Политика защиты персональных данных 1. Кто мы такие? “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ – сообщество на территории Республики Болгарии, зарегистрированное по адресу: г. Велико Тырново, ул. „Хан Крум“ 10, ЕИК: 104684810, тел.: 062/62 15 41 и email: office@eaff.eu В связи со своей деятельностью – поддержка организации и проведения фестивалей, популяризирование традиционных народных искусств и предоставление членства различным фестивалям, коллективам и т.д. – “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ – „Сообщество“ обрабатывает данные, часть которых являются персональными согласно Закону защиты персональных данных и Регламентом (ЕС) 2016/679, поэтому выступает в качестве администратора персональных данных. Данная политика направлена на информирование пользователей www.eaff.eu о том, как обрабатываются их персональные данные, об их правах, методах защиты персональных данных, используемых администратором, кому Сообщество имеет право предоставлять собранные персональные данные, а также методы реализации прав субъектов данных. 2. Введение: GDPR является общим регламентом защиты персональных данных (Регламент 2016/679 Европейского парламента и Совета). Регламент значительно увеличивает права граждан Европы и соответственно возлагает больше обязательств на организации, которые собирают и обрабатывают персональные данные. Он вступил в силу 25.05.2018 г. и будет применяться во всех государствах-членах Европейского Союза. Персональные данные собираются для конкретных, ясно указанных и законных целей и в дальнейшем не обрабатываются несовместимым с этими целями образом. Обработка совершается на законных основаниях, добросовестно и прозрачным образом по отношению к субъекту данных. 3. Цели и охват политики: Данной Политикой защиты персональных данных “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ признает конфиденциальность и неприкосновенность личных данных. В соответствии с законодательством и передовыми практиками Сообщество реализует необходимые технические и организационные меры по защите персональных данных физических лиц. При помощи данной Политики защиты персональных данных Сообщество стремится проинформировать физических лиц о целях обработки персональных данных, о получателях или о категориях получателей, которым эти данные могут быть раскрыты, об обязательном или добровольном характере предоставления данных и о последствиях в случае отказа их предоставления, о праве доступа и исправления собранных данных. 4. Словарь понятий: „персональные данные“ означает любую информацию, связанную с идентифицированным физическим лицом или физическим лицом, которое может быть идентифицировано („субъект данных“); физическое лицо, которое может быть идентифицировано, – это лицо, которое может быть идентифицировано прямо или косвенно, точнее при помощи идентификатора, как например, имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор, или по одному или более признакам, характерным для физической, физиологической, генетической, психической, умственной, экономической, культурной или социальной идентичности данного физического лица; „генетические данные“ означает персональные данные, связанные с унаследованными или приобретенными генетическими признаками данного физического лица, которые дают уникальную информацию об отличительных чертах или о здоровье этого физического лица и которые получены, чаще всего, путем анализа биологического материала того же лица; „биометрические данные“ означает личные данные, полученные путем особой технической обработки, и связаны с физическими, физиологическими или поведенческими характеристиками физического лица и которые позволяют или подтверждают уникальную идентификацию этого физического лица, как изображения лица или отпечатки пальцев; „согласие субъекта данных“ означает любое свободно выраженное, конкретное, высказанное и однозначное свидетельство о воле субъекта данных, в форме заявления или четкого подтверждающего действия, выражающего его согласие на обработку своих персональных данных; „обработка“ означает любое действие или совокупность действий, совершаемых над персональными данными или над набором персональных данных при помощи автоматических или других средств, как сборы, запись, организация, структурирование, сохранение, адаптирование или изменение, извлечение, консультирование, употребление, раскрытие путем передачи, распространения или другим способом, через который данные становятся доступными; систематизация или комбинирование, ограничение, удаление или уничтожение; „администратор“ означает физическое или юридическое лицо, публичый орган власти, агенство или другая структура, которая сама или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки определяются законодательством Союза или законодательством государства-члена, администратор или конкретные критерии для его определения могут быть установлены в законодательстве Союза или в законодательстве государства-члена; „обработчик персональных данных“ означает физическое или юридическое лицо, публичный орган власти, агенство или другая структура, которая обрабатывает персональные данные от имени администратора; „представитель“ означает физическое или юридическое лицо, установленное в Союзе, которое назначено администратором или обработчиком персональных данных в письменной форме согласно ст. 27, представляет администратора или обработчика персональных данных в связи с их соответствующими обязанностями согласно Регламенту (ЕС) 2016/679; „получатель“ означает физическое или юридическое лицо, орган публичной власти, агенство или другая структура, перед которой разскрываются персональные данные, независимо от того, является ли она третьим лицом или нет. В то же время органы публичной власти, которые могут получать персональные данные в контексте конкретного расследования в соответствии с законодательством Союза или государства-члена, не рассматриваются в качестве «получателей»; обработка этих данных органами публичной власти соответствует применимым правилам защиты данных в соответствии с целями обработки; „надзорный орган“ означает независимый орган публичной власти, учрежденный государством-членом и ответственный за наблюдение над выполнением Регламента (ЕС) 2016/679. „нарушение безопасности персональных данных“ означает нарушение безопасности, которое приводит к случайному или незаконному уничтожению, потере, изменению, непозволительному раскрытию или доступу к персональным данным, которые передаются, хранятся или обрабатываются другим способом. „профилирование“ означает любую форму автоматизированной обработки персональных данных, которая включает в себя использование персональных данных для оценки определенных личных качеств, связанных с физическим лицом, и, в частности, для анализа или прогнозирования аспектов, связанных с выполнением профессиональных обязанностей этого физического лица, его экономическим состоянием, состоянием здоровья, личными предпочтениями, интересами, надежностью, поведением, местоположением или движением; 5. Основные принципы, связанные с обработкой персональных данных, которые мы соблюдаем: - законная, добросовестная и прозрачная обработка персональных данных - обработка персональных данных для конкретных целей - сведение данных до минимума - точность и поддержка актуального вида - ограничение хранения - целостность и конфиденциальность - отчетность 6. Цель обработки: “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ обрабатывает персональные данные для осуществления своей деятельности – поддержка организации и проведения фестивалей, популяризация традиционных народных искусств и предоставление членства разным фестивалям, коллективам и т.д. Персональные данные, которые собираются для конкретных точно определенных законом целей, должны обрабатываться в законосообразно и добросовестно. Данные не обрабатываются дополнительно несовместимым с этими целями способом. Дальнейшая обработка персональных данных в целях архивирования в общественных интересах, в научных, исторических или статистических целях не считается несовместимой с первоначальными целями. Сообщество собирает персональные данные в маркетинговых и рекламных целях. Данные, которые собирает “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“, собираются исключительно и только с явного, свободного, ясного и осознанного согласия потребителя, которое он подтвердил при ознакомлении с данной политикой защиты персональных данных. Помимо вышеуказанных целей и в связи с принципами, указанными в ст. 5 Регламента (ЕС) 2016/679 “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ не собирает и не обрабатывает другие персональные данные своих работников/ сотрудников, партнеров и клиентов. Сообщество обрабатывает персональные данные с целью автоматизированного принятия решений, в т.ч. „профилирования“. Организация собирает данные от субъекта данных. 7. Сообщество обрабатывает персональные данные, только тогда: - когда оно получило четкое, свободное, информированное и однозначное согласие от субъектов данных, которые заранее знают, какие их персональные данные будут использоваться с помощью данной политики; - когда существует договорное обязательство с целью выполнения договора, одной стороной которого является физическое лицо (когда Сообщество обрабатывает данные своих работников/ сотрудников) и для осуществления, основания и защиты прав и законных интересов; - когда обработка необходима для выполнения задачи, исполняющейся в общественных интересах (в соответствии с законодательством ЕС или национальным законодательством); 8. Какие данные собираются и обрабатываются: Важно: “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ не собирает и не обрабатывает чувствительные персональные данные своих клиентов и пользователей веб сайта www.eaff.eu Данные, которые собираются и обрабатываются: - Имя и фамилия – с целью идентификации для регистрации в качестве члена; - Адрес – для связи; - Телефон – для связи при необходимости; - Электронный адрес – для входа в систему, а также для быстрой и простой корреспонденции; - Другие, допустимые согласно Регламенту, когда это необходимо для выполнения какой-либо обязанности Содружества или в связи с определенной услугой. Отправитель персональных данных имеет право не передавать всех требуемых от него персональных данных. В тех случаях, когда эти персональные данные требуются для выполнения конкретной услуги, определенной специализированной функции или эффективного ответа на вопрос (исключая прямой маркетинг) - “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ - EAFF“ не может выполнить услугу из-за нехватки данных, о чем пользователь бывает проинформирован заранее через политику персональных данных. 9. Получатели персональных данных, перед которыми Содружество имеет право раскрыть данные: Содружество предоставляет персональные данные компетентным государственным органам и учреждениям, когда это требуется в соответствии с законодательством страны; в соответствии с правилами, изложенными в нем (например: Национальное агенство по доходам, Национальный институт социального обеспечения, Агентство по трудоустройству, судебные и следственные органы, учреждения здравоохранения и др.). Оно также предоставляет персональные данные физических лиц бухгалтерским фирмам, банковским учреждениям, кадровым агентствам и операторам мобильной связи в законных целях или когда это требует договор, заключенный с лицами. Персональные данные пользователей www.eaff.eu не предоставляются третьим лицам, вне требований законодательства. Организация предоставляет персональные данные в страны за пределами Европейского Союза. 10. Права физических лиц-субъектов данных: Меры защиты персональных данных, принятые в соответствии с требованиями Регламента (ЕС) 2016/679, направлены на обеспечение защиты прав субъектов персональных данных, а именно: - Право доступа; - Право на исправление неточных или неполных данных; - Право на удаление (право „быть забытым”), если применимы условия ст. 17 Регламента (ЕС) 2016/679; - Право на ограничение обработки; - Право на переносимость данных при наличии условий переносимости по ст. 20 Регламента (ЕС) 2016/679; - Право на возражение при наличии условий ст. 21 Регламента (ЕС) 2016/679; - Право на подачу жалобы в Комиссию по защите персональных данных или в Районный суд; - Право субъекта данных не быть объектом решения, основанного исключительно на автоматизированной обработке, включающей профилирование; 11. Срок сохранения данных: В качестве администратора персональных данных “ЕВРОПЕЙСКАЯ АССОЦИАЦИЯ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ обрабатывает данные в течение периода, предусмотренного действующим законодательством и в соответствии с принципом ограничения хранения. Остальные данные хранятся в разные сроки в соответствии с типом данных, определяющих юридическое обязательство по обработке, включая их хранение. Критерии хранения: - с регистрации на сайте данные о коллективах, желающих вступить в члены, сохраняются в течение 10 лет; - персональные данные сотрудников “ЕВРОПЕЙСКОЙ АССОЦИАЦИИ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ хранятся и обрабатываются в течение более длительного периода с учетом требований Закона о бухгалтерском учете; 12. Ответственность Сообщества по защите персональных данных: В связи с ответственностью администратора персональных данных, введенной Регламентом (ЕС) 2016/679 и Законом о защите персональных данных, и для обеспечения надлежащей защиты данных, Сообщество применяет все необходимые организационные и технические меры для защиты персональных данных физических лиц. Для обеспечения максимальной безопасности при обработке, передаче и хранении персональных данных организация использует механизмы защиты данных, хранящихся как в электронном виде, так и на бумажном носителе. Доступ к компьютеру через локальную сеть к файлам, содержащим персональные данные, осуществляется только сотрудниками “ЕВРОПЕЙСКОЙ АССОЦИАЦИЕЙ ФОЛКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ или ответственным за защиту данных лицом, уполномоченным законными правами, исключительно с его места работы, на определенном для этой цели компьютере и после идентификации по имени и пароли в системе. В конце рабочего дня сотрудники выключают локальный компьютер. В целях повышения безопасности доступа к информации сотрудники должны менять свои пароли в определенный “ЕВРОПЕЙСКОЙ АССОЦИАЦИЕЙ ФОЛЬКЛОРНЫХ ФЕСТИВАЛЕЙ – ЕАФФ“ срок, не превышающий 2 месяцев. Для выполнения своих функций защиты данных Содружество использует полностью лицензированную операционную систему. Любое другое программное обеспечение нелицензионного происхождения запрещено использовать. Установка программных продуктов на офисных компьютерах осуществляется только специализированным для этого лицом - IT-специалистом. 13. Изменения в политике: Содружество имеет право обновлять, изменять и дополнять политику защиты персональных данных в любое время в будущем, когда того потребуют обстоятельства. 14. Данные для связи с администратором персональных данных: адрес: г. Велико Тырново, ул. “Хан Крум“ ? 10 телефон для связи: 062/62 15 41 электронная почта: office@eaff.eu 15. Надзорный орган по защите данных: Надзорным органом по защите данных на национальном уровне является Комиссия по защите персональных данных. Она следит за правильным применением Регламента (ЕС) 2016/679, и каждое физическое лицо, которое считает, что его права нарушены при обработке персональных данных, может подать жалобу в Комиссию по следующему адресу: адрес: г. София, ул. “Проф. Цветан Лазаров” ? 2 телефон: 02/91-53-555 электронная почта: kzld@cpdp.bg Страница в Интернете: www.cpdp.bg