Вътрешни правила за защита на данните

Одобрени: 21 май 2018г.

Тези вътрешни правила за защита на данните представят принципите и правните условия, които Американски Университет в България (АУБ) трябва да спазва, когато получава, обработва, предава или съхранява лични данни за целите на своята дейност, включително лични данни на кандидат студенти, студенти, завършили АУБ, клиенти, доставчици, служители и работници. Правилата са в съответствие с изискванията на Общия Регламент за Защита на Данните (Регламент 2016/679) (GDPR).

  1. Интерпретация

1.1. ДЕФИНИЦИИ

Автоматизирано Вземане на Решения: когато дадено решение е взето изцяло на базата на Автоматизирано Обработване (включително профилиране), което води до правни последици или засяга значително физическото лице. GDPR забранява Автоматизираното Вземане на Решения (освен ако определени условия са на лице), но не и Автоматизираното Обработване.

Автоматизирано Обработване: всяка форма на Автоматизирано Обработване на лични данни, състоящо се в употребата на лични данни с цел оценка на личните аспекти на дадено физическо лице, по-специално анализиране или прогнозиране на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията. Профилирането е вид Автоматизирано Обработване.

Администратор: лицето или организацията, която определя кога, защо и как се обработват лични данни. Администраторът е отговорен за определяне на практики и политики в съответствие с GDPR. АУБ е администратор на всички лични данни, отнасящи се до кандидат студенти, студенти, завършили АУБ, клиенти, доставчици, служители и работници.

Длъжностно лице по защита на данните (DPO): Длъжностното лице по Защита на Данните (DPO) е отговорно за контрола по прилагането на тези правила, както и, ако е приложимо, за разработване на свързани политики и други насоки. Тази позиция в момента заема Маргарита Петкова, адрес Благоевград, пл. „Г. Измирлиев“ 1, телефон за контакт 073 888 337, [email protected].

ЕИП: 28-те държави – членки на ЕС, както и Исландия, Лихтенщайн и Норвегия.

Защита на данните на етапа на проектирането: въвеждане на подходящи технически или организационни мерки по ефективен начин, който да осигури съответствие с GDPR.

Известия по защита на данните: отделни известия, съдържащи информация, предоставяна на Субектите на Данни в момента, в който АУБ събира информация за тях. Тези известия могат да бъдат както общи (напр. адресирани към работници и служители или известия на уебсайта), така и отнасящи се до обработване със специфична цел.

Изрично Съгласие: съгласие, което изисква много ясно и определено твърдение (не просто действие).

Име на Организацията: Американски Университет в България, Американ Юнивърсити Сървиз Кампъни, American University in Bulgaria.

Лични данни: всяка информация, идентифицираща Субект на данни или информация, свързана със Субект на данни, които ние можем да идентифицираме (директно или индиректно) само чрез данните или в комбинация с други идентификатори, които притежаваме или до които имаме достъп. Личните данни включват Чувствителни лични данни и Псевдоминизирани лични данни, но изключват Анонимизирани Лични данни. Личните данни могат да се отнасят до факти (например – име, e-mail адрес, местоположение или дата на раждане) или до информация относно действията или поведението на Субекта на данни.

Нарушение на Защитата на Личните Данни: всяко действие или бездействие, което компрометира сигурността, конфиденциалността или целостта на данните, или на физическите, технически, административни или организационни защити, които ние или нашите подизпълнители използваме, за да ги защитим. Загубата, неоторизираният достъп, предоставяне или получаване на лични данни са примери за Нарушение на сигурността.

Обработване на Данни: всяка дейност, която е свързана с използването на лични данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на лични данни до трети лица.

Общият Регламент за Данните (GDPR): Общият Регламент за Защита на Личните Данни ((ЕС) 2016/679). Личните данни са обект на защитата, определена в GDPR.

Оценка на въздействието: механизми и мерки, използвани за идентифициране на риска, свързан с обработката на данните. Оценката на въздействието следва да бъде извършена за всички ключови системи или програми, свързани с Обработването на Лични данни.

Персонал: всички работници и служители

Псевдонимизиране: заместването на информация, която директно или индиректно идентифицира физическо лице, с един или повече изкуствени идентификатори (“псевдоними”), така че лицето да не може да бъде идентифицирано без достъп до допълнителната информация, която следва да се съхранява отделно и да е поверителна.

Субект на данни: идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, и чиито лични данни АУБ обработва.

Съгласие: всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на Субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на лични данни, свързани с него.

Чувствителни Лични данни: информация, разкриваща расовия или етнически произход, политическите мнения, религиозни и други подобни вярвания, членство в синдикални организации, физическото или умствено здравословно състояние, сексуален живот, сексуална ориентация, биометрични или генетични данни, както и лични данни отнасящи се до наказателни престъпления и присъди.

2. Въведение

Тази политика по защита на данните оказва как АУБ управляваме личните данни на кандидат студенти, студенти, завършили АУБ, клиенти, доставчици, служители и работници и други трети лица.

Тези вътрешни правила се прилагат спрямо всички лични данни, които АУБ обработва, независимо на какъв носител са съхранени и с каква категория субекти на данни са свързани.

Тези вътрешни правила следва да се прилагат спрямо целия персонал на АУБ. Всички работници и служители следва да прочетат, да се запознаят с тази политика и да я спазват, когато обработват лични данни от името на АУБ, както и да посещават обучения когато е необходимо и предвидено от АУБ.

Тези правила са вътрешен документ и не могат да бъдат споделяни с трети лица, клиенти или регулаторни органи без предварително одобрение от АУБ.

3. Обхват

Правилното и законосъобразно управление на лични данни ще осигури доверието в АУБ от страна на кандидат студенти, студенти, завършили АУБ, клиенти, доставчици, служители и работници, партньори.

Опазването на конфиденциалността и целостта на личните данни е ключова отговорност, към която АУБ се отнася изключително сериозно. Организацията може да подлежи на санкция в размер до 20 млн. евро или 4 % процента от световния оборот (което от двете е по-голямо и в зависимост от конкретното нарушение), ако не спазва изискванията на GDPR.

Всички ръководители и мениджъри на отдели носят отговорност за спазването на тези правила от страна на Персонала и следва да въведат подходящи практики, процеси и обучение.

Длъжностното лице по Защита на Данните (DPO) е отговорно за контрола по прилагането на тези правила, както и, ако е приложимо, за разработване на свързани политики и други насоки. Тази позиция в момента заема Маргарита Петкова, адрес Благоевград, пл. „Г. Измирлиев“ 1, телефон за контакт 073 888 337, [email protected].

Моля свържете се с DPO при всякакви въпроси относно приложението на тези правила или, ако имате опасения, че те не се прилагат коректно. Трябва задължително да се свържете с DPO в следните ситуации:

  • Ако не сте сигурни за законовата база, на която може да разчитате при обработка на лични данни (вижте Раздел 5.1 по-долу)е сте сгурни за законовата база, на която може да разчитате при обработкаданни (вижте Раздел 5.1 по-долу).
  • Ако трябва да разчитате на Съгласие и/или трябва да осигурите Изрично Съгласие.
  • Ако трябва да изготвите Известия по Защита на Данните (вижте Раздел 5.3 по-долу).
  • Ако имате притеснение относно срока на съхранение на лични данни, които обработвате.
  • Ако не сте сигурни какви мерки за сигурност на данните следва да въведете, за да защитите личните данни.
  • Ако установите Нарушение на Защитата на личните данни.
  • Ако не сте сигурни на каква база може да извършите трансфер на лични данни извън ЕИП (вижте Раздел 11 по-долу).
  • Ако имате нужда от съдействие в следствие на постъпила информация, че Субект на данни желае да упражни някое от правата си, съгласнo GDPR (вижте Раздел 12 по-долу).
  • Винаги, когато планирате да стартирате или да промените значително начина, по който извършвате определена операция по Обработване, която може да изисква Оценка на Въздействието (вижте Раздел 13.5 по-долу) или възнамерявате да използвате лични данни за цели, различни от тези, за които са били събрани.
  • Ако планирате да извършвате дейности по обработка на Лични данни, базирани на Автоматизирано Обработване, включително Профилиране и Автоматизирано Вземане на Решения.
  • Ако имате нужда от съдействие относно спазване на приложимото законодателство спрямо дейности по директен маркетинг (вижте Раздел 13.6 по-долу).
  • Ако имате нужда от съдействие във връзка с търговски или други договори или в други области във връзка със споделяне на лични данни (вижте Раздел 13.7 по-долу).

4. Принципи за защита на личните данни  

АУБ се придържа към принципите за защита на лични данни, заложени в GDPR, които изискват всички лични данни:

  • Да се обработват законосъобразно, добросъвестно и прозрачно.
  • Да се събират само за конкретни, изрично оказани и легитимни цели.
  • Да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват.
  • Да бъдат точни и при възможност поддържани в актуален вид.
  • Да са съхранявани във формат, който да позволява идентифицирането на Субекта на данни за не по-дълъг срок от необходимия за целите на Обработването.
  • Да са обработени по начин, който осигурява тяхната сигурност, използвайки технически и организационни мерки, които да ги предпазват от неоторизирано или незаконно Обработване и от случайна загуба, унищожаване или повреждане.
  • Да не се трансферират до друга страна извън ЕИП без необходимите предпазни мерки.
  • Да се предоставят на Субектите на Данни, на които да се даде възможност да упражнят правата си спрямо техните Лични данни.
  • АУБ следва да може да демонстрира във всеки един момент, че спазва принципите, описани по-горе.

5. Законосъобразност, добросъвестност, прозрачност

5.1. ЗАКОНОСЪОБРАЗНОСТ И ДОБРОСЪВЕСТНОСТ

Личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин спрямо Субекта на данни.

GDPR ограничава кръга на действия с лични данни до тези, за които е на лице законосъобразна база. Тези ограничения не целят да предотвратят Обработването, а да гарантират, че личните данни се обработват добросъвестно и без негативни последствия за Субекта на данни.

GDPR регламентира законосъобразните бази за обработка, някои от които са изброени по-долу:

  • Субектът на данните е дал своето Съгласие;
  • Обработването е необходимо във връзка с изпълнение на договор със Субекта на данните или за предприемане на стъпки по искане на субекта на данни преди сключване на договор;
  • Обработването е необходимо, за изпълнение на законово задължение на АУБ;
  • Обработването е необходимо, за да се защитят жизненоважните интереси на Субекта на данните;
  • Обработването е необходимо за изпълнение на задача от обществен интерес;
  • Обработването е необходимо за целите на легитимните интереси на АУБ, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на Субекта на данни. Целите, за които АУБ обработва лични данни на това основание трябва да са описани в приложимите Известия по Защита на Данните към съответните групи Субекти на данни.

5.2. СЪГЛАСИЕ

Администраторите на данни могат да обработват лични данни единственно в случаите, в които поне една от законовите бази в GDPR е налице, което включва и Съгласие.

Субектът на данни е съгласен с Обработването, ако го изрази ясно – чрез изявление или позитивен акт. Съгласието изисква положително действие –предварително отметнати полета за съгласие или бездействие не представляват валидно съгласие. Ако Съгласието за Обработка на Лични данни се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието с другите въпроси.

Субектите на данни трябва да могат лесно да оттеглят Съгласието си за Обработване по всяко време и оттеглянето трябва да бъде уважено своевременно. Съгласието трябва да се изиска отново, ако възнамерявате да обработвате Лични данни на ново, различно основание, за което Субектът не е дал Съгласие първоначално.

В случаите, когато АУБ не може да разчита на друга законова база за Обработване, Изрично Съгласие е обикновено необходимо при обработка на Чувствителни Лични данни, при Автоматизирано Вземане на Решения, трансфер на данни извън ЕИП и други.

Винаги когато се разчита на Съгласие трябва да се документира и да се пази съвестна отчетност, за да може АУБ да демонстрира спазването на изискванията за получаване и сухраняване на Съгласие.

5.3. ПРОЗРАЧНОСТ СПРЯМО СУБЕКТА НА ДАННИ

GDPR изисква от всички Администратори да предоставят детайлна, конкретна информация до Субектите на данни, в зависимост от това дали данните са получени от тях директно или от друг източник. Тази информация трябва да бъде предоставена чрез подходящи Известия по Защита на Данните, които трябва да са лесно достъпни и да използват ясен език, без излишна правна терминология, така че Субектите на данни да могат лесно да ги разберат.

Винаги когато събираме Лични данни директно от Субекта, включително с цел администриране на трудови правоотношения, трябва да им предоставим информацията, изисквана от GDPR.

Информацията следва да включва: данни за контакт с Администратора и DPO, как и защо се събират, обработват, предоставят, защитават и съхраняват личните данни. АУБ има задължение да предостави тази информация в момента на получаване на личните данни от Субекта.

6. Ограничение на целите

Всички Лични данни трябва да се съберат само за конкретни и легитимни цели, и не трябва да се обработват по-начин, който не е съвместим с тези цели.

Нямате право да използвате лични данни за нови, различни и несъвместими с първоначалните цели, освен ако Субектът не предостави последващо Съгласие за новите цели.

 7.  Минимизиране на данните

Личните данни следва да бъдат подходящи, свързани с и ограничени до стриктно необходимото за целите, за които се обработват.

Служители и работници на АУБ имат право да Обработват лични данни, само когато това е свързано с изпълнение на служебните им задължения. Не трябва да се събират лични данни, които не са необходими.

Всеки служител, който работи с лични данни, има ангажимент да осигури навременното изтриване/унищожаване или анонимизиране, в съответствие с насоките на АУБ, на всички лични данни, които вече не са необходими за конкретните цели, за които са събрани.

 8. Точност

Личните Данни следва да бъдат точни и при възможност поддържани в актуален вид. При установяване на неточност, данните следва да се коригират или изтрият без забавяне.

Всеки служител следва да се увери, че личните данни, които съхранява, са точни, пълни, актуализирани и ограничени до целите, за които са събрани. Трябва да се проверява точността на всички лични данни в момента на тяхното събиране и на регулярни интервали след това, както и да се вземат всички разумни мерки за унищожаване или корекция на всички неточни или неактуални лични данни.

9. Ограничаване на съхранението

Личните данни не бива да се съхраняват във формат, който позволява идентифицирането на Субекта за по-дълго време от необходимото за целите, за които са събрани.

Всеки служител, който работи с лични данни, ще вземе всички разумни мерки за унищожаване и изтриване от всички системи на всички лични данни, които вече не са необходими, в съответствие с правилата и политиките на АУБ по съхранение – това може да включва и ангажимент да се изисква от трети страни да изтрият тези лични данни.

Всеки служител следва да се увери, че Субектите на данни са информирани (чрез съответните Известия по Защита на Данните) за какъв период техните лични данни ще се съхраняват и как се определя този период.

10. Сигурност, цялост и конфиденциалност

10.1. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Личните данни следва да бъдат защитени с необходимите технически и организационни мерки срещу неоторизирано и незаконно Обработване, и срещу случайна загуба, унищожаване или увреждане.

АУБ ще разработи, въведе и поддържа подходящи мерки за защита, съобразени с дейността, ресурсите, количеството и вида лични данни, които се обработват. Ще се извършва редовна оценка на ефективността на тези мерки. Всеки служител също носи отговорност за защитата на личните данни, които АУБ съхранява и следва да е особено внимателен, когато осигурява защитата на Чувствителни Лични данни от загуба и неоторизиран достъп, употреба или предоставяне.

Всеки служител трябва да следва всички процедури и технологични мерки, които АУБ е въвел, с цел опазване сигурността на личните данни от момента на тяхното събиране до момента на тяхното унищожаване. Можете да трансферирате лични данни до подизпълнители, само ако те се съгласят да спазват същите политики и процедури и да осигурят необходимите мерки за защита, които АУБ изисква.

Всеки служител трябва да осигури сигурността на данните като защити тяхната конфиденциалност, цялост и достъпност, дефинирани както следва:

  • Конфиденциалност означава, че само хората, които следва да знаят и са оторизирани да използват личните данни, имат достъп до тях;
  • Цялост означава, че личните данни са точни и подходящи за употреба за целите, за които се Обработват;
  • Достъпност означава, че оторизираните потребители имат осигурен достъп до личните данни за оторизирани цели.

Всеки служител трябва да спазва и да не възпрепятства действието на административните, физически и технически защити, които АУБ въвежда.

10.2. ДОКЛАДВАНЕ НА НАРУШЕНИЕ НА ЗАЩИТАТА НА ДАННИТЕ

GDPR изисква от Администраторите да докладват Нарушенията на Защита на Данните пред регулаторния орган и, в някои ситуации, на Субекта на данни.

АУБ въвежда процедури за идентифициране на подобни нарушения и ще уведоми регулатора, и Субекта на данни, ако е необходимо, в предвидените от GDPR случаи.

Всеки служител, който има информация за Нарушение на Защитата на Данните или подозрение, че такова е настъпило, трябва да се свърже с лицето или екипа, определени за целта: DPO, отделът по информационна сигурност, правния отдел. Трябва да се съхранят всички доказателства за потенциалното нарушение.

11. Ограничаване на предаването

GDPR ограничава трансферите на данни до странни извън ЕИП с цел да гарантира пред Субектите, че нивото на защита, гарантирано от GDPR, не е компрометирано.

Трансфер на лични данни извън ЕИП може да се извършва, само ако едно от следните условия е налице:

  • Европейската Комисия е издала решение, потвърждаващо, че страната, към която се извършва трансфера, осигурява адекватно ниво на защита на правата и свободите на Субектите на данни;
  • Налице са подходящи мерки за защита – като например Обвързващи Корпоративни Правила (ОКП), стандартни договорни клаузи, одобрени от Европейската Комисия, одобрен кодекс за поведение или сертификационен механизъм;
  • Субектът на данни е дал своето Изрично Съгласие за трансфера, след като е информиран за възможните рискове, или;
  • Трансферът е необходим за една от целите, изброени в GDPR, включително изпълнението на договор със Субекта, защита на обществения интерес, установяване и защита на правни спорове, защита на жизненоважните интереси на Субекта на данни в случаите, когато той е физически или юридически неспособен да даде съгласие, и в някои ограничени случаи – за защита на легитимните ни интереси.

12. Права на субектите на данни и искания за достъп до данните

Субектите на данни имат права относно това как да се управляват техните лични данни, включително право да:

  • Оттеглят Съгласието си за Обработване по всяко време.
  • Получат определена информацяа за дейностите по Обработване на Администратора.
  • Изискат достът до личните им данни, които се обработват.
  • Възразят срещу употреба на личните им данни за целите на директния маркетинг.
  • Изискат изтриване на личните им данни, ако същите не са вече необходими за целите, за които са събрани или корекция на неточни или непълни данни.
  • Ограничаване на Обработването в определени ситуации.
  • Оспорване на Обработване, което е извършено на база защита на легитимни интереси или обществения интерес.
  • Изискат копие на договора, въз основа на който личните им данни са трансферирани до държава извън ЕИП.
  • Възразят срещу решение, взето изцяло на база на Автоматизирано Обработване, включително профилиране.
  • Бъдат уведомени за Нарушение на Защита на Данните, което е вероятно да доведе до висок риск за техните права и свободи.
  • Подадат жалба до регулаторния орган.

В някои случаи, да получат или да поискат техните лични данни да бъдат трансферирани до трета страна в структуриран, общо използван формат, подходящ за машинно четене.

Всеки служител трябва да удостовери самоличността на лицето, което изисква да упражни някое от правата по-горе (не трябва да се позволява на трети лица да получават лични данни без предварителна оторизация).

Всеки служител трябва незабавно да препрати всяко искане за достъп до лични данни, което получава, до прекия си ръководител или до DPO на АУБ.

13. Отчетност

13.1. Администраторът следва да въведе необходимите технически и организационни мерки по ефективен начин, за да осигури спазване на принципите на защита на данните. Администраторът е отговорен за спазването на тези принципи и трябва да може да докаже тяхното спазване.

Организацията трябва да има необходимите ресурси и контролни механизми, за да осигури спазването на изискванията на GDPR, включително:

  • Определяне на DPO с подходяща квалификация (когато има такова изискване) и поемане на ръководна отговорност за сигурността на данните.
  • Въвеждане на защита на данните на етапа на проектиране, когато Обработва лични данни и извършва Оценка на Въздействието, когато Обработването представлява висок риск за правата и свободите на Субектите на Данни.
  • Интегриране на защита на данните във вътрешната си документация.
  • Осигуряване на регулярно обучение на Персонала по въпросите на защита на данните, като например: права на Субектите на Данни, Съгласие, законова база, Оценка на Въздействието и Нарушение на Защитата на Данни. Организацията следва да води регистър за посещаемостта на тези обучения от страна на Персонала.
  • Регулярно тестване на мерките за осигуряване на защита и периодичен одит с цел оценка на ефективността и нивото на спазване.

13.2. РЕГИСТРИ

Според изискванията на GDPR, АУБ трябва да води пълна и точна документална отчетност на дейностите си по Обработване, поддържане на точни и актуални регистри, отразяващи всяко Обработване, включително регистър на получените Съгласия и процедури по получаване на Съгласията.

Като минимум, тези регистри трябва да включват името и контактната информация на Администратора и DPO, ясно описание на вида лични данни, Субекти на Данни, операции по Обработване, цели на Обработване, трети лица, получатели на лични данни, местосъхранение на лични данни, трансфери на лични данни, срок на съхранение на лични данни и описание на мерките за защита.

13.3. ОБУЧЕНИЕ И ОДИТ

GDPR задължава всеки Администратор да осигури адекватно обучение на своя Персонал, което да помогне за спазването на изискванията на GDPR, както и регулярно тестване на системите и процесите по Обработка.

13.4. ЗАЩИТА НА ДАННИТЕ НА ЕТАПА НА ПРОЕКТИРАНЕ И ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО

АУБ има задължение да въведе мерки за Защита на Данните на Етапа на Проектиране, когато се Обработва Лични данни, чрез въвеждане на подходящи технически и организационни мерки. Това включва преценка на необходимото ниво на Защита на Данните на Етапа на Проектиране за всички програми/системи/процеси, като се  има в предвид следното:

  • Използваната технология;
  • Разходите по внедряване;
  • Вида, обхвата, контекста и целите на Обработването, и;
  • Рисковете (от различна степен на вероятност и сериозност) за правата и свободите на Субектите, които произлизат от Обработването.

Администраторите също трябва да извършат Оценка на Въздействието за високорискови дейности по Обработване, както и да се обсъдят резултатите с DPO при всяко въвеждане на ключова система или смяна на бизнес програма, която е свързана с Обработване на Лични данни, включително:

  • Първоначалното въвеждане на нови технологии или прехода към нови технологии;
  • Автоматизирано Обработване, включително профилиране или Автоматизиране Вземане на Решения;
  • Обработване на Чувствителни Лични данни в голям мащаб;
  • Мащабно, систематично наблюдение на публично обществена зона.

Оценката на Въздействието следва да съдържа:

  • Описание на Обработването, неговите цели и легитимните цели на Администратора, ако е необходимо;
  • Оценка на необходимостта и пропорционалността на Обработването спрямо неговата цел;
  • Оценка на риска за лицата и мерките за управление на риска, които са взети.

13.5. AВТОМАТИЗИРАНО ОБРАБОТВАНЕ (ВКЛЮЧИТЕЛНО ПРОФИЛИРАНЕ) И АВТОМАТИЗИРАНО ВЗЕМАНЕ НА РЕШЕНИЯ

Общо казано, Автоматизирано Вземане на Решения е забранено, когато решението има правни последици за Субекта на данни, освен ако:

  • Субектът на данни не е дал Изрично Съгласие;
  • Обработването е позволено по закон, или;
  • Обработването е необходимо за изпълнение или сключване на договор.

Ако определени видове Чувствителни Лични данни се обработват, то тогава основания ii) и iii) не са приложими, но тези Чувствителни Лични данни могат да бъдат Обработвани, когато това е необходимо (освен, ако могат да бъдат използвани други мерки, които навлизат в по-малка степен в личното пространство на лицето) за целите на съществен обществен интерес – като например превенция на измами.

Ако дадено решение е основано изцяло на база на Автоматизирано Обработване (включително профилиране), тогава Субектите на Данните трябва да бъдат уведомени за правото да възразят срещу това Обработване при първата комуникация с тях. Вниманието на Субектите трябва да бъде изрично насочено към това тяхно право.

Също така, АУБ трябва да информира Субекта относно логиката, използвана при вземането на автоматизирани решения или профилиране, ако такива се прилагат, значимостта и вероятните последици и да се даде на Субектите правото да изискат човешка интервенция, изразят тяхната позиция или да оспорят решението.

Оценка на Въздействието следва да се извърши, винаги когато се предприема Автоматизирано Обработване (включително профилиране) или Автоматизирано Вземане на Решения.

13.6. ДИРЕКТЕН МАРКЕТИНГ

АУБ е обект на определени правила и закони, когато се изпращат маркетингови съобщение до клиенти.

Например, предварителното съгласие на Субекта на Данни се изисква за електронен директен маркетинг (чрез e-mail, sms или автоматизирани обаждания). Налице е ограничено изключение от това правило по отношение на съществуващи Субекти на данни, което позволява на организациите да изпращат маркетингови съобщения, ако:

  • са получили контактна информация в течение на продажба
  • маркетинговото съобщение се отнася до подобни продукти или услуги, и
  • е на лице възможност на лицето да се откаже от бъдещи съобщения, както в момента на предоставяне на личните данни, така и във всяко последващо съобщение.

Правото на възражение срещу маркетингови съобщения трябва да бъде изрично представено на Субекта на данни, така че да е лесно отличимо от останалата информация.

Възражението срещу маркетингови съобщения трябва да бъде уважено своевременно.

13.7. СПОДЕЛЯНЕ НА ЛИЧНИ ДАННИ

Общо казано, на АУБ не е позволено да споделя лични данни с трети лица, освен ако не са налице подходящи защити и договорни взаимоотношения.

Всеки служител може да споделя лични данни, които обработва, с друг служител в АУБ, ако изпълняването на професионалните задължения на получателя изисква достъп до данните.

Всеки служител може да споделя лични данни, които контролира, с трети лица, като например подизпълнители, ако следните условия са изпълнени:

  • Те следва да имат тази информация с цел да изпълнят услуга по договор;
  • Споделянето на лични данни е в съответствие с Изявление по Защита на Данните, което е предоставено на Субекта, и, ако е необходимо, Съгласието на Субекта е предоставено;
  • Третата страна се е съгласила да спази необходимите стандарти за сигурност на данните, политика и процедури;
  • Трансферът е в съответствие с приложимите ограничения за трансфер до страни извън ЕИП, и;
  • Е на лице, надлежно сключен, договор за Обработване с подизпълнителя, който отговаря на изискванията на GDPR.

14. Промени на тези вътрешни правила

АУБ си запазва правото да променя тези Вътрешни Правила по всяко време и без предупреждение. Моля проверявайте регулярно за най-актуалната версия на тези правила.

Тези Вътрешни Правила не вземат превес над никое приложимо законодателство.