на БЮТИ ЗОУН ПЛАТФОРМ ЕООД
I. ЦЕЛ
Бюти Зоун Платформ ЕООД цени личните данни, които са ни поверени, и се ангажира да обработва личните ви данни по добросъвестен, законен и надежден начин. Наясно сме, че правилното и законно третиране на лични данни поддържа доверието в организацията и спомага за успешното провеждане на бизнес операциите. Защитата на поверителността и целостта на Личните данни е критично важна отговорност, която приемаме изключително сериозно във всеки един момент.
Целта на настоящата Политика е да ви предоставим информация за това как обработваме личните ви данни, които вие ни предоставяте за целите на изпълнение на задълженията ни, свързани с правоотношенията помежду ни.
II. ОБХВАТ
Настоящата политика се прилага по отношение на всички лични данни, които обработваме, независимо от носителя, върху който се съхраняват и независимо дали се отнасят до бивши или настоящи служители, контрагенти, клиенти или доставчици, акционери, потребители на уебсайт или друг субект на данни.
Настоящата политика описва минималните стандарти, които Бюти Зоун Платформ ЕООД поставя по отношение на поверителността на данните и се прилага спрямо целия персонал на дружеството в глобален план. Тези стандарти са предвидени да съответстват пряко на ОРЗД. Когато правилата, налагани от националните закони и регулации за защита на лични данни в България, са по-строги от настоящата политика, се прилагат по-строгите изисквания на националните закони и регулации за защита на личните данни. Спазването на Политиката от служителите на Бюти Зоун Платформ ЕООД е задължително, когато те обработват лични данни от името на Бюти Зоун Платформ ЕООД. Всякакво нарушение на настоящата Политика може да доведе до дисциплинарни действия за служителите на Бюти Зоун Платформ ЕООД, които не изпълняват нейните изисквания.
III. ИЗПОЛЗВАНИ ПОНЯТИЯ И ДЕФИНИЦИИ
Дружество - „БЮТИ ЗОУН ПЛАТФОРМ ЕООД, вписано в Търговския регистър към Агенция по вписванията на Република България с ЕИК 205713664, със седалище и адрес на управление: гр. София, бул. „Княз Александър Дондуков-Корсаков“ 29.
Персонал на дружеството - всички служители, контрагенти и наемни работници както и директорите на дружеството.
Администратор на лични данни - организацията, която определя кога, защо и как да се обработват личните данни. Същата носи отговорност за установяване на практики и политики, съответстващи на приложимите закони за защита на данните. Ние се явяваме в качеството на администратор на лични данни за всички лични данни, отнасящи се до персонала на дружеството, както и личните данни, използвани в рамките на нашата дейност за собствените ни търговски цели.
Длъжностно лице по защита на данните (ДЛЗД) - ако е приложимо, лицето, което следва да бъде назначено при определени обстоятелства по ОРЗД, и което носи отговорност за спазване на изискванията за защита на данните.
Субект на данни - идентифициран или идентифицируем индивид, относно който притежаваме лични данни. Субектите на данни могат да бъдат граждани или жители на всяка една страна и те имат определени законови права по отношение на своите лични данни.
Лични данни - всяка информация, чрез която може да се идентифицира физическо лице (субект на данни) или физическо лице, което може да бъде идентифицирано (пряко или косвено) от данните сами по себе или от комбинацията от други идентификатори, които разумно достъпваме. Лични данни включват чувствителни лични данни и псевдонимизирани лични данни, но изключва анонимни данни или данни, идентифициращи физическо лице, което е било перманентно изтрито. Личните данни могат да бъдат фактически (име, имейл адрес, местонахождение или дата на раждане и др.) или мнение за поведението на физическото лице.
Чувствителни лични данни - лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, данни, свързани със здравословното състояние, сексуалния живот, сексуалната ориентация, биометрични или генетични данни (за целите единствено на идентифицирането на физическо лице), както и лични данни, свързани с престъпни деяния и присъди.
Обработване - всяка дейност, която включва използването на лични данни. Това включва получаването, записването или съхранението на данни или извършването на каквато и да било операция или набор от операции върху данните, включително организиране, изменение, извличане, използване, оповестяване, изтриване или унищожаване на данни. Обработването също така включва предаването или трансферирането на лични данни към трети лица.
Приложими закони за защита на данните - ОРЗД и всякакви по-строги изисквания, налагани от приложимото българско законодателство.
Общ регламент за защита на данните (ОРЗД) - Регламент (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО.
Съгласие - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Оценка на въздействието върху защитата на данните (ОВЗД) - инструменти и оценки, които се използват, за да идентифицират и намалят рисковете от дейностите по обработка на данни. ОВЗД се извършва като част от защитата наличните данни на етапа на проектирането и следва да се провежда за всички ключови системи или програми за промяна на бизнеса, включващи обработка на лични данни.
Защита на личните данни на етапа на проектирането - въвеждането на подходящи технически и организационни мерки по ефективен начин, за да се гарантира спазването на приложимите закони за поверителност на данните.
Уведомления за защита на личните данни или Политики за защита на личните данни - отделни уведомления, които излагат информацията, която може да бъде предоставена на субектите на данни, когато дружеството събира информация за тях. Тези уведомления могат да приемат формата на общи декларации за защита на личните данни, приложими спрямо конкретна група индивиди (например уведомления за защита на личните данни до служители или политика за защита на личните данни, публикувана на интернет страница) или могат да бъдат самостоятелни, еднократни декларации за защита на личните данни, които се отнасят до обработване, свързано с конкретна цел.
Нарушение на сигурността на личните данни - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Автоматизирано взимане на решения (АВР) - взимане на решения, което се базира единствено на автоматизирано обработване (включително профилиране) – без човешка намеса, което води до правни ефекти или значително засяга даден индивид.
Профилиране - всякаква форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани със субекта на данни, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
Псевдонимизация - заместването на информация, която пряко или непряко идентифицира физическо лице, с един или повече изкуствени идентификатори или псевдоними, така че лицето да не може да бъде идентифицирано без използването на допълнителна информация, която следва да се съхранява отделно и да е поверителна – да е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.
ЕИП (Европейско икономическо пространство) - означава страните от ЕС, както и Исландия, Лихтенщайн и Норвегия.
IV. ПРИНЦИПИ НА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
При обработването на лични данни спазваме определени принципи. Тези принципи изискват личните данни:
(а) Да се обработват законно, добросъвестно и прозрачно („законност, добросъвестност и прозрачност“).
(б) Да се събират единствено за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели („ограничаване на целите“).
(в) Да бъдат подходящи, свързани с и ограничени до необходимото, с оглед на целите, за които се обработват („свеждане на данните до минимум“).
(г) Да бъдат точни и, когато е необходимо, да бъдат поддържани в актуален вид. В тази връзка, предприемаме всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“).
(д) Да не се съхраняват във форма, която позволява идентифицирането на субектите на данни за по-дълъг период, отколкото е необходим за целите на обработването („ограничаване на съхранението“).
(е) Да се обработват по начин, който гарантира тяхното ниво на сигурност чрез използване на подходящи технически и организационни мерки за защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане („цялостност и поверителност“).
ж) Да не се прехвърлят в друга държава без да бъдат приложени подходящи защитни мерки;
и) Да бъдат достъпни за субектите на данните и субектите на данните да имат право да упражняват своите права във връзка с обработването на личните им данни.
Носим отговорност за спазването на всички принципи за защита на данните, посочени по-горе и трябва да сме в състояние да демонстрираме това съответствие („отчетност“).
V. ЗАКОННОСТ, ДОБРОСЪВЕСТНОСТ, ПРОЗРАЧНОСТ
1. Законност и добросъвестност
Обработваме личните ви данни по законен, добросъвестен и прозрачен по отношение на вас начин.
Споделяме личните ви данни единствено по добросъвестен и законен начин, за конкретни цели. Обработването на личните ви данни се извършва на база едно или повече от предвидените нормативни основания за обработване на лични данни на физически лица. Тези основания нямат за цел да предотвратят обработването, а да гарантират, че обработваме личните ви данни добросъвестно и без да оказваме негативно влияние върху вас – в качеството ви на субект на данните.
Основанията, въз основа на които можем да обработваме личните ви данни са изложени по-долу:
(а) Предоставили сте своето съгласие когато няма друго основание за обработване на вашите лични данни;
(б) Обработването е необходимо за изпълнението на договор, сключен с вас, или за предприемането на действия по сключване на договор по ваше искане;
(в) Обработването е необходимо във връзка със задълженията ни за спазване на законови изисквания, приложими към нашата дейност;
(г) Обработването е необходимо за защита на жизненоважните ви интереси или за жизненоважните интереси на друго физическо лице; или
(д) Обработването е необходимо за целите на нашите или на друго лице легитимни интереси, при условие че пред тези интереси нямат преимущество вашите интереси или вашите основни права и свободи, които изискват защита на личните ви данни..
2. Съгласие
Можем да обработваме личните ви данни единствено в случаите, в които е налице едно или повече от нормативните основания за обработване на лични данни, предвидени в приложимите закони за защита на личните данни, едно от които е и съгласието за обработване на лични данни.
Вие се считате за съгласен с обработването на личните ви данни, ако изразите съгласието си ясно, чрез изявление или позитивен акт. Съгласието изисква положително действие и по тази причина мълчаливото съгласие, предварително отметнатите полета или бездействието не представляват съгласие.
Вие можете да оттеглите съгласието си за обработване на личните ви данни по всяко време, като оттеглянето се извършва по реда на предоставянето на съгласието или по друг начин, който е също толкова лесен, както и предоставянето му. Възможно е повторно изискване на съгласие, ако възнамеряваме да обработваме личните ви данни за различна и несъвместима цел, която не ви е била оповестена при получаване на първото ваше съгласие.
В случаите, когато не можем да разчитаме на друга законова база за обработване на личните ви данни, при обработване на чувствителна информация, автоматизирано вземане на решения и трансгранични трансфери на данни обикновено се изисква изрично съгласие. В повечето случаи ще разчитаме на другите нормативни основания за обработване на лични данни, включително за чувствителните такива, поради което няма да се нуждаем от вашето изрично съгласие. В случаите, когато е необходимо изричното ви съгласие ще ви предоставим уведомление за защита на личните данни, за да ни предоставите изричното си съгласие, ако нямате против да обработваме личните ви данни за посочените ви цели.
В съответствие с изискванията за даване на съгласие, ние съхраняваме доказателства за получените съгласия, поради което водим отчетност на всички съгласия за обработване на лични данни.
3. Прозрачност
Ние и предоставяме подробна, конкретна информация, в зависимост от това дали личните ви данни са събрани директно от вас или по друг начин. Информацията предоставяме посредством уведомления (информационни листове) за защита на личните данни в сбита, прозрачна, разбираема и лесно достъпна форма, като сме се постарали да използваме ясен и лесноразбираем език.
Винаги, когато събираме лични данни директно от вас, ви предоставяме изискуемата от приложимото европейско и българско законодателство информация, включително идентифицираме дружеството като администратор на лични данни и, ако е приложимо, ДЛЗД, както и информация как и защо ще обработваме, в това число: използваме, оповестяваме, защитаваме и съхраняваме личните ви данни.
Уведомлението за защита на личните ви данни ви се предоставя към първоначалния момент, в който ни предавате вашите лични данни.
Когато личните данни се набират индиректно (например чрез трета страна или публично достъпен източник), ви предоставяме необходимата информация в съответствие с приложимото законодателство за защита на личните данни възможно най-скоро след събирането/получаването на данните.
При събиране на личните ви данни от трета страна, ние се уверяваме, че събирането ще бъде извършено в съответствие с приложимото европейско и българско законодателство.
VI. ОГРАНИЧАВАНЕ НА ЦЕЛИТЕ
Ние събираме личните ви данни единствено за конкретни, изрични и законни цели, като ги обработваме по начин, който е съвместим с тези цели.
При намерение за обработване на личните ви данни за нови цели, различни от целите, за които сме ви уведомили при първоначалното събиране на данните, преди извършване на обработването за новите цели се ангажираме да ви уведомяваме за новите цели и, когато е необходимо, да ви поискаме да ни предоставите вашето съгласие.
VII. СВЕЖДАНЕ НА ДАННИТЕ ДО МИНИМУМ
Личните данни следва да бъдат достатъчни, съответстващи и ограничени до необходимото за целите, за които се обработват.
Обработването на лични данни се допуска само от персонала на дружеството в изпълнението на задълженията му спрямо дружеството. Не се разрешава обработването на лични данни по каквито и да било причини, които не са свързани със задълженията на персонала.
Персоналът на дружеството има право и е длъжен да събира единствено лични данни, които са достатъчни за и съответстващи на предвидените цели.
Принцип на дружеството при обработване на личните данни е, когато те вече не са необходими за целите, за които са събрани, да бъдат изтривани или анонимизирани.
VIII. ТОЧНОСТ
Стремим се обработваните от нас лични данни да бъдат винаги точни и, където е необходимо, актуални. Когато установим неточност на данните, се опитваме възможно най-бързо да отстраним неточността чрез коригиране на данните или чрез тяхното изтриване.
Персоналът на дружеството е наясно със задължението си да проверява дали личните данни, които дружеството използва и съхранява са точни, пълни, актуални и свързани с целите, за които се събират. Персоналът на дружеството проверява точността на личните данни в момента на събирането им, както и на редовни интервали след това.
IX. ОГРАНИЧАВАНЕ НА СЪХРАНЕНИЕТО
При обработване на личните данни, дружеството се опитва да избягва съхранението им във формат, позволяващ идентифицирането на субекта на данните, за период, който е по-дълъг от необходимия за законните бизнес цели или за целите, за които първоначално сме събрали данните, включително с цел удовлетворяване на правни, счетоводни или отчетни изисквания.
Дружеството поддържа определени политики и процедури за съхранение на данни, за да гарантираме, че личните ви данни ще бъдат изтрити след период, който е разумен за целите, за които се съхраняват, освен когато съществува закон, който изисква данните да бъдат съхранявани за определен минимален период. Персоналът на дружеството е длъжен да предприема всички разумни стъпки за унищожаването или изтриването от системите на дружеството на всякакви лични данни, които повече не са необходими, в съответствие с приложимите политики и програми на дружеството за съхранение на записите. Доколкото е приложимо, задължението за изтриване на такива данни може да бъде възлагано на трети страни по силата на сключени с тях договори.
Персоналът на дружеството е наясно с отговорността си за уведомяване на субектите на данни за периода, за който се съхраняват техните данни и начина на определяне на съответния период.
X. СИГУРНОСТ, ЦЯЛОСТНОСТ И ПОВЕРИТЕЛНОСТ
1. Защита на личните данни
Ние прилагаме подходящи технически и организационни мерки за защита на личните данни от неупълномощено или незаконно обработване, както и от случайна загуба, унищожаване и увреждане.
Разработваме, внедряваме и поддържаме мерки за защита, съответстващи на нашия размер, обхват и бизнес, на наличните ресурси, количеството лични данни, които обработваме от наше име или от името на други администратори и идентифицираните рискове (включително използването на криптиране и псевдонимизиране, когато е приложимо). Предвидили сме редовно да оценяваме и изпитваме ефективността на тези мерки, за да гарантираме сигурността на извършваното от нас обработване на лични данни. Ние въвеждаме разумни и подходящи мерки за сигурност срещу незаконно или неупълномощено обработване на лични данни, както и срещу случайна загуба или увреждане на лични данни. Ние упражняваме особена грижа за защитата на чувствителни лични данни от загуба или неупълномощен достъп, употреба или оповестяване.
Персоналът на дружеството е наясно, че спазването на всички процедури и технологии, въведени с цел поддържане на сигурността на всички лични данни от момента на събирането им до момента на унищожаването им е негов ангажимент. Трансфер на лични данни към трети лица - доставчици на услуги, се допуска единствено когато същите са поели ангажимент към дружеството да спазват необходимите политики и процедури и са се ангажирали да въведат адекватни мерки за защита, съгласно изисканото от тях.
Ние поддържаме сигурността на личните данни, като защитаваме поверителността, целостта и наличността им, които се определят по следния начин:
(а) Поверителност означава, че само индивидите, които имат нужда да са наясно с данните и са упълномощени да използват същите имат достъп до лични данни;
(б) Цялост означава, че личните данни са точни и подходящи за целта, за която се обработват;
и
(в) Наличност означава, че упълномощените потребители могат да осъществят достъп до личните данни, когато се нуждаят от същите в изпълнение на целите, за които са упълномощени.
Ние разполагаме с корпоративна политика за сигурност на информацията, чийто приложими аспекти персоналът на дружеството е длъжен да спазва, както е длъжен да спазва и да не прави опити за заобикаляне на административните, физически и технически мерки за защита, които сме въвели и поддържаме в съответствие с приложимото европейско и българско законодателство за защита на личните данни.
2. Докладване на нарушение на сигурността на личните данни
Дружеството е длъжно да докладва за нарушения на сигурността на личните данни към Комисия за защита на личните данни, която е надзорният орган за Република България, и да ви съобщава, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за вашите права и свободи.
Нямаме задължение да ви съобщаваме за нарушението, ако е налице някое от следните обстоятелства:
a) предприетите от нас подходящи технически и организационни мерки за защита са били приложени по отношение на личните ви данни, засегнати от нарушението, и по-специално били са приложени тези предприети от нас мерки (например криптиране), които правят личните ви данни неразбираеми за лица, които нямат разрешение за достъп до тях;
б) след извършване на нарушението на сигурността на личните ви данни сме предприели мерки, които гарантират, че вече няма вероятност да се материализира високият риск за вашите права и свободи;
в) съобщаването за нарушението би довело до непропорционални усилия за нас. В този случай, чрез публично съобщение или чрез друга подобна мярка ще съобщим за извършеното нарушение, така че вие и останалите субекти на данни да бъдете в еднаква степен ефективно информирани.
За пълноценното опазване на личните ви данни сме въвели процедури за третиране на всякакви предполагаеми нарушения на сигурността на данните, като за разследване на възникнали нарушения си взаимодействаме с екипа ни за киберсигурност.
XI. ОГРАНИЧАВАНЕ НА ТРАНСФЕРИТЕ (лични данни на жители на ЕС)
ОРЗД ограничава трансферите на лични данни на жители на ЕС към страни извън ЕИП, за да се гарантира, че нивото на защита на данните, гарантирано на индивидите от ОРЗД, няма да бъде компрометирано. Трансграничен трансфер на лични данни, произхождащи от дадена страна е налице при предаването, изпращането, разглеждането или осъществяването на достъп до тези данни в или до друга държава.
Бюти Зоун Платформ ЕООД не извършва трансфер на лични данни на граждани на ЕС извън ЕИП.
XII. ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Вие имате определените в ОРЗД и в българското законодателство права по отношение на третирането на личните ви данни. Тези права включват:
(а) Правото да оттегляте съгласието си за обработване на личните ви данни във всеки един момент;
(б) Правото да получавате определена информация относно дейностите по обработване, предприети от нас – като администратор на лични ви данни;
(в) Правото да изискате от нас да ви осигурим достъп до личните ви данни, които съхраняваме;
(г) Правото да не давате съгласие/ да оттеглите съгласието си за използване на личните ви данни за целите на директния маркетинг;
(д) Правото да изискате изтриването на ваши лични данни, ако същите вече не са необходими за целите, за които сме ги събрали, или да изискате коригирането на неточни данни и попълването на непълни такива;
(е) Правото да искате да ограничите обработването на личните ви данни при наличие на някое от следните обстоятелства:
• вие сте оспорили точността на личните ви данни, за срок, който ни позволява да проверим тяхната точност;
• обработването е неправомерно, но вие не желаете личните ви данни да бъдат изтрити, а вместо това изисквате от нас да ограничим използването им;
• ние не се нуждаем повече от личните ви данни за целите на обработването, но вие ги изисквате за установяването, упражняването или защитата на правни претенции;
• на основания, свързани с вашата конкретна ситуация, вие сте възразили срещу обработването в очакване на проверка дали нашите законни основания имат преимущество пред вашите интереси;
(ж) Правото, по всяко време и на основания, свързани с вашата конкретна ситуация, да направите възражение срещу обработването, включително профилиране, което е обосновано от наши легитимни интереси или от обществен интерес;
(з) Правото, по всяко време, да направите възражение срещу обработване на личните ви данни за целите на директния маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг;
(и) Правото да изискате копие от споразумение, по силата на което личните ви данни са трансферирани извън ЕИП;
(й) Правото да възразявате срещу решения, основаващи се единствено на автоматизирано обработване, включително профилиране;
(к) Правото да прекрати Обработка, която е вероятно да предизвика щети или неудобства за Субекта на данни или друг индивид;
(л) Правото да бъдете уведомен за нарушение на сигурността на данните, което е вероятно да изложи на висок риск вашите права и свободи;
(м) Правото ви да отправите жалба към Комисия за защита на личните данни; и
(н) Правото ви да получите личните си данни в структуриран, широко използван и пригоден за машинно четене формат.
При желание да упражните някое от горепосочените права, ще изискаме от вас да потвърдите личните си данни чрез предоставяне на данни, които да ви идентифицират по достатъчно убедителен начин, за да избегнем незаконосъобразно разкриване на личните ви данни.
XIII. ОТГОВОРНОСТ
1. Адекватни ресурси и мерки за контрол
С оглед спазване на принципите, свързани с обработването на личните данни, и за гарантиране и документиране спазването на изискванията на приложимото българско и европейско законодателство, сме предвидили адекватните ресурси и сме въвели подходящи технически и организационни мерки, включително:
(а) Назначаване на подходящо квалифицирано длъжностно лице по защита на личните данни (когато такова е необходимо), което да носи отговорност за защитата на данните;
(б) Прилагаме защита на личните данни от момента на проектирането и извършваме оценка на въздействието върху защитата на данните, когато е възможно обработването да породи висок риск за вашите права и свободи;
(в) Интегрирали сме защитата на данните във вътрешни документи, включително настоящата политика и уведомленията за защита на личните данни;
(г) Извършили сме обучение на служителите на дружеството относно приложимото българско и европейско законодателство за защита на личните данни, настоящата политика, съответните вътрешни документи, както и всякакви други въпроси, отнасящи се до защитата на данните, включително до правата на субектите на данни, необходимостта от изискване на съгласие, законовата уредба, оценка за въздействие върху защитата на данните и нарушения на сигурността на данните; и
(д) Предвидили сме редовно да проверяваме ефективността на въведените мерки за защита на личните данни и да провеждаме периодични прегледи и одити за оценка на съответствието, включително да използваме резултатите, за да извършваме подобрения в съответствието.
2. Съхраняване на записи
С оглед спазване на изискването за поддържане на регистър на дейностите по обработване, сме направили организация по съхранение и поддържане на максимално точни корпоративни записи, които отразяват извършваните от нас дейности по обработване включително записи с предоставените ни съгласия на субектите на данни и процедурите за получаване на такива съгласия.
Записите ни включват, като минимум: нашето име и данни за контакт на администратора на данни и, ако е приложимо, на длъжностното лице по защита на данните, ясно описание на видовете лични данни, дейности по обработване, цели на обработването, трети страни - получатели на лични данни, локациите за съхранение на личните данни, трансфери на лични данни, периода за съхранение на личните данни и описание на въведените мерки за сигурност.
3. Обучение и одит
Дружеството гарантира, че всички служители са преминали адекватно обучение, за да могат да спазват законодателството за защита на личните данни. Дружеството се задължава да провежда регулярно тестове и проверки на системите и процесите си във връзка с обработка на личните данни и да осигурява необходимото съответствие.