бъдат постигнати;
 6. Точност –поддържане и актуализиране обработваните от Администратора лични данни, каквито са предоставени, отговарящи на обективната действителност;
 7. Ограничение на съхранението – съхраняване на лични данни единствено доколкото и докогато са изпълнени целите на обработването им.
 8. Цялостност и поверителност – обработване на лични данни по начина и при условията, съгласно които са получени, при съблюдаване на строга конфиденциалност. Не се предоставят лични данни на други лица и същите не се правят публично достояние, освен в изрично предвидените от закона случаи или с изричното съгласие на субекта на данните;
 9. Отчетност –  създават се и се поддържат доказателства, вкл. и в ел. формат за всички действия, свързани с обработката на ЛД.
 10. Сигурност – Личните данни се обработват с подходящи технически и организационни мерки, за да се гарантира тяхната сигурност, включително срещу нежелана или незаконосъобразна обработка, загуба, унищожаване или повреждане;

За спазването на тези принципи, Ръководството на Хелиос – София прилага добри управленски практики и стриктно следи критериите и контрола:

а) пълно спазване на условията за събиране и използване на информацията;

б) прецизиране на целите, за които се използва информацията;

в) събиране и обработване на подходяща информация и само дотолкова, доколкото тя е необходима за изпълнение на целите и при спазване на законовите изисквания;

г) прилагане на стриктни проверки за определяне на продължителността на съхраняваната информация;

д) гарантиране на правата на субектите, чиито лични данни се събират;

е) предприемане на подходящи технически и организационни мерки за сигурност при защита на личната информация.

ІІI. ЦЕЛИ НА ПОЛИТИКАТА

Настоящата политика има основна цел да информира заинтересованите лица за принципите, правилата и мерките, които Сдружение Хелиос – София е предприело в изпълнение на задълженията си като Администратор на лични данни.

Чрез нея ръководството гарантира, че дейностите в Сдружението са насочени към спазване на изискванията на Регламента и на Закона за защита на личните данни. Политиката на ръководството по отношение на защитата на личните данни обединява съществуващите и актуализираните политики, процедури и процеси в Хелиос – София с оглед осигуряване на всеобхватен корпоративен подход към защитата на данните. 

По-конкретно настоящата политика  цели създаване и поддържане на среда, в която Хелиос – София да:

 • бъде в съответствие с приложимото законодателство по отношение на личните данни и да установи добри практики;
 • въведе механизми за администриране процесите по обработване на ЛД, както и тяхната защита;
 • определи задълженията на служителите и лицата, обработващи ЛД от нейново име, вкл. и външно счетоводство, и тяхната отговорност при неизпълнение на тези задължения;
 • осигури прозрачност на процесите по обработка на ЛД и да даде възможност за пряк контакт с Администратора, за право на достъп до събираната лична информация и всички асоциирани права на субектите, съгласно GDPR;
 • установи необходимите технически и организационни мерки за защита на ЛД от неправомерно обработване;
 • въведе процедура за действие при откриване на нарушение сигурността на ЛД;
 • защити правата на персонал, клиенти, партньори и други субекти, носители на ЛД;
 • минимизира риска от нарушения в сигурността на ЛД.

ІV. ОБХВАТ

Настоящата политика се прилага по отношение обработване лични данни на служители, наети лица по граждански договори, командировани лица, управители, учредители, членове,, самоосигуряващи се лица, доставчици, клиенти и партньори, така както са описани в съответните регистри, съгласно чл. 30 от GDPR (Регистри на дейностите по обработване), други бизнес контакти, както и за посетители на интернет страницата на Хелиос – София.

Категории лични данни, които Администраторът може да обработва:

А/ Идентификационни лични данни:

 • Имена, дата и място на раждане, ЕГН или друг личен идентификационен номер, данни от документ за самоличност;
 • Адрес, телефонни номера; електронна поща;
 • Възраст, пол, снимки (които не представляват биометрични данни – не се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице);
 • Семейно положение, деца;
 • Финансова информация (банкови данни, ведомости и др.);
 • Онлайн идентификатор – IP идентификатор (взима се автоматично), MAC адрес, cookies, др.);
 • Уеб сайт, от който посетителят е дошъл на сайта на Администратора и проектни сайтове поддържани от Администратора;
 • Дата и продължителност на достъпа на сайта на Администратора и проектни сайтове поддържани от Администратора;
 • Количество прехвърлени данни на сайта на Администратора и проектни сайтове поддържани от Администратора;
 • Браузър и информационна система, ползвани от субекта, посещаващ сайта на Администратора;
 • Образование, обучение и квалификация;
 • Информация за трудовата заетост, включително данни от трудовата му книжка;
 • Членства в търговски или други сдружения, общества и др.;
 • Членство в професионални организации.

Б/ Чувствителни лични данни

 • Здравословно и психическо състояние – данни за здравословното състояние на служителите (според медицински удостоверения и оценки от Службата по трудова медицина, решения от ТЕЛК и др.), както и на граждани, подписали доброволно декларация/договор за информирано съгласие при участие в тестови/пилотен проект;
 • Данни, свързани със свидетелства за съдимост.

В/ Лични данни, вкл. чувствителни такива, които се обработват в Администратора по изключение, в случаите, когато изпълнението на проект, финансиран от европейска програма налага това:

 • Електронни данни за локализиране (GSM location, GPS, др.);
 • Расова и етническа информация;
 • Политически убеждения;
 • Религиозни или сходни вярвания;
 • Сексуален живот;
 • Биометрични и генетични данни.
 1. СУБЕКТИ НА ЛИЧНИ ДАННИ

Администраторът събира лични данни по отношение на следните категории лица – субекти на данни:

 • субекти, представляващи Администратора – управители и директори, както и негови членове в предвидените от закона случаи;
 • субекти, представляващи дружества, организации, с които Администраторът има договорни или други бизнес и партньорски взаимоотношения;
 • субекти, посочени за контакт от дружества, организации и съдружия, с които Администраторът има договорни или други бизнес и партньорски взаимоотношения;
 • служители на Администратора;
 • деца на служители на Администратора;
 • кандидати за работа;
 • участници в обучителни програми, фестивали, представления, изследвания, хакатони и различен тип събития със състезателен характер, които организира Администратора;
 • заявили интерес за получаването на информационни услуги – информационен бюлетин и др.;
 • посетители на интернет страницата на Администратора и абонати на информационни материали, вкл. и Политика за бисквитките.

VI  ЦЕЛИ НА ОБРАБОТВАНЕ НА ДАННИТЕ

Хелиос – София обработва ЛД, във връзка с изпълнение на една или повече от следните цели:

 1. За изпълнение на дейности – предмет на договорни, изпълнение на проекти и партньорски правоотношения (клиенти, доставчици на стоки и услуги, партньори, изпълнители по договори, съгласно Закона за задълженията и договорите):
 • за изготвяне на документи, администриращи взаимоотношенията между администратора и дружествата, и организациите – страни по договорни и партньорски взаимоотношения или на групово ниво;
 • за установяване на контакт с лицето или лицата, посочени от страните по договорни и партньорски правоотношения или на групово ниво;
 • за доставка и/или приемане на стоки/услуги по договорни и партньорски правоотношения;
 • за водене на счетоводна отчетност във връзка с изпълнение на договорни отношения, по които администраторът е страна;
 • за обработка на плащания, във връзка с изпълнение на договорни отношения, по които администраторът е страна;
 • за изпращане на важна информация до субекти, във връзка с промени в някоя от политиките на администратора;
 • за да се гарантира правилното функциониране на уебсайта на Хелиос – София и проектни сайтове поддържани от Администратора и да се анализират посетителите.
 1. За изпълнение на законовите изисквания на Администратора при наемане на персонал и отношенията с него:
 • при подбор на кандидати за работа;
 • при назначаване на нови служители;
 • при регистриране на трудови и др. договори и допълнителни споразумения с физически лица;
 • при изпълнение на ЗЗБУТ и всички свързани нормативни документи за здравословни условия на труд;
 • при командироване на служители и изпълнители на граждански договори;
 • при изплащане на възнаграждения на служители и лица, наети по граждански договори;
 • при изплащане на дължимите задължения към държавния бюджет;
 • при обработка болнични листове и медицински свидетелства на служители;
 • при издаване на служебни бележки, удостоверения, УП, препоръки, референции и др. документи на служители и наети по граждански договори лица;
 • при изплащане на дивиденти;
 • при периодични, заложени от ръководството на Администратора оценки на представянето на служителите;

 

 1. За маркетингови цели – след получаване на изрично съгласие от субектите на лични данни.

Разкриване на лични данни на трети лица може да бъде извършено при спазване на настоящата Политика и предоставяне от тези трети лица на гаранции за спазване на минималните стандарти за защита, заложени в нея, като такива лица могат да бъдат:

 • държавни органи, институции и лица, на които Администраторът е длъжна да предостави лични данни по силата на закон;
 • лица, които по възлагане поддържат оборудване, софтуер и хардуер, използвани за обработка на лични данни, служители на Администратора, адвокати, счетоводители или други лица, които по възлагане или по силата на закон имат достъп до лични данни, обработвани от Администратора. Всички тези лица имат сключени с Администратора споразумения за конфиденциалност и са приели вътрешните правила за сигурност по обработка на лични данни;
 • партньори, които работят по възлагане от Администратора на основата на договорни отношения и извършват дейности по предоставяне на услугите на Администратора и с които Администраторът има споразумения за запазване на конфиденциалността на информацията и защита на лични данни.
 • доставчици на услуги при обработването на лични данни за някои цели, като например измерване и проследяване на потребителското поведение в сайтовете на Администратора, изпращане на имейл съобщения, споделяне на съдържание от потребителите, вход с профил от социални мрежи и др.

VII. ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Съгласно разпоредбите в GDPR, основанията за събиране и обработване на ЛД от Администратора са:

При спазване на принципите в раздел II, Хелиос – София обработва лични данни, които са получени от субекта на данни, на поне едно от следните основания:

          7.1. получено изрично, предварително съгласие от субекта на данни за обработването им, за цели, за които субектът е информиран предварително или които той сам е дефинирал. Например, когато Хелиос – София желае да държи в течение своите партньори с новини, продукти и кампании, е необходимо съгласие за получаване на личен имейл адрес, на който да се изпраща тази информация. В други случаи, се счита, че е получено съгласие за обработване на личните данни, като например, когато е изпратено писмо на адреса за кореспонденция или имейл на Хелиос – София, в който субектът сам е посочил лични данни, защото е счел това за необходимо. (Правно основание: чл. 6, пар. 1, буква „а“ от ОРЗД).

Във всеки случай на получено съгласие от страна на субекта за обработване на негови лични данни на това основание, той може напълно безплатно и във всеки един момент да оттегли това съгласие като използва формата за контакт или изпрати писмо или съобщение, от което недвусмислено става ясно, че е  оттеглил даденото съгласие. Образец за оттегляне на съгласие може да бъде изтеглен от тук.

          7.2. личните данни са необходими, за сключване на договор и за обезпечаването на неговото изпълнение. Например, за да бъде сключен договор за изработка, ще е необходимо най-малко трите имена ЕГН или друг идентификатор, ако е приложим, адрес по лична карта, информация за контакт, осигурителен праг (Правно основание: чл. 6, пар. 1, буква „б“ от ОРЗД);

          7.3. законодателството задължава Администратора да събира някои лични данни за в изпълнение на нормативни задължения. Например, ако за служители на Хелиос – София, в изпълнение на задълженията си като работодател, следва да се обработи допълнителна информация за осигуряване подходящи условия съгласно изискванията на трудовата медицина (Правно основание: чл. 6, пар. 1, буква „в“ от ОРЗД);

          7.4. личните данни са ни необходими, за да бъдат защитени жизнено важни интереси на субекта на данни или тези на друго физическо лице. Например в случай на обявено за издирване лице или защита права на трети лица по повод изложени от субекта коментари в рамките на някои от публикуваните от Администратора материали, отворени за коментиране (Правно основание: чл. 6, пар. 1, буква „г“ от ОРЗД);

          7.5. обработването на лични данни е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са ни предоставени от публичен орган (Правно основание: чл. 6, пар. 1, буква „д“ от ОРЗД);

         7.6. обработването на лични данни има за цел да защити легитимен интерес на Хелиос – София или на други лица, доколкото тези интереси нямат преимущество над основни права и свободи на субекта на данни. Пример за такова обработване са предявени срещу Хелиос – София претенции от трети лица във връзка с коментари под публикации на Хелиос – София в интернет сайта или защита на правата на Хелиос – София пред държавни и съдебни органи във връзка с договорно или извъндоговорно поведение, което е довело до увреждане на права и интереси на Администратора (Правно основание: чл. 6, пар. 1, буква „е“ от ОРЗД).

Лицата се запознават/уведомяват предварително или в момента на получаване на данните им за разпоредбите на тази Политика, както и за основанието, въз основа на което се събират и обработват данните им.

VIII. ПРАВА НА ЛИЦАТА, ЧИИТО ЛИЧНИ ДАННИ СЕ ОБРАБОТВАТ ОТ АДМИНИСТРАТОРА

8.1. Във всеки момент субектът на данни може да поиска информация и съдействие, касаеща негови лични данни, обработвани от Администратора чрез посочената по-горе информация за контакт и да заявите предпочитан начин за получаването й. Администраторът ще отговори не по-късно от един месец от получаване на съответното искане по заявения начин, доколкото това е възможно. В зависимост от конкретния вид искане, може да е необходима допълнителна информация, за потвърждаване самоличността на заявител, за което той ще бъде уведомен своевременно.

8.2. Във всеки момент субектът на данни има право да поиска от Хелиос – София потвърждение дали Администраторът обработва негови лични данни и ако това е така да му ги предостави наред с информация относно:

 1.         a) целите на обработване;

         б) съответните категории лични данни;

         в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

      г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

        д) съществуването на правото да се иска коригиране или изтриване на лични данни или ограничаване на обработването им, или да се възрази срещу такова обработване;

       е) правото на жалба до надзорен орган, който за България е Комисията за защита на личните данни като  данните за контакт с нея са посочени в раздел X;

       ж) когато личните данни не са предоставени от самия субект на данни, всякаква налична информация за техния източник;

       з) дали съществува автоматизирано вземане на решения, включително профилиране, ведно със съществена информация относно използваната логика, както и значението и предвидените за субекта на данни последствия от това обработване.

8.3. Във всеки момент субектът на данни може да поиска от Администратора да коригира без ненужно забавяне негови лични данни, които са неточни и/или непълни.

8.4. Администраторът гарантира правото на субекта на данни да поиска изтриване на негови лични данни без ненужно забавяне, доколкото:

 1.       a) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

     б) субектът на данни е оттеглил своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

     в) субектът на данни възрази срещу обработването по всяко време и на основания, свързани с неговата конкретна ситуация доколкото то е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Хелиос – София или обработването е необходимо за целите на легитимни интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите на субекта на данни или основни права и свободи, които изискват защита на личните данни, по-специално когато касаят дете.

Необходимо условие за уважаване на искането в този случай е да няма законни основания за обработването на данните, които да имат преимущество, или да е постъпило възражение срещу обработването на данните за целите на директния маркетинг;

      г) личните данни са били обработвани незаконосъобразно;

     д) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейския съюз или правото на държава членка, което се прилага спрямо Хелиос – София;

     е) личните данни са били събрани във връзка с предлагането на услуги на информационното общество на лица под 16 години.

8.5. Субектът на данни има право да поиска от Администратора да ограничи обработването на негови лични данни, доколкото:

 1.      a) се оспорва точността на личните данни, за разумен срок, който позволява да се провери точността на личните данни;

      б) обработването е неправомерно, но субектът не желае личните му данни да бъдат изтрити, а иска вместо това ограничаване на използването им;

     в) Администраторът не се нуждае повече от личните данни за целите на обработването, но те са необходими на субекта за установяването, упражняването или защитата на правни претенции;

    г) субектът на данни е възразил срещу обработването съгласно член 5.4., буква в) в очакване на проверка дали законните интереси на Хелиос – София имат преимущество пред тези на субекта на данни.

8.6. Хелиос – София има законово задължение да уведоми субекта на данни във всеки случай на извършено коригиране или изтриване или ограничаване на обработването на негови лични данни.

8.7. Субектът на данни има право да получи личните си данни в структуриран, широко използван и пригоден за машинно четене формат и да поиска да бъдат прехвърлени тези данни на друг администратор доколкото това не възпрепятства Администратора, при условие, че Администраторът е получили личните данни на основание дадено от субекта на данни съгласие за обработване или при за изпълнение на договорни задължения и Хелиос – София обработва тези данни по автоматизиран начин.

8.8. Субектът на данни може да възрази по всяко време и на основания, свързани с неговата конкретна ситуация срещу обработване на личните му данни, доколкото обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора или обработването е необходимо за целите на легитимни интереси на Хелиос – София или на трета страна, освен когато пред такива интереси преимущество имат интересите или основни права и свободи на субекта на данни, които изискват защита на личните данни, по-специално когато те касаят дете, включително при профилиране. В този случай Хелиос – София ще прекрати обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите на субекта на данни, негови права и свободи, или са свързани с за установяването, упражняването или защитата на правни претенции.

8.9. Субектът на данни има право по всяко време да възрази срещу обработване на личните му данни за целите на директния маркетинг като обработването се прекратява от момента на получаването на неговото възражение.

Следва да  се има предвид, че упражняването на правата по настоящия раздел не е абсолютно и може да бъде отказано, ако съгласно предвидени в законодателството условия упражняването им би създало риск за:

 • националната сигурност;
 • отбраната;
 • обществения ред и сигурност;
 • предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
 • други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
 • защитата на независимостта на съдебната власт и съдебните производства;
 • предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;
 • защитата на субекта на данни или на правата и свободите на други лица;
 • изпълнението по гражданскоправни искове.
 1. IX. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ

Обработката на всички видове данни, независимо от тяхната категория, се извършва при възможно най-висока степен на защита, с отчитане правата, свободите и законовите интереси на физическите лица.

Данните се съхраняват на хартиен и електронен носител, които при необходимост за изпълнение на възложена на Администратора работа и/или в изпълнение на законова разпоредба, могат да бъдат предадени на трети лица, както чрез копие на хартиен носител, така и/или по електронен път, при спазване на условията за този вид обработка, включително и при съблюдаване на приложимите технически мерки за сигурност.

Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки:

 • физически: ограничения на физически достъп на неоторизирани лица до места, където се обработват и съхраняват ЛД;
 • персонални: задължение за неразпространение на ЛД, надлежно разписани в длъжностните характеристики на персонала, обработващ ЛД от името на Администратора;
 • организационни: определяне на условия за обработване; нива на достъп; процедури и вътрешни правила; срокове и отговорности;
 • технически: въвеждане на кодове за достъп; инсталиране на антивирусни програми; редовно и периодично създаване на бекъп и копиране на информацията на сървър на администратора.

С цел предотвратяване на случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни Администраторът е предприел мерки като например криптиране, псевдонимизация, утвърдени процедури за редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки. Администраторът прилага механизми за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент и др.

 1. X. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ (ТРАНСФЕР)

Администраторът осъществява трансфер на лични данни в страни, извън Европейския съюз, като гарантира сигурността на личните данни чрез:

          – спазване и прилагане Общия Регламент за защитата на данните ЕС 2016/679 (GDPR);

          – следване и прилагане решенията на ЕК относно адекватното ниво на защита на данните;

          – следване и прилагане решенията на ЕК относно стандартните договорни клаузи за трансфер на лични данни към трети страни;

          – уверяване, че третата държава – получател на ЛД поддържа адекватно ниво на защита на ЛД;

          – спазване установените задължителни фирмени правила.

ХI. НАРУШЕНИЯ. УВЕДОМЯВАНЕ ПРИ НАРУШЕНИЯ

Нарушение на сигурността на данни възниква, когато личните данни, за които Хелиос – София отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или се обработват по друг нерегламентиран начин.

В случай на нарушение на сигурността на личните данни незабавно следва да се уведоми изпълнителният директор Албена начева, в качеството и на обработващ лични данни от името на Администратора.

След като съответният служител на Хелиос – София получи информация за извършено нарушение, той трябва да определи дали конкретното събитие представлява нарушение на лични данни и да уведоми управителите на Администратора за събитието.

В случай на нарушение сигурността на личните данни, когато съществува вероятност да породи риск за правата и свободите на физическите лица, Хелиос – София (чрез съответния служител), без ненужно забавяне, и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.

Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Хелиос – София, без ненужно забавяне, съобщава на субекта за нарушението.

Хелиос – София документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.

ХII. СЪХРАНЯВАНЕ, СРОК НА ОБРАБОТВАНЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ

Администраторът съхранява лични данни за посочените в раздел III основания за максимално допустимите от законодателството периоди в зависимост от конкретния случай и вид данни, за които се отнасят. Доколкото в нормативен акт не е предвиден по-дълъг или по-кратък срок за съхранение, то Администраторът съхранява лични данни за период не по-дълъг от 5 години съгласно общата погасителна давност по Закона за задълженията и договорите.

В някои случаи, законодателството изисква по-дълги срокове за съхранение, като например норми в областта на счетоводството. В други случаи, например при представяне на документи за кандидатстване за работа в Хелиос – София, законодателството, предвижда максимален срок за съхранение и обработване на получените лични данни по подадените кандидатури от 6 месеца.

В случаи на съдебни спорове, Хелиос – София съхранява лични данни до 5 години след тяхното приключване.

След изтичането на срока за съхранението им, носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.

Унищожаването на ЛД е вид обработка, съгласно разпоредбите на GDPR. Унищожаването на данни се документира, съгласно вътрешни правила и разпоредби на Хелиос – София.

След приключване на срока за съхранение на данните, те се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител-чрез заличаване и изтриване на съответните файлове от компютрите и сървърите на Администратора. За унищожаването на ЛД се изготвя протокол.

Субектът на ЛД се уведомява за извършените действия по унищожаване на данните му.

XIII ОТГОВОРНОСТИ

Администраторът предприема действия в посока гарантиране на компетентността и отговорността на служителите, които имат достъп до лични данни. Служители, обработващи лични данни, подписват договори с клаузи, които ясно дефинират отговорностите на служителя при достъп и обработка на лични данни.

Отговорност на Хелиос – София като администратор на лични данни

 1. Осигуряване на подготвени служители, които да са наясно със своите отговорности по Регламента и националното законодателство. Хелиос – София е отговорно за запознаването на обработващите лични данни с политиките и насоките в организацията с цел осигуряване на дейностите в синхрон с принципите, изброени в настоящата Политика.
 2. Осигуряване на обучение, инструктиране и информиране на персонала, за да се гарантира, че служителите разбират своите отговорности.
 3. Осигуряване на сигурни информационни системи за ръчна обработка и компютъризирана такава, така че всички служители, обработващи данни, да са наясно кога, как и какви подходящи мерки за сигурност се предприемат.
 4. Поддържане на актуална информация, на актуални регистри по отношение на обработката на лични данни на граждани.
 5. Осигуряване на гаранции, че всички партньори на Хелиос – София разбират своите отговорности, запознати са с настоящата политика и използват практиките в Хелиос – София като еталон за установяване на договорни отношения в частта, регулираща обработката на личните данни в рамките на партньорството.

Хелиос – София в качеството си на Администратор на лични данни гарантира, че:

     а) има лица в организацията, които имат конкретна отговорност за защитата на данните;

    б) всички искания от страна на физически лица за достъп до техни лични данни на първо място ще бъдат отнесени към отговорен служител, който ще предприеме разумни стъпки, за да гарантира, че искането е обработено в установен срок и чрез разумни стъпки, за да се гарантира, че данните се обработват по подходящ начин;

    в) всеки служител, който управлява и обработва лична информация, е запознат, че е отговорен за прилагането на всички познати му добри практики за защита на данните;

    г) всеки, който управлява и обработва лична информация, е подходящо обучен да го прави;

    д) всеки, който управлява и обработва лична информация, е подходящо контролиран;

   е) всеки, който управлява и обработва лична информация, е запознат и се позовава на инструкции за гарантиране на сигурността при обмена на данни;

   ж) методите за обработване на лична информация са ясно описани;

   з) ще се извършва редовен преглед и одит на начина, по който се управлява личната информация.

XIV. КОМПЕТЕНТНИ ОРГАНИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ:

За жалба имате право да сезирате Комисия за защита на личните данни, която се намира в София, 1592, бул. Проф. Цветан Лазаров № 2, тел: +3592/91-53-518, е-mail: kzld@cpdp.bg,

Срокът за подаване на жалба до Комисията е 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.

ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

По смисъла на настоящите вътрешни правила:

 • 1. „Лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). В последния случай се има предвид лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
 • 2. „Администратор на лични данни“ е сдружение „Хелиос – София“, регистрирана по ЗЮЛНЦ в обществена полза, с ЕИК 207063247.
 • 3. „Обработване“ означава всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни; подреждане или комбиниране, ограничаване, изтриване или унищожаване.
 • 4. „Обработващ лични данни“ е физическо или юридическо лице, което обработва лични данни от името на Администратора.
 • 5. „Субект на данни“ е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.

Настоящата Политика се довежда до знанието на лицата, които имат отношение по изпълнението й, със заповед на Изпълнителния директора на Администратора.