ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА

“МАКРА-Т” ООД

Казино София

I. Общи положения

„Макра-Т“ ООД, ЕИК: 040999826, със седалище и адрес на управление в гр. София, район „Средец“, пл. „Народно събрание” № 4, наричано по-нататък „Дружеството“, е администратор на лични данни.

Тази политика определя основните принципи, чрез които Дружеството обработва личните данни на своите клиенти, посетители в „Казино София“, потребители на сайтове, служители, изпълнители по договори, доставчици, бизнес партньори и други физически лица. Тя се прилага от всички служители и всички изпълнители, които работят от името на Дружеството.
Дружеството декларира, че сигурността на личните данни е от изключителна важност за него и има голямо значение за успеха на бизнеса му и за имиджа му в обществото.
При събирането и обработването на лични данни Дружеството се подчинява на редица закони и нормативни правила, които разпореждат как да бъдат извършвани тези действия и какви гаранции за защита на личните данни да бъдат приложени. Относимата нормативна уредба включва, но не се ограничава до Общия регламент за защита на личните данни (Регламент (ЕС) 679/2016), Кодекса на труда, Кодекса за социално осигуряване, Закона за защита на личните данни, Закона за хазарта, Закона за здравословни и безопасни условия на труд, Закона за частната охранителна дейност, Закона за счетоводството, както и издадените въз основа на тях подзаконови нормативни актове.
Дружеството защитава личните данни, като прилага всички подходящи технически и организационни мерки, с които разполага, за да не допуска неразрешен достъп, неразрешено или злонамерено ползване, загуба или преждевременно заличаване на информация.
Тази политика се прилага за всички системи, хора и процеси, които изграждат информационната система на Дружеството, включително спрямо лицата, заемащи управленски длъжности, служителите, доставчиците и всички други трети лица, които имат достъп до системите с лични данни на Дружеството.

II. Защита на личните данни

1. Общ регламент за защита на данните (Регламент (ЕС) 2016/679)

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО, наричан по-нататък “Общ регламент за защита на данните” или “Регламента”, е един от най-важните законодателни актове, който засяга начина, по който Дружеството извършва своите дейности по обработване на информация.
Политиката на „Макра-Т“ ООД е да гарантира, че Дружеството спазва Регламента и другите приложими нормативни актове и може по всяко време да демонстрира съответствието на дейността си с тях.

2. Основни понятия

Регламентът съдържа 26 определения на основните понятия в областта на защитата на личните данни. Тук са включени най-фундаменталните от тях, имащи отношение към настоящата политика.

а) Лични данни са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“);
б) Субект на данни е физическо лице, което е идентифицирано или може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

в) Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

г) Администратор на лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

д) Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

е) Получател означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

ж) Съгласие на субекта на данните означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
з) Нарушение на сигурността на лични данни означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

3. Принципи, свързани с обработването на лични данни

Принципите за защита на личните данни очертават основните отговорности на Дружеството във връзка със защитата на личните данни:

a) Законосъобразност, добросъвестност и прозрачност
Дружеството обработва личните данни законосъобразно, добросъвестно и по прозрачен начин по отношение на субектите на данни.

б) Ограничение на целите
Дружеството събира личните данни за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

в) Свеждане на данните до минимум
Личните данни трябва да бъдат подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват. По възможност Дружеството прилага анонимизация или псевдонимизация на личните данни, за да ограничи рисковете за субектите на данни.

г) Точност
Личните данни трябва да са точни и при необходимост да бъдат поддържани в актуален вид. Дружеството предприема всички разумни мерки, за да гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват.

д) Ограничение на съхранението
Дружеството съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.

е) Цялостност и поверителност
Дружеството обработва личните данни по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

ж) Отчетност
Дружеството носи отговорност и е в състояние да докаже спазването на всички принципи на Регламента, изброени дотук.
Дружеството гарантира, че отговаря на всички тези принципи както при обработването на лични данни, което извършва в момента, така и като част от въвеждането на нови средства за обработване, като например нови информационни системи.

4. Права на субектите на данни

Правата на субектите на данни по Регламента са:
а) Право на информираност;

б) Право на достъп;

в) Право на коригиране;

г) Право на изтриване (право “да бъдеш забравен”);

д) Право на ограничаване на обработването;

е) Право на преносимост на данните;

ж) Право на възражение;

з) Права при автоматизирано вземане на индивидуални решения и профилиране;

и) Право на жалба

Дружеството съдейства на субектите на данни при упражняването на техните права, като ги информира за тях и се стреми да удовлетвори исканията им и да им даде отговор в законоустановения срок, когато тези искания са основателни.
Когато са подадени искания за упражняване на права от субекти на данни, Длъжностното лице по защита на данните трябва да гарантира, че тези искания се обработват в разумен срок. Длъжностното лице по защита на даните също така трябва да записва исканията и да води дневник за тях.

5. Съгласие

Дружеството спазва всички изисквания на Регламента за личните данни, събирани и обработвани на правно основание съгласие на субекта на данни. По-конкретно за случаите, в които съгласието е необходимо, например събирането на данни през регистрационни форми на сайта, Дружеството ще спазва изискванията и условията за неговото изрично получаване. В такива случаи Дружеството предоставя на субектите на данни прозрачна информация за използването на личните данни в момента на получаване на съгласието и разяснява правата им по отношение на техните данни, като например правото да се оттегли съгласието.
Дружеството предоставя тази информация в достъпна форма, безплатно и на ясен език. Ако личните данни не са получени директно от субекта на данните, то Дружеството ще предостави тази информация в разумен срок след получаване на данните и не по-късно от един месец от получаване на данните.

6. Използването на личните данни за друга цел (освен първоначалната)

Дружеството декларира, че личните данни се обработват само за целите, за които първоначално са били събрани. В случай, че възникне необходимост събраните данни да се обработват за друга цел, Дружеството ще направи индивидуална преценка за съвместимостта на целите за всеки един конкретен случай, както и ако е необходимо, ще потърси съгласието на своите субекти на данни в ясна и кратка форма.
Дружеството включва във всяко такова искане първоначалната цел, за която са събрани данните, както и новата или допълнителната/ите цел/и. Искането включва и причината за промяната на целта/целите. Длъжностното лице по защита на данните отговаря за спазването на правилата в този параграф.
Дружеството, с помощта на своето Длъжностно лице по защита на данните, гарантира, че събирането на лични данни се осъществява в съответствие с действащото законодателство, добрите практики и бизнес стандарти.

7. Защита на личните данни на етапа на проектирането

Дружеството приема принципа за защита на личните данни на етапа на проектирането и гарантира, че определянето, планирането и изграждането на всички нови или  значителната промяна на вече съществуващи системи, които събират или обработват лични данни, ще бъдат обект на надлежна преценка, свързана със защитата на личните данни, включително ако е необходимо, извършването на една или повече оценки на въздействието върху защитата на данните.
При извършването на оценката на въздействие върху защитата на личните данни Дружеството включва най-малко следната информация/оценки:

•    Системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;
•    Оценка дали предложеното обработване на лични данни е едновременно необходимо и пропорционално за целите, за които се извършва;
•    Оценка на рисковете за правата на субектите на данни във връзка с планираните операции по обработване;
•    Мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.
Дружеството се ангажира да използва технически мерки за псевдонимизиране, свеждане на данните до минимум и други подходящи технически мерки за защита на личните данни, когато е осъществимо и приложимо.

8. Трансфер на лични данни

Дружеството се задължава предаването на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, да се осъществява само при условие, че са спазени разпоредбите на Регламента, включително във връзка с последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация, за да се осигури необходимото нивото на защита на физическите лица по Регламента и те да не бъдат изложени на риск.

9. Отговорности във връзка със защитата на личните данни

Всеки, който работи за Дружеството и има достъп до личните данни, които то обработва, отговаря за тяхната защита.

Отговорност
Всички лица, заети по трудов или граждански договор при администратора, както и изрично оправомощените от него лица, обработващи лични данни, са длъжни да спазват настоящата Политика за защита на личните данни и предвиденото в същата, като за неизпълнение на това задължение носят отговорност по Закона за защита на личните данни, Кодекса на труда, Кодекса за социално осигуряване, Закона за здравното осигуряване, Закона за счетоводството, както и всички други законови и подзаконови нормативни актове в Република България, касаещи защитата на личните данни на физическите лица.

10. Ключови длъжности за защитата на личните данни

а) Управителните органи на Дружеството
Управителните органи на Дружеството взимат решения и одобряват стратегиите, политиките и правилата на Дружеството във връзка със защитата на личните данни;

б) Длъжностното лице по защита на личните данни
Длъжностното лице по защита на личните данни е отговорно за управлението на програмата за защита на личните данни в Дружеството и за разработването, въвеждането и популяризирането на политиките и процедурите за защита на личните данни и участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни;

в) Лицата, осъществяващи правното обслужване на Дружеството
Лицата, осъществяващи правното обслужване на Дружеството, съвместно с Длъжностното лице по защита на данните, наблюдават и анализират законодателството в областта на защитата на личните данни и промените в него, разработват и актуализират необходимите правни документи и оказват правна помощ на Дружеството за постигане на неговите цели, свързани с личните данни;

г) Специалистите по информационни технологии
Специалистите по информационни технологии отговарят за това всички системи, оборудване и услуги, използвани за съхранение на данни, да съответстват на стандартите за сигурност и извършват периодични проверки и сканирания, за да гарантират, че хардуерът и софтуерът функционират правилно и гарантират необходимото ниво на защита на данните;

д) Лицата, заети с управлението на човешките ресурси
Лицата, заети с управлението на човешките ресурси, отговарят съместно с Длъжностното лице по защита на данните за провеждането на редовни обучения на служителите във връзка със защитата на личните данни, както и самостоятелно за това личните данни на служителите и изпълнителите по договори с Дружеството да бъдат обработвани законосъобразно;

е) Лицата, натоварени с маркетинга и връзката с клиентите
Лицата, натоварени с маркетинга и връзката с клиентите и външните лица, подпомагани от Длъжностното лице по защита на данните, отговарят за това всички маркетинг инициативи и комуникации до клиентите и външните лица да съответстват на принципите за защита на личните данни, в това число и комуникацията с медиите;

ж) Лицата, натоварени с организирането на работата на Дружеството с външни лица – доставчици на продукти и услуги
Лицата, натоварени с организирането на работата на Дружеството с външни лица – доставчици на продукти и услуги, отговарят за осигуряването в отношенията с доставчиците на адекватно ниво на защита на личните данни, включително чрез подбор на доставчици, които предоставят достатъчни гаранции, че са предприели подходящи технически и организационни мерки за защита на личните данни, които им стават известни или биха могли да им станат известни във връзка с предоставяне на продукти и услуги на Дружеството.

11. Уведомления и съобщения при нарушение на сигурността на личните данни

Политиката на Дружеството е да се спазват принципите на добросъвестност и пропорционалност, когато се обсъжда какви действия да бъдат предприети, за да се информират засегнатите страни при нарушение на сигурността на личните данни. В съответствие с Регламента, когато е налице нарушение, което може да доведе до риск за правата и свободите на физическите лица, Дружеството ще информира надзорния орган в рамките на 72 часа от узнаване на нарушението от страна на Дружеството, съгласно приетата и одобрена от Дружеството Процедура по уведомяване и съобщаване на нарушения на сигурността на личните данни.

III. Заключителни разпоредби

Следните действия са предприети, за да се гарантира, че по всяко време Дружеството спазва принципа на отчетност по Регламента:
•    Правната основа за обработването на личните данни е ясна и недвусмислена;
•    Наето е Длъжностно лице по защита на данните със специфични отговорности по защита на данните в компанията;
•    Всички служители, които под една или друга форма боравят с лични данни, разбират своята отговорност за спазване на добрите правила и практики за защита на личните данни;
•    Всички отговорни служители са преминали обучение по защита на личните данни;
•    Спазват се правилата, свързани със съгласието;
•    Въведена е процедура, по която субектите на данни могат да упражнят своите права по отношение на личните си данни и техните искания се обработват своевременно и ефективно;
•    Извършва се редовен периодичен преглед на процедурите, свързани с лични данни;
•    Защитата на данните на етапа на проектирането е възприета като подход за всички нови или променени системи и процеси;
      •    Следната информация се поддържа в актуален вид:
•    Име на организацията и координати за връзка, включително с длъжностното лице по защита на данните;
•    Цели на обработването на лични данни;
•    Категории лица и лични данни, които се обработват;
•    Категории получатели, на които личните данни се разкриват;
•    Срокове за съхранение на личните данни;
•    Прилагани технически и организационни мерки за защита на данните.
•    В случай на възникнала необходимост и наличие на трансфер на данни, по смисъла на Регламента, Дружеството ще предприеме необходимите действия за съответствие със Регламента и поддържане в актуален вид на споразумения и механизми за трансфер на лични данни към държави извън ЕС, включително подробности за въведените мерки за контрол.

Настоящата политика е приета от Управителя на Дружеството на 08.05.2018 г. С настоящата политика са запознати всички отговорни за обработването на лични данни служители.

Име и подпис на Управителя на Дружеството: