Съгласие за обработване на предоставени лични данни

Имаме удоволствието да Ви информираме, че сте били разгледан/а като потенциален кандидат за работно място в „Ен Ди Ес“ ЕООД, ЕИК 205165666, със седалище и адрес на управление: България, гр. София, р-н Средец, ул. „Проф. Фритьоф Нансен“ 37А, ет. 5.

Съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО, ние сме задължени да получим Вашето изрично информирано съгласие за събиране, съхраняване и запазване на Вашите лични данни, за да можем да обработим Вашата кандидатура за работа.

I. Личните данни, които сме събрали от Вас, включват, но не се ограничават до:

1. Три имена;

2. Телефон и имейл адрес за контакт;

3. Професионална биография (трудова дейност) и образователен статус;

4. Препоръки;

5. Всякаква допълнителна информация, която сте предоставили във връзка с Вашата кандидатура.

II. Целите на обработването на Вашите лични данни са:

i) да се оценят Вашите компетенции за заемане на отворени позиции за работа; и ii) за бъдещи отворени позиции - база данни от кандидати (резерв от таланти), ако кандидатурата Ви не е успешна, за да се свържем с Вас, ако в бъдеще възникнат други подходящи възможности в нашата организация. Вашите данни ще бъдат съхранявани по сигурен начин и до тях ще има достъп само оторизиран персонал, участващ в процеса на набиране на персонал.

III. Съгласявайки се с посоченото по-долу, Вие потвърждавате и предоставяте съгласието си на „Ен Ди Ес“ ЕООД да събира, съхранява и пази Вашите лични данни за срок до 6 месеца от приключването на процедурата по набиране на персонал във връзка с целта на обработване по раздел II, (i) по-горе и до 2 години във връзка с целта за обработване по раздел II, (ii); или до оттегляне на съгласието. След изтичане на срока и/или след оттегляне на съгласието, личните данни ще бъдат надеждно изтрити или анонимизирани. Това съгласие е доброволно и имате право да го оттеглите по всяко време на dpo@nexo.com.

ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В „Ен Ди Ес“ ЕООД

I. Общи положения

Чл. 1. (1) „Ен Ди Ес“ ЕООД, ЕИК 205165666, със седалище и адрес на управление: България, гр. София, р-н Средец, ул. „Проф. Фритьоф Нансен“ 37А, ет. 5, е Администратор на лични данни (наричано по-долу за краткост: „Администратор“/„Дружеството“/„Работодател“, по смисъла на чл. 4, ал. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Регламент“) и §1, т. 2 от Допълнителните разпоредби на Закона за защита на личните данни („ЗЗЛД“).

(2) Предметът на дейност на Администратора е: предоставяне на софтуерни услуги на клиенти, аутсорсинг на бизнес процеси, финанси, обслужване на клиенти, подкрепа за колцентър и програмиране, както и всички видове дейности, незабранени от закона.

(3) Координатите за връзка с Администратора и представителя на Администратора са, както следва: гр. София, р-н Средец, ул. „Проф. Фритьоф Нансен“, 37А, ет. 5, електронен адрес: dpo@nexo.com.

(4) Настоящите Вътрешни правила за защита на личните данни в „Ен Ди Ес“ ЕООД, наричани по-долу за краткост „Правилата“, определят правилата по отношение на защитата на физическите лица във връзка с обработването на личните им данни от Дружеството.

(5) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано.

(6) „Субект на данни“ e физическо лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

(7) „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

(8) „Обработване на личните данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

(9) В настоящите Правила и приложенията към тях, Европейският съюз е наричан за краткост „Съюза“.

Чл. 2. Настоящите Правила съдържат следната информация:

1. Данни, които идентифицират Администратора и координатите за връзка с него, включително тези на представителя на Администратора;

2. Водените от Администратора регистри;

3. Категории лични данни, които Администраторът обработва, цели на обработването, правно основание и указания дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, или е налице съгласие на Субекта на данни за обработването на личните данни, както и дали Субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

4. Категориите получатели на личните данни;

5. Срока, за който ще се съхраняват личните данни и критериите, използвани за определяне на този срок;

6. Права на Субектите на данни, включително: съществуването на право да се изиска от Администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със Субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните; когато обработването на личните данни се основава на съгласие, дадено от Субекта на данните, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено; правото на жалба до надзорен орган, както и всички други права, предвидени за Субектите на данни в приложимите национални и наднационална нормативни актове;

7. Сигурност на личните данни;

8. Оценка на въздействието и нива на защита;

9. Мерки за защита.

Чл. 3. Правилата се утвърждават, изменят и допълват от законните представители на Администратора или упълномощено от тях лице/лица.

Чл. 4. Настоящите Правила гарантират и съблюдават следните принципи, свързани с обработването на лични данни:

1. „Принцип на законосъобразност, добросъвестност и прозрачност“ – личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на Субекта на данните;

2. „Принцип на ограничение на целите“ – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

3. „Принцип на свеждане на данните до минимум“ – личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват;

4. „Принцип на точност“ – личните данни са точни и при необходимост се поддържат в актуален вид; Администраторът е предприел всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

5. „Принцип на ограничение на съхранението“ – личните данни са съхранявани във форма, която да позволява идентифицирането на Субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на Субекта на данните;

6. „Принцип на цялостност и поверителност“ – личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

7. „Принцип на отчетност“ - Администраторът носи отговорност и е в състояние да докаже спазването на всички горепосочени принципи.

II. Водените от Администратора регистри

Чл. 5. (1) Администраторът води четири регистъра, а именно:

1. Регистър „Персонал“;

2. Регистър „Кандидати за работа“;

3. Регистър „Контрагенти“;

4. Регистър „Видеонаблюдение“.

(2) Регистър „Персонал“ и Регистър „Контрагенти“ се водят на хартиен или технически (електронен) носител, а Регистър „Видеонаблюдение“ и Регистър „Кандидати за работа“ само на технически (електронен) носител.

(3) Предоставянето на лични данни от физическите лица се извършва чрез предоставяне на информацията лично от Субекта на данни, за което се отнася в писмен вид, от публични регистри, а за регистър „Видеонаблюдение“ - от технически средства за наблюдение и контрол.

III. Категории лични данни, цели на обработването, правно основание, изискване за предоставяне на личните данни, последствия от непредставяне

Регистър „Персонал“

Чл. 6. В Регистър „Персонал“ се обработват лични данни на служителите, лицата по граждански договори и лицата по договори за управление, сключени с Администратора, отразяващи физическата идентичност, семейната идентичност, социалната идентичност на лицата и данни, които се отнасят до здравето.

Чл. 7. (1) В регистър „Персонал“ се обработват следните категории лични данни, отразяващи физическата идентичност на лицата, а именно:

1. Три имена;

2. Паспортни данни - ЕГН, пол, номер на лична карта или паспорт, дата и място на издаване, постоянен и настоящ адрес, а в случай на физическо лице – чужд гражданин – ЛНЧ, дата и място на раждане, всяко гражданство, което лицето притежава;

3. Телефонен номер и имейл адрес за контакт;

4. Банкова сметка;

5. Професионална биография (трудова дейност) и образователен статус;

6. Данни за здравно-осигурителен статус и здравно състояние на служителя;

7. Снимки, и/или други данни, посредством които физическото лице може да бъде идентифицирано за целите на предоставяне на достъп до работните помещения.

(2) Данните по чл. 7, ал. 1 се обработват с цел индивидуализиране на страните по съответното правоотношение, включително във връзка с неговото възникване, изпълнение, изменение и прекратяване, както и за изготвяне на документи по съответното правоотношение, включително договори, допълнителни споразумения, заповеди за назначаване или прекратяване на трудовото правоотношение, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни; установяване на контакт с лицето по телефон и имейл, изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудовите/гражданските договори; водене на (трудово) досие; водене на счетоводна отчетност относно възнагражденията по съответните правоотношения.

(3) Данните по чл. 7, ал. 1, т. 1, т. 2, т. 5 и т. 6 се обработват на основание чл. 6, ал. 1, б. „в“ от Регламента, а именно обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора и по-конкретно предоставянето им съставлява задължително изискване с оглед изпълнение на нормативните задължения на Администратора по Кодекса на труда, Кодекса за социално осигуряване, Граждански процесуален кодекс, Закона за здравното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица, Закон за здравословни и безопасни условия на труд, Закон за ограничаване на плащанията в брой, Наредба за работното време, почивките и отпуските, Наредба № 3 за задължителните предварителни и периодични медицински прегледи на работниците, Наредба за структурата и организацията на работната заплата, Наредба за командировките в страна, Наредба за служебните командировки и специализации в чужбина, Наредба № 4 от 11.05.1993 г. за документите, които са необходими за сключване на трудов договор, и други приложими нормативни актове.

(4) Данни по чл. 7, ал. 1, т. 1, 2, 3, 4 и 7 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „б“ от Регламента, а именно обработването е необходимо и за изпълнение на трудов и/или граждански договор, след като е сключен със Субекта на данни.

(5) В случай че Субектът на данни не предостави данните по:

1. Чл. 7, ал. 1, т. 1, т. 2, т. 5 и т. 6 от настоящите Правила, е налице невъзможност за сключване, изпълнение и прекратяване на договор, и чл. 7, ал. 1, т. 7 - за изпълнение на договор в съответствие с вътрешните правила на Администратора;

2. Чл. 7, ал. 1, т. 4 от настоящите Правила, е налице невъзможност за изплащане на съответно възнаграждение на лицето по банков път, предвид предприетата от Дружеството политика за извършване на безкасови плащания.

Чл. 8. (1) В регистър „Персонал“ се обработват следните категории лични данни, отразяващи семейната идентичност на лицата, а именно:

1. Семейно положение - наличие на брак;

2. Родствени връзки, в това число деца до 18 години.

(2) Данните по чл. 8, ал. 1 от настоящите Правила се обработват с цел установяване правата на лицата за получаване на семейни добавки за деца до 18 години, за начисляване на съответни удръжки от трудовото възнаграждение на дадено лице на основание присъдена издръжка и/или запор върху трудовото възнаграждение, запор на вземания за възнаграждения по граждански договори, договори за управление, водене на трудово досие, право на отпуск в предвидените в Кодекса на труда случаи и други.

(3) Данните по чл. 8, ал. 1 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „в“ от Регламента, а именно обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора и по-конкретно предоставянето им съставлява задължително изискване с оглед изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Граждански процесуален кодекс, Закона за здравното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица, Наредба за работното време, почивките и отпуските и други приложими нормативни актове.

(4) В случай че Субектът на данни не предостави данните по:

1. Чл. 8, ал. 1, т. 1 от настоящите Правила, Субектът на данни няма да има право да ползва отпуск при встъпване в брак - 2 работни дни;

2. Чл. 8, ал. 1, т. 2 от настоящите Правила, Дружеството ще удържи максимално позволената от закона сума, като при определяне размера на съответната сума ще приложи правилата отнасящи се до лица, които нямат деца, които да издържат или няма да предостави определения в закона отпуск.

Чл. 9. (1) В регистър „Персонал“ се обработват следните категории лични данни, отразяващи социалната идентичност на лицата, а именно:

1. Образование - вид на образованието, образователно-квалификационна степен, място на придобиване на образованието, номер и дата на издаване на дипломата; допълнителна квалификация;

2. Трудова дейност - професионална биография, трудов стаж в определена професия, стопански сектори, в които лицето е работило.

(2) Данните по чл. 9, ал. 1 се обработват с цел спазване на нормативни или установени от Работодателя изисквания, включително, но не само при извършване на подбор за целите на прекратяване на трудовото правоотношение, попълване на трудови книжки, водене на трудово досие, установяване на трудов стаж и условия за пенсиониране.

(3) Данните по чл. 9, ал. 1 се обработват на основание чл. 6, ал. 1, б. „в“ от Регламента, а именно обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора и по-конкретно, предоставянето им съставлява задължително изискване с оглед изпълнение на нормативните задължения на Администратора по Кодекса на труда, Кодекса за социално осигуряване, Закона за здравното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица, Наредба № 4 от 11.05.1993 г. за документите, които са необходими за сключване на трудов договор и други приложими нормативни актове.

(4) В случай че Субектът на данни не предостави данните по:

1. Чл. 9, ал. 1, т. 1 от настоящите Правила, е налице невъзможност за сключване на трудов договор;

2. Чл. 9, ал. 1, т. 2 от настоящите Правила, е налице невъзможност за определяне на допълнително възнаграждение за трудов стаж и професионален опит, поради което Дружеството няма да изплаща на Субекта на данни допълнително възнаграждение за трудов стаж и професионален опит.

Чл. 10. (1) В регистър „Персонал“ се обработват следните категории лични данни, които се отнасят до здравето на лицата, а именно:

1. Здравно състояние, установено с медицинско удостоверение за започване на работа и/или решение на ТЕЛК и НЕЛК, както и документи, предоставени от Службата по трудова медицина;

2. Декларация във връзка с чл. 333, ал. 1 от КТ;

3. Болнични листове.

(2) Данните по чл. 10, ал. 1 от настоящите Правила се обработват с цел спазване на нормативни изисквания за сключване на трудов договор, изпълнение и прекратяване на трудовото правоотношение, водене на трудово досие, трудоустрояване.

(3) Данните по чл. 10, ал. 1 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „в“ от Регламента, а именно обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора и по-конкретно предоставянето им съставлява задължително изискване с оглед изпълнение на нормативните задължения на Администратора по Кодекса на труда, Кодекса за социално осигуряване, Закона за здравното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица, Закон за здравословни и безопасни условия на труд, Наредба № 4 от 11.05.1993 г. за документите, които са необходими за сключване на трудов договор, Наредба № 5 от 20.02.1987 г. за болестите, при които работниците, боледуващи от тях, имат особена закрила съгласно чл. 333, ал. 1 от Кодекса на труда и други приложими нормативни актове.

(4) В случай че Субектът на данни не предостави данните по чл. 10, ал. 1 от настоящите Правила, е налице невъзможност за сключване на трудов договор, съответно невъзможност за продължаване изпълнението на трудовото правоотношение, включително е налице възможност за налагане на дисциплинарно наказание поради неявяване на работа в случаите, в които Субектът на данните не уведоми Администратора за издаден болничен лист.

(5) Субектът на данни предоставя решение на ТЕЛК и НЕЛК, за да има възможността да упражни правата си, произтичащи от Кодекса на труда, Закона за насърчаване на заетостта, Закона за хората с увреждания и Наредбата за трудоустрояването.

Чл. 11. (1) В регистър „Персонал“ се обработват лични данни, които се отнасят до членство в синдикални организации.

(2) Данните по чл. 11, ал. 1 се обработват с цел спазване на нормативни или установени от Работодателя изисквания, включително но не само при извършване на подбор за целите на прекратяване на трудовото правоотношение, попълване на трудови книжки, водене на трудово досие, установяване на трудов стаж и условия за пенсиониране.

(3) Данните по чл. 11, ал. 1 се обработват на основание чл. 6, ал. 1, б. „в“ и чл. 9, ал. 2, б. „б“ от Регламента, а именно обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора и по-конкретно предоставянето им съставлява задължително изискване с оглед изпълнение на нормативните задължения на Администратора по Кодекса на труда, Кодекса за социално осигуряване, Закона за здравното осигуряване, Закона за счетоводството, Закона за данъците върху доходите на физическите лица, Наредба № 4 от 11.05.1993 г. за документите, които са необходими за сключване на трудов договор и други приложими нормативни актове.

(4) В случай че Субектът на данни не предостави данните по чл. 11, ал. 1 от настоящите Правила, Субектът на данни няма да има възможност да се възползва от благоприятните условия на съответния колективен трудов договор и на Кодекса на труда.

Регистър „Кандидати за работа“

Чл. 12. (1) В регистър „Кандидати за работа“ се обработват лични данни на лицата, кандидатстващи за работа при Администратора, съдържащи следната информация относно лицата, а именно:

1. Три имена;

2. Телефон и имейл адрес за контакт;

3. Професионална биография (трудова дейност) и образователен статус;

4. Снимки, и други данни, посредством които физическото лице може да бъде идентифицирано;

5. Информация за гражданство – доколкото биха били приложими различни режими за наемане на чужденци в Република България.

(2) Данните по чл. 12, ал. 1 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „а“ от Регламента, а именно Субектът на данните е предоставил съгласие за обработване на личните му данни, а с избрания кандидат и на основание чл. 6, ал. 1, б. „б“ от Регламента – обработването е необходимо с цел предприемане на стъпки по сключване на договор.

(3) Данните по чл. 12, ал. 1 от настоящите Правила се обработват с цел провеждане на процедури по подбор и наемане на персонал, което включва оценка на квалификацията, уменията и опита на кандидатите във връзка със съответната длъжност, осъществяване на контакт с кандидатите по повод процеса на подбор и вземане на информирано решение относно сключването на трудов и/или граждански договор.

(4) В случай че Субектът на данни не предостави данните по чл. 12, ал. 1 от настоящите Правила е налице невъзможност да се извършат необходимите действия по оценка и подбор, поради което съответната кандидатура няма да бъде разглеждана.

Регистър „Контрагенти“

Чл. 13. В регистър „Контрагенти“ се обработват лични данни на клиентите и доставчиците на Администратора, включително на лица в преддоговорни отношения с Администратора, отразяващи физическата и икономическата идентичност на физическите лица - контрагенти, а за физическите лица, които представляват съответното дружество – контрагент, по закон или по пълномощие или съответното лице за контакт с дружеството – контрагент, данни относно физическата им идентичност, а именно три имена.

Чл. 14. (1) В регистър „Контрагенти“ се обработват следните категории лични данни, отразяващи физическата идентичност на лицата, а именно:

1. Три имена;

2. Паспортни данни - ЕГН, номер на лична карта или паспорт, дата и място на издаване, постоянен и настоящ адрес, държава на постоянно местопребиваване, а в случай на физическо лице – чужд гражданин – ЛНЧ, дата и място на раждане, всяко гражданство, което лицето притежава;

3. Телефон и имейл адрес за контакт.

(2) Данните по чл. 14, ал. 1 от настоящите Правила се обработват с цел индивидуализиране на страните по сключените договори, включително във връзка с неговото възникване, изпълнение, изменение и прекратяване, както и за изготвяне на документи в тази връзка, включително договори, допълнителни споразумения, нотариални покани, всякакви търговски, счетоводни и правни книжа и документи, включително и искови молби, жалби и др. подобни; установяване на контакт с лицето по телефон, изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключените договори; водене на счетоводна отчетност относно договорните възнаграждения и цени.

(3) Данните по чл. 14, ал. 1, т. 1, т. 2 от настоящите Правила се събират и обработват на основание чл. 6, ал. 1, б. „б“ от Регламента, а именно обработването е необходимо за изпълнението на договор, по който Субектът на данните е страна или за предприемане на стъпки по искане на Субекта на данните преди сключването на договор.

(4) Данните по чл. 14, ал. 1, т. 3 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „а“ от Регламента, а именно Субектът на данните е предоставил съгласие за обработване на личните му данни.

(5) В случай че Субектът на данни не предостави данните по чл. 14, ал. 1, т. 1, т. 2 от настоящите Правила е налице невъзможност за сключване и изпълнение на съответния договор.

Чл. 15. (1) В регистър „Контрагенти“ се обработват следните категории лични данни, отразяващи икономическа идентичност на физическите лица - контрагенти, а именно:

1. Имотно състояние;

2. Финансово състояние;

3. Банкови сметки;

4. Участие и/или притежаване на дялове или ценни книжа в дружества;

5. Установяване дали съответното физическо лице изпълнява важни обществени функции по чл. 36, ал. 2 и ал. 3 от Закона за мерките срещу изпирането на пари, както и родствени връзки с лица по чл. 36, ал. 2 и ал. 3 от Закона за мерките срещу изпирането на пари, а именно видни политически личности.

(2) Данните по чл. 15, ал. 1 от настоящите Правила се обработват с цел определяне платежоспособността на Субекта на данни, както и определяне на свързани лица по смисъла на Търговския закон и Данъчно-осигурителен процесуален кодекс.

(3) Данните по чл. 15, ал. 1 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „e“ от Регламента, а именно обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на Субекта на данните, които изискват защита на личните данни, a именно за определяне платежоспособността на Субектите на данни по съответните договори и определяне на свързани лица по смисъла на Търговския закон и Данъчно-осигурителен процесуален кодекс.

(4) В случай че Субектът на данни не предостави данните по чл. 15, ал. 1 от настоящите Правила е налице невъзможност за сключване и изпълнение на съответния договор.

Регистър „Видеонаблюдение“

Чл. 16. В регистър „Видеонаблюдение“ се обработват лични данни на служителите на Дружеството, клиентите и доставчиците на Дружеството и лицата, намиращи се в гаражното помещение, както и на прилежащата тротоарна част пред офисите на Дружеството, отразяващи физическата идентичност на лицата.

Чл. 17. (1) В регистър „Видеонаблюдение“ се обработват следните категории лични данни, отразяващи физическата идентичност на лицата, а именно: образ и външен вид.

(2) Данните по чл. 17, ал. 1 от настоящите Правила се обработват с цел индивидуализиране на съответните лица, използване на събраните данни за охрана и защита на правата и законните интереси на Администратора, както и за защита на правата и законни интереси на лицата от противоправни посегателства; за установяване на извършителите при осъществяване на общественоопасни деяния като кражби и грабежи.

(3) Данните по чл. 17, ал. 1 от настоящите Правила се обработват на основание чл. 6, ал. 1, б. „e“ от Регламента, а именно обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на Субекта на данните, които изискват защита на личните данни, а именно за защита от противоправни посегателства и за установяване на извършителите при осъществяване на общественоопасни деяния като кражби и грабежи.

(4) Администраторът задължително уведомява служителите, клиентите и доставчиците си и лицата, намиращи се на територията на офиса на Дружеството чрез информационни табла, поставени на видно място, за използваните от същия технически средства за наблюдение и контрол в офиса на Дружеството.

(5) В случай че данните не бъдат предоставени, съответният Субект на данни не може да бъде допуснат до съответния обект под видеонаблюдение.

IV. Категориите получатели на личните данни

Чл. 18. (1) „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

(2) „Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от Субекта на данните, Администратора, обработващия лични данни и лицата, които под прякото ръководство на Администратора или на обработващия лични данни имат право да обработват личните данни.

(3) „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора.

(4) Категории получатели, на които личните данни могат да бъдат разкривани:

1. На лица, ако е предвидено в нормативен акт, включително на държавни органи, по отношение на които съществува законово изискване за предоставяне на определени категории лични данни;

2. На Обработващи лични данни по силата на договор между Администратора и Обработващия;

3. На лица, които под прякото ръководство на Администратора обработват личните данни.

Чл. 19. (1) Обработващи лични данни по силата на договор между Администратора и Обработващия съгласно чл. 18, ал. 4, т. 2 от настоящите Правила са:

1. За регистър „Персонал“ - дружества, осъществяващи счетоводно обслужване, IT обслужване, служби по трудова медицина, одитори, одиторски дружества, адвокати, адвокатски дружества и др., които обработват лични данни само по указание на Администратора, освен ако обработването не се изисква от действащото законодателство;

2. За регистър „Кандидати за работа“ - дружества, осъществяващи подбор и управление на кандидатури за работа, IT обслужване, адвокати, адвокатски дружества и др., които обработват лични данни само по указание на Администратора, освен ако обработването не се изисква от действащото законодателство;

3. За регистър „Контрагенти“ – дружества, осъществяващи счетоводно обслужване, IT обслужване, одитори, одиторски дружества, адвокати, адвокатски дружества и др., които обработват лични данни само по указание на Администратора, освен ако обработването не се изисква от действащото законодателство;

4. За регистър „Видеонаблюдение“ – охранителни дружества, осъществяващи видеонаблюдение и поддръжка на системата за видеонаблюдение.

(2) Обработващите лични данни са длъжни да предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента, както и да осигуряват защита на правата на Субектите на данни.

(3) Лицата, които под прякото ръководство на Администратора обработват личните данни съгласно чл. 18, ал. 4, т. 3 от настоящите Правила са:

1. За регистър „Персонал“ - служителите, заемащи следните длъжности: Директор „Човешки ресурси“, Специалист „Управление на човешките ресурси“, Счетоводител, Юрисконсулт;

2. За регистър „Кандидати за работа“ - служителите, заемащи следните длъжности: Директор „Човешки ресурси“ и Специалист „Управление на човешките ресурси“, ръководители на съответните дирекции, част от които са обявените позиции;

3. За регистър „Контрагенти“ - служителите, заемащи следните длъжности: Мениджър „Партньорства“, Мениджър „Продажби“, Специалист „Продажби“, Ръководител „Отдел по продажбите“, Специалист „Продуктово развитие“, Специалист „Маркетинг и Реклама“, Главен счетоводител, Оперативен счетоводител, Директор „Човешки ресурси“, Юрисконсулт;

4. За регистър „Видеонаблюдение“ - служителите, заемащи длъжност в отдел „Човешки ресурси“, които са оторизирани от управителя/управителите на Дружеството.

(4) Лицата по чл. 19, ал. 3 са длъжни да спазват и изпълняват настоящите Правила и нормативните изисквания по защита на личните данни. На последните се провежда обучение за защита на личните данни, тренировки за реакция при събития, застрашаващи сигурността на данните, дават се разяснения за споделяне на критична информация, като за всяко проведено обучение се съставя протокол.

(5) Администраторът гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност и са запознати с настоящите Правила и законодателството по защита на личните данни.

(6) За неизпълнение на задълженията на лицата по ал. 3 съгласно тези Правила, ЗЗЛД и/или Регламента се налагат дисциплинарни наказания по Кодекса на труда.

(7) За неизпълнение на задълженията на лицата по ал. 3 съгласно тези Правила, ЗЗЛД и/или Регламента, Администраторът може да предприеме действия и по ангажиране на имуществената им отговорност.

(8) Имуществената отговорност се прилага независимо от дисциплинарната, административнонаказателната и наказателната отговорност за същото деяние при спазване изискванията на Кодекса на труда и гражданското законодателство.

V. Срок, за който се съхраняват личните данни и критерии за определяне на този срок

Чл. 20. (1) Личните данни в Регистър „Персонал“, включително счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски, се съхраняват в следните срокове:

1. Трудови договори, ведомости за заплати, платежни нареждания при плащане по банков път, фишове за възнаграждения, ведомости и други документи, удостоверяващи начисляването или изплащането на възнагражденията - 50 години;

2. Неполучените от работниците и служителите трудови книжки, дневници и екземпляри от издадени удостоверения - 50 години;

3. Решения на ТЕЛК и НЕЛК - 50 години;

4. Счетоводни регистри и финансови отчети - 10 години, считано от съответния отчетен период;

5. Документи за данъчно-осигурителен контрол - 5 години след изтичане на давностния срок за погасяване на съответно публичното задължение, с което са свързани;

6. Болнични листове - 3 години, считано от 1-ви януари на годината, следваща годината, в която са издадени;

7. Всички други носители на информация, обработвани за посочените данъчно-осигурителни цели в регистър „Персонал“ - 5 години, следващи годината на настъпване на съответното данъчно и/или осигурително събитие, доколкото законът не предвижда по-дълъг срок.

(2) В срок до 3 месеца след изтичане на нормативно установените срокове, личните данни по ал. 1 от настоящия член се унищожават.

(3) Информация относно телефон и имейл адрес за контакт, за притежавана от Субекта на данни банкова сметка, както и документи, приложени при назначаване или преназначаване на служителя, като дипломи за завършено образование, професионална квалификация и др., се съхраняват за срок до 6 месеца след прекратяване на трудовия договор, освен ако не е налице основание за съхраняването им за по-дълъг срок, след което се унищожават.

(4) При прекратяване и заличаване на предприятието на Администратора, всички съхранявани от него разплащателни ведомости, трудови договори, заповеди за преназначаване, заповеди за ползван неплатен отпуск над 30 работни дни, заповеди за прекратяване на трудови правоотношения, трудови книжки и други документи, установяващи осигурителен стаж и доход на лицата, които са работили в предприятието, се предават на териториалните поделения на Националния осигурителен институт.

(5) Личните данни в Регистър „Кандидати за работа” се съхраняват за срок до 6 месеца след приключване на съответната процедура по подбор, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. При наличие на дадено съгласие, личните данни се съхраняват за срок до 2 години или до оттегляне на съгласието.

(6) В случаите, когато от процедурата по подбор е последвало сключване на трудов или граждански договор, личните данни се прехвърлят в Регистър „Персонал” и се съхраняват съгласно сроковете, предвидени в чл. 20, ал. 1 по-горе.

(7) Личните данни в Регистър „Контрагенти” се съхраняват за срок от 5 години, считано, както следва: в случаите на установяване на делови взаимоотношения с клиенти, както и в случаите на встъпване в кореспондентски отношения срокът започва да тече от началото на календарната година, следваща годината на прекратяването на отношенията.

(8) Личните данни в Регистър „Контрагенти” се съхраняват за срок от 5 години след изтичане на давностния срок за погасяване на съответното публично задължение, с което са свързани.

(9) Личните данни в Регистър „Видеонаблюдение” се съхраняват за срок до 60 дни.

Чл. 21. (1) След изтичане на срока на съхранение, регистърът на хартиен носител се унищожава чрез използване на машина за унищожаване на документи – шредер. Унищожаването се установява с протокол.

(2) След изтичане на срока на съхранение, регистрите на технически (електронен) носител се унищожават чрез заличаването им от паметта на всички сървъри и информационни системи, в това число и от архивните (backup) копия, като за всяко заличаване се съставя протокол.

(3) Администраторът извършва периодичен преглед на регистрите, съхранявани на технически (електронен) носител на всеки 12 месеца с оглед запазване на информацията за съответните лица в актуален вид и с оглед изтичане на съответните срокове, посочени в този раздел Пети и необходимостта от унищожаване.

VI. Права на Субектите на данни

Чл. 22. (1) Субектът на данните, след успешна легитимация по надлежен ред, има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

1. Целите на обработването;

2. Правото на жалба до надзорен орган;

3. Съществуването на право да се изиска от Администратора коригиране, изтриване или ограничаване на обработването на лични данни, свързани със Субекта на данните, или да се направи възражение срещу такова обработване;

4. Правно основание на обработването;

5. Предвидения срок, за който ще се съхраняват личните данни и/или критериите, използвани за определянето на този срок;

6. Получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

7. Съответните категории лични данни;

8. Когато личните данни не се събират от Субекта на данните, всякаква налична информация за техния източник;

9. Съществуването на автоматизирано вземане на решения, включително профилиране.

(2) Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от Субекта на данните, последният заплаща административните разходи за същите. Когато Субектът на данни подава искане чрез електронни средства, информацията се предоставя в електронна форма, освен ако Субектът на данни не е поискал друго.

(3) В зависимост от това дали личните данни се предоставят от Субекта на данните или от друг източник, Администраторът предоставя на Субекта на данните информация по чл. 13 от Регламента в момента на получаване на личните данни, съответно информацията по чл. 14 от Регламента.

Чл. 23. Субектът на данни, след успешна легитимация по надлежен ред, има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването Субектът на данните има право непълните лични данни да бъдат допълнени.

Чл. 24. Субектът на данни, след успешна легитимация по надлежен ред, има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие своевременно личните данни, в следните случаи:

1. Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

2. Субектът на данните е оттеглил своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

3. Субектът на данните е възразил срещу обработването на лични данни и няма законни основания за обработването, които да имат преимущество, а в случаите, когато обработването е за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява;

4. Личните данни са били обработвани незаконосъобразно;

5. Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по приложимото спрямо Администратора право;

6. Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца относно условията, приложими за съгласието на дете във връзка с услугите на информационното общество.

Чл. 25. (1) Субектът на данните има право да изиска от Администратора ограничаване на обработването, в следните случаи:

1. Когато Субектът на данните оспорва точността на личните данни, за срок, който позволява на Администратора да провери точността на личните данни;

2. Когато обработването на личните данни е неправомерно, но Субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

3. Когато Администраторът не се нуждае повече от личните данни за целите на обработването, но личните данни следва да бъдат съхранявани, тъй като Субектът на данните изисква това от Администратора за установяването, упражняването или защитата на правни претенции;

4. Субектът на данните е възразил срещу обработването на личните данни, но следва да се извърши проверка дали законните основания на Администратора имат преимущество пред интересите на Субекта на данните.

(2) Когато обработването е ограничено съгласно ал. 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на Субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.

(3) Когато Субект на данните е изискал ограничаване на обработването съгласно ал. 1, Администраторът го информира преди отмяната на ограничаването на обработването.

Чл. 26. Администраторът съобщава за всяко извършено в съответствие с чл. 23, чл. 24 и чл. 25 коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити. Администраторът информира Субекта на данните относно тези получатели, ако Субектът на данните поиска това.

Чл. 27. (1) Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото личните данни са предоставени, когато:

1. Обработването е основано на съгласие или в съответствие на договорно задължение;

2. Обработването се извършва по автоматизиран начин.

(2) Когато упражнява правото си на преносимост на данните по ал. 1, Субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

(3) Упражняването на правото, посочено в ал. 1 от настоящия член не засяга правото на изтриване по чл. 24. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора.

Чл. 28. (1) Субектът на данните има право по всяко време на възражение срещу обработване на лични данни, отнасящи се до него, на основание член 6, параграф 1, буква „д“ от Регламента, когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора, или на основание член 6, параграф 1, буква „е“ от Регламента – когато обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на Субекта на данни, които изискват защита на личните данни, по-специално когато субектът на данните е дете. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на Субекта на данни, или за установяването, упражняването или защитата на правни претенции.

(2) Когато се обработват лични данни за целите на директния маркетинг, Субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

(3) Когато Субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

(4) Най-късно в момента на първото осъществяване на контакт със Субекта на данни, той изрично се уведомява за съществуването на правото по ал. 1 и 2, което му се представя по ясен начин и отделно от всяка друга информация.

(5) Субектът на данни може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.

Чл. 29. Когато обработването се извършва въз основа на съгласие, Субектът на данни следва да бъде информиран за правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, Субектът на данни бива информиран за това.

Чл. 30. (1) Всеки Субект на данни има право да подаде жалба до съответния надзорен орган, в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако Субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на Регламента.

(2) Надзорният орган в Република България е Комисия за защита на личните данни, с адрес: гр. София, 1592, бул. „Проф. Цветан Лазаров“ № 2, тел. 02/91-53-518, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg.

Чл. 31. (1) Администраторът предприема необходимите мерки за предоставяне на всякаква информация по настоящите Правила и на всякаква комуникация по членове 22 – 29 и член 37, която се отнася до обработването, на Субекта на данни в кратка, ясна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг подходящ начин, включително, с електронни средства. Ако Субектът на данни е поискал това, информацията може да бъде дадена устно, при положение, че идентичността на Субекта на данни е доказана и с други средства.

(2) Администраторът съдейства за упражняването на правата на Субекта на данни по членове 22 – 29 по-горе.

(3) Администраторът се задължава да предприеме всички необходими действия по искане на Субекта на данни за упражняване на правата му по членове 22 - 29, като Администраторът има право да откаже да предприеме съответните действие само в случаите, когато не е в състояние да идентифицира Субекта на данни.

(4) Администраторът се задължава да предостави на Субекта на данни информация относно действията, предприети във връзка с подадено от същия искане по членове 22 - 29, по-горе, в срок от един месеца от получаване на искането. При необходимост, в зависимост от сложността и броя на исканията, този срок може да бъде удължен с още два месеца. Администраторът се задължава да информира Субекта на данни за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато Субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако Субектът на данни не е поискал друго.

(5) Ако Администраторът не предприеме действия по съответното искане на Субекта на данни, Администраторът уведомява Субекта на данни най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

Чл. 32. С оглед улеснение на Субекта на данни по упражняване на правата му, описани по-горе, Администраторът изготвя заявления, съставляващи неразделна част от настоящите Правила. Когато Администраторът има основателни съмнения относно самоличността на физическото лице, което подава заявлението, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на Субекта на данните.

VII. Сигурност на личните данни

Чл. 33. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, Администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламента. Тези мерки се преразглеждат периодично и при необходимост се актуализират.

Чл. 34. (1) Администраторът въвежда подходящи технически и организационни мерки, разработени с оглед на ефективното прилагане на принципите за защита на данните, в това число свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на Регламента и да се осигури защита на правата на Субектите на данни.

(2) Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

Чл. 35. (1) Администраторът поддържа регистри на дейностите по обработване, за които отговоря, представляващи Приложения – неразделна част от настоящите Правила.

(2) Регистрите се поддържат в писмена форма, включително в електронен формат.

(3) При поискване, Администраторът осигурява достъп до регистрите на надзорния орган.

Чл. 36. (1) Администраторът прилага подходящи технически и организационни мерки за осигуряване на съобразено ниво на сигурност, включително:

1. Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

2. Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

3. Процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

(2) При оценката на подходящото ниво на сигурност се вземат предвид рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

(3) Администраторът предприема действия всяко физическо лице, действащо под ръководството на Администратора, което има достъп до лични данни, да обработва тези данни само по указание на Администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

(4) В случаите на автоматизирано обработване, Администраторът прилага мерки имащи за цел:

1. Контрол върху достъпа до оборудването - да се отказва достъпа на неоправомощени лица до оборудването, използвано за обработване;

2. Контрол върху носителите на данни - да се предотврати четенето, копирането, изменението или отстраняването на носители на данни от неоправомощени лица;

3. Контрол върху съхранението - да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменението или заличаването на съхранявани лични данни от неоправомощени лица;

4. Контрол върху потребителите - да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни;

5. Контрол върху достъпа до данни - да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп;

6. Контрол върху комуникацията - да се гарантира възможността за проверка и установяване на кой са били или могат да бъдат предадени или имат достъп до лични данни чрез оборудване за предаване на данни;

7. Контрол върху въвеждането на данни - да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого са били въведени тези лични данни;

8. Контрол върху пренасянето - да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни;

9. Възстановяване - да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите;

10. Надеждност - да се гарантира изпълнението на функциите на системата и докладването за появили се във функциите дефекти;

11. Цялостност - да се гарантира недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата.

Чл. 37. (1) В случай на нарушение на сигурността на личните данни, Администраторът, не по-късно от 72 часа, след като е разбрал за него, уведомява за нарушението на сигурността на личните данни компетентния надзорен орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато същото не е подадено в срок от 72 часа.

(2) В уведомлението по ал. 1 се съдържа най-малко следното:

1. Описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите Субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

2. Името и координатите за връзка с лице за контакт, от което може да се получи повече информация;

3. Описание на евентуалните последици от нарушението на сигурността на личните данни;

4. Описание на предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

(3) Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

(4) Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

Чл. 38. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът своевременно, но не по-късно от 7 дни от установяване на нарушението, съобщава на Субекта на данните за нарушението на сигурността на личните данни, като посочва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в чл. 37, ал. 2, т. 2, 3 и 4.

Чл. 39. Администраторът не извършва автоматизирано вземане на решения и профилиране.

VIII. Оценка на въздействието и нива на защита

Чл. 40. Администраторът извършва анализ и оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.

Чл. 41. (1) Съобразно предвидените операции по обработването и броя на съответните Субекти на данни, Администраторът определя следните нива на въздействие върху защитата на личните данни, както следва:

1. За Регистър „Персонал“ – средно ниво на въздействие;

2. За Регистър „Кандидати за работа“ – ниско ниво на въздействие;

3. За Регистър „Контрагенти“ – ниско ниво на въздействие;

4. За Регистър „Видеонаблюдение“ – ниско ниво въздействие.

(2) Администраторът определя, че не съществува вероятност обработването да породи висок риск за правата и свободите на физическите лица, вземайки предвид следното:

1. Администраторът не извършва операции по систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

2. Администраторът не извършва операции по мащабно обработване на специални категории данни или на лични данни за присъди и нарушения;

3. Администраторът не извършва операции по систематично мащабно наблюдение на публично достъпна зона, отчитайки, че Администраторът осъществява видеонаблюдение с оглед запазване на легитимните си интереси, което не е мащабно и не включва следене на действията на своите служители и техните работни станции.

(3) С оглед избягване на съмнение по отношение на извършваното от Администратора видеонаблюдение, Администраторът определя, че обработването на личните данни не може да породи висок риск за правата и свободите на физическите лица предвид краткия период на съхранение на данните, както и предвид че наблюдението на Субектите на данни няма за цел следене на тяхната дейност, включително в интернет, а има за цел защита на легитимните интереси и опазване на имуществото на Администратора, сигурността и безопасността на служителите.

(4) При необходимост и когато е налице промяна в риска, с който са свързани операциите по обработване, Администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на лични данни.

(5) Определените нива на въздействие за съответните Регистри са посочени в Приложенията към настоящите Правила.

Чл. 42. Съобразно определеното ниво на въздействие, Администраторът определя следните нива на защита, както следва:

1. За Регистър „Персонал“ се определя средно ниво на защита;

2. За Регистър „Кандидати за работа“ се определя ниско ниво на защита;

3. За Регистър „Контрагенти“ се определя ниско ниво на защита;

4. За Регистър „Видеонаблюдение“ се определя ниско ниво на защита.

Чл. 43. След извършения анализ и преценка на нивото на въздействие, Дружеството е назначило длъжностно лице по защита на данните.

IX. Мерки за защита

Чл. 44. (1) Администраторът води Регистър „Персонал“, Регистър „Кандидати за работа“ и Регистър „Контрагенти“ на хартиен и на технически (електронен) носител, а Регистър „Видеонаблюдение“ само на технически (електронен) носител.

(2) Техническите и организационни мерки за контролиране на достъпа до офиса на Дружеството включват:

1. Система за контрол на достъп, използваща чипове за достъп, чрез които се идентифицира лицето, ползващо достъп до офиса на Дружеството;

2. Заключващи се врати;

3. Видеонаблюдение със запис - 24 часа в денонощието, 7 дни в седмицата.

Регистър „Персонал“ на хартиен носител

Чл. 45. (1) Всички лични данни в Регистър „Персонал“ се съхраняват в лично трудово досие на хартиен носител.

(2) Личното трудово досие на всеки служител представлява съвкупност от писмени документи, които отразяват в цялост професионалното развитие и поведение на отделния служител. Личното трудово досие трябва да съдържа всички документи по създаването, изменението, развитието и прекратяването на трудовото правоотношение.

(3) Към личното трудово досие на служителите се прилагат следните документи:

1. Оригиналната молба на лицето за постъпване на работа с всички приложени към нея документи, ако е налице такава;

2. Копия от протоколи от проведени подбори по документи, конкурси и др. подобни, които обуславят възникването на трудовото правоотношение със служителя;

3. Копия на всички документи, изискващи се при първоначалното сключване на трудовия договор и за последващите промени по трудовия договор;

4. Оригинали на основни и, ако има такива, на допълнителните трудови договори, подписани от двете страни;

5. Оригинали на всички подписани и от двете страни допълнителни споразумения към трудовия договор или заповеди за преназначаване;

6. Оригинали на всички молби на лицето за промени в условията на трудовия договор или заповедите за назначаване и направените по тях резолюции и издадените от Работодателя разпореждания;

7. Оригинали на всички едностранни разпореждания на Работодателя във връзка с промени в условията по трудовия договор;

8. Оригинали на молбите и на заповедите по отношение на ползването на всички видове отпуски;

9. Копия на ползваните болнични листове;

10. Копия от протоколи на измервания на условията на труд, отнасящи се за съответната длъжност или работно място;

11. Копия и извадки от инструкции относно задължителните изисквания за безопасна работа и за използване на колективни и индивидуални защитни средства;

12. Копия на всички заповеди на Работодателя за наказания, награди, поощрения и други подобни;

13. Длъжностна характеристика, която включва основните права и задължения на лицето за изпълнение на конкретната длъжност, както и минималните изисквания на закона и на Работодателя по отношение на образованието (вид, степен, специалност) и професионална квалификация (професия, специалност, общ и специален трудов стаж, възраст, езици и др.). В досието трябва да се съхраняват копия от първоначалната длъжностна характеристика и от всички настъпили в нея промени;

14. Документи, удостоверяващи придобити умения, завършени курсове и други, свързани с професионалното развитие на служителите;

15. Други документи, свързани с трудовото правоотношение - протоколи, разпечатки от контролни системи за присъствие на работното място и др.;

16. Заповед за прекратяване на трудовото правоотношение, подписана и от двете страни, а когато тя е предшествана от писмено предизвестие - и един екземпляр от него;

17. Трудовата книжка, когато за това има подадена декларация - съгласие от служителя за съхраняване на трудовата книжка в личното трудово досие.

(4) При организацията и съхраняването на личните трудови досиета на хартиен носител папките се подреждат в картотечни шкафове със заключване.

(5) До помещението, където се съхраняват и обработват личните данни имат достъп само служителите, обработващи лични данни, посочени в настоящите Правила. До помещението външни лица се допускат само и единствено със съгласието и когато са придружени от служители, които имат право на достъп до личните данни.

(6) На етажите, където се съхраняват досиетата от Регистрите, има 1 бр. пожарогасител.

(7) На всички компютри в мрежата на Дружеството е инсталирана програма, която автоматично и ежедневно почиства вируси.

(8) Служителите, работещи с досиетата, заключват същите в картотечния шкаф след приключване на работа с тях и/или напускане на помещението, като в този случай заключват и самото помещение, при възможност.

(9) При регистриране на неправомерен достъп до личните трудови досиета, служителят, констатирал това нарушение, докладва писмено за това на управителя/управителите на Дружеството.

(10) Процедурата по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.

Регистър „Контрагенти“ на хартиен или на електронен носител

Чл. 46. (1) Всички лични данни в Регистър „Контрагенти“ се съхраняват в досие на хартиен носител.

(2) Досието представлява съвкупност от писмени документи, които съдържат всички документи по създаването, изменението, развитието и прекратяването на облигационното правоотношение.

(3) Към досието се прилагат следните документи: оферти, договори, допълнителни споразумения, анекси, протоколи, заявки, поръчки, писма, уведомления, счетоводни документи, предизвестия за прекратяване на договори, нотариални покани, споразумение за прекратяване и др.

(4) При организацията и съхраняването на досиетата на хартиен носител папките се подреждат в картотечни шкафове със заключване.

(5) До помещението, където се съхраняват и обработват личните данни, имат достъп само служителите, обработващи лични данни, посочени в настоящите Правила. До помещението външни лица се допускат само и единствено със съгласието и когато са придружени от служители, които имат право на достъп до личните данни.

(6) На етажите, където се съхраняват досиетата от регистрите, има 1 брой пожарогасител.

(7) На всички компютри в мрежата на Дружеството е инсталирана програма, която автоматично и ежедневно почиства вируси.

(8) Служителите, работещи с досиетата, заключват същите в картотечния шкаф след приключване на работа с тях и/или напускане на помещението, като в този случай заключват и самото помещение, при възможност.

(9) При регистриране на неправомерен достъп до досиетата, служителят, констатирал това нарушение, докладва писмено за това на управителя/управителите на Дружеството.

(10) Процедурата по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.

Регистър „Персонал“, Регистър „Кандидати за работа“, Регистър „Контрагенти“ и Регистър „Видеонаблюдение“ на електронен носител

Чл. 47. (1) При организацията и съхраняването на личните данни на електронен носител личните данни се въвеждат на твърд диск, на сървър, чрез отделни компютри, които са свързани с локална мрежа, но със защитен достъп до личните данни, който е непосредствен само от страна на служителите, обработващи лични данни, посочени в настоящите Правила.

(2) На служителите, обработващи личните данни, се предоставят персонални акаунти и пароли за достъп до счетоводната програма.

(3) При работа с данните се използват софтуерни продукти за обработка на същите. Софтуерните продукти са адаптирани към специфичните нужди на Администратора на лични данни.

(4) Мрежата, изградена в офисите на Дружеството се базира изключително на комуникационни устройства (комутатори, защитни стени и др.), които предоставят богат набор от възможности, свързани със сигурността на достъпа до информация. Сървърът за съхранение на информацията относно личните данни, се намират в облачната система на Amazon Web Services.

(5) Компютрите, свързани във вътрешна мрежа, са проверени, като са предприети съответни мерки за минимизиране на риска от изтичане на информация.

Чл. 48. (1) Компютрите се поставят в изолирани помещения за самостоятелна работа на служителите, обработващи личните данни, а когато не е налице организационно-техническа възможност за това, компютрите могат да бъдат поставени в общо помещение за работа на служителите, обработващи личните данни с изпълняващи други дейности.

(2) Достъп до папките на сървъра, съдържащи файлове за обработка на лични данни, имат служителите, обработващи личните данни, посочени в настоящите Правила, като достъпът е осигурен единствено на лица с конкретното ниво на административни правомощия, и е на база влизане в системата с потребителско име и парола.

(3) Предаването на лични данни по електронен път се осъществява чрез електронна поща и интегрираната към облачна система на GSuite, а в интернет платформите на съответните държавни органи – чрез електронен подпис.

Чл. 49. (1) Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на антивирусни програми, осъществяващи ежедневно сканиране на системите, ежедневно презаписване (backup) на информацията, периодично архивиране на данните на отделни криптирани външни електронни носители, както и чрез поддържане на информацията на хартиен носител.

(2) Архивните копия се създават от съответните служители, натоварени да обработват лични данни в компютърен файл, съхранявани на подходящи носители, чрез които може да се осъществи възстановяването. Достъп до тях имат само служителите, обработващи личните данни. Архивните копия и процедурите за възстановяване на данни се съхраняват на различно място от това на компютърното оборудване, обработващо данните.

(3) Служителите, обработващи личните данни заключват системите при напускане на работното място.

(4) При регистриране на неправомерен достъп до информационните масиви за лични данни, служителят, констатирал това нарушение, докладва писмено за това на управителя/управителите на Дружеството.

(5) Процедурата по докладване и управление на инциденти задължително включва регистрирането на инцидента, времето на установяването му, лицето, което го докладва, лицето, на което е бил докладван, последствията от него и мерките за отстраняването му.

X. Преходни и заключителни разпоредби

1. Контрол по изпълнение на настоящите Правила се възлага на управителя/управителите на Дружеството или упълномощени от него лица.

2. Настоящите Правила влизат в сила от деня на утвърждаването им от управителя/управителите на Дружеството или упълномощени от тях лица.

3. Настоящите Правила се прилагат заедно с всички законови и подзаконови нормативни актове, действащи и в сила на територията на Република България.

4. Настоящите Правила са изготвени на български език и на английски език, като в случай на противоречие между двете версии, предимство има българската.

Consent to Submit Personal Data for Processing

We are pleased to inform you that you have been considered as a potential candidate for a job opportunity at NDS EOOD, UIC 205165666, with registered office and address: Bulgaria, Sofia, Sredets District, Prof. Fritiof Nansen St. 37A, 5th floor.

In compliance with the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/E, we need to obtain your explicit informed consent to collect, store and retain your personal data to enable us to process your job application.

I. The personal data we have collected from you includes, but is not limited to:

1. Full name;

2. A telephone number and an email address for contact;

3. Professional biography (work activity) and educational status;

References;

4. Any additional information you have provided in regard to your application.

II. The purposes of processing your personal data are:

(i) to assess your suitability for current job opportunities; and (ii) for future job opportunities - candidates data base (talent pool), in case your application is unsuccessful, and to be contacted should any further suitable future opportunities arise within our organization. Your data will be stored securely and accessed only by authorized personnel involved in the recruitment process.

III. By agreeing with the below, you acknowledge and provide your consent for NDS EOOD to collect, store and retain your personal data for up to 6 months as of the closure of the recruitment procedure in relation to the processing purpose under Section II, (i) hereinabove, and up to 2 years in relation to the processing purpose under Section II, (ii); or until consent is withdrawn. Following the term expiration and/or withdrawal of consent, personal data will be securely deleted or anonymized. This consent is voluntary, and you have the right to withdraw it at any time at dpo@nexo.com.

INTERNAL RULES FOR THE PROTECTION OF PERSONAL DATA OF NDS EOOD

I. General Provisions

Article 1. (1) NDS EOOD, UIC 205165666, with registered office and address: Bulgaria, Sofia, Sredets District, Prof. Fritiof Nansen St. 37A, 5th floor, is the Personal Data Controller (hereinafter referred to as: the “Controller”/the “Company”/the “Employer”) within the meaning of Article 4(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/E (GDPR) (the “Regulation”) and §1, item 2 of the Additional Provisions to the Bulgarian Personal Data Protection Act (the “PDPA”).

(2) The Controller’s activities include: providing software services to clients, outsourcing of business processes, finance, customer service, call center support and programming, and all lawful activities.

(3) Contact details for the Controller and its representative: Sofia, Sredets District, Prof. Fritiof Nansen St. 37A, 5th floor; email: dpo@nexo.com.

(4) These Internal Rules for the Protection of Personal Data (the “Rules”) set out the rules regarding the protection of natural persons in relation to the processing of their personal data by the Company.

(5) “Personal data” means any information relating to an identified or identifiable natural person.

(6) “Data subject” means a natural person who can be identified, directly or indirectly, by reference to identifiers such as name, ID number, location data, online identifier, or one or more factors specific to their physical, physiological, genetic, mental, economic, cultural, or social identity of the natural person.

(7) “Controller” means any natural or legal person, public authority, agency, or other body which alone or jointly determines the purposes and means of personal data processing.

(8) “Processing” means any operation or multiple operations performed on personal data or personal data package performed automatically or by other means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure through submission, dissemination or by other way in which the data becomes accessible, arrangement, combination, restriction, erasure, or destruction.

(9) In these Rules, the European Union is referred to as the “Union”.

Article 2. These Rules include:

1. Identification and contact details of the Controller and its representative;

2. Registers maintained by the Controller;

3. Categories of personal data that the Controller processes; purposes of the processing; legal basis; an indication of whether the provision of personal data is mandatory or a contractual requirement, or necessary for entering into a contract, or based on the Data subject’s consent to the processing of their personal data; and whether the Data subject is obliged to provide such personal data and the possible consequences if those data are not provided;

4. Categories of recipients of personal data;

5. The period for which personal data will be stored and the criteria used to determine that period;

6. The rights of Data subjects, including: the right to request from the Controller access to, correction or deletion of, or restriction of their processing of personal data of the Data subject, or to object to processing; the right to data portability; where processing is based on Data subject’s consent, the right to withdraw that consent at any time without affecting the lawfulness of processing carried out on the basis of consent prior to its withdrawal; the right to lodge a complaint with a supervisory authority; any other rights granted to Data subjects by applicable national or supranational law;

7. Data security;

8. Data Protection Impact Assessment and levels of protection;

9. Safeguards.

Article 3. These Rules are approved, amended, and supplemented by the Company’s legal representatives or their authorized persons.

Article 4. These Rules ensure compliance with the following principles regarding the processing of Personal Data:

1. “Principle of lawfulness, fairness, and transparency” – personal data are processed lawfully, in good faith, and in a transparent manner with respect to the Data subject;

2. “Principle of purpose limitation” – personal data are collected for specific, explicit, and legitimate purposes and not further processed in a manner incompatible with those purposes;

3. “Principle of data minimization” – personal data are adequate, relevant, and limited to what is necessary in relation to the purposes for which they are processed;

4. “Principle of accuracy” – personal data are accurate and, where necessary, kept up to date; the Controller has taken all reasonable steps to ensure that inaccurate data are erased or rectified without delay, in light of the purposes for which they are processed;

5. “Principle of storage limitation” – personal data are kept in a form that permits identification of Data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as they will be processed solely for archiving purposes in the public interest, scientific or historical research purposes, or statistical purposes, provided that appropriate technical and organizational measures are applied to safeguard the rights and freedoms of Data subjects;

6. “Principle of integrity and confidentiality” – personal data are processed in a manner that ensures appropriate security, including protection against unauthorized or unlawful processing and against accidental loss, destruction, or damage, using appropriate technical or organizational measures;

7. “Principle of accountability” – the Controller is responsible for and must be able to demonstrate compliance with all of the above principles.

II. Registers Maintained by the Controller

Article 5. (1) The Controller maintains four registers:

1. “Personnel” register;

2. “Job Applicants” register;

3. “Counterparties” register;

4. “Video Surveillance” register.

(2) “Personnel” and “Counterparties” registers may be on paper or electronic media; “Video Surveillance” and “Job Applicants” registers are exclusively electronic.

(3) Data sharing by the natural persons is made personally by the Data subject to whom the data refers, in writing, extracted by public registers, and for "Video Surveillance" register - by technical surveillance means.

III. Categories of Data, Processing Purposes, Legal Bases, Requirements for Data sharing and Consequences of Non-provision

“Personnel” Register

Article 6. In the “Personnel” register, the Controller processes personal data of employees, individuals under civil contracts, and individuals under management contracts concluded with the Controller, reflecting their physical identity, family identity, social identity, and data pertaining to health.

Article 7. (1) In the “Personnel” register, the following categories of personal data reflecting the physical identity of the individuals are processed, namely:

1. Full name;

2. Passport data – personal identification number, gender, identity card or passport number, date and place of issue, permanent and current address; and, in the case of a natural person who is a foreign citizen – personal number of foreigner, date and place of birth, any citizenship held by the individual;

3. Telephone number and email address for contact;

4. Bank account;

5. Professional biography (employment history) and educational status;

6. Data on health insurance status and the health condition of the employee;

7. Photographs and/or other data by which the natural person may be identified for the purposes of granting access to the workplaces.

(2) The data under Article 7(1) are processed for the purpose of individualizing the parties to the respective legal relationship, including in connection with its establishment, performance, modification, and termination, as well as for the preparation of documents related to the respective legal relationship, including contracts, addenda, orders for appointment or termination of employment, documents certifying employment history, service certificates, inquiries, certifications, and similar; establishing contact with the individual by telephone and email, sending correspondence related to the fulfillment of their obligations under employment or civil contracts; maintaining an employment record; and maintaining accounting records regarding remuneration under the respective legal relationships.

(3) The data under Article 7(1) items 1, 2, 5, and 6 are processed on the basis of Article 6(1), letter “c” of the Regulation, namely the processing is necessary for compliance with a legal obligation applicable to the Controller, and, more specifically, the provision of these data constitutes a mandatory requirement in view of the Controller’s regulatory obligations under the Labour Code, Social Security Code, Code of Civil Procedure, Health Insurance Act, Accounting Act, Personal Income Tax Act, Health and Safety at Work Act, Law on Restriction of Cash Payments, Regulation on Working Time, Breaks and Leaves, Ordinance No. 3 on Mandatory Preliminary and Periodic Medical Examinations of Workers, Ordinance on the Structure and Organization of Remuneration, Ordinance on Business Trips within the Country, Ordinance on Official Business Trips and Specializations Abroad, Ordinance No. 4 of 11.05.1993 on Documents Required for Concluding an Employment Contract, and other applicable legislative acts.

(4) The data under Article 7(1) items 1, 2, 3, 4, and 7 of these Rules are processed on the basis of Article 6(1), letter “b” of the Regulation, namely the processing is necessary for the performance of an employment and/or civil contract concluded with the Data subject.

(5) If the Data subject does not provide the data under:

1. Article 7(1) items 1, 2, 5 and 6 of these Rules, there is an impossibility to conclude, execute and terminate a contract, and Article 7(1) item 7 - to execute a contract in accordance with the internal rules of the Controller;

2. Article 7(1) item 4 of these Rules, there is an impossibility to pay the respective remuneration to the person by bank transfer, given the policy undertaken by the Company to make cashless payments.

Article 8. (1) The “Personnel” register processes the following categories of personal data reflecting the family identity of individuals, namely:

1. Marital status - presence of marriage;

2. Family relationships, including children up to the age of 18.

(2) The data referred to in Article 8(1) of these Rules shall be processed for the purpose of establishing the rights of persons to receive family allowances for children up to 18 years of age, for charging appropriate deductions from a person’s remuneration on the grounds of an award of maintenance and/or attachment of remunerations, attachment of remuneration claims under civil contracts, management contracts, keeping of employment records, entitlement to leave in the cases provided for in the Labour Code, etc.

(3) The data referred to in Article 8(1) herein, are processed under Article 6(1), letter “c” of the Regulation, i.e. the processing is necessary for compliance with a legal obligation applicable to the Controller and, in particular, their provision constitutes a mandatory requirement in order to comply with the statutory requirements of the Labour Code, the Social Security Code, the Code of Civil Procedure, the Health Insurance Act, the Accounting Act, the Personal Income Tax Act, the Working Hours, Rest and Holidays Ordinance and other applicable regulations.

(4) If the Data subject does not provide the data under:

1. Article 8(1), item 1 of these Rules, the Data subject shall not be entitled to take leave upon marriage - 2 working days;

2. Article 8(1), item 2 of these Rules, the Company will withhold the maximum amount allowed by law, and in determining the amount of the relevant amount will apply the rules relating to persons who do not have children to support or will not grant the statutory leave.

Article 9. (1) The following categories of personal data reflecting the social identity of individuals are processed in the “Personnel” register, namely:

1. Education - type of education, educational qualification, place of education, number and date of diploma; additional qualifications;

2. Work activity - professional biography, work experience in a particular profession, economic sectors in which the person has worked.

(2) The data referred to in Article 9(1) shall be processed for the purpose of complying with statutory requirements or requirements established by the Employer, including but not limited to selection for the purpose of termination of employment, completion of employment records, maintenance of employment record, establishment of length of service and conditions for retirement.

(3) The data referred to in Article 9(1) shall be processed on the basis of Article 6(1), letter “c” of the Regulation, i.e. the processing is necessary for compliance with a legal obligation applicable to the Controller and, in particular, their provision constitutes a mandatory requirement in order to fulfil the Controller’s legal obligations under the Labour Code, the Social Insurance Code, the Health Insurance Act, the Accounting Act, the Personal Income Tax Act, Ordinance No. 4 of 11 May 1993 on the Documents required for the Conclusion of an Employment Contract and other applicable legal acts.

(4) If the Data subject does not provide the data under:

1. Article 9(1), item 1 of these Rules, there is an impossibility to conclude an employment contract;

2. Article 9(1), item 2 of these Rules, there is an impossibility to determine additional remuneration for length of service and professional experience, therefore the Company shall not pay the Data subject additional remuneration for length of service and professional experience.

Article 10. (1) The following categories of personal data relating to the health of individuals shall be processed in the “Personnel” register, namely:

1. Health status established by a medical certificate for the commencement of work and/or a decision of the Territorial Expert Medical Committees (TEMC) and National Expert Medical Commission (NEMC), as well as documents provided by the Occupational Health Service;

2. A declaration in accordance with Article 333(1) of the Labour Code;

3. Sick leave certificates.

(2) The data referred to in Article 10(1) of these Rules shall be processed for the purpose of compliance with the legal requirements for conclusion of an employment contract, performance and termination of the employment relationship, maintenance of employment records, employment.

(3) The data referred to in Article 10(1) of these Rules shall be processed on the basis of Article 6(1), letter “c” of the Regulation, i.e. the processing is necessary for compliance with a legal obligation applicable to the Controller and, in particular, their provision constitutes a mandatory requirement in order to comply with the Controller’s legal obligations under the Labour Code, the Social Insurance Code, the Health Insurance Act, the Accounting Act, the Personal Income Tax Act, the Occupational Health and Safety Act, Ordinance No. 4 of 11.05.1993 on the Documents required for the Conclusion of an Employment Contract, Ordinance No. 5 of 20.02.1987 on the Diseases for which Workers suffering from them have Special Protection pursuant to Art. 333, (1) of the Labour Code and other applicable legislation.

(4) In case the Data subject does not provide the data referred to in Article 10(1) of these Rules, there is an impossibility to conclude an employment contract, respectively an impossibility to continue the employment relationship, including the possibility of imposing a disciplinary penalty for failure to report to work in cases where the Data subject fails to notify the Controller of a sick leave.

(5) The Data subject shall provide a decision to the TEMC and the NEMC in order to be able to exercise his/her rights under the Labour Code, the Employment Promotion Act, the Persons with Disabilities Act and the Employment Ordinance.

Article 11. (1) The “Personnel” register processes personal data relating to trade union membership.

(2) The data referred to in Article 11(1) shall be processed for the purpose of complying with statutory requirements or requirements established by the Employer, including but not limited to selection for the purposes of termination of employment, completion of employment records, maintenance of employment records, establishment of length of service and conditions of retirement.

(3) The data referred to in Article 11(1) shall be processed on the basis of Article 6(1), letter “c” and Article 9(2) letter “b” of the Regulation, i.e. the processing is necessary for compliance with a legal obligation applicable to the Controller and, in particular, their provision constitutes a mandatory requirement in order to fulfil the Controller’s legal obligations under the Labour Code, the Social Insurance Code, the Health Insurance Act, the Accountancy Act, the Personal Income Tax Act, Ordinance No. 4 of 11.05.1993 on the Documents required for the Conclusion of an Employment Contract and other applicable legislation.

(4) In case the Data subject does not provide the data referred to in Article 11(1) of these Rules, the Data subject shall not be able to benefit from the favourable terms of the relevant collective agreement and the Labour Code.

“Job Applicants” Register

Article 12. (1) The “Job Applicants” register processes personal data of persons applying for a job with the Controller, containing the following information about the persons, namely:

1. Full name;

2. A telephone number and an email address for contact;

3. Professional biography (work activity) and educational status;

4. Photographs, and other data by which the individual can be identified;

5. Information on citizenship - insofar as different regimes for the employment of foreigners in the Republic of Bulgaria would apply.

(2) The data referred to in Article 12(1) of these Rules shall be processed on the grounds of Article 6(1), letter “a” of the Regulation, i.e. the Data subject has provided consent to the processing of his/her personal data, and with the selected candidate and on the basis of Article 6(1), letter “b” of the Regulation - the processing is necessary in order to take steps to conclude a contract.

(3) The data referred to in Article 12(1) of these Rules shall be processed for the purpose of conducting recruitment and selection procedures, which includes assessing the qualifications, skills and experience of candidates in relation to the relevant job, contacting candidates in connection with the recruitment process and making an informed decision on the conclusion of an employment and/or civil service contract.

(4) If the Data subject does not provide the data referred to in Article 12(1) of these Rules, it is impossible to carry out the necessary evaluation and selection actions, and the respective application will not be considered.

“Counterparties” Register

Article 13. Personal data of the Controller’s customers and suppliers, including persons in pre-contractual relations with the Controller, reflecting the physical and economic identity of natural persons - counterparties, and for natural persons who represent the respective company - counterparty, by law or by power of attorney or the respective contact person with the company - counterparty, data concerning their physical identity, namely full name, shall be processed in the “Counterparty” Register.

Article 14. (1) The following categories of personal data reflecting the physical identity of individuals are processed in the “Counterparties” Register, namely:

1. Full name;

2. Passport data - personal identification number, identity card or passport number, date and place of issue, permanent and current address, country of permanent residence, and in the case of a natural person - foreign citizen - personal number of foreigner, date and place of birth, any nationality the person holds;

3. Telephone number and email address for contact.

(2) The data referred to in Article 14(1) of these Rules shall be processed for the purpose of individuating the parties to the concluded contracts, including in connection with its formation, performance, amendment and termination, as well as for the preparation of documents in this regard, including contracts, supplementary agreements, notary invitations, any commercial, accounting and legal papers and documents, including claims, complaints, etc. similar; contacting the person by telephone, sending correspondence relating to the performance of their obligations under the contracts entered into; keeping accounting records of contractual fees and prices.

(3) The data referred to in Article 14(1), item 1 and 2 of these Rules shall be collected and processed on the basis of Article 6(1), letter “b” of the Regulation, namely the processing is necessary for the performance of a contract to which the Data subject is a party or for taking steps at the request of the Data subject prior to the conclusion of a contract.

(4) The data referred to in Article 14(1), item 3 of these Rules shall be processed on the basis of Article 6(1), letter “a” of the Regulation, namely the Data subject has provided consent to the processing of his personal data.

(5) In the event that the Data subject does not provide the data referred to in Article 14(1), item 1 and 2 of these Rules, there is an impossibility to conclude and execute the respective contract.

Article 15. (1) The following categories of personal data reflecting the economic identity of natural persons - counterparties are processed in the “Counterparties” register, namely:

1. Property status;

2. Financial status;

3. Bank accounts;

4. Shareholdings and/or holdings of shares or securities in companies;

5. Ascertaining whether the natural person concerned performs important public functions as referred to in Article 36(2) and (3) of the Anti-Money Laundering Measures Law, as well as family ties with persons referred to in Article 36(2) and (3) of the Anti-Money Laundering Measures Law, namely prominent political figures.

(2) The data referred to in Article 15(1) of these Rules shall be processed for the purpose of determining the solvency of the Data subject, as well as determining related persons within the meaning of the Commercial Law and the Tax and Social Security Procedure Code.

(3) The data referred to in Article 15 of these Rules shall be processed on the basis of Article 6(1), letter “f” of the Regulation, namely the processing is necessary for the purposes of the legitimate interests of the Controller or of a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the Data subject which require the protection of personal data, namely to determine the solvency of the Data subjects under the relevant contracts and to determine related parties within the meaning of the Commercial Law and the Tax and Insurance Procedure Code.

(4) If the Data subject does not provide the data referred to in Article 15(1) of these Rules, it is impossible to conclude and perform the respective contract.

“Video Surveillance” Register

Article 16. The “Video Surveillance” register processes personal data of the Company’s employees, customers and suppliers of the Company and persons in the garage area and on the adjacent pavement area in front of the Company’s offices, reflecting the physical identity of the persons.

Article 17. (1) The following categories of personal data reflecting the physical identity of individuals are processed in the “Video Surveillance” register, namely: image and appearance.

(2) The data referred to in Article 17(1) of these Rules shall be processed for the purpose of individualizing the persons concerned, using the collected data for the protection and defence of the rights and legitimate interests of the Controller, as well as for the protection of the rights and legitimate interests of the persons against unlawful infringements; for the identification of the perpetrators when carrying out socially dangerous acts such as theft and robbery.

(3) The data referred to in Article 17(1) of these Rules shall be processed on the basis of Article 6(1), letter “f” of the Regulation, namely the processing is necessary for the purposes of the legitimate interests of the Controller or of a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the Data subject which require the protection of personal data, namely for protection against unlawful infringements and for the identification of perpetrators in the commission of socially dangerous acts such as theft and robbery.

(4) The Controller shall notify its employees, customers and suppliers and persons located on the territory of the Company’s office through information boards placed in a prominent place about the technical means of monitoring and control used by the same in the Company’s office.

(5) In the event that the data is not provided, the Data subject concerned may not be admitted to the relevant site under video surveillance.

IV. Data Recipients Categories

Article 18. (1) “Recipient” means the natural or legal person, public authority, agency or other body to whom the personal data are disclosed, whether or not a third party.

(2) “Third party” means a natural or legal person, public authority, agency or other body other than the Data subject, the Controller, the Processor and persons who, under the direct authority of the Controller or the Processor, are entitled to process the personal data.

(3) “Processor” means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the Controller.

(4) Categories of recipients to whom personal data may be disclosed:

1. To persons, if provided for in a legal act, including public authorities, in respect of whom there is a legal requirement to provide certain categories of personal data;

2. To Processors under a contract between the Controller and the Processor;

3. To persons who process personal data under the direct authority of the Controller.

Article 19. (1) The processors of personal data pursuant to a contract between the Controller and the Processor pursuant to Article 18(4), item 2 of these Rules are:

1. For the “Personnel” register - companies providing accounting services, IT services, occupational health services, auditors, auditing companies, lawyers, law firms, etc., which process personal data only on the instructions of the Controller, unless the processing is required by the legislation in force;

2. For the “Job Applicants” register - companies carrying out recruitment and management of job applications, IT services, lawyers, law firms, etc., which process personal data only on the instructions of the Controller, unless the processing is required by the legislation in force;

3. For the “Counterparties” register - companies providing accounting services, IT services, auditors, auditing companies, lawyers, law firms, etc., which process personal data only on the instructions of the Controller, unless the processing is required by applicable law;

4. For the “Video Surveillance” register - security companies providing video surveillance and video surveillance system maintenance.

(2) Processors are required to provide sufficient guarantees for the implementation of appropriate technical and organisational measures in such a way that processing takes place in accordance with the requirements of the Regulation and to ensure the protection of the rights of Data subjects.

(3) The persons who, under the direct authority of the Controller, process personal data pursuant to Article 18(4), item 3 of these Rules are:

1. For the “Personnel” register – the employees holding the following positions: Director of Human Resources, Human Resources Management Specialist, Accountant, Legal Counsel;

2. For the “Job Applicants” register – the employees holding the following positions: Director of Human Resources and Human Resources Management Specialist, Heads of the respective directorates under which the advertised vacancies fall;

3. For the “Counterparties” register – the employees holding the following positions, Partnerships Manager, Sales Manager, Sales Specialist, Head of Sales Department, Product Development Specialist, Marketing and Advertising Specialist, Chief Accountant, Operational Accountant, Director of Human Resources, Legal Counsel;

4. For the “Video Surveillance” register – the employees in the Human Resources department who have been authorized by the company’s manager/s.

(4) The persons referred to in Article 19(3) are obliged to observe and comply with these Rules and the regulatory requirements for the protection of personal data. The latter shall be provided with training on personal data protection, drills in response to events threatening data security, explanations on sharing critical information, and a record shall be made of each training conducted.

(5) The Controller shall ensure that persons authorised to process personal data are committed to confidentiality and are aware of these Rules and data protection legislation.

(6) For failure of the persons to comply with the obligations under para. 3 under these Rules, the PDPA and/or the Regulation shall be subject to disciplinary sanctions under the Labour Code.

(7) For failure of persons to comply with the obligations under para. 3 under these Rules, the PDPA and/or the Regulation, the Controller may also take action to engage their property liability.

(8) Property liability shall apply independently of disciplinary, administrative and criminal liability for the same act, subject to the requirements of the Labour Code and civil law.

V. Retention Periods and Destruction Criteria

Article 20. (1) The personal data in the “Personnel” register, including accounting and commercial information, as well as all other information and documents relevant for taxation and compulsory social security contributions, shall be kept for the following periods:

1. Employment contracts, pay slips, payment orders in the case of payment by bank transfer, pay slips, payslips and other documents certifying the accrual or payment of remuneration - 50 years;

2. Employment books, diaries and copies of certificates issued not received by employees - 50 years;

3. Decisions of the TEMC and the NEMC - 50 years;

4. Accounting records and financial statements - 10 years from the relevant accounting period;

5. Documents for tax and social security control - 5 years after the expiry of the limitation period for repayment of the respective public debt to which they relate;

6. Sick leave certificates - 3 years from 1 January of the year following the year in which they were issued;

7. All other carriers of information processed for the specified tax and social security purposes in the Personnel Register - 5 years following the year of occurrence of the respective tax and/or social security event, unless the law provides for a longer period.

(2) Within 3 months after the expiry of the statutory periods, the personal data referred to in para. 1 of the present Article shall be destroyed.

(3) Information concerning the telephone and email contact address, bank account held by the Data subject, as well as documents attached to the appointment or reappointment of the employee, such as diplomas of education, professional qualifications, etc., shall be kept for a period of up to 6 months after the termination of the employment contract, unless there is a reason for keeping them for a longer period, after which they shall be destroyed.

(4) Upon the termination and deletion of the enterprise of the Controller, all payrolls, employment contracts, orders for reassignment, orders for unpaid leave taken in excess of 30 working days, orders for termination of employment, employment books and other documents establishing the social security period and income of the persons who worked in the enterprise shall be handed over to the territorial subdivisions of the National Social Security Institute.

(5) The personal data in the “Job Candidates” register shall be kept for a period of up to 6 months after the end of the relevant selection procedure, unless the candidate has given his/her consent to storage for a longer period. Where consent is given, personal data will be kept for up to 2 years or until consent is withdrawn.

(6) In cases where the selection procedure has resulted in the conclusion of an employment or civil servant contract, the personal data shall be transferred to the “Personnel” register and stored in accordance with the time limits laid down in Article 20(1) above.

(7) Personal data shall be stored in the “Counterparties” register for a period of 5 years, as follows: in the case of the establishment of a business relationship with clients, as well as in the case of entering into a correspondent relationship, the period shall begin at the beginning of the calendar year following the year of the termination of the relationship.

(8) Personal data in the “Counterparties” register shall be kept for a period of 5 years after the expiry of the limitation period for the repayment of the relevant public debt to which they relate.

(9) Personal data in the “Video Surveillance” register shall be kept for a period of up to 60 days.

Article 21. (1) After the expiry of the retention period, the paper record shall be destroyed by using a document shredder. The destruction shall be established by a report.

(2) After the expiry of the retention period, records on technical (electronic) media shall be destroyed by deleting them from the memory of all servers and information systems, including backup copies, and a record shall be drawn up for each deletion.

(3) The Controller shall periodically review the records stored on technical (electronic) media every 12 months with a view to keeping the information on the relevant persons up to date and with a view to the expiry of the relevant time limits specified in this Section Five and the need for destruction.

VI. Data Subject Rights

Article 22. (1) The Data subject shall, upon successful legitimation in due order, have the right to obtain from the Controller confirmation as to whether personal data relating to him or her are being processed and, if so, to obtain access to the data and the following information:

1. The purposes of the processing;

2. The right to lodge a complaint with a supervisory authority;

3. The existence of a right to request the Controller to rectify, erase or restrict the processing of personal data relating to the Data subject or to object to such processing;

4. The legal basis of the processing;

5. The retention period for which the personal data will be stored and/or the criteria used to determine that period;

6. The recipients or categories of recipients to whom the personal data are or will be disclosed, in particular recipients in third countries or international organisations;

7. The categories of personal data concerned;

8. Where the personal data are not collected from the Data subject, any available information about their source;

9. The existence of automated decision-making, including profiling.

(2) The Controller shall provide a copy of the personal data which are being processed. For additional copies requested by the Data subject, the latter shall pay the administrative costs for the same. Where the Data subject submits a request by electronic means, the information shall be provided in electronic form unless the Data subject has requested otherwise.

(3) Depending on whether the personal data are provided by the Data subject or from another source, the Controller shall provide the Data subject with the information referred to in Article 13 of the Regulation at the time of receipt of the personal data, respectively the information referred to in Article 14 of the Regulation.

Article 23. The Data subject, after successful legitimation in due order, shall have the right to request the Controller to rectify without undue delay inaccurate personal data concerning him. Taking into account the purposes of the processing, the Data subject shall have the right to have incomplete personal data completed.

Article 24. The Data subject, after successful legitimation in due order, shall have the right to request the Controller to erase the personal data relating to him or her, and the Controller shall have the obligation to erase the personal data in a timely manner, in the following cases:

1. The personal data are no longer necessary for the purposes for which they were collected or otherwise processed;

2. The Data subject has withdrawn the consent on which the processing is based and there is no other legal basis for the processing;

3. The Data subject has objected to the processing of personal data and there are no legitimate grounds for the processing which override, and where the processing is for direct marketing purposes, the processing of personal data for those purposes shall cease;

4. The personal data have been unlawfully processed;

5. The personal data must be erased in order to comply with a legal obligation under the law applicable to the Controller;

6. The personal data have been collected in connection with the provision of information society services to children on the terms applicable to the consent of a child in relation to information society services.

Article 25. (1) The Data subject shall have the right to require the Controller to restrict the processing in the following cases:

1. Where the Data subject contests the accuracy of the personal data, for a period which allows the Controller to verify the accuracy of the personal data;

2. Where the processing of the personal data is unlawful, but the Data subject does not wish the personal data to be erased, but requests instead the restriction of their use;

3. Where the Controller no longer needs the personal data for the purposes of the processing, but the personal data should be retained because the Data subject requires the Controller to do so for the establishment, exercise or defence of legal claims;

4. The Data subject has objected to the processing of the personal data, but it should be checked whether the legitimate grounds of the Controller override the interests of the data subject.

(2) Where processing is restricted pursuant to para. 1, such data shall be processed, with the exception of their storage, only with the consent of the Data subject or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural person or for important reasons of public interest of the Union or a Member State.

(3) Where a Data subject has requested restriction of processing pursuant to para. 1, the Controller shall inform him or her before the restriction of processing is lifted.

Article 26. The Controller shall communicate any rectification, erasure or restriction of processing carried out in accordance with Articles 23, 24 and 25 to any recipient to whom the personal data have been disclosed. The Controller shall inform the Data subject about these recipients if the Data subject so requests.

Article 27. (1) The Data subject shall have the right to obtain the personal data concerning him or her which he or she has provided to the Controller in a structured, commonly used and machine-readable format and shall have the right to transfer those data to another controller without hindrance from the Controller to whom the personal data have been provided where:

1. The processing is based on consent or pursuant to a contractual obligation;

2. The processing is carried out by automated means.

(2) When exercising the right to data portability under para. 1, the Data subject shall have the right to obtain a direct transfer of the personal data from one controller to another where this is technically feasible.

(3) The exercise of the right referred to in para. 1 of this Article shall be without prejudice to the right to erasure referred to in Article 24. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

Article 28. (1) The Data subject shall have the right at any time to object to processing of personal data concerning him or her on the basis of Article 6(1), letter “e” of the Regulation, where the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on the basis of Article 6(1), letter “f” of the Regulation, where the processing is necessary for the purposes of the legitimate interests of the controller or of a third party, except where such interests are overridden by the Controller shall cease processing the personal data unless it demonstrates that there are compelling legitimate grounds for the processing which override the interests, rights and freedoms of the Data subject, or for the establishment, exercise or defense of legal claims.

(2) Where personal data are processed for direct marketing purposes, the Data subject shall have the right to object at any time to processing of personal data concerning him or her for that type of marketing, which shall include profiling insofar as it relates to direct marketing.

(3) Where the Data subject objects to processing for direct marketing purposes, the processing of personal data for those purposes shall cease.

(4) At the latest at the time of the first contact with the Data subject, the Data subject shall be explicitly notified of the existence of the right referred to in para. 1 and 2, which shall be presented to him in a clear manner and separately from any other information.

(5) The Data subject may exercise the right to object by automated means using technical specifications.

Article 29. Where processing is carried out on the basis of consent, the Data subject shall be informed of the right to withdraw consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent given prior to its withdrawal. Before giving consent, the Data subject shall be informed thereof.

Article 30. (1) Each Data subject shall have the right to lodge a complaint with the relevant supervisory authority, in the Member State of his or her habitual residence, place of work or place of the alleged infringement, if the Data subject considers that the processing of personal data concerning him or her infringes the provisions of the Regulation.

(2) The supervisory authority in the Republic of Bulgaria is the Commission for Personal Data Protection, with the address: 1592, Sofia, Bulgaria, 2 Prof. Tsvetan Lazarov Str., tel. 02/91-53-518, e-mail: kzld@cpdp.bg, website: www.cpdp.bg

Article 31. (1) The Controller shall take the necessary measures to provide any information under these Rules and any communication under Articles 22 to 29 and Article 37 relating to processing to the Data subject in a concise, clear, intelligible and easily accessible form, in plain and simple language. The information shall be provided in writing or by other appropriate means, including electronic means. If the Data subject has so requested, the information may be given orally, provided that the identity of the Data subject is proven by other means.

(2) The Controller shall facilitate the exercise of the data subject's rights under Articles 22 to 29 above.

(3) The Controller shall undertake to take all necessary action at the request of the Data subject to exercise the Data subject’s rights under Articles 22 to 29, and the Controller shall have the right to refuse to take the appropriate action only in cases where it is unable to identify the Data subject.

(4) The Controller shall provide the Data subject with information concerning the action taken in relation to a request made by him or her under Articles 22 to 29 above within one month of receipt of the request. If necessary, depending on the complexity and number of requests, this period may be extended by a further two months. The Controller shall inform the Data subject of any such extension within one month of receipt of the request, indicating the reasons for the delay. Where the Data subject submits a request by electronic means, the information shall, where possible, be provided by electronic means, unless the Data subject has requested otherwise.

(5) If the Controller does not act on the Data subject’s relevant request, the Controller shall notify the Data subject, at the latest within one month of receipt of the request, of the reasons for not acting and of the possibility of lodging a complaint with a supervisory authority and seeking judicial redress.

Article 32. With a view to facilitating the Data subject in the exercise of his rights described above, the Controller shall draw up applications forming an integral part of these Rules. Where the Controller has reasonable doubts as to the identity of the natural person making the application, he may request that additional information necessary to confirm the identity of the Data subject be provided.

VII. Personal Data Security

Article 33. Taking into account the nature, scope, context and purposes of the processing, as well as the risks of varying likelihood and severity to the rights and freedoms of natural persons, the Controller shall put in place appropriate technical and organisational measures to ensure and be able to demonstrate that processing is carried out in accordance with the Regulation. These measures shall be reviewed periodically and updated as necessary.

Article 34. (1) The Controller shall put in place appropriate technical and organisational measures designed to effectively implement the data protection principles, including data minimisation, and to integrate the necessary safeguards into the processing process in order to comply with the requirements of the Regulation and to ensure the protection of the rights of Data subjects.

(2) The Controller shall put in place appropriate technical and organisational measures to ensure that, by default, only personal data which are necessary for each specific purpose of processing are processed. This obligation relates to the volume of personal data collected, the extent of processing, the period of storage and their accessibility. Such measures shall ensure that, by default, personal data are not accessible to an unlimited number of individuals without the intervention of the individual.

Article 35. (1) The Controller shall keep records of the processing activities for which it is responsible, constituting Annexes forming an integral part of these Rules.

(2) Records shall be maintained in writing, including in electronic format.

(3) Upon request, the Controller shall provide access to the records to the supervisory authority.

Article 36. (1) The Controller shall implement appropriate technical and organisational measures to ensure a consistent level of security, including:

1. Ensuring the continued confidentiality, integrity, availability, and resilience of processing systems and services;

2. The ability to promptly restore the availability of and access to personal data in the event of a physical or technical incident;

3. A process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures to ensure the security of processing.

(2) The assessment of the appropriate level of security shall take into account the risks associated with the processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transferred, stored or otherwise processed.

(3) The Controller shall ensure that any natural person acting under the authority of the Controller who has access to personal data processes that data only on the instructions of the Controller, unless the person concerned is required to do so by Union or Member State law.

(4) In cases of automated processing, the Controller shall implement measures designed to:

1. Equipment access control - deny unauthorised persons access to equipment used for processing;

2. Data media control - to prevent unauthorised persons from reading, copying, altering or removing data media;

3. Storage controls - to prevent the entry of personal data by unauthorised persons and the inspection, alteration or deletion of stored personal data by unauthorised persons;

4. User control - to prevent the use of automated processing systems by unauthorised persons through the use of data transmission equipment;

5. Data access control - to ensure that persons authorised to use an automated processing system only have access to the personal data covered by their access authorisation;

6. Control over communication - to ensure that it is possible to check and establish who personal data has been or may be transmitted to or accessed by data transmission equipment;

7. Data entry controls - to ensure the ability to subsequently verify and establish what personal data have been entered into automated processing systems, and when and by whom those personal data were entered;

8. Transfer control - to prevent unauthorised persons from reading, copying, modifying or deleting personal data in the transmission of personal data or in the transfer of data media;

9. Recovery - to ensure that installed systems can be recovered in the event of a failure of the systems' functions;

10. Reliability - to ensure the performance of system functions and the reporting of defects in functions;

11. Integrity - to ensure that personal data stored is not damaged as a result of system malfunctioning.

Article 37. (1) In the event of a personal data breach, the Controller shall, not later than 72 hours after becoming aware of it, notify the personal data breach to the competent supervisory authority, unless the personal data breach is likely to pose a risk to the rights and freedoms of natural persons. The notification to the supervisory authority shall contain the reasons for the delay where it is not made within 72 hours.

(2) The notification referred to in para. 1 shall contain at least the following:

1. A description of the nature of the personal data breach, including, if possible, the categories and approximate number of Data subjects affected and the categories and approximate quantity of personal data records affected;

2. The name and contact details of a contact person from whom further information can be obtained;

3. A description of the possible consequences of the personal data breach;

4. A description of the measures taken or proposed by the Controller to address the personal data breach, including, where appropriate, measures to mitigate any adverse effects.

(3) Where and to the extent that it is not possible to submit the information simultaneously, the information may be submitted in stages without further undue delay.

(4) The Controller shall document any personal data breach, including the facts relating to the personal data breach, the consequences of the personal data breach and the action taken to address the personal data breach.

Article 38. Where the personal data breach is likely to pose a high risk to the rights and freedoms of natural persons, the Controller shall, in a timely manner, but not later than 7 days from the discovery of the breach, notify the Data subject of the personal data breach, indicating the nature of the personal data breach and specifying at least the information and measures referred to in Article 37(2), items 2, 3 and 4.

Article 39. The Controller shall not carry out automated decision-making and profiling.

VIII. Impact Assessment and Protection Levels

Article 40. The Controller shall carry out an analysis and assessment of the impact of the envisaged processing operations on the protection of personal data.

Article 41. (1) According to the envisaged processing operations and the number of Data subjects concerned, the Controller shall determine the following levels of impact on the protection of personal data as follows:

1. For the “Personnel” register - medium level of impact;

2. For the “Job Applicants” register - low level of impact;

3. For the “Counterparties” register - low level of impact;

4. For the “Video Surveillance” register - low impact.

(2) The Controller shall determine that the processing is not likely to result in a high risk to the rights and freedoms of natural persons, taking into account the following:

1. The Controller shall not carry out operations of systematic and detailed assessment of personal aspects relating to natural persons which are based on automated processing, including profiling, and which serve as a basis for decisions having legal effects concerning the natural person or similarly seriously affecting the natural person;

2. The Controller shall not carry out large-scale processing operations on special categories of data or on personal data concerning convictions and offences;

3. The Controller does not carry out operations of systematic large-scale surveillance of a publicly accessible area, taking into account that the Controller carries out video surveillance in order to safeguard its legitimate interests, which is not large-scale and does not involve monitoring the actions of its employees and their workstations.

(3) For the avoidance of doubt with regard to the video surveillance carried out by the Controller, the Controller determines that the processing of personal data may not give rise to a high risk to the rights and freedoms of natural persons given the short period of data retention, and given that the surveillance of Data subjects is not aimed at monitoring their activities, including on the Internet, but is aimed at protecting the legitimate interests and safeguarding the property of the Controller, the security and safety of employees.

(4) Where necessary and where there is a change in the risk to which the processing operations relate, the Controller shall review to assess whether the processing is in accordance with the personal data protection impact assessment.

(5) The identified impact levels for the relevant Registers are set out in Annexes to these Rules.

Article 42. According to the determined level of impact, the Controller shall determine the following levels of protection as follows:

1. A medium level of protection is defined for the “Personnel” register.

2. A low level of protection shall be set for the “Job Applicants” register;

3. A low level of protection shall be assigned to the “Counterparties” register;

4. A low level of protection shall be assigned to the “Video Surveillance” register.

Article 43. Following the analysis and assessment of the impact level, the Company has appointed a Data Protection Officer.

IX. Safeguards

Article 44. (1) The Controller shall maintain a “Personnel” register, a “Job Applicant” register and a “Counterparties” register on paper and on technical (electronic) media, and a “Video Surveillance” register on technical (electronic) media only.

(2) The technical and organisational measures for controlling access to the Company’s office include:

1. An access control system using access chips to identify the person to access the Company’s office;

2. Lockable doors;

3. Video surveillance with recording - 24 hours a day, 7 days a week.

Paper-based “Personnel” Register

Article 45. (1) All personal data in the “Personnel” register shall be kept in a personal paper employment record.

(2) The personal employment record of each employee shall be a set of written documents which reflect in their entirety the professional development and conduct of the individual employee. The personal employment record shall contain all documents relating to the establishment, amendment, development and termination of the employment relationship.

(3) The following documents shall be attached to an employee’s personnel record:

1. The individual’s original application for employment with all attached documents, if any;

2. Copies of the records of any selection, competition, etc., which give rise to the employment relationship with the employee;

3. Copies of all documents required for the initial conclusion of the employment contract and for subsequent changes to the employment contract;

4. Originals of basic and, if any, supplemental employment contracts signed by both parties;

5. Originals of any supplemental employment agreements or reassignment orders signed by both parties;

6. Originals of all requests by the individual for changes in the terms of the employment contract or the orders of appointment and the resolutions made thereon and orders issued by the Employer;

7. Originals of all unilateral orders of the Employer relating to changes in the terms and conditions of employment;

8. Originals of requests and orders regarding the use of all types of leave;

9. Copies of sick leaves taken;

10. Copies of records of measurements of working conditions relating to the post or workplace concerned;

11. Copies and extracts of instructions concerning mandatory requirements for safe work and for the use of collective and personal protective equipment;

12. Copies of all orders of the Employer concerning punishments, awards, rewards and the like;

13. A job description that includes the person’s basic rights and duties for the specific job as well as the minimum requirements of the law and of the Employer in terms of education (type, degree, specialty) and professional qualifications (profession, specialty, general and specific work experience, age, languages, etc.). Copies of the original job description and of any changes to it must be kept on record;

14. Documents certifying acquired skills, completed courses, etc., related to the professional development of the staff;

15. Other documents related to the employment relationship - protocols, printouts from attendance control systems, etc.;

16. Termination order signed by both parties, and when it is preceded by a written notice - one copy of it;

17. The employee’s employment book, where a declaration to that effect has been made - consent from the employee to the retention of the employment book in the personal employment record.

(4) In the organisation and storage of personal employment records on paper, the files shall be arranged in filing cabinets with locks.

(5) Only the employees processing personal data specified in these Rules shall have access to the premises where personal data are stored and processed. Outsiders shall be admitted to the premises only with the consent and when accompanied by employees who have the right to access the personal data.

(6) There shall be 1 fire extinguisher on the floors where the files of the Registers are kept.

(7) A program that automatically and daily cleans viruses is installed on all computers in the Company’s network.

(8) Employees working with the files lock them in the filing cabinet after finishing working with them and/or leaving the room, in which case they also lock the room itself, if possible.

(9) Where unauthorised access to personal employment records is recorded, the employee who identified the breach shall report it in writing to the Company’s manager/s.

(10) The incident reporting and management procedure must include the recording of the incident, the time of its discovery, the person reporting it, the person to whom it was reported, the consequences of the incident, and the steps taken to remedy it.

“Counterparties” Register on Paper or Electronic Media

Article 46. (1) All personal data in the “Counterparties” register shall be kept in a paper file.

(2) The file shall be a set of written documents containing all documents relating to the creation, amendment, development and termination of the contractual relationship.

(3) The following documents shall be attached to the file: offers, contracts, supplemental agreements, annexes, minutes, requests, orders, letters, notices, accounting documents, notices of termination of contracts, notary invitations, termination agreement, etc.

(4) When paper files are organized and stored, the files shall be placed in file cabinets with locks.

(5) Only the employees processing personal data specified in these Rules shall have access to the premises where personal data are stored and processed. Outsiders shall be admitted to the premises only with the consent and when accompanied by employees who have the right to access the personal data.

(6) There shall be 1 fire extinguisher on the floors where the records files are kept.

(7) All computers on the Company’s network have a program installed that automatically and daily cleans viruses.

(8) Employees working with the files shall lock the files in the filing cabinet after finishing working with them and/or leaving the room, in which case they shall also lock the room itself, if possible.

(9) Where unauthorised access to the files is recorded, the employee who has detected such a breach shall report the matter in writing to the manager/s of the Company.

(10) The incident reporting and management procedure must include the recording of the incident, the time of its discovery, the person reporting it, the person to whom it was reported, the consequences of the incident and the remedial measures.

“Personnel” Register, “Job Candidate” Register, “Counterparties” Register and “Video Surveillance” Register on Electronic Media

Article 47. (1) In the organisation and storage of personal data on an electronic medium, personal data shall be entered on a hard disk, on a server, through separate computers which are connected to a local network, but with secure access to the personal data which is immediate only by the employees processing personal data referred to in these Rules.

(2) Personal accounts and passwords for access to the accounting program shall be provided to employees processing personal data.

(3) Software products shall be used to process the data. The software products shall be adapted to the specific needs of the Controller.

(4) The network established in the Company’s offices is based exclusively on communication devices (switches, firewalls, etc.), which provide a wide range of possibilities related to the security of access to information. The server for storing the personal data information is located in the cloud system of Amazon Web Services.

(5) Computers connected to an internal network are checked, and appropriate measures are taken to minimize the risk of information leakage.

Article 48. (1) Computers shall be placed in isolated rooms for the independent work of the employees processing personal data, and where there is no organisational and technical possibility for this, computers may be placed in a common room for the work of employees processing personal data with employees performing other activities.

(2) Access to the server folders containing personal data processing files shall be granted to the personal data processing employees referred to in these Rules, and access shall be granted only to persons with the specific level of administrative authority, and shall be on the basis of logging into the system with a username and password.

(3) The transmission of personal data by electronic means shall be carried out via e-mail and the cloud-integrated system of GSuite, and on the Internet platforms of the relevant public authorities by electronic signature.

Article 49. (1) The protection of electronic data against unauthorised access, damage, loss or destruction shall be ensured by maintaining anti-virus programs, carrying out daily scans of systems, daily overwriting (backup) of information, periodic archiving of data on separate encrypted external electronic media, and by maintaining the information on paper.

(2) Backup copies shall be created by the appropriate personnel assigned to process personal data in a computer file stored on appropriate media through which recovery can take place. They shall be accessible only to the employees processing the personal data. Backup copies and recovery procedures shall be stored in a different location from that of the computer equipment processing the data.

(3) Employees processing personal data shall lock the systems when leaving the workplace.

(4) In the event of unauthorized access to the personal data information files being recorded, the employee who has detected such a breach shall report it in writing to the manager/s of the Company.

(5) The incident reporting and management procedure must include the recording of the incident, the time of its identification, the person who reported it, the person to whom it was reported, the consequences of the incident and the measures to remedy it.

X. Transitional and Final Provisions

1. Control over the implementation of these Rules shall be entrusted to the manager/s of the Company or persons authorized by him.

2. These Rules shall come into force on the day of their approval by the manager/s of the Company or their authorised persons.

3. These Rules shall apply together with all laws and regulations in force and in force on the territory of the Republic of Bulgaria.

4. These Rules were prepared in Bulgarian language and in English language, and in case of discrepancies the Bulgarian version shall prevail.