ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ОБРАБОТВАНИ ОТ
 „ДУНАВ ТУРС ХОТЕЛС” ЕАД

 
„ДУНАВ ТУРС ХОТЕЛС” ЕАД /Дунав турс хотелс или Администраторът/ е търговски дружество, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК: 117522210 със седалище и адрес на управление: гр. Русе, ул. "Олимпи Панов" № 5, тел: +359 82 526067; e-mail: dthotels@dunavtours.bg и Интернет страница: http://www.mydunavtours.bg/ .
„Дунав турс хотелс” ЕАД извършва дейност по търговско представителство и посредничество, консултантски услуги, внос и износ на стоки, хотелиерки услуги, посредническа дейност по информиране и наемане на работа в страната и в чужбина, туроператорска дейност и туристическо агентство, ресторантьорски услуги, външноикономическа дейност, обмяна на валута, корабно агентиране и корабно снабдяване, логистична, спедиционна и сервитьорска дейност, изготвяне на митнически документи, ловен, научен и конгресен туризъм, в това число организиране на симпозиуми, изложения, конференции, фестивали, яхтинг, спортна анимация, аукционна и комисионерска дейност, продажба на самолетни и автобусни билети, както и всяка друга дейност незабранена от закон.
„Дунав турс хотелс” ЕАД е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ, L119/1 от 4 май 2016 г.) и Закон за защита на личните данни.
В качеството на администратор и на основание чл. 37, параграф 1, буква „б“ и „в“, субектите могат да се обръщат към определеното длъжностно лице за защитата на данните на: dpo@uniongroup.bg , както и на следния адрес: гр. София, бул. Тотлебен № 30-32.
 
І. ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА
Чл. 1. Настоящата Политиката за поверителност и защита на личните данни цели постигането на прозрачност и лесно достъпна информация за субектите на данни, чиито лични данни се обработват от Дунав турс хотелс. Администраторът отчита неприкосновеността на личността и естеството на обработваните при него лични данни, като полага усилия за тяхната защита срещу неправомерно обработване и предприема в съответствие със законодателството и добрите практики технически и организационни мерки за тяхната защита.
Чл. 2. С настоящата Политиката за поверителност и защита на личните данни „Дунав турс хотелс” цели да информира субектите на данни за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данни, както и последиците от отказ за предоставянето им, информация за правата и начина за тяхното реализиране, съгласно изискванията на чл. 13 и чл. 14 от Общия регламент за защитата на данните.
 
 
 
ІІ. ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ
Чл. 3. По смисъла на настоящата Политика:
1.  Лични данни е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано /“субект на данни“; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, регистрационен номер, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
2. Обработване на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
 3. Съгласие на субекта на данните означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
4. Администратор на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;
5. Обработващ лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Дунав турс хотелс.
6. Получател е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не, където трета страна се явява администратор или обработващ лични данни и лица, които под пряко ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
 
ІІІ. ЛИЧНИ ДАННИ ОБРАБОТВАНИ ОТ „ДУНАВ ТУРС ХОТЕЛС”
Чл. 4. (1) „Дунав турс хотелс” като администратор на лични данни, обработва категории лични данни, част или предназначени да бъдат част от регистри.
(2) „Дунав турс хотелс” обработва лични данни, предоставени от физическите лица, за които се отнасят данните във връзка и с цел предоставяне на услуги основно за целите на извършване на туроператорска и туристическа дейност /предоставяне на всякакъв род туристически и спомагателни на туристическата услуги/, както и по повод корабно агентиране.
(3) „Дунав турс хотелс” обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице основно  при условията на организиране на услугата, в качеството на съвместен администратор или обработващ лични данни.
(4) При всички случаи по ал. 3, лицето, предоставило тези данни на Администратора уведомява субектите на данни за:
1. координатите за администратора – „Дунав турс хотелс” и неговото длъжностно лице по защита на данните;
2. общите цели и основанията, категориите предоставени данни и категориите получатели на тези данни, в това число „Дунав турс хотелс“ в качеството на получател, както и срока и/или критериите за определяне на срока за съхранение;
3. правото на достъп, на коригиране или изтриване, правото на ограничаване, правото на възражение и правото на преносимост на неговите лични данни.
4. правото на жалба до надзорен орган;
5. източника на данните;
6. правото да оттегли своето съгласие, ако данните се обработват на основание съгласие на субекта на данни.
Чл. 5. При обработка на данни за непълнолетен и/или лице, с поставени ограничения спрямо упражняването на неговите права /например: при условия за настойничество/, данните се събират при правилата за легитимно представителство, в зависимост от случая.
 
Чл. 6 (1) Диференцирани от конкретната  цел, примери за категории лични данни, които се обработват от „Дунав турс хотелс” са данни свързани с:
1. физическата идентичност – име, ЕГН, паспортни данни, адрес, телефон, е-mail, и други като визуална идентичност;
2. социална идентичност – гражданство
 (2) За целите на управлението на човешкия ресурс могат да се обработват като допълнение към данните по ал. 1 и следните категории данни:
1. културна идентичност – хоби и други предоставени по преценка на субекта;
2. социална идентичност – образование, трудова дейност, месторабота, професия/ длъжност;
3. семейна идентичност – семейно положение, родствени връзки, когато е налице изискване за установяване на конфликт на интереси;
4.  лични данни, които се отнасят до здравето за целите на трудовата медицина и регистриране на болнични и други, свързани с трудовото правоотношение;
5. Други, предоставени по преценка на субекта на данни.
(3) В изключително редки случаи и само при условие, че това е в интерес и защитава правата на субекта на данни се обработват данни за здравето, например: наличие на инвалидност, с оглед проверка за наличието на достъпна среда и/или алергии и други непоносимости, с оглед обслужване и организация на съответното мероприятие. В случай, че няма валидно основание, Администраторът иска от субекта на данни съгласие по смисъла на чл. 7 от Общия регламент за защита на данните.
 
Чл. 7. При определяне на личните данни в различните категории, Администраторът се води от принципа на “необходимо да се знае” за конкретната цел, за която ги събира.
 
ІV. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 8. Като администратор на лични данни, „Дунав турс хотелс” обработва лични данни чрез съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване и унищожаване, при спазване на следните принципи :
1. законосъобразност, добросъвестност и прозрачност;
2. целесъобразност на обработката на лични данни;
3. пропорционалност и свеждане на данните до минимум;
4. точност/ актуалност на обработваните лични данни;
5. ограничение на съхранението;
6. цялостност и поверителност на обработваните лични данни.
 
Чл. 9. (1) Администраторът обработва личните данни самостоятелно или чрез възлагане на обработващи данните, като определя целите и обемът на задълженията, възложени от администратора на обработващия данните, при наличие на релевантно правно основание, съгласно изискванията на Общия регламент за защитата на данните.
(2) Администраторът може да се яви обработващ от името на друг администратор, като в случая обработва личните данни на основанието, на което администратора ги е събрал при ред и условия определени от него.
 
Чл. 10. „Дунав турс хотелс“ обработва лични данни и с други администратори при условията на съвместно администраторство. За тези случаи, „Дунав турс хотелс“ е оповестило и предоставило на разположение на субектите на данни настоящата политика, съставляваща информацията по чл. 13 и чл. 14 от Общия регламент за защитата на данните, на интернет страницата на Администратора: http://www.dunavtours.bg/ , като осигурява възможност за достъп до същата на субектите на данни в момента на първия техен контакт със служители на „Дунав турс хотелс“.
 
V. ЦЕЛ НА ОБРАБОТКА НА ЛИЧНИ ДАННИ
Чл. 11 (1) Целта на обработка на лични данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи клиенти на „Дунав турс хотелс” с цел осъществяване предмета на дейност на дружеството, а именно целите на обработка на данните могат да се класифицират като:
1. предоставяне на туристически услуги /туроператорство и туристическо агентство/, в това число хотелиерски и ресторантьорски услуги, закупуване на самолетни и автобусни билети, организация и провеждане на различен вид туризъм /ловен, научен и конгресен/, организиране на симпозиуми, изложения, конференции, фестивали, яхтинг, анимация;
2. корабно агентиране и корабно снабдяване;
3. посредническа дейност по информиране и наемане на работа в страната и в чужбина
4.логистична, спедиционна и сервитьорска дейност, в това число изготвяне на митнически документи;
5. търговски дейности като представителство, посредничество, консултантски услуги, внос и износ на стоки, аукционна и комисионерска дейност.
(2) Администраторът обработва лични данни и за целите на финансово-счетоводната дейност, пенсионна, здравна и социално-осигурителна дейност, дейността по управление на човешките ресурси, както и за целите на обичайните търговски практики по договаряне и представителство.
(3) Всеки субект може да се запознае с кратките уведомления относно Политиката за поверителност и защита на данните, обработвани от „Дунав турс хотелс“ на интернет страницата на дружеството и/или в офиса на дружеството. Уведомленията по настоящата алинея, съставляват инструмент за постигане на повече прозрачност и достъпност, както и яснота на информацията, дължима към субектите на данни на основание чл. 13 и чл. 14 от ОРЗД.
 
Чл. 12 (1) Обработката на данни е най-често на основание изпълнение на договор, по който субектът на данни е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.
(2) Администраторът обработва лични данни, в това число разкрива такива и при изпълнение на нормативно установени задължения на администратора на лични данни, произтичащи от спецификата на изискванията на относимото законодателство /например трудовото законодателство/.
(3) Администраторът може да обработва лични данни и на друго легитимно основание, в това число съгласие на субекта на данните, като предприема необходимите мерки за прилагане на всички принципи свързани с обработването на лични данни. При обработване на лични данни на основание съгласие, администраторът изрично предупреждава лицето и ако е необходимо събира неговото формално такова.
(4) Администраторът няма автоматично вземане на решения, в това число не извършва профилиране по смисъла на чл. 22 от Общия регламент за защитата на данните.
 
Чл. 13. Когато личните данни се обработват за други цели, различни от посочените в настоящата политика, извън случаите на налично съгласие или нормативно установено основание, Администраторът следва да се увери, че обработването за други цели е съвместимо с първоначалната цел, като взема под внимание:

 
VІ. СРОК ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Чл. 14 (1) „Дунав турс хотелс“ обработва лични данни диференцирано, като в общия случай прилага нормативно определения давностен срок от 5 години, като в случаите на обработка на лични данни, част от счетоводна и данъчна документация по Закон за счетоводството и Данъчно-осигурителния и процесуален кодекс прилага следните диференцирани срокове:
1. лични данни, част от документи, свързани с ведомости за заплати се обработват 50 години в съответствие със Закона за счетоводството;
2. лични данни, част от счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции - 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
3. всички останали носители на счетоводна информация - три години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.
4.  лични данни, част от документи за данъчно-осигурителен контрол - 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
5. всички други документи – 5 години.
(2) При определяне на сроковете по ал. 1 за критерии се ползват установените добри практики в сферата на дейност на Администратора, изискванията на относимите законодателства, както и обичайте при корабоплаването.
 
VІІ. ПОСЛЕДИЦИ ОТ ОТКАЗ ЗА ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ
Чл. 15 (1) Изрично съгласие на физическите лица, чиито данни се обработват не винаги е необходимо, ако Администраторът разполага с друго правно основание за обработка на лични данни – например нормативно установено задължение и/или изпълнение на договор.
(2) В съответствие с предходната алинея, когато личните данни се обработват на основание съгласие на субекта на данните, същото може да бъде оттеглено по всяко време, ако това не засяга законосъобразността на обработването. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.
 
Чл. 16 (1)  Изисканите от служителите на „Дунав турс хотелс“ лични данни са съобразени с услугите, които се предлагат и имат задължителен и доброволен характер.
(2) В случай на отказ от доброволно предоставяне на лични данни, които имат задължителен характер, например: име на потребителя на услугата, “Дунав турс хотелс“ няма да бъде в състояние добросъвестно и точно да предостави своите услуги.
(3) В случай на предоставяне от субекта на данни на данни с доброволен характер, Администраторът счита, че при наличната в настоящата политика информация и при спазване на принципа за прозрачност, субекта е взел информирано решение, като с акта на предоставяне е предоставил своето конкретно, ясно и доброволно съгласие.
 
VІІІ. РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ
Чл. 17 (1) „Дунав турс хотелс”, като администратор на лични данни има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории получатели:
1. физически лица, за които се отнасят данните;
2. лица, за които правото на достъп е предвидено в нормативен акт
3. на лица за защита живота и здравето на физическото лице, за което се отнасят данните;
4. лица, за които правото произтича по силата на договор, в това число съадминистратори и обработващи лични данни.
(2) „Дунав турс хотелс“ може да предава лични данни на трета държава при осъществяване на туристическата услуга, от която субекта на данни е заинтересован /е проявил интерес/ и е заявил своето желание да я получи, като предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта между администратора и друго лице.
 
Чл. 18. Обработваните лични данни на потребители на услугите на „Дунав турс хотелс”, могат да бъдат предоставяни на други търговски дружества – администратори на лични данни, при условията на чл. 17, ал. 1, т. 4, във връзка с изпълнение на конкретни задачи съвместно или по указание и от името на „Дунав турс хотелс”  - при условията на съвместно администраторство или при спазване на минималните изисквания за договореност и контрол на обработващи лични данни (например: туроператорство, агентство, счетоводни и правни услуги, поддържане на архив и т.н.).
При обработването на данни за целите на корабното агентство, „Дунав турс хотелс“ ЕАД, в качеството на частна организация се съобразява с нормативно и държавно поставените изисквания и стандарти и е ограничен във възможностите за оценка, преценка и/или налагане на промяна в нивото на защита и приложимите гаранции.
 
ІХ. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 19. Субектите на данни, чиито лични данни се обработват имат следните права:
1. Право на информираност, относно данните, които идентифицират администратора, неговия представител и длъжностното лице по защита на данните, целите, основанията и срока на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им, както и правата на субектите на данни и други съгласно чл. 13 и чл. 14 от Общия регламент за защитата на данните;
2. Право на достъп до отнасящи се до тях данни – при поискване, субектът на данни може да получи информация за обработката, правата си, както и копие от личните му данни, които са в процес на обработване. В случаите, когато при предоставяне правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице;
3. Право на коригиране на лични данни, които са неточни или непълни;
4. Право на изтриване / право „да бъдеш забравен“, когато личните данни повече не са необходими за целите, за които са събрани или обработвани; оттеглено е дадено съгласие, основание за тяхната правомерна обработка; възразява се срещу обработката съгласно чл. 21 от Общия регламент за защита на данните, обработването е незаконосъобразно и/или изтриването има за цел спазването на правно задължение. Правото „да бъдеш забравен“ не се прилага, когато Администраторът спазва правно задължение, изпълнява се задача от обществен интерес или се упражняват официални правомощия на Администратора, както и по причини от обществен интерес в областта на обществено здраве, архивирането в обществен интерес, научни или статистически цели, както и за целите на установяване, упражняване или защита на правна претенции.
5. Право на ограничаване на обработването – правото се прилага, когато се оспорва точността на данните; обработването е неправомерно, но субекта не желае да бъдат изтрити от Администратора, а само да се ограничи тяхното ползване; Администраторът не се нуждае повече за целите на обработването, но субекта ги изисква за установяване, упражняване или защита на правни претенции; налице е възражение срещу обработването съгласно чл. 21, параграф 1 от Общия регламент за защитата на данните и се очаква проверка на законните основания и интересите на субекта. Когато се упражни това право, тези данни се обработват, с изключение на случаите на тяхното съхранение, на основание съгласие на субекта или за установяване, упражняване или защита на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.
6. Право на преносимост на данните – правото се реализира, когато субектът е предоставил личните си данни в структуриран, широко използван и пригоден за машинно четене формат и съответно има право да прехвърли тези данни на друг администратор без възпрепятстване на „Дунав турс хотелс“. „Дунав турс хотелс“ няма установена такава практика на събиране на лични данни. Администраторът няма техническа възможност /не е технически осъществимо/ да прехвърли пряко личните данни на субектите към друг Администратор по искане на субекта, поради технологията на обработка.
7. Право на възражение пред администратора по всяко време срещу обработване на основание обществен интерес и/или официални правомощия, както и легитимни интереси, включително профилиране, основаващо се на тези разпоредби, както и за целите на директния маркетинг.  Обработването не се прекратява, ако Администраторът има убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта или за установяването, упражняването или защитата на правни претенции.
8. Право на защита– субектите на лични данни имат право на жалба, както пред длъжностното лице по защита на данните и администратора, така и пред КЗЛД и по съдебен ред.
 
Чл. 20 (1) „Дунав турс хотелс“ съобщава за реализираното право на коригиране, на изтриване или ограничаване на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.
(2) Във връзка с изпълнението на ал. 1, с настоящата политика, Администраторът уведомява субектите, че данните се разкриват и на получатели, които обработват същите на собствено основание и цели, което е независимо от „Дунав турс хотелс“, с оглед на което субектът следва да упражни правата си и спрямо посочените получатели, в качеството им на отделни администратори.
(3) При поискване, Администраторът информира субекта за тези получатели, които са му известни и в случай, че това е възможно, не накърнява чужди права, свободи и интереси и не е прекомерно.
 
Х. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВА
Чл. 21. (1) Субектите на данни, упражняват правата си, като подават писмено заявление до “Дунав турс хотелс“, съдържащо минимум следната информация:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2.основание – упражнено право и хипотеза, в която се реализира;
3. описание на искането;
4. предпочитана форма за предоставяне на информацията;
5. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) Подаването на заявление е лично или при условията на чл. 22-23 на адреса на Администратора и/или адреса на длъжностното лице по защита на данните и е безплатно.
 
Чл. 23. При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.
 
Чл. 24. В случай на смърт на физическото лице, правата му се упражняват от неговите наследници, като към заявлението се прилага удостоверение за наследници.
 
Чл. 25. Срокът за разглеждане на заявлението и произнасяне по него е едномесечен, съответно може да бъде удължен с още 2 месеца, когато е необходимо повече време за събиране исканите данни, с оглед възможни затруднения в дейността на Администратора.
 
Чл. 26. „Дунав турс хотелс“ изготвя писмен отговор, като се съобразява с предпочитаната от заявителя форма на предоставяне на информацията.
 
Чл. 27. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.
 
Чл. 28. В случай, че Администратора не отговори на искането за достъп до лични данни в предвидените срокове или заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, той има право да упражни правото си на защита.
 
Чл. 29. За прилагането на настоящата политика, както и във връзка с реда на упражняването на своите права, субекта на данни има право да се обърне и към длъжностното лице по защита на данните, на координатите посочени в настоящата Политика.
 
 
ЗАКЛЮЧИТЕЛНА РАЗПОРЕДБА
§ 1 Настоящата Политика е приета с решение на Съвета на директорите на “Дунав турс хотелс“ ЕАД, като влиза в сила от 25.05.2018 г.
 

---