Политика за защита на личните данни 1. Кои сме ние? “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ – сдружение, регистрирано на територията на Република България, със седалище и адрес на управление: гр. Велико Търново, ул. „Хан Крум“ 10, ЕИК: 104684810, тел.: 062/62 15 41 и email: office@eaff.eu Във връзка с дейността си – подпомагане организацията и провеждането на фестивали, популяризиране на традиционните народни изкуства и предоставяне на членство на различни фестивали, колективи и др. - “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ - „Сдружението“ обработва данни, някои от които лични данни, според Закона за защита на личните данни и Регламент (ЕС) 2016/679, поради което има качеството администратор на лични данни. Настоящата политика има за цел да информира потребителите на www.eaff.eu за начина, по който се обработват техните лични данни, за техните права, методите за защита на лични данни, които използва администраторът, на кого Сдружението има право да предоставя събираните личнни данни, както и методите за упражняване на правата на субектите на данни. 2. Въведение: GDPR е общият регламент за защита на личните данни (Регламент 2016/679 на Европейския парламент и Съвета). Регламентът чувствително увеличава правата на европейските граждани и съответно възлага повече задължения на организациите, които събират и обработват лични данни. Той влиза в сила на 25.05.2018 г и ще се прилага във всички държави членки на Европейския съюз. Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. Обработването се извършва законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните. 3. Цели и обхват на политиката: С настоящата Политика за защита на личните данни “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ отчита поверителността и неприкосновеността на личните данни. В съответствие със законодателството и добрите практики Сдружението прилага изисканите технически и организационни мерки за защита на личните данни на физическите лица. С настоящата Политиката за защита на личните данни Сдружението цели да информира физическите лица за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните и последиците за отказ за предоставянето им, информация за правото на достъп и коригиране на събраните данни. 4. Речник на понятията: „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; „генетични данни“ означава лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното лице; „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенчески характеристики на дадено физическо лице и които позволяват или потвърждават уникална идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни; „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени; „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване; „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка; „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора; „представител“ означава физическо или юридическо лице, установено в Съюза, което назначено от администратора или обработващия лични данни в писмена форма съгласно чл. 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по Регламент (ЕС) 2016/679; „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването; „надзорен орган“ означава независим публичен орган, създаден от държава членка и отговорен за наблюдението на прилагането на Регламент (ЕС) 2016/679. „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични качества, свързани с физическо лице, и по – конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение; 5. Основни принципи свързани с обработването на лични данни, които ние спазваме: - законосъобразно, добросъвестно и прозрачно обработване на личните данни - обработване на личните данни за конкретни цели - свеждане на данните до минимум - точност и поддръжка в актуален вид - ограничение на съхранението - цялостност и поверителност - отчетност 6. Цел на обработката: “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ обработва личните данни за осъществяване на дейността си – подпомагане организацията и провеждането на фестивали, популяризиране на традиционните народни изкуства и предоставяне на членство на различни фестивали, колективи и др. Личните данни се събират за конкретни, точно определени от закона цели, трябва да се обработват законосъобразно и добросъвестно. Данните не се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели. Сдружението събира лични данни, с цел маркетинг и реклама. Данните, които събира “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ са единствено и само с изрично, свободно, ясно и информирано съгласие на потребителя, което той е отбелязал при прочитане на настоящата политика за защита на личните данни. Извън рамките на горепосочените цели и във връзка с принципите посочени в чл. 5 от Регламент (ЕС) 2016/679, “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ не събира и не обработва други лични данни на своите работници/служители, партньори и клиенти. Сдружението обработва лични данни с цел автоматизирано вземане на решения, вкл. „профилиране“. Организацията събира данните от субекта на данни. 7. Сдружението обработва лични данни само, когато: - е получило ясно, свободно, информирано и недвусмислено съгласието от субектите на данни, които предварително са запознати за какво ще се използват личните им данни с настоящата политика; - когато е налице договорно задължение, с цел изпълнение на договор, като едната страна е физическото лице (когато Сдружението обработва данни на своите работници/служители) и за упражняване, установяване и защита на права и законни интереси; - когато обработването е необходимо за изпълнение на задача, изпълнявана от обществен интерес (съгласно законодателството на ЕС или националното законодателство); 8. Какви данни се събират и обработват: Важно: “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ не събира и не обработва чувствителни лични данни на своите клиенти и потребители на уеб сайта www.eaff.eu Данните, които се събират и обработват са: - Име и фамилия – с цел идентифициране при записване за членство; - Адрес – за контакт; - Телефон – за контакт при необходимост; - Електронен адрес – за вход в системата, както и бърза и лесна кореспонденция; - Други, допустими съгласно Регламента, ако е необходимо за изпълнение на задължение на Дружеството или свързано с определена услуга. Подателят на лични данни има право да не споделя всички изисквани от него лични данни. В случаите, в които тези лични данни са необходими за изпълнение на конкретна услуга, определена специализирана функция или ефективен отговор на дадено запитване (изкл. директен маркетинг) - “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ не би могла да изпълни заявката, поради липса на данни, за което потребителят е изрично уведомен, чрез политиката за лични данни. 9. Получатели на лични данни, пред които Сдружението има право да разкрие данните: Сдружението предоставя личните данни на компетентните държавни органи и институции, когато това се изисква от законодателството на страната и в съответствие с определените в него правила (например: Национална агенция за приходите, Национален осигурителен институт, Агенция по заетостта, съдебни правораздавателни и разследващи органи, здравни заведения и др.). Също така предоставя личните данни на физическите лица на счетоводни къщи, банкови институции, HR агенции и мобилни оператори за законоустановени цели или такива, посочени в договор, сключен с лицата. Личните данни на потребителите на www.eaff.eu не се предоставят на трети лица, извън рамките на законовите изисквания. Организацията предоставя личните данни на страни, извън рамките на Европейския съюз. 10. Права на физическите лица-субекти на данни: Предприетите мерки за защита на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679, са насочени към осигуряване защита на правата на субектите на лични данни, а именно: - Право на достъп; - Право на коригиране на неточни или непълни данни; - Право на изтриване (правото „да бъдеш забравен“), ако са приложими условията на чл. 17 от Регламент (ЕС) 2016/679; - Право на ограничение на обработването; - Право на преносимост на данните, ако са налице условията за преносимост по чл. 20 от Регламент (ЕС) 2016/679; - Право на възражение, ако са налице условията на чл. 21 от Регламент (ЕС) 2016/679; - Право на жалба до Комисия за защита на личните данни или Районен съд - Право субектът на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране; 11. Срок на съхранение на данните: Като администратор на лични данни “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ обработва данни за период съгласно предвиденото в действащото законодателство и в съответствие с принципа за ограничаване на съхранението. Останалите данни се съхраняват в различни срокове, според вида на данните, определящи законовото задължение за обработването, включително съхраняването им. Критериите за съхранение са: - при регистрация в сайта, данните на колективите, които желаят членство се пазят 10 години; - личните данни на работниците/служителите на “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ се съхраняват и обработват за по-дълъг срок с оглед изискването на Закон за счетоводството; 12. Отговорност на Сдружението за защита на личните данни: Във връзка с отговорността на администратора на лични данни въведена с Регламент (ЕС) 2016/679 и Закон за защита на личните данни, и за осигуряване на адекватна защита на данните, Сдружението прилага всички необходими организационни и технически мерки за защита на личните данни на физическите лица. С цел максимална сигурност при обработка, пренос и съхранение на лични данни, организацията използва механизми за защита на данните съхранявани както в електронен вид, така и на хартиен носител. Компютърен достъп през локалната мрежа към файлове, съдържащи лични данни, се осъществява само от служители на “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ или от длъжностното лице по защитата на данните, оторизиран с регламентирани права, единствено от тяхното физическо работно място, от специално определения за целта компютър и след идентификация чрез име и парола към системата. При приключване на работното време служителите изключват локалния си компютър. С цел повишаване сигурността на достъпа до информация, служителите задължително променят използваните от тях пароли на определен от “ЕВРОПЕЙСКА АСОЦИАЦИЯ НА ФОЛКЛОРНИТЕ ФЕСТИВАЛИ – ЕАФФ“ период, не по-дълъг от 2 месеца. За осъществяване на функциите по защита на данните, Сдружението използва изцяло лицензирана операционна система. Всякакъв друг софтуер с нелицензиран произход е забранено да се използва. Инсталирането на програмни продукти на служебните компютри става единствено от специализирано за целта лице – IT-специалист. 13. Промени в политиката: Сдружението има право да актуализира, изменя и допълва политиката за защита на личните данни по всяко време в бъдеще, когато обстоятелствата го налагат. 14. Данни за контакт с администратора на лични данни: адрес: гр. Велико Търново, ул. “Хан Крум“ ? 10 телефон за връзка: 062/62 15 41 eлектронна поща: office@eaff.eu 15. Надзорен орган по защита на данните: Надзорният орган по защита на данните на национално ниво е Комисия за защита на личните данни. Тя следи за правилното прилагане на Регламент (ЕС) 2016/679, като всяко физическо лице, което счете, че са нарушени неговите права във връзка с обработването на личните му данни, може да подаде жалба до Комисията на следния адрес: адрес: гр. София, ул. “Проф. Цветан Лазаров” ? 2 телефон: 02/91-53-555 електронна поща: kzld@cpdp.bg Интернет страница: www.cpdp.bg