ПОЛИТИКА ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

1.      Въведение

Тази политика има за цел потвърди задължението на maximumsexual.com за опазването на обработваните от нея лични данни и гарантиране на правата на субектите, съгласно изискванията на Общ регламент за защита на лични данни (“регламентът”).

Според регламента всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, се определя като ЛИЧНИ ДАННИ.

Тази политика определя процедурите, които трябва да се следват при обработването на лични данни. Процедурите и принципите, изложени тук, трябва да бъдат спазвани по всяко време от организацията, нейните служители, изпълнители или други страни, които работят от нейно име.

Организацията се ангажира не само със съдържанието на регламента, но и с духа му и обръща голямо внимание на правилното, законосъобразно и справедливо третиране на всички лични данни, като се зачитат законните права, неприкосновеността на личния живот и доверието на всички лица и заинтересовани страни.

2.      Принципи за защита на данните

Тази политика има за цел да гарантира спазването на регламента. Той определя следните принципи, които трябва да спазват всички страни, обработващи лични данни. Всички лични данни трябва да:

2.1. се обработват законно, справедливо и по прозрачен начин по отношение на субекта на данните;

2.2. бъдат събирани за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели; по-нататъшната обработка за архивиране за цели от обществен интерес, научни или исторически научноизследователски цели или статистически цели не се считат за несъвместими с първоначалните цели;

2.3. бъдат адекватни, уместни и ограничени до това, което е необходимо във връзка с целите, за които се обработват;

2.4. бъдат точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или отстраняват незабавно;

2.5. бъдат съхранявани във форма, която позволява идентифицирането на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни; личните данни могат да бъдат съхранявани за по-дълги периоди, доколкото личните данни ще бъдат обработвани единствено с цел архивиране за обществени интереси, научни или исторически научноизследователски цели или статистически цели, при условие че са изпълнени съответните технически и организационни мерки, изисквани от регламента, с цел защитата на правата и свободите на субекта на данните;

2.6. бъдат обработени по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу
случайна загуба, унищожаване или повреда, като се използват подходящи технически или организационни мерки.

3.   Законна, справедлива и прозрачна обработка на данни

Регламентът цели да гарантира, че личните данни се обработват законосъобразно, справедливо и прозрачно, без това да накърнява правата на субекта на данните. В регламента се посочва, че обработването на лични данни е законосъобразно, ако се прилага поне едно от следните условия:

3.1. субектът на данните е дал съгласие за обработването на личните му данни за една или повече конкретни цели;

3.2. обработването е необходимо за изпълнението на договор, на който лицето, за което се отнасят данните, е страна или за да предприеме стъпки по искане на субекта на данните преди сключването на договор;

3.3. обработването е необходимо за спазване на правно задължение, на което се подчинява администраторът;

3.4. обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице;

3.5. обработката е необходима за изпълнение на задача, изпълнявана в обществен интерес или при упражняване на публична власт на контролиращия орган;

3.6. обработването е необходимо за целите на легитимните интереси, преследвани от администратора или от трета страна, освен когато тези интереси са пренебрегнати от основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато данните обектът е дете.

4.   Обработвани за конкретни, изрични и законни цели

  • Организацията събира и обработва личните данни, посочени в Част 21 на тази Политика. Това може да включва лични данни, получени директно от субектите на данни (например данни за контакт, използвани, когато обектът на данни комуникира с нас) и данни, получени от трети страни (например
    Агенции за подбор на персонала, Застрахователи, Служби по трудова медицина, Органи на държавната власт).
    • Организацията обработва лични данни само за конкретните цели, посочени в Част 21 на тази Политика (или за други цели, изрично разрешени от Регламента). Субектите на данни ще бъдат информирани за целите, за които обработваме личните им данни в момента, в който те се събират директно от тях или колкото е възможно по-скоро (не повече от един календарен месец) след събирането, в случай че данните са получени от трета страна.

5.   Адекватна, подходяща и ограничена обработка на данни

Организацията ще събира и обработва лични данни само за и в степента, необходима за конкретната (ите) цел (и), за които е информирала субектите на данни, както е посочено в Част 4, по-горе.

6.   Точност на данните и поддържане на данни до дата

Организацията гарантира, че всички събрани и обработени лични данни се поддържат точни и актуални. Точността на данните се проверява в момента, в който се събират и след това на планирани интервали. Когато се установят неточни или неактуални данни, незабавно се предприемат всички разумни стъпки, за да се изменят или заличат тези данни, според случая.

7.   Навременна обработка

Организацията няма да съхранява лични данни за по-дълго от необходимото във връзка с целите, за които тези данни първоначално са били събрани и обработени. Когато данните вече не се изискват, всички разумни стъпки ще бъдат предприети, за да бъдат изтрити без забавяне.

8.   Защита при обработката

Организацията гарантира, че всички събрани и обработени лични данни са защитени от неразрешена или незаконна обработка и от случайна загуба, унищожаване или повреда. Допълнителни подробности относно мерките за защита на данните и организационните мерки, които трябва да бъдат предприети, са дадени в части 22 и 23 от настоящата политика.

9.   Отговорност

  • Отговорното лице по защита на личните данни във  Фармтекс Медикъл ЕООД  е Стела Петкова. За контакт: 0888 675 353
    • Организацията води писмени вътрешни записи за събирането, притежаването и обработката на всички лични данни, които включват следната информация:

10.             Оценка на риска по повод обработката на лични данни

Организацията извършва оценки на въздействието върху личните данни, съгласно изискванията на регламента. Оценяването се контролира от Отговорното лице по защита на личните данни в организацията и се отнася до следните важни области:

  1. Цел (и), за които се обработват лични данни, и операциите по обработка, които се извършват с тези данни;
    1. Подробности за законните интереси, преследвани от Организацията;
    1. Оценка на необходимостта и пропорционалността на обработката на данни по отношение на целта (целите), за която се обработва;
    1. Оценка на рисковете за отделните субекти на данни; и
    1. Подробности за мерките, прилагани за минимизиране и управление на рисковете, включително предпазни мерки, сигурност на данните и други мерки и механизми за гарантиране на защитата на личните данни, достатъчни за доказване на съответствието с регламента.

11.             Права на субекта на данни

Регламентът определя следните права, приложими за субектите на данни:

  1. правото да бъдете информирани;
    1. правото на достъп;
    1. правото на поправяне;
    1. правото на заличаване (известно също като „правото да бъдеш забравен“);
    1. право на ограничаване на обработката;
    1. правото на преносимост на данни;
    1. правото на възражение;
    1. права по отношение на автоматизираното вземане на решения и профилиране.

12.            Информиране на субектите за данни

  1. Организацията трябва да гарантира, че при събирането на лични данни е предоставена следната информация на всеки субект на данни:
    1. подробности за Организацията, включително, но не само, самоличността на неговото Отговорното лице по защита на личните данни в организацията;
    1. целта / целите, за които се събират и ще се обработват личните данни (както е описано подробно в Част 21 на тази Политика) и правното основание, обосноваващо това събиране и обработка;
    1. когато е приложимо, законните интереси, с които Орагнизацията оправдава събирането и обработката на личните данни;
    1. когато личните данни не се получават директно от субекта на данните, категориите на събраните и обработвани лични данни;
    1. когато личните данни трябва да бъдат прехвърлени на една или повече трети страни, подробности за тези страни;
    1. когато личните данни трябва да бъдат прехвърлени на трета страна, която се намира извън Европейското икономическо пространство („ЕИП“), подробности за това прехвърляне, включително, но без да се ограничават до съществуващите гаранции (вж. част 24 от настоящото Политика за допълнителни подробности относно прехвърлянето на данни от трети държави);
    1. подробности за продължителността на съхраняване на личните данни от Организацията (или, ако няма предварително определен период, подробности за това как ще бъде определена тази продължителност);
    1. подробности за правата на субекта на данни съгласно регламента;
    1. подробности за правото на субекта на данни да оттегли своето съгласие за обработката на личните данни по всяко време;
    1. подробности относно правото на субекта на данните да подаде жалба до КЗЛД („надзорният орган“ съгласно регламента);
    1.  където е приложимо, подробности за всяко правно или договорно изискване или задължение, изискващо събирането и обработката на личните данни и подробности за последствията от непредоставянето им;
    1.  подробности за всяко автоматично вземане на решения, което ще се извърши, като се използват личните данни (включително, но не само профилирането), включително информация за това как ще се вземат решения, значението на тези решения и последствията от тях.
    1. Информацията, посочена по-горе в Част 12.1, се предоставя на субекта на данните в следното приложимо време:
      1. Когато личните данни са получени пряко от субекта на данните в момента на събирането;
      1. Когато личните данни не се получават пряко от субекта на данни (т.е. от друга страна):
  2. ако личните данни се използват за комуникация с лицето, за което се отнасят данните, по време на първото съобщение; или
  3. ако личните данни трябва да бъдат разкрити на друга страна, преди да бъдат разкрити личните данни; или
  4. във всеки случай не повече от един месец след датата, на която Организацията получава личните данни.

13.            Достъп до данни

  1. Даден субект на данните може по всяко време да направи заявка за достъп до своите лични данни („ЗДД“), за да разбере повече информацията, която Организацията притежава за него. Организацията се стреми да отговори на ЗЗД в рамките на един месец от получаването му (това може да бъде удължено с до два месеца в случай на сложни и/или многобройни искания, а в такива случаи субектът на данните е информиран за необходимостта от удължаване на срока.
    1. Всички получени искания за достъп трябва да бъдат изпратени до Отговорното лице по защита на личните данни в организацията.
    1. Организацията не начислява такса за обработка на нормални ЗЗД, но си запазва правото да начислява разумни такси за допълнителни копия на вече предоставена информация на субекта на данни и за искания, които са явно неоснователни или прекомерни, особено когато такива искания се повтарят.

14.            Корекция на данни

14.1 Ако даден субект на данни информира Организацията, че личните данни, съхранявани от нея, са неточни или непълни, като изисква те да бъдат коригирани, въпросните лични данни ще бъдат поправени и субектът на данните ще бъде информиран за това коригиране в рамките на един месец от получаването на предупреждението бу (това може да бъде удължено с до два месеца в случай на сложни искания, а в такива случаи субектът на данните трябва да бъде информиран за необходимостта от удължаване).

14.2 В случай, че всички засегнати лични данни са били разкрити на трети лица, тези страни трябва да бъдат информирани за всяка поправка на тези лични данни.

15.            Заличаване на лични данни

  1. Субектите на данни могат да поискат от Организацията да изтрие личните данни, които притежава за тях, при следните обстоятелства:
    1. Вече не е необходимо Организацията да поддържа личните данни по отношение на целта, за която е била първоначално събрана или обработена;
    1. Субектът на данните желае да оттегли своето съгласие за притежаване и обработване на личните му данни от Организацията;
    1. Субектът на данните възразява срещу това, че Организацията притежава и обработва личните му данни (и няма преимуществен легитимен интерес, който да позволи на Организацията да продължи това) (вж. Част 18 от тези Политика за допълнителни подробности относно правото на субектите на данни да оспорят) ;
    1. личните данни са били обработени незаконно;
    1. Личните данни трябва да бъдат изтрити, за да може Организацията да спазва конкретно правно задължение; или
    1. Личните данни се съхраняват и обработват с цел предоставяне на „услуга на информационното общество“, което означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент.

15.2 Освен ако Организацията има основателни причини да откаже да изтрие лични данни, всички молби за изтриване трябва да бъдат спазени и субектът на данните се уведомява за изтриването в рамките на един месец от получаването на искането на субекта на данните (това може да бъде удължено до два месеца в случай на сложни искания, а в такива случаи субектът на данните се информира за необходимостта от удължаване).

15.3 В случай че лични данни, които трябва да бъдат изтрити в отговор на искане на субекта на данни, са били разкрити на трети лица, тези страни ще бъдат информирани за изтриването (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).

16.            Забрана за обработка на данни

 

16.1 Субектите на данни могат да поискат Организацията да прекрати обработването на личните данни, които притежава за тях. Ако даден субект на данни направи такова искане, Организацията ще запази само количеството лични данни, отнасящи се до този субект на данните, което е необходимо, за да се гарантира, че няма да се извършва по-нататъшна обработка на личните им данни.

16.2 В случай че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за приложимите ограничения при обработването им (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).

17.            Преносимост на данни

  1. Когато субектите на данни дадат своето съгласие на Организацията да обработва личните им данни по такъв начин или обработването е необходимо за изпълнението на договор между Организацията и субекта на данните, субектите имат законовото право съгласно Регламента да получават копие от личните им данни и да ги използват за други цели (а именно да ги предават на други администратори на данни, например други организации).
    1. За да се улесни правото на преносимост на данните, Организацията трябва да предостави всички приложими лични данни на субектите на данни.
    1. Когато това е технически осъществимо, при поискване от субект на данни личните данни се изпращат директно на друг администратор на данни.
    1. Всички заявки за копия на лични данни трябва да бъдат спазени в рамките на един месец от искането на субекта на данните (това може да бъде удължено с до два месеца в случай на сложни искания в случай на сложни или многобройни искания, а в такива случаи субектът на данни трябва да бъде информиран за необходимостта от удължаване).

18.            Възражения срещу обработката на лични данни

18.1 Субектите на данни имат право да възразят срещу това, че Организацията обработва техни лични данни въз основа на законни интереси (включително профилиране), директен маркетинг (включително профилиране) и обработка за научни и / или исторически изследвания и статистически цели.

18.2 Когато даден субект на данни възразява срещу това, че Организацията обработва личните му данни въз основа на законните му интереси, Организацията незабавно прекратява такава обработка, освен ако не може да се докаже, че законните основания на Организацията за такава обработка надвишават интересите, правата и свободите на субекта на данните; или обработването е необходимо за извършване на съдебни искове.

18.3 Когато даден субект на данни възразява срещу това, че Организацията обработва неговите лични данни за целите на директния маркетинг, Организацията незабавно прекратява такава обработка.

18.4 Когато даден субект на данни възразява срещу това, че Организацията обработва личните му данни за научни и / или исторически проучвания и статистически цели, субектът на данните трябва съгласно Регламента да „демонстрира основания, свързани с конкретната ситуация“. Организацията не е задължена да се съобрази с това възражение, ако обработва данниет от съображения за обществен интерес.

19.            Автоматично вземане на решения

  1. В случай, че Организацията използва лични данни за целите на автоматизираното вземане на решения и тези решения имат правен (или подобно значим) ефект върху субектите на данни, субектите на данни имат право да оспорят такива решения съгласно Регламента, като поискат намеса, изразяване на собствената си гледна точка и получаване на обяснение на решението на Организацията.
    1. Правото, описано в Част 19.1 не се прилага при следните обстоятелства:
      1. решението е необходимо за влизането или изпълнението на договор между Организацията и субекта на данните;
      1. решението е разрешено от закона; или
      1. Субектът на данните е дал своето изрично съгласие.

20.            Профилиране

Когато Организацията използва лични данни за целите на профилирането се съобразява със следното:

  • да бъде предоставена ясна информация, обясняваща профилирането, включително значението и вероятните последици;
    •  да се използват подходящи математически или статистически процедури;
    • Въвежда технически и организационни мерки, необходими за минимизиране на риска от грешки и за да се позволи лесното коригиране на такива грешки; и
    • Всички лични данни, обработени с цел профилиране, трябва да бъдат обезопасени, за да се предотврати дискриминационното въздействие, произтичащо от профилиране (вж. части 22 и 23 от настоящата Политика за повече подробности относно сигурността на данните).

21.         Лични данни

Типовете лични данни, съхранявани и обработвани от Организацията, са описани в Регистър на ЛД, чиято актуалност се контролира от Отговорното лице по защита на личните данни в организацията.

22.             Мерки за защита на данните

  • Организацията гарантира, че всички негови служители, контрагенти или други страни, работещи от негово име, отговарят на следното при работа с лични данни:
    • Когато някоя лична информация трябва да бъде изтрита или по друг начин да бъде изхвърлена по някаква причина (включително когато са направени копия и вече не са необходими), тя се унищожава, по начини, разписани във вътрешни процедури и правила на организацията.
    • Личните данни могат да се предават само в защитени мрежи; предаването на данни по необезпечени мрежи не е разрешено при никакви обстоятелства;
    • Личните данни не могат да се предават чрез безжична мрежа, ако има жична алтернатива, която е разумно приложима;
    • Личните данни, съдържащи се в тялото на имейл, независимо дали са изпратени или получени, трябва да се копират от тялото на този имейл и да се съхраняват сигурно. Самият имейл трябва да бъде изтрит. Всички временни файлове, свързани с него също трябва да бъдат заличени;
    • Когато личните данни трябва да бъдат изпратени чрез факсимилно предаване, получателят трябва предварително да бъде информиран за предаването и да чака от факс машината да получи данните;
    • Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя или изпратени с помощта на куриерска фирма.
    • Никакви лични данни не могат да бъдат споделяни неофициално и ако служител, подизпълнител или друга страна, работеща от името на Организацията, изисква достъп до лични данни, до които те вече нямат достъп, този достъп трябва да бъде официално поискан от Отговорното лице по защита на личните данни.
    • Всички хартиени копия на лични данни, както и всички електронни копия, съхранявани на физически, подвижни носители, се съхраняват сигурно в заключена кутия, чекмедже, шкаф или други подобни;
    • Никакви лични данни не могат да бъдат прехвърляни на служители, изпълнители или други страни, независимо дали тези лица работят от името на Организацията или не, без разрешение на Отговорното лице по защита на личните данни в организацията .
    • Личните данни се обработват грижливо по всяко време и не се оставят без надзор или по преценка на неразрешени служители, подизпълнители или други страни по всяко време;
    • Ако се разглеждат лични данни на екрана на компютъра и въпросният компютър трябва да бъде оставен без надзор за определен период от време, потребителят заключва компютъра и екрана, преди да напусне компютъра;
    • Не се съхраняват лични данни на нито едно мобилно устройство (включително, но не само, лаптопи, таблети и смартфони), дали такова устройство принадлежи на Организацията или по друг начин [без официално писмено одобрение на Отговорното лице по защита на личните данни в организацията и в случай на такова одобрение стриктно в съответствие с всички указания и ограничения, описани в момента на издаване на одобрението, и не повече от абсолютно необходимото.
    • Лични данни се прехвърлят на каквото и да е устройство, принадлежащо на служител, и лични данни могат да се прехвърлят само на устройства, принадлежащи на изпълнители или други страни, работещи от името на Организацията, когато въпросната страна се е съгласила да спази изцяло с писмото и духа на тази Политика и на Регламента (което може да включва демонстриране пред Организацията, че са взети всички подходящи технически и организационни мерки);
    • Всички лични данни, съхранявани по електронен път се архивират. Всички архиви са шифровани;
    • Всички електронни копия на лични данни се съхраняват сигурно, като се използват пароли и криптиране на данните;
    • Всички пароли, използвани за защита на личните данни, се променят редовно и не се използват думи или фрази, които лесно могат да бъдат познавани или компрометирани по друг начин.
    • При никакви обстоятелства пароли не се записват или споделят между служители, изпълнители или други страни, работещи от името на Организацията, независимо от старшинството или отдела. Ако паролата е забравена, се нулира с помощта на приложимия метод. ИТ персоналът няма достъп до пароли;

23.   Организационни мерки

M

Организацията гарантира, че са предприети следните мерки по отношение на събирането, притежаването и обработката на лични данни:

  • Всички служители, изпълнители или други страни, работещи от името на Организацията са напълно запознати както със своите индивидуални отговорности, така и с отговорностите на Организацията съгласно Регламента и тази Политика и им се предоставя копие от тази Политика ;
    • Само служители, подизпълнители или други лица, работещи от името на Организацията, които имат нужда от достъп и използване на лични данни, за да изпълняват правилно своите задачи, имат достъп до личните данни, съхранявани от Организацията ;
    • Всички служители, изпълнители или други страни, работещи от името на Организацията, обработващи лични данни се обучават за това;
    • всички служители, изпълнители или други страни, работещи от името на Организацията, работещи с лични данни се контролират надлежно;
    • Методите за събиране, съхраняване и обработване на лични данни се оценяват и преглеждат редовно;
    • Работата на тези служители, агенти, изпълнители или други лица, работещи от името на Организацията, обработващи лични данни, редовно да се оценява и преглежда;
    • Всички служители, изпълнители или други страни, които работят от името на Организацията, обработващи лични данни, са длъжни да го направят в съответствие с принципите на Регламента и настоящата Политика по договор;
    • Всички изпълнители или други лица, работещи от името на Организацията, обработващи лични данни, трябва да гарантират, че всички и всички техни служители, които участват в обработката на лични данни, се зачитат при същите условия, както съответните служители на Организацията произтичащи от тази политика и регламента;
    • Когато някой изпълнител или друга страна, работеща от името на Организацията, обработващ лични данни, не изпълни задълженията си по тази Политика, тази страна ще обезщети и ще обезвреди Организацията срещу всички разходи, отговорност, вреди, загуби, искове или производства, възникнат от този провал.
 

24.            Прехвърляне на лични данни извън Европейското икономическо пространство ЕИП

  • Организацията може от време на време да прехвърля („прехвърляне“ включва вземане Налични дистанционно) лични данни в страни извън ЕИП.
    • Прехвърлянето на лични данни в страна извън ЕИП се извършва само ако се прилагат едно или повече от следните условия:
      • прехвърлянето е към страна, територия или един или повече специфични сектори в тази страна (или международна организация), които Европейската комисия е определила, гарантира адекватно ниво на защита на личните данни;
      • прехвърлянето е към страна (или международна организация), която предоставя подходящи предпазни мерки под формата на правно обвързващо споразумение между публичните органи или органи; обвързващи корпоративни правила; стандартните клаузи за защита на данните, приети от Европейската комисия; спазването на одобрен от надзорния орган кодекс за поведение (например Службата на комисаря по информацията); сертифициране по одобрен механизъм за сертифициране (както е предвидено в регламента); договорни клаузи, договорени и разрешени от компетентния надзорен орган; или разпоредби, въведени в административни договорености между публични органи или органи, упълномощени от компетентния надзорен орган;
      • прехвърлянето се извършва с информирано съгласие на съответния (ите) субект (и) на данните;
      • Прехвърлянето е необходимо за изпълнението на договор между субекта на данни и Организацията (или за предприсъединителните мерки, предприети по искане на субекта на данни);
      • Прехвърлянето е необходимо поради важни причини от обществен интерес;
      • прехвърлянето е необходимо за провеждане на съдебни искове;
      • Прехвърлянето е необходимо за защита на жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните физически или юридически не е в състояние да даде своето съгласие; или
      • Прехвърлянето се извършва от регистър, който съгласно законодателството на Обединеното кралство или ЕС има за цел да предоставя информация на обществеността и който е отворен за достъп от страна на обществеността като цяло или по друг начин на тези, които са в състояние да демонстрират законния си интерес от достъп регистъра.

25.            Уведомяване за нарушаване на данните

  • Всички нарушения на лични данни се докладват незабавно на Отговорното лице по защита на личните данни в организацията. Докладването се извършва според приетите правила на ИКТ инциденти в организацията или директно.
    • Ако настъпи нарушение на лични данни и това нарушение е вероятно да доведе до риск за правата и свободите на субектите на данни (например финансови загуби, нарушаване на поверителността, дискриминация, вреди, причинени от репутацията или други значителни социални или икономически щети), Отговорното лице по защита на личните данни в организацията гарантира, че съответната Комисия за защита на личните данни е информирана за нарушението незабавно и при всички случаи в рамките на 72 часа.
    • В случай че нарушаването на личните данни е вероятно да доведе до висок риск (т.е. по-висок риск от този, описан в част 25.2) на правата и свободите на субектите на данни, Отговорното лице по защита на личните данни в организацията гарантира, че всички засегнати данни субектите са информирани за нарушението директно и без неоправдано забавяне.
    • Известията за нарушаване на данни включват следната информация:
  • категориите и приблизителния брой на засегнатите субекти на данни;
  • категориите и приблизителния брой записи на лични данни;
  • името и данните за контакт на Отговорното лице по защита на личните данни в организацията (или друго звено за контакт, където може да се получи повече информация);
  • вероятните последици от нарушението;
  • подробности за предприетите или предложени за предприемане мерки от страна на Организацията за справяне с нарушението, включително, когато е целесъобразно, мерки за смекчаване на евентуалните неблагоприятни последици.

26.    Изпълнение на политиката

Настоящата Политика се счита за в сила от 25.05.2018 г.  Нито една част от тази Политика няма да има обратно действие и следователно ще се прилага само за въпроси, настъпили на или след тази дата.