Уведомление за защита на личните данни при подаването на сигнали за нарушения

Уведомление за защита на личните данни при подаването на сигнали за нарушения
Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН).
Обща информация за администратора на лични данни

Администратор на данни и задължено лице по чл. 12, ал. 1, т. 2 от ЗЛПСПОИН:

„БОДУ“ ООД, ЕИК 130068321, със седалище и адрес на управление в гр. София, жк. Лозенец, ул. „Бигла“ 2А

Данни за контакт със служителя, отговорен за разглеждането на сигнали на следния имейл: gdpo@bodusod.bg ;
Длъжностно лице по защита на личните данни 0898 537 408;
Данни за контакт с длъжностното лице по защита на личните данни на следния имейл: gdpo@bodusod.bg ;
Длъжностно лице по защита на личните данни 0898 537 408;

I. Каква е целта на настоящото уведомление?

Настоящото уведомление има за цел да информира всички физически лица, чиито лични данни се събират чрез системата за вътрешно подаване на сигнали, относно начина и реда за обработване на лични данни от администратора при сигнализиране за нарушения. Всяко обработване на лични данни, извършено по силата на ЗЗЛПСПОИН, включително обмен или предаване на лични данни се извършва в съответствие с Регламент (ЕС) 2016/679, както и със Закона за защита на личните данни.

Това уведомление се прилага относно:

  • сигнализиращото лице по смисъла на чл. 5, ал. 2 от ЗЗЛПСПОИН;
  • всички засегнати лица по смисъла на § 1, т. 5 от ДР от ЗЗЛПСПОИН.

II. Откъде се събират личните данни?

Администраторът събира лични данни, предоставени от подателя на сигнал (сигнализиращото лице) чрез вътрешния канал за сигнализиране на нарушения. Освен това, по време на разследване на сигнала, при необходимост се събират лични данни от другите вътрешните системи на администратора, както и от трети страни. Личните данни относно субектите на данни се събират от самите субекти на данни, когато са подали сигнал, използвайки своето име. Данните за субектите на данни могат да се събират и от източници, различни от самите субекти на данни, например, когато сигнал, подаден от субект на данни, съдържа лични данни за друго лице. По време на обработването на сигналите администраторът може да узнае и други данни относно субектите на данни, които самите податели на сигнали предоставят доброволно или които са получени от други източници по начин, разрешен или изискван от приложимото законодателство.

III. Цели и основание за обработване

3.1. Цел на обработване

Ние обработваме Вашите лични данни за следната цел: събиране и обработване на вътрешни сигнали за нарушения, за да спазим Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения.

Когато предоставите Вашите лични данни в подадения сигнал, ние ще събираме и съхраняваме личните Ви данни, за да проучим Вашия сигнал и да извършим разследване по него. Информацията, която ни предоставяте, ще бъде съхранявана като строго поверителна и сигурна.

3.2. Основание за обработване

Обработването на личните данни е законосъобразно, ако е налице някое от правните основания, посочени в приложимото право (чл. 6 от ОРЗД).

Ние обработваме личните данни на следните основания:

  • Законово задължение

Ние ще обработваме Вашите лични данни, за да изпълним задълженията си съгласно Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения. Правното основание, на което се позоваваме, е член 6, параграф 1, буква „в“ от ОРЗД.

  • Ако информацията, която получаваме във връзка със сигнала за нарушения, съдържа специална категория данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, данни за здравословното състояние, сексуалния живот, сексуалната ориентация на физическото лице и т.н., то правното основание, на което ще обработваме тези лични данни е член 9, параграф 2, буква ж) от ОРЗД, защото обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза и българското право.
  • Данни, свързани с престъпления, присъди и мерки за сигурност, могат да бъдат обработвани при условията, посочени в член 10 от ОРЗД и Закона за защита на личните данни.

IV. Субекти на данни

По смисъла на ОРЗД, субект на данни във връзка с подадения сигнал може да бъде:

  • авторът на сигнала (наричан още сигнализиращо лице);
  • лицето, срещу което се подава сигнала или свързани с него лица (засегнати лица);
  • свидетелят/ите и други лица, чиито лични данни биха могли да станат достояние в хода на проверката.

V. Какви лични данни събираме?

Когато разкривате информация за нарушения (т.е. сигнализирате относно възможни неправомерни действия), от Вас се иска да предоставите най-малко следната лична информация:

  • трите си имена, адрес и телефон, както и електронен адрес, ако има такъв;
  • качеството Ви като сигнализиращо лице, за нарушение, станало Ви известно в работен контекст – работник, служител, упражняващ свободна професия и т.н;
  • имената на лицето, срещу което се подава сигналът, и неговата месторабота, ако сигналът се подава срещу конкретни лица и те са известни;
  • подпис, електронен подпис или друга идентификация на подателя.

При необходимост може да поискаме допълнителна информация, за да можем да проучим всички основания за Вашия сигнал, заедно с всякакви подкрепящи документи или доказателства.

1. Категориите лични данни, които могат да бъдат засегнати от обработването на сигнала

Ние осъзнаваме, че личната информация в сигнала за нарушения може да се отнася до подателя на сигнал/ите, лицето, срещу което се подава сигнала, свидетелите на нарушението или други физически лица, които са споменати в сигнала (засегнати лица).

Ето защо, във връзка с подадения от Вас сигнал, ние ще съхраняваме и следната лична информация:

  • самоличност и данни за контакт на свидетелите;
  • идентичност, функции и данни за контакт на лицата, участващи в обработването на сигнала;
  • информация, събрана в контекста на проверката на съобщените факти;
  • информация в доклади, изготвени в хода на разследването.

2. Задължение за предоставяне на Вашите лични данни

Обработването на посочените по-горе лични данни е необходимо за проверката на информацията, посочена в сигнала за нарушения. Непредоставянето на тези данни не би позволило обработването на сигнала и провеждане на свързаното с него разследване.

Съгласно българския Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения, не се образува производство по анонимни сигнали.

VI. Кой има достъп до личните данни и дали данните се разкриват на трети лица?

Ние предприемаме съответните мерки за защита на информацията, свързана с подадените сигнали за нарушения и за защита на самоличността на сигнализиращите лица, като осигуряваме достъп до информацията единствено на служителите, на които тези данни са необходими за изпълняване на служебните им задължения. Нашата цел е по всяко време да гарантираме, доколкото е възможно, поверителността на получената информация и защита на самоличността на подателя на сигнала и всички други замесени лица.

Самоличността на подателя на сигнал не се разкрива на лицата, срещу които са отправени обвиненията. Самоличността на лицето, подало сигнал, се разкрива само ако лицето, подало сигнал, се съгласи с това или ако разкриването на самоличността на лицето, подало сигнал, се изисква в наказателно производство, или ако подателят на сигнал е подал фалшив сигнал със злонамерени цели.

Личните данни могат да бъдат разкрити на трети страни, като например публични органи или външни инспектори, когато това е необходимо и пропорционално задължение, наложено от българското законодателство или от правото на Европейския съюз в контекста на разследвания от национални органи или на съдебни производства, включително с оглед на гарантиране правото на защита на засегнатото лице. В тези случаи, преди разкриването на самоличността или на информацията, свързана с подадените сигнали за нарушения, ние ще уведомим сигнализиращото лице за необходимостта от разкриването им. Уведомлението е писмено и се мотивира. Сигнализиращото лице не се уведомява, когато с това се застрашава разследването или съдебното производство.

VII. Трансфер на лични данни извън Европейския съюз/Европейското икономическо пространство

Личните данни, получени при подаване на сигнал, не се прехвърлят извън ЕС или ЕИП.

VIII. Срок на съхранение на личните данни

Личните данни ще бъдат обработвани само за изпълнение на задълженията, на които се основава обработването – в този случай за спазване на изискването за осигуряване на канал за сигнализиране на нарушения. Личните данни няма да бъдат обработвани за по-дълъг период от необходимия за изпълнение на тази цел. Не се събират лични данни, които очевидно не са от значение за администрирането на конкретния сигнал. Ако такива данни са събрани по погрешка, те ще бъдат изтрити възможно най-скоро.

Сигналите и приложените към тях материали, включително последващата документация, свързана с разглеждането им, ние сме длъжни да съхраняваме за срок от 5 години след приключване на разглеждането на сигнала, освен при наличието на образувано наказателно, гражданско, трудовоправно и/или административно производство във връзка с подадения сигнал.

Прилагаме следните срокове за съхранение:

Сигналът не се отнася за тази процедура – Данните се унищожават веднага

Сигналът не е довел до никакви последствия – Данните се унищожават в рамките на 5 години след приключване на разглеждането на сигнала

Когато е образувано дисциплинарно или съдебно производство – Данните се унищожават в края на процедурата или на давностния срок за обжалване на решението

След изтичане на периода на съхранение личните данни се унищожават или анонимизират. В последния случай това означава, че ще бъде невъзможно да Ви идентифицираме по тези данни.

IX. Как осигуряваме безопасност и сигурност за Вашата информация?

Ние сме въвели технически и организационни мерки, позволяващи защитата на вашите лични данни и предприемаме разумни стъпки, за да защитим вашите данни от загуба, злоупотреба, неоторизиран достъп, разкриване, модификация или унищожаване.

Ние управляваме, поддържаме и защитаваме цялата информация в съответствие със законодателството, нашите политики и най-добри практики. Цялата информация се съхранява, обработва и предава по сигурен начин. Достъпът до цялата лична информация е строго контролиран.

Ние предоставяме обучение на персонала, който работи с лична информация, включително и как да докладва при нарушения на сигурността на личните данни на подателя на сигнала или на другите замесени лица.

X. Конфиденциалност

Ние ще запазим Вашата самоличност поверителна, освен ако не сме длъжни да я разкрием по закон или не получим Вашето изрично съгласие.

Ще ви уведомим, ако трябва да разкрием самоличността Ви на разследващите органи.

XI. Какви права имате като субект на данни?

Съгласно Общия регламент относно защитата на данните Вие имате следните права:

  • Право на достъп: имате достъп до личните данни, които съхраняваме за вас.
  • Право на коригиране: можете да поискате от нас да коригираме данни, които са неточни или непълни.
  • Право на изтриване (право да бъдеш забравен): имате възможност при определени условия да получите изтриване на личните данни, които съхраняваме за вас. Имаме обаче възможност да не отговорим положително на вашето искане, особено в случай, че се нуждаем от вашите лични данни, за да изпълним законово задължение.
  • Право на ограничаване на обработването, по-специално в случай, че оспорвате точността на личните данни, които съхраняваме за вас.
  • Право на възражение: можете да възразите, поради причини, свързани с вашата конкретна ситуация и при определени условия, срещу обработването на данни, които ви засягат.

За да упражните горепосочените права или за всякакви въпроси във връзка с лични данни, моля, изпратете всяко искане до Длъжностното лице по защита на данните на следния имейл адрес: gdpo@bodusod.bg

Имате право да подаде жалба до надзорния орган, ако считате, че обработването на личните Ви данни нарушава ОРЗД и ЗЗЛД – Комисия за защита на личните данни, https://www.cpdp.bg/.