ПРАВИЛНИК ЗА ОПРЕДЕЛЯНЕ НА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ И ВИДОВЕТЕ ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В ТРАНСГЕО ЕООД


I.              ОБЩИ ПОЛОЖЕНИЯ
Чл. 1 (1) С този правилник се определят принципите, основанията, техническите и организационни мерки при обработване на лични данни и допустимия вид защита в съответствие със законодателството на ЕС (Общия регламент за защита на данните (Регламент (ЕС) 2016/679)) и на Република България (Закона за защита на личните данни, на подзаконовите нормативните актове по прилагането му) по отношение на обработването на личните данни и защитата на правата и свободите на лицата, чиито лични данни ТРАНСГЕО ЕООД с ЕИК: 040248911 събира и обработва.
(2) Този правилник се отнася до всички функции по обработването на лични данни, включително лични данни на клиенти, служители, доставчици и партньори и всякакви други лични данни, които организацията обработва от различни източници.
(3) Този правилник се прилага и е задължителен за всички служители и други заинтересовани страни на ТРАНСГЕО ЕООД, като външни доставчици, подизпълнители и клиенти. Всяко нарушение на Общия регламент за защита на данните (Регламент (ЕС) 2016/679), на Закона за защита на личните данни, на подзаконовите нормативни актове по прилагането му, както и на настоящия правилник от страна на работниците и служителите ще бъде разглеждано като нарушение на трудовата дисциплина.
(4) Партньори и трети лица, които работят с или за ТРАНСГЕО ЕООД, както и които имат или могат да имат достъп до лични данни, предоставени им или известни им от ТРАНСГЕО ЕООД следва да се запознаят, разберат и да се съобразят с настоящите правила. Никоя трета страна не може да има достъп до лични данни, съхранявани от ТРАНСГЕО ЕООД, без предварително да е сключила споразумение за поверителност на данните и което дава право на ТРАНСГЕО ЕООД да проверява спазването на приетите със споразумението задължения.

II.           ПРИНЦИПИ НА ОБРАБОТВАНЕТО
Чл. 2 (1) ТРАНСГЕО ЕООД обработва лични данни при спазване на следните принципи:
a) законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните (принцип на законосъобразност, добросъвестност и прозрачност);
б) лични данни в ТРАНСГЕО ЕООД се събират само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели (принцип на ограничение на целите);
в) личните данни в ТРАНСГЕО ЕООД са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват (принцип на свеждане на данните до минимум);
г) личните данни в ТРАНСГЕО ЕООД следва да бъдат винаги точни и да се поддържат в актуален вид. Неточни лични данни се изтриват или коригират в най-кратки срокове (принцип на точност);
д) личните данни в ТРАНСГЕО ЕООД се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни (принцип на ограничение на съхранението);
е) личните данни в ТРАНСГЕО ЕООД се обработват по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки (принцип на цялостност и поверителност);

(2). ТРАНСГЕО ЕООД следи за стриктното спазване на тези принципи и предприема описаните по-долу мерки, за да може във всеки един момент да удостовери спазването им.

III.        ОСНОВАНИЯ ЗА ОБРАБОТВАНЕТО
Чл. 3 (1) ТРАНСГЕО ЕООД обработва лични данни, само ако е налице поне едно от следните условия (основания):
a) субектът на данните е дал съгласие за обработване на личните му данни, при спазване на условията за даване на съгласие, посочени по-долу в чл. 4;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните, преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо ТРАНСГЕО ЕООД;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес;
е) обработването е необходимо за целите на легитимните интереси на ТРАНСГЕО ЕООД или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните. Първоначалната преценка относно кои интереси имат преимущество е на ТРАНСГЕО ЕООД, като в случай на колебание, Управителят на ТРАНСГЕО ЕООД може да се обърне към Комисията за защита на личните данни.
(2) За всяка дейност по обработване на лични данни е необходимо да е налице едно от горепосочените основания. Забранява се обработване на лични данни за други цели, различни от тези, за които първоначално са били събрани, освен ако на отделно основание не е налице някое от посочените по-горе условия в ал. 1.
Чл. 4 (1) Когато обработването се извършва въз основа на съгласие, ТРАНСГЕО ЕООД отправя искането към субекта на лични данни за съгласието му в разбираема и лесно достъпна форма и използва ясен и прост език.
(2) Като „съгласие“ ТРАНСГЕО ЕООД ще приема всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му, свързаните с него лични данни да бъдат обработени.
(3) ТРАНСГЕО ЕООД приема за "съгласие" само случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие и без да му бъде упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни.
(4) Съгласието не може да бъде изведено от липсата на отговор на съобщение до субекта на данни.
(5) За специални категории данни по чл. 5 ал. 1 т. 3 трябва да се получи изрично писмено или електронно съгласие, освен ако не съществува алтернативно законно основание за обработване.
(6) В повечето случаи съгласието за обработка на лични и специални категории данни се получава рутинно от ТРАНСГЕО ЕООД, като се използват стандартни документи за съгласие (декларации) например, когато се събира информация за здравословно състояние от новопостъпващите служители.
(7) ТРАНСГЕО ЕООД информира субекта на данни, че може да оттегли съгласието си по всяко време и без да е необходимо да обосновава причина за оттеглянето. ТРАНСГЕО ЕООД информира субекта на данните, че оттеглянето на съгласието не засяга законосъобразността на обработването, основано на съгласието му, дадено преди неговото оттегляне. ТРАНСГЕО ЕООД предоставя e-mail или пощенски адрес, както и данни за контакт с длъжностно лице за защита на личните данни, ако има назначено такова, на които субектите на данните могат да отправят своите запитвания и да оттеглят съгласието си.

IV.        КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ОБРАБОТВАНЕТО
Чл. 5 (1) ТРАНСГЕО ЕООД определя следните категории лични данни, които ще обработва:
1. Лични данни на клиенти и служители - име, ЕГН, адрес, телефон, мейл;
2. Специални категории лични данни - данни за здравословното състояние на служители и обучаващи се стажанти в ТРАНСГЕО ЕООД;
3.      Специфични социални умения и друга специфична информация;
4. ТРАНСГЕО ЕООД не обработва и забранява обработката и няма да обработва лични данни, свързани с присъди и нарушения.
Чл. 6 Обработването на посочените в чл. 5 категории лични данни се осъществява с оглед следните цели:
1.              Лични данни - с оглед осъществяване на комуникация с клиенти, служители и с оглед сключване на договор или поръчка на продукт със ТРАНСГЕО ЕООД е необходимо клиентът или служителят да предостави свои лични данни. Предоставянето на тези данни позволява да идентифицираме съответното лице като страна по договора и като титуляр на правата/задълженията по него. Трите имена, единният граждански номер и адресът на лицето са част от минималното съдържание на всеки договор. В случай, че дадено лице откаже да ги предостави, ТРАНСГЕО ЕООД няма да може да сключи договор. В процеса на сключване на договори може да се обработват и данни за документа на самоличност, за да се извърши проверка за валидността на същия, която има за цел да бъдат предотвратени евентуални опити за измама и/или за злоупотреба с лични данни. За да може ТРАНСГЕО ЕООД да изпълнява сключените договори е необходимо да обработва личните данни на лицата, с които са сключени. В противен случай ще е невъзможно да спази договорните си ангажименти. ТРАНСГЕО ЕООД обработва лични данни, когато е необходимо, за да упражнява правата си по сключени договори, както и когато това е необходимо за уреждането на правни спорове. ТРАНСГЕО ЕООД обработва лични данни, когато съгласно приложимото законодателств,о е длъжно да предоставя информация на компетентни органи. За да може ТРАНСГЕО ЕООД да достави определени поръчани продукти на клиентите си, се налага обработка на идентификационни данни – адрес за доставка, за да може да изпълни коректно поръчките на клиентите си. ТРАНСГЕО ЕООД обработва лични данни, за да изпълнява задължения, произтичащи от счетоводното и данъчното законодателство - данъчното и счетоводното законодателство в Република България изискват да се съставя определена счетоводна и търговска информация, включително да съхранява за определен срок тази информация, както и всякакви други сведения и документи от значение за данъчното облагане. При изпълнение на това задължение съответната информация и документи, които съдържат и лични данни, се съхраняват за срокове, предвидени в съответните закони.
2.             Специални данни - данни за здравословното състояние, с оглед наемане на служители на работа и сключване на трудов договор.

V.           ВИДОВЕ ЗАЩИТА
Чл. 7. ТРАНСГЕО ЕООД определя следните видовете защита на личните данни в рамките на организацията: физическа, персонална, документална, защита на информационни системи и/или мрежи.

Чл. 8. (1) Физическата защита на личните данни представлява система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сградата, помещенията и съоръженията, в които се съхраняват и обработват личните данни.
(2) В помещенията на ТРАНСГЕО ЕООД се използва система за контрол на достъпа. ТРАНСГЕО ЕООД прилага и следи за изпълнението на следните организационни мерки на физическата защита:
1. Зоните с контролиран достъп в ТРАНСГЕО ЕООД са затворени помещения, които имат възможност да се заключват, с достъп до които разполагат само оторизираните лица;
2. Помещенията, в които се обработват лични данни в ТРАНСГЕО ЕООД са затворени помещения, в които има достъп само обработващ данни персонал или външни лица имат достъп до там, само в присъствие на оторизирано служебно лице;
3. Помещенията, в които се разполагат елементите на комуникационно-информационните системи за обработване на лични данни в ТРАНСГЕО ЕООД са с ограничен достъп, само до лица, които имат право на достъп до тях;
4. Организацията на физическия достъп в ТРАНСГЕО ЕООД е уредена, като се предоставя достъп на служителите само до места, до които имат нужда, когато имат нужда от достъп;
5. Техническите средства за физическа защита в ТРАНСГЕО ЕООД са: заключване на определение помещния, в които се съдържат лични данни с ограничен достъп;
6. Екип за реагиране при нарушения в ТРАНСГЕО ЕООД се състои от Управител или специално назначено от него лице.

(3) Основните технически мерки на физическата защита са:
1. система за достъп в помещенията;
7. пожарогасителни средства;
8. пожаро-известителни и пожарогасителни системи;
10. видеонаблюдение;

Чл. 9 (1) Персоналната защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на ТРАНСГЕО ЕООД.
 (2) ТРАНСГЕО ЕООД прилага и следи за изпълнението на следните мерки на персоналната защита:
2. Познаване на политиката и ръководствата за защита на личните данни - запознаване с настоящите правила и политиката на ТРАНСГЕО ЕООД, с принципите и основанията за законосъобразно обработване на данните, задължението на физическите лица, които обработват лични данни по указание на ТРАНСГЕО ЕООД, да докладват относно изпълнението на мерките по защита на личните данни на Управителя и в случай на нарушение на сигурността на лични данни;
3. Знания за опасностите за личните данни - разясняване на случаите, при които е налице опасност от нарушение на сигурността на лични данни, минимализиране на рисковите дейности, предварително съгласуване с Управителя при необходимост от предприемането на такива действия;
4. Споделяне на секретна информация между персонала (например пароли за достъп и др.) - забрана за споделяне на индивидуални пароли за достъп до база с лични данни, при напускане на служител, който е притежавал такава парола, същата се заменя с нова веднага.
5. Съгласие за поемане на задължение за неразпространение на личните данни - всички служители и въобще лица, които обработват лични данни по указание на ТРАНСГЕО ЕООД, декларират писмено, че са съгласни и поемат задължението да не разпространяват личните данни, станали им известни при и/или по повод на тяхната работа, при нарушение на това задължение подлежат на дисциплинарна отговорност в рамките на организацията; публичен достъп до ЕГН/ЛНЧ се предоставя, само ако закон изисква това. В тези случаи законът определя реда и условията за достъп с цел недопускане неговата общодостъпност.
6. Обучение – еднократно, при постъпване на работа/предаване на достъп до лични данни и периодично на всеки 6 месеца;
7. Тренировка/инструктаж на персонала за реакция при събития, застрашаващи сигурността на данните.
(3) Мерките за персонална защита целят предоставяне на достъп до лични данни само на лица, чиито служебни задължения или конкретно възложена задача изискват такъв достъп, при спазване на принципа свеждане на данните до минимум и принципа „необходимо да знае“.
(4) Лицата могат да започнат да обработват лични данни след запознаване с:
1. Нормативната уредба в областта на защитата на личните данни;
2. Политиката и ръководствата за защита на личните данни;
3. Опасностите за личните данни.
(5) Обработването на лични данни "извън офиса" представлява потенциално по-голям риск от загуба, кражба или нарушение на лични данни. Персоналът следва да бъде специално упълномощен да обработва данните извън обектите на ТРАНСГЕО ЕООД.
(6) Лицата може да бъдат задължени да подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си.
(7) ТРАНСГЕО ЕООД поддържа и събира информация за изпълнение на задълженията си по настоящия член.

Чл. 10 (1) Документалната защита представлява система от организационни мерки при обработването на лични данни на хартиен носител.
(2) ТРАНСГЕО ЕООД прилага и следи за изпълнението на следните мерки на документалната защита:
1. Записите с лични данни върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни от неоторизирани лица и не могат да бъдат изваждани от определените офисни помещения без изрично разрешение.
2. Записите с лични данни върху хартиен носител се обработват само при наличие на основанията, посочени в чл. 3 и с оглед конкретните цели посочени в чл. 6 от настоящите правила;
3. Регламентиране на достъпа до записите с лични данни върху хартиен носител - достъп до регистрите имат само служители обслужващи досиета на служителите, обслужване на клиентски заявки и Управителя.
4. Контрол на достъпа до записите с лични данни върху хартиен носител - осъществява се от Управителя;
5. Срок за съхранение на записите с лични данни върху хартиен носител - максимално 5 години, освен ако не е налице друго законово основание за по-дълго съхранение;
За следните категории записи се съблюдават нормативно предвидените срокове за съхранение:
- ведомости за заплати и документи, удостоверяващи трудов стаж – 50 години;
- счетоводни и финансови отчети – 10 години;
- фактури, договори и всички документи, касаещи данъчно-осигурителен контрол – 5 години след изтичането на давностния срок за погасяване на публичното задължение, с което са свързани;
- всички останали носители – 5 години.
След изтичането на срока за съхранението, носителите на информация, които не подлежат на предаване в Националния архивен фонд, могат да се унищожат.

6. Правила за размножаване и разпространение на записите с лични данни върху хартиен носител - забранява се размножаването и разпространението на записите, освен по изрично нареждане на Управителя;
7. Процедура за унищожаване - след изтичането на срока за съхранение и ако не е налице друго законово основание за съхранение, информацията се унищожава под ръководството на Управителя или длъжностното лице за защита на лични данни, ако има такова назначено, за което се съставя протокол;
8. Проверка и контрол на обработването на записите с лични данни - осъществяват се от Управителя или длъжностното лице за защита на лични данни, ако има назначено такова;
(3) При сключване на трудов договор са необходими:
 1. Документ за самоличност, който се връща веднага;
 2. Документ за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват за длъжността или работата, за която лицето кандидатства;
 3. Документ за стаж по специалността, когато за длъжността или работата, за която лицето кандидатства, се изисква притежаването на такъв трудов стаж;
 4. Документ за медицински преглед при първоначално постъпване на работа и след преустановяване на трудовата дейност по трудово правоотношение за срок над 3 месеца;
 5. Свидетелство за съдимост, когато със закон или нормативен акт се изисква удостоверяването на съдебно минало, съответно само за специфични длъжности при които се изисква задължително;
 6. Разрешение от инспекцията по труда, ако лицето не е навършило 16 години или е на възраст от 16 до 18 години.
7. Работодателят може да изисква представянето и на други документи, извън посочените, ако това е предвидено или произтича от закон или друг нормативен акт.
8. Документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник, могат да се копират от работодателя, само ако това е предвидено или произтича от закон или друг нормативен акт.
9. Работодателят съхранява горецитираните документи в лично трудово досие на всеки работник, заедно с:
- трудов договор и допълнителни споразумения;
- молба за назначаване и декларация-съгласие за обработване на лични данни;
- заверено уведомление по чл. 62, ал. 5 от КТ;
- длъжностна характеристика;
- декларация по Наредба № 5 от 20.02.1987г. за болестите, при които работниците, боледуващи от тях, имат особена закрила, съгласно чл. 333, ал.1 от Кодекса на труда;
- декларации по чл. 348, ал. 3 от КТ за трудовата книжка и съхраняване на копие от нея;
- служебна бележка за проведен инструктаж по ЗЗБУТ;
- молби и заповеди за отпуски;
- други – според индивидуалния характер на трудовото правоотношение.
(4) В процедури по подбор на персонал, срокът за съхранение на лични данни на участници в процедурата, не може да бъде по-дълъг от 3 години. Когато в процедура по подбор са изискани да се представят оригинали или нотариално заверени копия на документи, удостоверяващи физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, субектът на данните, който не е одобрен за назначаване, може да поиска в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи. В тези случаи документите се връщат, по начина, по който са подадени.
(5) След прекратяване на трудовото правоотношение, работодателят съхранява екземпляр от трудов договор, допълнителни споразумения, ведомости за заплати, копие от трудовата книжка, молби и заповеди за отпуск и всички други документи, удостоверяващи трудов стаж за срок от 50 години.

VI.        ОЦЕНКА НА ВЪЗДЕЙСТВИЕ
Чл. 11. (1) Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, ТРАНСГЕО ЕООД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни, по приложените към настоящия правилник критерии.
(2 Оценката по ал. 1 съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на защита на личните данни съгласно РЕГЛАМЕНТ(ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 годинаотносно защитата на физическите лица (Общ регламент относно защитата на данните), на Закона за защита на личните данни (ЗЗЛД) и подзаконовите нормативни актове, приети за неговото изпълнение, като се вземат предвид правата и легитимните интереси на субектите на данните и другите засегнати лица.
(3) Когато оценката на въздействието покаже, че обработването ще породи висок риск по смисъла на Общия регламент относно защитата на данните, на Закона за защита на личните данни (ЗЗЛД) и подзаконовите нормативни актове, приети за неговото изпълнение, длъжностното лица за защита на лични данни на ТРАНСГЕО ЕООД се консултира с Комисията за защита на личните данни преди извършване на обработването.

VII.          ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
Чл. 12.  Прилагането на предвидените в настоящите правила технически и организационни мерки за защита на личните данни се осъществява от Управителя на ТРАНСГЕО ЕООД или от него лице.

Чл. 13. Управителят или определеното от него лице имат следните задължения:
1. приемат, изменят и допълват настоящия Правилник за определяне на технически и организационни мерки и видовете защита на личните данни в организацията и осъществява контрол за спазването и изпълнението му;
2. инструктира лицата, които обработват лични данни по указание на ТРАНСГЕО ЕООД;
3. извършва оценка на въздействието по чл.12;
4. уведомява КЗЛД за нарушение на сигурността на личните данни без ненужно забавяне по възможност не по-късно от 72 часа след узнаването и при спазване на изискванията на чл. 33 от Общия регламент относно защитата на данните и Закона за защита на личните данни;
5. съобщава на субекта на данните за нарушението на сигурността на личните му данни, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на субекта;
6. изисква и следи за спазванете на политиката на поверителност от обработващи лични данни;
7. изисква и следи за спазванете на правата на субектите на лични данни.

VIII.       ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 14 (1) Субектът на данни има следните права по отношение на обработването на данни, както и на данните, които се записват за него:
        Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни.
        Да поиска копие от своите лични данни;
        Да иска коригиране на лични данни когато те са неточни, както и когато не са вече актуални;
        Да изиска изтриване на лични данни (право „да бъдеш забравен");
        Да иска ограничаване на обработването на лични данни доколкото е възможно, като в този случай данните ще бъдат само съхранявани, но не и обработвани;
        Да направи възражение срещу обработване на негови лични данни;
        Да направи възражение срещу обработване на лични данни, отнасящо се до него за целите на директния маркетинг, когато не е дал съгласие за това.
        Да се обърне с жалба до надзорен орган ако смята, че някоя от разпоредбите на Общия регламент относно защитата на данните и Закона за защита на личните данни е нарушена;
        Да поиска и да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат до колкото е технически приложимо и възможно;
        Да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до длъжностното лице по защита на лични данни на ТРАНСГЕО ЕООД;
(2) ТРАНСГЕО ЕООД осигурява условия, които да гарантират упражняването на тези права от субекта на данни:
1)       Информацията относно обработването се предоставя на субекта на данни в сбита, разбираема и леснодостъпна форма, като се използва ясен и прост език. Информацията се предоставя по всякакъв подходящ начин, включително по електронен път. По възможност информацията се предоставя в същата форма като тази на искането.
2)       Субектът на данните се информира писмено и без излишно забавяне за действията, предприети във връзка с неговото искане.
3)       Информацията се предоставя безплатно. Когато исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, информацията може да бъде предоставена срещу такса в разумен размер, като се вземат предвид административните разходи за предоставянето ѝ или да се откаже предоставянето ѝ.
4)       Когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане, може да се изиска допълнителна информация от лицето, необходима за потвърждаване на самоличността му.

(3) ТРАНСГЕО ЕООД предоставя на субектите на данни най-малко следната информация:
1. данните, които идентифицират администратора и координатите за връзка с него;
2. координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
3. целите на обработването, за които са предназначени личните данни;
4. правото да бъде подадена жалба до комисията и нейните координати за връзка;
5. съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.
(4) Освен информацията, посочена в ал. 3, ТРАНСГЕО ЕООД предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:
1. правното основание за обработването;
2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно - критериите, използвани за определяне на този срок;
3. когато е приложимо, категориите получатели на личните данни, включително в трети държави или международни организации;
4. ако е необходимо, и друга допълнителна информация, по-специално в случаите, когато личните данни са събрани без знанието на субекта на данните.
5 ТРАНСГЕО ЕООД може да забави, да ограничи или да не предостави информация на субекта на данните, като се отчитат основните права и легитимните интереси на засегнатото физическо лице, за да:
1. не се допусне възпрепятстването на служебни или законово регламентирани проверки, разследвания или процедури;
2. не се допусне неблагоприятно засягане на предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;
3. се защити общественият ред и сигурност;
4. се защити националната сигурност;
5. се защитят правата и свободите на други лица.
След отпадане на съответното обстоятелство по ал. 5 исканата информация се предоставя без забавяне.

IX.             ВЪЗЛАГАНЕ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА ОБРАБОТВАЩ
Чл. 15 (1) ТРАНСГЕО ЕООД може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки, по такъв начин че обработването да отговаря на изискванията на Общия регламент за защита на данните (Регламент (ЕС) 2016/679), на Закона за защита на личните данни, на подзаконовите нормативни актове по прилагането му, както и на настоящия правилник и да се гарантира защитата на правата на субекта на данни.
(2) Обработващият лични данни не може да добавя друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на Управителя на ТРАНСГЕО ЕООД.
(3) Обработването от страна на обработващия лични данни се урежда с договор, който обвързва обработващия лични данни и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на ТРАНСГЕО ЕООД като администратор. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:
1.      действа единствено по указания на ТРАНСГЕО ЕООД;
2.      гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
3.      подпомага ТРАНСГЕО ЕООД с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;
4.      по избор на ТРАНСГЕО ЕООД заличава или връща всички лични данни след приключване на предоставянето на услуги по обработване на данни и заличава съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни или се прецени че данните ще пазят с определена давност за юридически доказателства и цели предварително съгласувано със ТРАНСГЕО ЕООД;
5.      предоставя на ТРАНСГЕО ЕООД цялата информация, необходима за доказване на спазването на настоящия член;
6.      спазва условията по ал. 2 за включване на друг обработващ лични данни.
(4) Договорът се изготвя в писмена или електронна форма.
(5) Ако обработващ лични данни определи в нарушение на правилата на настоящата глава, целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.
(6) Обработващият лични данни и всяко лице, действащо под ръководството на ТРАНСГЕО ЕООД или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на ТРАНСГЕО ЕООД, освен ако обработването се изисква от правото на Европейския съюз или законодателството на Република България.

X.                РАЗКРИВАНЕ НА ДАННИ
Чл. 16 (1) ТРАНСГЕО ЕООД не разкрива и предприема мерки, за да не бъдат разкривани от негови служители лични данни на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. Всички служители, занимаващи се с обработка на лични данни се инструктират да бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго лице на трета страна. В случаи на съмнения и неяснота, следва да се обръщат към длъжностното лице за защита на лични данни на ТРАНСГЕО ЕООД.
(2) Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от Управителя на ТРАНСГЕО ЕООД или от Длъжностното лице за защита на данните, ако има назначено такова.

XI.             СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ДАННИТЕ
Чл. 17 (1) ТРАНСГЕО ЕООД не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
(2) Личните данни трябва да бъдат унищожени сигурно, съгласно принципа за гарантиране подходящо ниво на сигурност – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки (принцип на цялостност и поверителност).

XII.          ТРАНСФЕР НА ДАННИ
Чл. 18 (1) Всеки износ на данни извън ЕС са незаконни, освен ако няма подходящо ниво на защита на основните права на субектите на данни, което се проверява и удостоверява от длъжностното лице за защита на личните данни.
(2 Прехвърлянето на лични данни извън ЕС е забранено, освен ако не се прилагат една или повече от гаранциите или изключенията, посочени в чл. 44-50 от Общия регламент.
(3) ТРАНСГЕО ЕООД може да включи утвърдени стандартни договорни клаузи за защита на данните при прехвърляне на данни извън Европейското икономическо пространство, одобрени от КЗЛД с оглед автоматичното признаване на адекватността им.
(4) При липса на гаранциите, посочени в чл .44-48 от Общия регламент, прехвърляне на лични данни в трета страна или международна организация се извършва само при едно от следните условия:
        субектът на данните изрично се е съгласил с предложеното прехвърляне, след като е бил информиран за възможните рискове от такива прехвърляния;
        предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;
        предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;
        предаването е необходимо поради важни причини от обществен интерес;
        предаването е необходимо за установяването, упражняването или защитата на правни претенции;
        предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
        предаването се извършва от регистър, който съгласно правото на ЕС или правото на държавите членки е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.

Всички определения в настоящия правилник за поверителност са описани в т. 4 на РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).