Πολιτικη προστασιας των προσωπικων δεδομενων

1. Γενικές πληροφορίες. Σκοπός της πολιτικής απορρήτου

1.1 Στις 25.05.2018 στη Βουλγαρία τέθηκε σε ισχύ ο Γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ/ GDPR). Ο κανονισμός αυτός εγκρίθηκε από την Ευρωπαϊκή Ένωση και ο σκοπός του είναι να ευθυγραμμίσει τις πολιτικές των κρατών-μελών της Ευρωπαϊκής Ένωσης περί συλλογής και χρήσης των δεδομένων προσωπικού χαρακτήρα. Ο κανονισμός επίσης εγγυάται ιδίως το δικαίωμα σας για προστασία των προσωπικών σας δεδομένων και σας παρέχει επιπλέον προστασία κατά τις παραβιάσεις του προσωπικού απόρρητου. Ο καινούργιος κανονισμός διακρίνεται με πολλές απαιτήσεις με τις οποίες η ΒΙΟΝΑΤ ΕΠΕ συμμορφώνεται. Στο πλαίσιο των δραστηριοτήτων και των υπηρεσιών της ΒΙΟΝΑΤ ΕΠΕ, ενδέχεται να συλλέγει πληροφορίες που συνιστούν δεδομένα προσωπικού χαρακτήρα, τηρώντας τον ΓΚΠΔ και τις ισχύοντες  νομοθετικές πράξεις για την προστασία των δεδομένων:

1.2. Η παρούσα πολιτική αποσκοπεί να ρυθμίσει τους:
- Μηχανισμούς προστασίας των δεδομένων προσωπικού χαρακτήρα που χειρίζεται και επεξεργάζει η ΒΙΟΝΑΤ ΕΠΕ
- Τον καθορισμό των εκτελούντων επεξεργασίας δεδομένων και των προσώπων που έχουν άμεση πρόσβαση στα δεδομένα και δουλευόυν υπό την άμεση εποπτεία των εκτελούντων επεξεργασίας, καθώς και η ευθύνη τους σε περιπτώσεις μη εκπλήρωσης των υποχρεώσεών τους σχετικά με την επεξεργασία και την προστασία των δεδομένων, τα δικαιώματά και τις υποχρεώσεις τους.
- Τα απαραίτητα τεχνικά ή οργανωτικά μέτρα προστασίας του προσωπικού απορρήτου από μη εξουσιοδοτημένη ή παράνομη επεξεργασία (τυχαία ή παράνομη καταστροφή, τυχαία απώλεια, παράνομη πρόσβαση, μεταλλαγή και διανομή) καθώς και σε όλες τις παράνομες μορφές επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
- Τις ενέργειες της προστασίας από ατυχήματα και καταστροφές.
- Τους κανόνες παροχής των δεδομένων προσωπικού χαρακτήρα στο υποκειμένο καθώς και σε τρίτα πρόσωπα.
- Οι προθεσμίες διεξαγωγής περιοδικών εξετάσεων για την ανάγκη επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθώς και ο εξουδετερισμός τους/η διαγραφή τους. 
- Σειρά για την διαγραφή ή την χορήγηση των δεδομένων προσωπικού χαρακτήρα σε άλλο Υπεύθυνου Επεξεργασίας.
- Διαδικασία για ενημέρωση της Επιτροπής για την προστασία των προσωπικών δεδομένων για παραβίαση της ασφάλειας του προσωπικού απορρήτου.

2. ΟΡΙΣΜΟΙ
Για τους σκοπούς της παρούσας Πολιτικής Απορρήτου θα έχουν εφαρμογή οι ακόλουθοι ορισμοί:

2.1. «Προσωπικά Δεδομένα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Tο ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό αναγνώρισης, σε στοιχεία διαμονής, σε ηλεκτρονική αναγνώριση ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη φυσική, φυσιολογική, ψυχολογική, συναισθηματική ή οικονομική κατάσταση, την πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Το πρόσωπο αυτό αποκαλείται υποκείμενο δεδομένων.
2.2. «Επεξεργασία» είναι κάθε λειτουργία ή ομάδα λειτουργιών που εκτελείται πάνω στα προσωπικά δεδομένα των χρηστών, είτε με αυτόματα μέσα είτε όχι, όπως η συλλογή, καταγραφή, οργάνωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, αποκάλυψη με μετάδοση, διάδοση ή με άλλο τρόπο θέση σε διαθεσιμότητα, ευθυγράμμιση ή συνδυασμό, παρεμπόδιση, διαγραφή ή καταστροφή.
2.3. Ως «μητρώο δεδομένων προσωπικού χαρακτήρα» νοείται κάθε δομημένο σύνολο δεδομένων προσωπικού χαρακτήρα που προσεγγίζεται σύμφωνα με συγκεκριμένα κριτήρια, είτε κεντρικά, αποκεντρωμένα είτε κατανεμημένα από λειτουργική ή γεωγραφική άποψη.
5. Ως «παραλήπτης» νοείται ένα φυσικό ή νομικό πρόσωπο που έχει συνάψει συμφωνία με την BIONAT LtD :
5.1. Για την αγορά παραφαρμάκων, φυτικών καλλυντικών, που διανέμονται από την επιχείρηση συμπεριλαμβανομένου του ηλεκτρονικού κατάστηματος που υποστηρίζει η επιχείρηση
5.2. Για πραγματοποίηση μιας δραστηριότητας
6. «Εκτελών δεδομένων προσωπικού χαρακτήρα» είναι κάθε πρόσωπο, που ενεργεί κάτω από την εποπτεία του Διευθυντή της BIONAT LTD. ή του Υπεύθυνο Επεξεργασίας και το οποίο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνο Επεξεργασίας, εκτός εάν προβλέπεται διαφορετικά στον Νόμο.

7.  «Υποκείμενο δεδομένων» είναι κάθε φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα  είναι υπό επεξεργασία και τα τηρεί  ο  Υπεύθυνος Επεξεργασίας.

3. ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
3.1. Εξατομίκευση του Υπεύθυνο Επεξεργασίας δεδομένων
Διακριτικός Τίτλος:  ΒΙΟΝΑΤ ΕΠΕ, εφεξής  “Υπεύθυνος Επεξεργασίας”;
Α.Φ. Μ.: 115815816
Έδρα και διεύθυνση: Plovdiv, 15 Rogoshko Shose str.
Τηλ.: +359888889334;
Διευθυντής: Ντομπρομίρ Ντόμπτσεφ.

3.2. Ο Υπεύθυνος Επεξεργασίας δεδομένων επεξεργάζεται τα προσωπικά δεδομένα μεμωνομένα ή αναθέτει την επεξεργασία δεδομένων σε εκτελών ή εκτελούντες.

3.3. Ο Υπεύθυνος Επεξεργασίας έχει το δικαίωμα να ορίζει ένα ή περισσότερα πρόσωπα που να έχουν δικαίωμα πρόσβασης στα δεδομένα και να φέρουν ευθύνη για τον συντονισμό και την εφαρμογή των μετρών προστασίας.

3.4. Η ΒΙΟΝΑΤ ΕΠΕ τηρεί τις εξής αρχές στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
- Νομιμότητα, ευσυνειδησία και διαφάνεια·
- Περιορισμό σκοπού επεξεργασίας·
- Συσχετισμός στους σκοπούς και ελαχιστοποίηση των δεδομένων·
- Την ακρίβεια και επικαιρότητα των δεδομένων ·
- Περιορισμός της περιόδου αποθήκευσης- τα προσωπικά δεδομένα τηρούνται μόνο για χρόνο όχι μεγαλύτερο από αυτόν που είναι απαραίτητος για τους σκοπούς για τους οποίους η Εταιρεία τα επεξεργάζεται·
- Ακεραιότητα και εμπιστευτικότητα, σύμφωνα με την οποία τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια και προστασία τους.

4. ΕΚΤΕΛΟΥΝΤΕΣ ΔΕΔΟΜΕΝΩΝ
4.1. Δικαίωμα πρόσβασης στα δεδομένα απορρήτου έχουν πρόσωπα τα υπηρεσιακά καθήκοντα των οποίων το επιβάλλουν

4.2. Όλοι οι εκτελούντες δεδομένων προσωπικού χαρακτήρα είναι υπεύθυνοι για την συμμόρφωση με τους περιορισμούς πρόσβασης στα δεδομένα απορρήτου και φέρουν προσωπική ευθύνη για την παραβίαση του απορρήτου, της ακεραιότητας και της διαθεσιμότητας των προσωπικών δεδομένων, με εξαίρεση τυχόν απρόβλεπτες περιστάσεις.

4.3. Ο Υπεύθυνος Επεξεργασίας ή/και άλλο εξουσιοδοτημένο από αυτόν υπάλληλο έχει τις ακόλουθες εξουσίες και ευθύνες:
- Εξασφαλίζει την οργάνωση της καταγραφής των αρχείων σύμφωνα με τα προβλεπόμενα μέτρα για την εγγύηση της επαρκή ασφάλειας·
- Παρακολουθεί την τήρηση των συγκεκριμένων μέτρων ασφάλειας και ελέγχου της πρόσβασης αναλόγως την ιδιαιτερότητα και το επίπεδο προστασίας των αρχείων καταγραφής·
- Ελέγχουν τη τήρηση των μέτρων ασφάλειας των αρχείων καταγραφής ·
- Είναι σε επικοινωνία με την Αρχή προστασίας δεδομένων προσωπικού χαρακτήρα σχετικά με τα μέτρα και τα μέσα που έχουν ληφθεί για την προστασία των αρχείων καταγραφής και των αιτήματων παροχής δεδομένων προσωπικού χαρακτήρα. Το δικαίωμα αυτό παρέχεται αποκλειστικά στον Διευθυντή της ΒΙΟΝΑΤ ΕΠΕ.·
- Καθορίζει τα τεχνικά μέτρα εφαρμοσμένα στην επεξεργασία των δεδομένων·
- Παρακολουθεί την συμμόρφωση με τις διαδικασίες διοργάνωσης της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και της ελεγχόμενης πρόσβασης στους φορείς των δεδομένων ·
- Διενεργεί συστηματική παρακολούθηση της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων απορρήτου και λαμβάνει μέτρα στις περιπτώσεις διαπίστωσης παρατυπιών.

4.4. Πρόσβαση στα δεδομένα απορρήτου αποθηκευμένα στα Μητρώα έχουν οι υπάλληλοι που την χρειάζονται κατά την εκπλήρωση των καθήκοντών τους.

4.5. Τα δεδομένα προσωπικού χαρακτήρα δεν παραχωρούνται σε τρίτους. Τρίτα πρόσωπα μπορούν να έχουν πρόσβαση στις σχετικές πληροφορίες μόνο στις περιπτώσεις που η διοχέτευση των προσωπικών στοιχείων επιβάλλεται από διάταξη Νόμου ή σε άλλες ορισμένες περιπτώσεις.

4.6. Η παρούσα πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική για κάθε υπάλληλο του Υπεύθυνου Επεξεργασίας που συμμετέχει στην επεξεργασία των δεδομένων απορρήτου από το Αρχείου καταγραφής καθώς και για άλλα πρόσωπα τα οποία έχουν μόνιμη ή προσωρινή πρόσβαση στα δεδομένα απορρήτου όλων των Αρχείων καταγραφής ενέργειων

4.7. Οι εξουσιοδοτημένοι υπάλληλοι στους οποίους έχει ανατεθεί η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του Αρχείου καταγραφής υποχρεούνται:
- να υποβάλλουν σε σύννομη και θεμιτή επεξεργασία τα δεδομένα απορρήτου
- να χρησιμοποιούν τα δεδομένα στα οποία έχουν πρόσβαση σύμφωνα με τους σκοπούς για τους οποίους συλλέγονται και να μην τα επεξεργάζονται περαιτέρω κατά τρόπο ασύμβατο προς αυτούς τους σκοπούς·
- να ενημερώνουν το Μητρώο δεδομένων προσωπικού χαρακτήρα (όπου χρειάζεται)·
- να διαγράφουν ή να διορθώνουν τα δεδομένα απορρήτου όταν αυτά είναι ανακριβή ή δυσανάλογα στους σκοπούς για τους οποίους επεξεργάζονται·
- тα δεδομένα προσωπικού χαρακτήρα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
- να τηρούν την παρούσα Πολιτική·

4.8. Κάθε υποκείμενο του οποίου τα δεδομένα απορρήτου θα αποτελέσουν αντικείμενο επεξεργασίας από τον Υπεύθυνο Επεξεργασίας πρέπει να:
- ενημερώνεται για τα δεδομένα που αναγνωρίζουν τον Υπεύθυνο Επεξεργασίας·
- έχει το δικαίωμα να πληροφορηθεί για τους σκοπούς για τους οποίους γίνονται αντικείμενο επεξεργασίας τα δεδομένα του
- ενημερώνεται για το είδος των δεδομένων που το αφορούν·
- ενημερώνεται για την ταυτότητα των παραλήπτων αυτών των δεδομένων·
- έχει το δικαίωμα να πληροφορηθεί για τα δικαιώματά του σύμφωνα με τα άρθρα 15-22 από τον Κανονισμό (ΕΕ) 2016/679 καθώς και για το δικαίωμα πρόσβασης και διώρθωσης που έχει στα δεδομένα απορρήτου του 

5. Αρχεία καταγραφής δεδομένων απορρήτου.

5.1. Η ΒΙΟΝΑΤ ΕΠΕ υποστηρίζει τα παρακάτω αρχεία καταγραφής δεδομένων απορρήτου:
- Μητρώο Ανθρώπινου δυναμικού ·
- Μητρώο πελατών·
- Μητρώο του συστημάτος τηλεπίβλεψης·
- Μητρώο Υποψηφίων (υπαλλήλων)· 

5.2. Η ΒΙΟΝΑΤ ΕΠΕ μπορεί να τηρεί τις κατηγορίες δεδομένων απορρήτου σε χαρτί ή σε ηλεκτρονική μορφή σύμφωνα με την ισχύουσα νομοθεσία και με τα αναγκαία μέτρα προστασίας.

5.3. Τα δεδομένα προσωπικού χαρακτήρα τηρούνται για την περίοδο που χρειάζεται η ΒΙΟΝΑΤ ΕΠΕ να εκπληρώσει τις υποχρεώσεις της αναλόγα με το Μητρώο, με την κατηγορία δεδομένων απορρήτου και τους σκοπούς της επεξεργασίας τους. Τα δεδομένα δεν διατηρούνται για περισσότερο από το αναγκαίο χρόνο για την προστασία των νόμιμων ενδιαφέροντων του Υπεύθυνου Επεξεργασίας ή για λογιστικούς σκοπούς ή σύμφωνα με τις απαιτήσεις της ισχύουσας νομοθεσίας. Με το πέρας του απαιτούμενου διαστήματος αποθήκευσης και σύμφωνα με τους όρους της παρούσας Πολιτικής, τα επεξεργασμένα δεδομένα διαγράφονται.

5.4. Οι προθεσμίες αποθήκευσης για τα επιμέρους αρχεία καταγραφής ορίζονται ως εξής:
- Μητρώο Ανθρώπινου δυναμικού – 50 έτη·
- Μητρώο πελατών –για όσο διαρκεί η σχέση με τον πελάτη, συμπεριλαμβανομένων των λογιστικών απαιτήσεων του Υπεύθυνου Επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή/και για την εκπλήρωση των νομικών υποχρεώσεων του Διευθυντή της ΒΙΟΝΑΤ ΕΠΕ αλλά όχι για περισσότερο από 10 χρόνια.
- Μητρώο του συστημάτος τηλεπίβλεψης – 14 ημέρες, εκτός από τις περιπτώσεις κατά τις οποίες τα αρχεία της βιντεο-παρακολούθησης πρέπει να τηρηθούν πέρα από την καθορισμένη χρονική περίοδο για σκοπούς διερεύνησης αδικημάτων ή παραβιάσεων για τους οποίους η ΒΙΟΝΑΤ ΕΠΕ  ενημερώνει το διερευνητικό όργανο - την αστυνομία, την Εισαγγελία, την Αρχή προστασίας δεδομένων προσωπικού χαρακτήρα και ούτω καθεξής.
- Μητρώο Υποψηφίων (υπαλλήλων )– 45 ημέρες·

5.5. Ο Διευθυντής της ΒΙΟΝΑΤ ΕΠΕ διορίζει με εντολή τους εκτελούντες επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τα δικαιώματα και τις υποχρεώσεις τους σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα
 Ο Υπεύθυνος επεξεργασίας της ΒΙΟΝΑΤ ΕΠΕ ή / και οι εξουσιοδοτημένοι από αυτόν εκπρόσωποι έχουν τις ακόλουθες εξουσίες:
- Παρέχει οργάνωση των αρχείων καταγραφής τηρώντας τα προβλεπόμενα για την επαρκή προστασία μέτρα·
- Παρακολουθεί την τήρηση των συγκεκριμένων μετρών προστασίας και πρόσβασης σύμφωνα με την ιδιαιτερότητα και το επίπεδο προστασίας των καταχωρημένων αρχείων καταγραφής·
- Παρακολουθεί για την συμμόρφωση προς τις απαιτήσεις προστασίας των αρχείων καταγραφής·
- Είναι σε επικοινωνία με την Αρχή προστασίας δεδομένων προσωπικού χαρακτήρα για τα λαμβανόμενα μέτρα και τα μέσα προστασίας των αρχείων καταγραφής καθώς και για τις αιτήσεις παροχής δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί. Το δικαίωμα αυτό παρέχεται αποκλειστικά στον Διευθυντή της ΒΙΟΝΑΤ ΕΠΕ·
- Καθορίζει τα τεχνικά μέτρα εφαρμοσμένα στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα·
- Παρακολουθεί την συμμόρφωση με τις διαδικασίες διοργάνωσης της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και με της ελεγχόμενης πρόσβασης στους φορείς των δεδομένων προσωπικού χαρακτήρα·
- Διενεργεί συστηματική παρακολούθηση της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και λαμβάνει μέτρα στις περιπτώσεις διαπίστωσης παρατυπιών.

5.6. Πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των Μητρώων έχουν αποκλειστικά και μόνο οι υπάλληλοι της ΒΙΟΝΑΤ ΕΠΕ οι οποίοι χρειάζονται την πρόσβαση προκειμένου να εκπληρώσουν τα καθηκοντά τους, καθώς και τους επιχειρηματικούς σκοπούς τηρώντας αυστηρά τον καθορισμό «ανάγκη γνώσης» (δηλ. ανάλογα με τα δικαιώματα και τις υποχρεώσεις του υπαλλήλου σύμφωνα με την περιγραφή των καθηκόντων και αρμοδιοτήτων του ή/και σύμφωνα με τη σύμβαση για την σχετική έννομη σχέση του με την ΒΙΟΝΑΤ ΕΠΕ). Συγκεκριμένα, οι εν λόγω υπάλληλοι είναι εξουσιοδοτημένοι με εντολή σύμφωνα με τον καθορισμό «ανάγκη γνώσης».

5.7. Η πρόσβαση των άλλων υπαλλήλων στα υπό επεξεργασία δεδομένα απορρήτου περιορίζεται έως τις περιπτώσεις κατά τις οποίες τους παρέχεται ρητώς δικαίωμα πρόσβασης σύμφωνα με τον καθορισμό «ανάγκη γνώσης». Το δικαίωμα πρόσβασης για κάθε ξεχωριστή περίπτωση παρέχεται στον υπάλληλο από το τμήμα στο οποίο ανήκει με ρητή άδεια στην οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα, τους σκοπούς και τον χρόνο για τους οποίους παρέχεται η συγκεκριμένη πρόσβαση.

5.8. Τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζει η ΒΙΟΝΑΤ ΕΠΕ δεν παραχωρούνται σε τρίτους. Τρίτα πρόσωπα μπορούν να έχουν πρόσβαση στις σχετικές πληροφορίες μόνο στις περιπτώσεις που η διοχέτευση των προσωπικών στοιχείων επιβάλλεται από διάταξη Νόμου καθώς και σε άλλες ορισμένες περιπτώσεις.

5.9. Η παροχή των πληροφορίων αυτών πρέπει να έχει την ρητή συγκατάθεση του Διευθυντή της ΒΙΟΝΑΤ ΕΠΕ και να ληφθούν τα κατάλληλα μέτρα για να διασφαλιστεί η τήρηση της νομοθεσίας περί δεδομένων απορρήτου, η τήρηση της υποχρέωσης της εμπιστευτικότητας και η διάδοση όλων των τύπων δεδομένων με έναν ασφαλή τρόπο.

5.9. Η παρούσα Πολιτική είναι υποχρεωτική για τους υπάλληλους της ΒΙΟΝΑΤ ΕΠΕ στο βαθμό που οι εν λόγω υπάλληλοι συμμετέχουν στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των παραπάνω αναφερόμενων αρχείων καταγραφής καθώς και για άλλα πρόσωπα με μόνιμη ή προσωρινή πρόσβαση στα δεδομένα προσωπικού χαρακτήρα όλων των αρχείων καταγραφής.

5.10. Οι εξουσιοδοτημένοι υπάλληλοι στους οποίους έχει ανατεθεί η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του Αρχείου καταγραφής ενέργειων υποχρεούνται:
- να υποβάλλουν σε σύννομη και θεμιτή επεξεργασία τα δεδομένα απορρήτου·
- να χρησιμοποιούν τα δεδομένα στα οποία έχουν πρόσβαση σύμφωνα με τους σκοπούς για τους οποίους συλλέγονται και να μην τα επεξεργάζονται περαιτέρω κατά τρόπο ασύμβατο προς αυτούς τους σκοπούς·
- να ενημερώνουν το Αρχείο δεδομένων προσωπικού χαρακτήρα (όπου χρειάζεται)·
- να διαγράφουν ή να διορθώνουν τα δεδομένα απορρήτου όταν αυτά είναι ανακριβή ή δυσανάλογα στους σκοπούς για τους οποίους επεξεργάζονται·
- να διατηρούν тα δεδομένα προσωπικού χαρακτήρα υπό μορφή η οποία να επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το απαιτούμενο για τους σκοπούς της επεξεργασίας των δεδομένων διάστημα. Να τηρούν την παρούσα Πολιτική.


6. ΟΡΓΑΝΩΤΙΚΑ ΚΑΙ ΤΕΧΝΙΚΑ ΜΕΤΡΑ ΠΡΟΣΤΑΣΙΑΣ
6.1. Φυσική προστασία των δεδομένων των Αρχείων καταγραφής

6.1.1. Οργανωτικά μέτρα: Ορισμός των περιοχών ελεγχόμενης πρόσβασης· Η πρόσβαση σε κάθε χώρο στο οποίο υπάρχουν ηλεκτρονικά ή μη αρχεία, περιορίζεται και παρέχεται μόνο στους υπάλληλους που πρέπει να έχουν πρόσβαση βάσει του καθορισμού «ανάγκη γνώσης» κατά την εκπλήρωση των καθήκοντών τους. Όλα τα αρχεία και τα έγγραφα δεδομένων σε έντυπη μορφή βρίσκονται σε κλειδωμένα ντουλάπια σε χώρο για το οποίο η πρόσβαση είναι περιορισμένη και πραγματοποιείται μέσω κλειδιών με τα οποία διαθέτει μόνο εξουσιοδοτημένο προσωπικό.
- Τα δεδομένα προστατεύονται με την χρήση φυσικών προστατευτικών μέσων πρόσβασης όπως είναι ο έλεγχος της πρόσβασης μέσω κλειδιών. Όλοι οι χώροι στους οποίους τηρούνται σε έντυπη μορφή τα δεδομένα απορρήτου είναι σε περιοχές με περιορισμένη πρόσβαση και προστατεύονται από περιορισμένη πρόσβαση, από κλειδιά, κλειδωμένα ντουλάπια ή άλλα παρόμοια μέσα. Προσωπικά δεδομένα σε ηλεκτρονική μορφή που τηρούνται σε οποιοδήποτε φυσικό υπόστρωμα, συμπεριλαμβανομένων των διακομιστών, προστατεύονται παρόμοιως σε ελεγχόμενες περιοχές.
- Τα δεδομένα προσωπικού χαρακτήρα επεξεργάζονται στους περιορισμένους εξωτερικούς χώρους προσβάσιμοι μόνο για τους υπάλληλους που το χρειάζονται για να εκτελέσουν τα καθήκοντά τους.
- Τα συστήματα επικοινωνίας και πληροφόρησης που χρησιμοποιούνται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν είναι προσιτές για όλους και συνεπώς είναι προστατευμένες καθώς η πρόσβαση σ’αυτές είναι περιορισμένη για όσους υπαλλήλους είναι απαραίτητη κατά την εκπλήρωση των καθήκοντών τους.
- Η φυσική πρόσβαση στις περιοχές ελεγχόμενης πρόσβασης, συμπεριλαμβανομένων και τών περιοχών στις οποίες βρίσκονται τα συστήματα ενημέρωσης (υπολογιστές, διακομιστές) υφίσταται μόνο μέσω πορτών, η πρόσβαση για τις οποίες περιορίζεται μέσω κλειδιών. Η πρόσβαση επιτρέπεται σε υπάλληλους στους οποιούς η υποχρέωση αυτή συμπεριλαμβάνεται στα καθηκοντά τους.

6.1.2. Τεχνικά μέτρα ασφάλειας
Η πρόσβαση είναι περιορισμένη από κλειδιά, ντουλάπες, ατομικό κωδικό πρόσβασης σε κάθε υπολογιστή, ατομικό κωδικό πρόσβασης για Microsoft Office 2010 και 2016, ατομικό κωδικό πρόσβασης για το email, σύστημα συναγερμού και πυροσβεστητό σύστημα, βιντεοπαρακολούθηση ορισμένων περιοχών στις οποίες επιτρέπεται η είσοδος των μη εξουσιοδοτημένων άτομων, επαγγελματικό σύστημα ασφαλείας ΣΟΤ.

6.1.3. Προσωπική ασφάλεια:
- Οι σχετικές γνώσεις του κανονιστικού πλαίσιου της προστασίας των δεδομένων απορρήτου: υπάρχουν στο καταρτικό πρόγραμμα που οργανώνει η ΒΙΟΝΑΤ ΕΠΕ και που πρέπει να περάσουν οι υπάλληλοι της εταιρείας. Οι εν λόγω υπάλληλοι υποχρεούνται να γνωρίζουν αυτούς τους εσωτερικούς κανόνες αμέσως μετά την πρόσληψή τους καθώς και να ενημερώνουν τις γνώσεις τους για την προστασία των δεδομένων απορρήτου τουλάχιστον μια φορά το χρόνο. 
- Η ανταλλαγή κρίσιμων πληροφοριών μεταξύ των υπαλλήλων (π.χ. κωδικοί πρόσβασης ή άλλα μοναδικά προσωπικά αναγνωριστικά) απαγορεύεται, με εξαίρεση τυχόν απρόβλεπτες περιστάσεις.
Εκπαίδευση.  Πρέπει να παρασχεθεί κατάλληλη εκπαίδευση στους υπαλλήλους για την προστασία των δεδομένων προσωπικού χαρακτήρα αμέσως μετά την πρόσληψη τους και στη συνέχεια τουλάχιστον μία φορά το χρόνο.
Η εκπαίδευση του προσωπικού για αντίδραση στις περιπτώσεις στις οποίες απειλείται η ασφάλεια των δεδομένων παράσχεται σε ειδικό πρόγραμμα το οποίο πρέπει να παρακολουθηθεί από τους υπάλληλους της εταιρείας αμέσως μετά την πρόσληψη τους και στη συνέχεια τουλάχιστον μία φορά το χρόνο.
Οι εργαζόμενοι έχουν εντολή να ειδοποιήσουν αμέσως τον επιβλέποντα τους σε περίπτωση που έχουν αμφιβολίες ή έχουν την απόλυτη βεβαιότητα ότι απειλείται η ασφάλεια των δεδομένων προσωπικού χαρακτήρα.

6.1.4. Προστασία των δεδομένων απορρήτου:
Καθορισμός των προϋποθέσεων νόμιμης επεξεργασίας προσωπικών δεδομένων
Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται μόνο με συγκεκριμένο σκοπό, για να προστατεύσουν τα νόμιμα ενδιαφέροντα του Υπεύθυνου Επεξεργασίας ή σύμφωνα με τις απαιτήσεις της ισχύουσας νομοθεσίας για τις υποχρεώσεις του Υπεύθυνου Επεξεργασίας. Κάθε τύπος δεδομένων ταξινομείται ανάλογα με το σκοπό και τον τύπο του και προστατεύεται σύμφωνα με τις παραπάνω απαιτήσεις.

6.2. Ρύθμιση της πρόσβασης στα Μητρώα.
Η πρόσβαση στα αρχεία καταγραφής είναι περιορισμένη και την έχει μόνο το εξουσιοδοτημένο προσωπικό σύμφωνα με τον καθορισμό «ανάγκη γνώσης»

6.3.Ελεγχόμενη πρόσβαση στα αρχεία καταγραφής.
Η πρόσβαση στα δεδομένα είναι περιορισμένη σε συγκεκριμένα, ελάχιστα δεδομένα τα οποία είναι απαραίτητα για την εκπλήρωση των καθήκοντων του υπαλλήλου.

6.3. Καθορισμός προθεσμίωναποθήκευσης των δεδομένων προσωπικού χαρακτήρα.
Ο χρόνος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι πάντοτε σύμφωνος με τον επιδιωκόμενο σκοπό για το οποίο συλλέχθηκαν στα πλαίσια της νόμιμης προθεσμίας. Τα δεδομένα δεν διατηρούνται για περισσότερο από το αναγκαίο χρόνο για την εκπλήρωση των σκοπών για τους οποίους συλλέχθηκαν ή σύμφωνα με τις απαιτήσεις της ισχύουσας νομοθεσίας. Τα δεδομένα του αρχείου καταγραφής των υπαλλήλων επεξεργάζονται επί 50 έτη ύστερα από την οριστική λήξη της έννομης σχέσης με τον πελάτη, σύμφωνα με την βουλγαρική νομοθεσία. Με το πέρας του απαιτούμενου διαστήματος αποθήκευσης ή σε περίπτωση ακύρωσης της αιτίας, τα επεξεργασμένα δεδομένα διαγράφονται με ακίνδυνο τρόπο.

6.4. Κανόνες αναπαραγωγής και διάδοσης των δεδομένων
Αναπαραγωγή και διάδοση των δεδομένων προσωπικού χαρακτήρα μπορεί να εκτελεί μόνο εξουσιοδοτημένο προσωπικό, μόνο για την εκπλήρωση μιας νομικής υποχρέωσης ή μόνο όταν είναι απαραίτητη για την εκπλήρωση του καθήκοντος που του έχει ανατεθεί. Η μη εξουσιοδοτημένη αναπαραγωγή και διανομή αποτελεί αντικείμενο επίσημων κυρώσεων, ανάλογα με τη σοβαρότητα της παράβασης συμπεριλαμβανομένου του τερματισμού των εργασιακών/αστικών έννομων σχέσεων.

6.5. Διαδικασίες καταστροφής
Προσωπικά δεδομένα σε έντυπη μορφή (έγγραφα) πρέπει να καταστρέφονται με ασφαλή τρόπο (τεμαχισμός, καύση) όταν τα δεδομένα δεν καθίστανται πλέον αναγκαία. Κάθε υπάλληλος ή προϊστάμενος τμήματος που έχει στην κατοχή του σχετικά έγγραφα είναι υπεύθυνος για την ασφαλή καταστροφή των εγγράφων. Για κάθε διαδικασία καταστροφής δίνεται ξεχωριστή εντολή από τον διευθυντή της ΒΙΟΝΑΤ ΕΠΕ και  συντάσσεται πρωτόκολλο καταστροφής του εγγράφου.

6.6. Προστασία των αυτοµατοποιηµένων συστηµάτων επεξεργασίας δεδοµένων ή/ και των δικτύων. Αναγνώριση και ελέγχου ταυτότητας
Με σκοπό να εισάγει πρόσβαση σύμφωνη με τον καθορισμό «ανάγκη γνώσης» η ΒΙΟΝΑΤ ΕΠΕ απαιτεί ο κάθε υπάλληλός της να χρησιμοποιεί προσωπικό  λογαριασμό και προσωπικό κωδικό πρόσβασης για πρόσβαση στο διαδίκτυο.
Οι υπάλληλοι φέρουν προσωπική ευθύνη για την ορθή χρήση των λογαριασμών και των κωδικών πρόσβασής τους.

6.7. Διαχείριση μητρώων.
Με εντολή του Διευθυντή της ΒΙΟΝΑΤ ΕΠΕ καθορίζονται τα υπέυθυνα για τη διαχείριση των Μητρώων τμήματα και μόνο περιορισμένο αριθμό υπαλλήλων σύμφωνα με τον καθορισμό «ανάγκη γνώσης» έχει πρόσβαση στα δεδομένα που περιέχουν αυτά τα Μητρώα.
Οι υπάλληλοι με πρόσβαση στα Μητρώα ορίζονται από τον Διευθυντή.

6.8. Προστασία από ιούς.
Η ΒΙΟΝΑΤ ΕΠΕ δημιουργεί και διατηρεί ομαλές και ασφαλείς ρυθμίσεις για κάθε δίκτυο ή υπολογιστή που διαχειρίζεται. Το λογισμικό συστήματος ελέγχεται και διατηρείται από εξουσιοδοτημένα άτομα. Η ΒΙΟΝΑΤ ΕΠΕ δουλεύει με εγκεκριμένες εκδόσεις του λογισμικού προστασίας από ιούς. Οι χρήστες δεν πρέπει να αρνούνται τις αυτοποιημένες διαδικασίες ενημερώσης λογισμικού των «υπογραφών» των πιο πρόσφατων ιών. Пρέπει να ενεργοποιείται η ανίχνευση του λογισμικού προστασίας από ιούς για να σαρώνει όλα τα λογισμικά και τα αρχεία δεδομένων που στέλνονται από τρίτους ή από άλλους υπάλληλους της ΒΙΟΝΑΤ ΕΠΕ. Οι υπάλληλοι δεν θα πρέπει να αποφεύγουν ή να απενεργοποιούν τις διαδικασίες σάρωσης που θα μπορούσαν να αποτρέψουν τη μετάδοση των ιών. Σκληροί δίσκοι, φλασάκια και άλλα που έχουν χρησιμοποιηθεί σε μολυσμένο υπολογιστή δεν πρέπει να ανοίγονται σε άλλον υπολογιστή μέχρι να αφαιρεθεί επιτυχώς ο ιός.

Ο μολυσμένος υπολογιστής πρέπει να απομονώνεται από τα εσωτερικά δίκτυα άμεσα.

Τα αρχεία καταγραφής λογισμικού κακόβουλης λειτουργίας πρέπει να αποθηκεύονται για 7 τουλάχιστον ημέρες.


7. ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΉΡΑ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΓΚΠΔ
7.1. Σύμφωνα με το ΓΚΠΔ τα υποκείμενα των δεδομένων που επεξεργάζονται από την ΒΙΟΝΑΤ ΕΠΕ έχουν τα ακόλουθα δικαίωματα:
- Δικαίωμα διόρθωσης – στις περιπτώσεις στις οποίες το υποκείμενο διαπιστώνει ότι τα δεδομένα απορρήτου του που επεξεργάζονται από τη ΒΙΟΝΑΤ ΕΠΕ είναι ανάκριβη.
- Δικαίωμα περιορισμού της επεξεργασίας– σε ορισμένες περιπτώσεις, όπως π.χ. αμφισβητεί την ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση ή όταν εναντιώνεται στον σκοπό της επεξεργασίας τους.
- Δικαίωμα διαγραφής (δικαίωμα λήθης) -  σε περίπτωση που τα δεδομένα απορρήτου έχουν υποβληθεί σε επεξεργασία παράνομα ή το υποκείμενο έχει ανακαλέσει την συγκατάθεσή του (επί της οποίας βασίζεται η επεξεργασία).
- Δικαίωμα εναντίωσης στην επεξεργασία–όταν το υποκείμενο υποψιάζεται τα έννομα συμφέροντα της ΒΙΟΝΑΤ ΕΠΕ σχετικά με την επεξεργασία των δεδομένων του.
- Δικαίωμα στη φορητότητα– εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα με την συγκατάθεση του υποκειμένου ή σε εκτέλεση σχετικής σύμβασης, το υποκείμενο των δεδομένων έχει δικαίωμα να ζητήσει από τον Διαχειριστή να διαβιβάσει τα δεδομένα σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο απευθείας σε άλλον υπεύθυνο επεξεργασίας. Η παροχή πρόσβασης στα δεδομένα είναι δωρεάν αλλά η ΒΙΟΝΑΤ ΕΠΕ επιφυλάσσεται  αν χρειασθεί να ασκήσει στο μέλλον το δικαίωμα της να επιβάλει διοικητικό πρόστιμο σε περίπτωσεις επανάληψης ή υπερβολίων.
- Δικαίωμα ανάκλησης της συγκατάθεσης: το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της.
- Έχετε επίσης δικαίωμα να μας ζητήσετε, εφόσον είναι τεχνικά εφικτό, να διαβιβάσουμε τα δεδομένα και απευθείας σε άλλον υπεύθυνο επεξεργασίας.
- Έχετε δικαίωμα υποβολής καταγγελίας ενώπιον της εποπτικής αρχής (εθνικής αρχής προστασίας δεδομένων (ΑΠΔ))  εάν πιστεύετε ότι η εταιρεία έχει παραβιάσει τα δικαιώματά σας προστασίας δεδομένων σύμφωνα με τους κανόνες του ΓΚΠΔ ή με την ισχύουσα νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα:

Ονομασία: Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
Έδρα και διεύθυνση: Σόφια 1592, λεωφ. «Τσβετάν Λάζαροφ“ № 2,
Στοιχεία επικοινωνίας: Σόφια 1592, λεωφ. «Τσβετάν Λάζαροφ“ № 2, Τηλέφωνο: 02 915 3518;
Εmail: kzld@goverment.bg, kzld@cpdp.bg;
Ιστότοπος: www.cpdp.bg.

7.2. Τα αιτήματα για δικαίωμα πρόσβασης ή διόρθωσης σε δεδομένα υποβάλλονται αυτοπροσώπως ή μέσω ειδικά εξουσιοδοτημένου από το υποκείμενο προσώπου με πληρεξούσιο. Τα αιτήματα μπορούν επίσης να υποβληθούν ηλεκτρονικά, σύμφωνα με τον νόμο περί ηλεκτρονικού εγγράφου και ηλεκτρονικής υπογραφής. Η απόφαση της ΒΙΟΝΑΤ ΕΠΕ βγαίνει εντός 14ων ημερών από την ημερομηνία υποβολής. Η εν λόγω προθεσμία δύναται να παραταθεί για τριάντα (30) επιπλέον ημέρες εφόσον κριθεί αναγκαίο ότι απαιτείται περισσότερος χρόνος για αντικειμενικούς λόγους- η δραστηριότητα του Διαχειριστή έχει δυσκολευτεί προκειμένου να συγκεντρωθούν όλα τα απαιτούμενα δεδομένα.

7.3. Η ΒΙΟΝΑΤ ΕΠΕ ειδοποιεί γραπτώς το υποκείμενο δεδομένων προσωπικού χαρακτήρα που έχει δηλώσει αίτημα σύμφωνα με αρ.7.2 της παρούσας Πολιτικής για την ικανοποίηση του, ή αρνείται δικαιολογημένα την ικανοποίηση του αίτηματός του. Η ειδοποίηση αποστέλλεται από τον Διαχειριστή στο υποκείμενο ταχυδρομικώς με απόδειξη παραλαβής ή παρέχεται αυτοπροσώπως στο υποκείμενο έναντι υπογραφής.

8. ΠΟΙΝΙΚΕΣ ΚΥΡΩΣΕΙΣ ΚΑΙ ΕΥΘΥΝΕΣ.
Για την εσκεμμένη παραβίαση κάποιων κανόνων και  περιορισμών πρόσβασης στα δεδομένα προσωπικού χαρακτήρα από υπάλληλους της ΒΙΟΝΑΤ ΕΠΕ δύναται να επιβληθούν πειθαρχικές κυρώσεις μέχρι και απόλυση.

9. ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
§ 1. Όλες οι εσωτερικές διαδικασίες επεξεργασίας των εγγράφων της ΒΙΟΝΑΤ ΕΠΕ οι οποίες αφορούν την επεξεργασία και την προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να συμμορφώνονται με τους κανονισμούς των ΓΚΠΔ, ΝΠΔΠΧ (Νόμο για την προστασία δεδομένων προσωπικού χαρακτήρα) και της παρούσας Πολιτικής.
§ 3. Η Πολιτική είναι υποχρεωτική για κάθε υπάλληλο και άλλο εργαζόμενο με που έχει συνάψει με την ΒΙΟΝΑΤ ΕΠΕ σύμβαση ορισμένου χρόνου και υποχρεούνται να την τηρούν.
§ 4. Η εκτέλεση της παρούσας Πολιτικής πραγματοποιείται υπό τον έλεγχο του Διευθυντή της ΒΙΟΝΑΤ ΕΠΕ ή/και των εξουσιοδοτημένων από τον ίδιο εκπρόσωπων.
§ 5. Τυχόν τροποποιήσεις ή συμπληρώσεις της παρούσας Πολιτικής γίνονται με τη σειρά ανακοίνωσης και επικύρωσής της.
§ 6. Η παρούσα πολιτική τίθεται σε ίσχυ από τις 25 Μαιού 2018 και αναιρεί το ίσχυος της προηγούμενης Πολιτικής για την προστασία των δεδομένων προσωπικού χαρακτήρα.