Общият регламент относно защитата на данните (GDPR) на ЕС влиза в сила в Европейския съюз на 25 май 2018 г. и води до най-значителните промени в нормативната уредба за защита на данните след две десетилетия. Въз основа на принципа за защита на личните данни на етапа на проектиране и възприемането на подход, базиран на риска, GDPR е разработен така, че да отговаря на изискванията на цифровата ера. 21-ви век носи със себе си по-широко използване на технологии, нови определения за това какво представляват личните данни и огромно увеличение на трансграничната им обработка. Новият регламент има за цел да стандартизира нормативната уредба за защита на данните и обработката им в ЕС, като предоставя на лицата по-силни, по-последователни права за достъп и контролиране на личната им информация.

Нашият ангажимент
Ние в „ХЕПИ“ ЕАД, ЕИК 103924544, с адрес: България, област Варна, община Варна, гр. Варна 9000, район р-н Одесос, Бул. Цар Освободител No 25, се ангажираме да гарантираме сигурността и защитата на личната информация, която обработваме, и да предоставим съвместим и последователен подход към защитата на данните. Винаги сме имали стабилна и ефективна политика за защита на данните, която е в съответствие със съществуващата нормативна уредба и спазва принципите за защита на данните. Ние обаче приемаме задълженията си за актуализиране и разширяване на тази политика, за да отговорим на изискванията на GDPR и на измененията в Закона за защита на личните данни с оглед приетият и действаш Регламент 2016/679.
„ХЕПИ“ ЕАД е посветено в процесите по защита на личната информация, която е в кръга на нашата компетентност и в дейностите по разработка на механизми за защита на данните, които са ефективни, подходящи за поставените цели и демонстрират разбиране и синхрон с GDPR.
Нашата подготовка и цели за спазване на GDPR са обобщени в това изложение и включват разработването и изпълнението на нови роли, политики, процедури, контрол и мерки за защита на данните, за да се осигури максимално и постоянно съответствие.

Как се подготвяме за GDPR
„ХЕПИ“ ЕАД вече има еднакво ниво на защита и сигурност на данните в нашата организация, като извършената от нас подготовка включваше:
• Информационен одит – извършване на цялостен фирмен информационен одит за идентифициране и оценка на личната информация, която се съдържа при нас, откъде идва, как и защо се обработва, и ако се разкрива – на кого.
• Политики и процедури – въвеждането на нови политики и процедури за защита на данните, за да се изпълнят изискванията и стандартите на GDPR и нормативната уредба за защита на данните, включително:

1.  Защита на личните данни – нашият основен документ за политиката и процедурите за защита на данните е преработен, за да отговори на стандартите и изискванията на GDPR. Предприеха се мерки за отчетност и управление, за да се гарантира, че разбираме и адекватно разпространяваме и доказваме нашите задължения и отговорности, със специално внимание върху принципа за защита на личните данни на етапа на проектиране и защита правата на физическите лица.
2. Запазване и изтриване на данни – актуализирахме нашата политика и график за съхранение на данните, за да гарантираме, че отговаряме на принципите за “минимизиране на данните” и “ограничаване на съхранението” и че личната информация се съхранява, архивира и унищожава съвместимо и етично. Разполагаме със специализирани процедури за изтриване, за да отговорим на новото задължение “Право за изтриване” и сме наясно кога се прилагат тези и други права на субектите на данните, заедно с всички изключения, времеви интервали за реагиране и отговорности за уведомяване.
3. Нарушения на сигурността на данните – нашите процедури при нарушаване сигурността на данните гарантират наличието на предпазни мерки и мерки за идентифициране, оценка, разследване и докладване на нарушения на лични данни възможно най-рано. Процедурите са устойчиви и са разпространени до всички служители, като ги информират за каналите за отчитане и стъпките, които трябва да бъдат следвани.
4. Трансфер на данни и оповестяване на трети страни – на местата, където ние съхраняваме или предаваме лична информация, разполагаме с надеждни процедури и защитни мерки за защита, криптиране и поддържане на целостта на данните.
5. Заявка за достъп до данни – преработили сме нашите процедури за достъп до данни, за да приложим преразгледаните времеви периоди за предоставяне на искана информация и да осигурим безплатното извършване на тази дейност. Новите ни процедури подробно уточняват как да се проверява субектът на данните, какви стъпки се предприемат при обработването на заявка за достъп, какви изключения се прилагат и набор от шаблони за отговор, за да се гарантира, че комуникациите със субектите на данни са съвместими, последователни и адекватни.• Правно основание за обработка на лични данни – преглеждаме всички процеси и дейности по обработка на лични данни, за да идентифицираме правното основание за обработка и да гарантираме, че всяко основание е подходящо за дейността, за която се отнася. Където е приложимо, ние също така поддържаме отчети за нашите дейности по обработка, като гарантираме, че са изпълнени нашите задължения съгласно член 30 от GDPR.
   • Нашата Политика за защита на лични данни цели да се съобразим с GDPR, като гарантираме, че всички лица, чиято лична информация обработваме, са били информирани за това защо се нуждаем от техните данни, какви са техните права във връзка с това, на кого е предоставена тази информация и какви предпазни мерки са въведени за защита на техните данни.
   • Получаване на съгласие – ние преработихме нашите механизми за съгласие при получаване на лични данни, за да гарантираме, че хората разбират какво предоставят, защо и как го използваме и да дадем ясни и дефинирани начини за получаване на съгласие за получаване на определена информация, както и основните права и искания които всеки един потребител може да отправи към нас.
   • Разработихме строги процедури за документиране на съгласието, като се уверяваме и можем да доказваме, че имаме потвърждение на опциите за включване и получаване на определени данни, както и записи за време и дата, лесен за разбиране и достъпен начин за оттегляне на съгласието по всяко време.
   • Също така ние преработихме и формулировката и процесите за директен маркетинг, включително въвеждането на отделно допълнително съгласие за предоставяне на директен маркетинг, както и въвеждането на ясни механизми за включване на маркетингови абонаменти, ясни бележки и начини за изключване и предоставяне на функции за отписване от всички следващи маркетингови материали и активности.
   • Извършваме Оценка на въздействието върху защитата на данните на местата, където обработваме лична информация, която се счита за такава с висока степен на риск, ние разработихме строги процедури и модели извършване на оценки на въздействието, които
   напълно съответстват на изискванията на чл. 35 GDPR. Внедрихме документални процеси, които отчитат всяка оценка, позволяват ни да оценяваме риска, породен от обработващите дейности и да прилагаме смекчаващи мерки, за да намалим риска, който се поражда за субектите на данните.
   • В случаите когато ни се налага да когато използваме трети лица за обработка на лична информация от наше име (напр. ТРЗ, набиране на информацията, хостинг и т.н.), изготвихме съвместими споразумения за обработващите лични данни и процедури за надлежна проверка, за да се уверим, че те (както и ние) разбираме задълженията по GDPR. Тези мерки включват първоначални и текущи прегледи на предоставяните услуги, необходимостта от дейностите по обработка, въведените технически и организационни мерки и спазването на GDPR.
   • Специални категории лични данни – когато получаваме и обработваме информация от специална категория лични данни, правим това в пълно съответствие с изискванията на чл. 9 GDPR и разполагаме с криптиране на високо ниво и защита на всички такива данни. Специални категории лични данни се обработват само при необходимост и се обработват само при условия, че се идентифицира правно основание по чл. 9, параграф 2 GDPR. Когато разчитаме на съгласие за обработка, това е изрично и се потвърждава от подпис, с правото на субекта да променя или премахва съгласието, което е ясно обозначено.

Права на субектите на лични данни
В допълнение към посочените по-горе правила и процедури, които гарантират, че физическите лица могат да приложат своите права за защита на личните им данни, чрез предоставени от нас бланки с различни искания, както на седалището и адреса ни на управление така и на нашия уебсайт.

Всички наши клиенти/контрагенти следва да знаят, че по всяко време има възможност да поискате информация за:
• Какви лични данни имаме за вас;
• Целите на обработката на личните данни;
• Категориите на съответните лични данни;
• Получателите, на които личните данни са/ще бъдат разкрити;
• Колко дълго възнамеряваме да съхраняваме съответните лични данни;
• Ако не сме събрали данните директно от вас, информация за източника;
• Правото на поправяне или попълване на непълни или неточни данни за вас и процесът на искане за това;
• Правото да се поиска изтриване на лични данни (където е приложимо) или да се ограничи обработката в съответствие с нормативната уредба за защита на данните, както и възможността за противопоставяне на всеки директен маркетинг и получаване на информация за всяко автоматично вземане на решения, което се използва;
• Правото да се подаде жалба или да се потърси съдебна защита, както и компетентни лица за връзка в такива случаи.

Информационна сигурност и технически и организационни мерки
„ХЕПИ“ ЕАД , приема много сериозно защитата на личната информация и предприема всички разумни и предпазни мерки, за да защити и осигури личните данни, които обработваме.
Разполагаме със стабилни правила и процедури за сигурност на информацията, за да защитим личните данни от неразрешен достъп, промяна, разкриване или унищожаване и имаме няколко слоя мерки за сигурност, включително: (Вмъкнете мерки като SSL, контрол на достъпа, политика за пароли, криптиране, псевдонимизация, практики, ограничения, ИТ удостоверяване и т.н.)

Утвърдил:
Теодора Попова – Управител