Приета с решение на Съвета на директорите от 23.05.2018 г.

  1. Общи положения и определения

Чл. 1. Настоящата политика за защита на личните данни на „Пампорово“ АД се основава на изискванията и принципи за защита на личните данни приети с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679 или Общ регламент относно защита на данните).

Пампорово“ АД вписано в Търговския регистър при Агенция по вписванията, ЕИК 830166943, със седалище и адрес на управление: к.к. Пампорово 4870, община Чепеларе, хотел Орловец е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 и Закона за защита на личните данни.

В Пампорово АД е определено Длъжностно лице за защита на личните данни (Data protection officer) с адрес к.к. Пампорово 4870, община Чепеларе, хотел Орловец; e-mail: dpo@pamporovo.me /телефон за връзка: +359 3 0958409; +359 888 415 598. Длъжностното лице по защита на личните данни отговаря на изискванията на Общия регламент за защита на личните данни и се отчита пряко пред Съвета на директорите на Пампорово АД.

Чл. 2. По смисъла на Регламент (ЕС) 2016/679 (Общ регламент за защита на данните) и настоящата Политика, използваните в този документ определения имат следното значение:

(а) Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; 

(б) Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

) Регистър с лични данни означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

(г) Администратор е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на Република България, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз или в правото на Република България;

(д) Субект на данни - е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация, представляваща лични данни пряко или непряко;

(е) Легитимен интерес на Пампорово АД или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данни /клиент/, например с цел предотвратяване на престъпления включително измами, предотвратяване изпиране на пари и финансиране на тероризъм, други законосъобразни цели.

Чл. 3. „Пампорово“ АД признава неприкосновеността на личността на физическите лица и полага усилия за защита срещу неправомерното обработване на личните данни на физическите лица. В съответствие с действащото законодателство „Пампорово“ АД прилага съответните техническите и организационни мерки за защита на личните данни на физическите лица.

Чл.4. Тази политика за защита на личните данни на „Пампорово“ АД има за цел да информира физическите лица за целите и основанията за обработване на личните данни, правата на субектите на данните, категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволен характер на предоставяне на данните, информацията за правото на достъп и правото на коригиране на събраните данни, съгласно изискванията на Закона за защита на личните данни.

  1. Обработване на лични данни

Чл.5. „Пампорово“ АД като администратор на лични данни обработва лични данни по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки при спазване на следните принципи:

(а) законосъобразно, добросъвестно и прозрачно по отношение на субекта на данните обработване на личните данни (законосъобразност, добросъвестност и прозрачност)

(б) Данните се събират за конкретни, легитимни цели и не се обработват по начин, несъвместим с тези цели („целесъобразност при обработване на личните данни и ограничение на целите“)

(в) пропорционалност и ограничение на обработване на личните данни във връзка с целите, за които се обработват данните („свеждане на данните до минимум“);

(г) точност и актуалност на обработване на лични данни.

(д) ограничение на съхранението за период, не по-дълъг от необходимото за целите, за които се обработват личните данни („ограничение на съхранението“)

(д) Обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“)

Чл. 6. „Пампорово“ АД обработва лични данни само ако и доколкото е приложимо поне едно от следните условия:

(а) обработването е необходимо за изпълнение на договор с „Пампорово“ АД, по който субектът на данните е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.

(б) обработването е необходимо за спазването на законово задължение, което се прилага спрямо „Пампорово“ АД в качеството й на администратор на лични данни.

(в) Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели. В случаите, когато личните данни се обработват единствено на основание дадено съгласие, субектът на данни има правото да оттегли съгласието си по всяко време. Оттегляне на съгласието от субекта на данни не е приложимо в случаите, когато обработването на данните е основано и на т. „а“ и „б“ по-горе.

Пампорово“ АД обработва личните данни самостоятелно или чрез възлагане на обработващи данните. Обработващи от името на „Пампорово“ АД са и служителите на дружеството, чиито права и задължения са надлежно регламентирани във вътрешните актове на „Пампорово“ АД.

Чл. 7. „Пампорово“ АД, като администратор не обработва лични данни разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическото лице, данни за здравословно състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, освен ако субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели.

  1. Цел на обработване на лични данни.

Чл. 8. „Пампорово“ АД като дружество, опериращо в сферата на туризма обработва лични данни с цел предоставяне на туристически услуги (настаняване в собствените си хотели или такива, които евентуално оперира; осигуряване на изхранване в собствените си ресторанти, осигуряване на спортни и рекриационни услуги в хотелските комплекси, осигуряване на настаняване в други хотели в качеството си на туроператор, осигуряване на транспортни услуги с автобусите и микробусите на дружеството като част от пакетните услуги, които предлага или в качеството си на превозвач, осигуряване на превоз на пътници с лифтови и влекови съоръжения, в качеството си на лифт оператор в ски зоната на к.к. Пампорово и гр. Чепеларе, предоставяне под наем на ски и сноуборд екипировка, ски обучение в качеството си на най-голямото ски училище в рамките на курортния комплекс, услуги по отдаване под наем на магазини, заведения и други обекти, както и други услуги, свързани с лицата, чиито данни се обработват /субекти на данните/ или с цел разглеждане на възможността за предоставяне на такива услуги на субектите на данните. Предоставянето на лични данни от лицата е доброволно. В случай на отказ от предоставяне на лични данни, „Пампорово“ АД няма да предостави исканите туристически услуги или да извърши съответната търговска сделка, доколкото обработването на лични данни в най-голям обем е в изпълнение на законово и нормативно установени задължения на дружеството.

Чл. 9. Личните данни, които лицата предоставят на „Пампорово“ АД при подаване на искане за предоставяне на туристическа услуга и/или извършване на други търговски сделки, се обработват с цел анализиране на това дали тези услуги могат да се предоставят на лицата за съответния период, с цел защита на тяхното здраве, както и с цел надлежна идентификация на страните по извършваните търговски сделки в изпълнение на законово и нормативно установени задължения за дружеството.

Чл.10. Обработването на лични данни най-често е в изпълнение на нормативно-установени задължения на „Пампорово“ АД, произтичащи от законови изисквания, регламентиращи хотелската и друга съпътстваща търговска дейност, финансово-счетоводната дейност, дейностите по превенция на изпирането на пари, за целите на автоматичния обмен на финансова информация по смисъла на Данъчно-осигурителния процесуален кодекс, пенсионна, здравна и социално осигурителна дейност, дейността по управление на човешките ресурси, и др.

Чл. 11. Освен в случаите, когато е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни, обработване на личните данни е допустимо и когато е необходимо за изпълнение на задължения по договор с „Пампорово“ АД, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор с „Пампорово“ АД, предприети по искане на лицето или когато физическото лице, за което се отнасят данните, е дало изрично своето съгласие за обработването. Освен описаните случаи, обработване на лични данни на субекти на данни е допустимо при наличие на Легитимен интерес на „Пампорово“ АД или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данни /клиента/, например с цел предотвратяване на престъпления включително измами, предотвратяване изпиране на пари и финансиране на тероризъм, други законосъобразни цели.

Чл.12. Личните данни на субектите се съхраняват в законоустановените срокове съгласно изискванията на приложимите специални закони.

Чл.13. Лицата, ненавършили 18 (осемнадесет) години са субекти на данни с право на по-високо ниво на защита на техните лични данни. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

  1. Права на субектите на данни (клиентите физически лица, за които се отнасят данните)

Чл. 14. Право на информираност (във връзка с обработването на личните данни на субекта на данни от „Пампорово“ АД- физическото лице, което е субект на данни, има право да получи информация* за „Пампорово“ АД като администратор на лични данни, както и за обработването на личните му данни. Тази информация включва: данни, идентифициращи „Пампорово“ АД, както и негови координати за връзка, вкл. координатите за връзка с длъжностното лице по защита на данните; Целите и правното основание за обработването; Получателите или категориите получатели на личните данни, ако има такива; Намерението на администратора да предаде личните данни на трета страна/ трета държава (когато е приложимо); Срока на съхранение на личните данни; Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова); Информация за всички права, които субектът на данни има; Правото на жалба до надзорния орган. *Посочената информация не се предоставя, ако субектът на данни вече разполага с нея.

Чл. 15. Право на достъп до собствените си лични данни – субектът на данните има право да получи от „Пампорово“ АД потвърждение дали се обработват лични данни свързани с него и ако това е така да получи достъп до данните и следната информация: Цел на обработване; Съответните категории лични данни; Получателите или категориите получатели на личните данни, ако има такива; Намерението на администратора да предаде личните данни на трета страна (когато е приложимо); Срока на съхранение на личните данни; Съществуване на правото на коригиране на лични данни, както и правото на възражение срещу обработване на лични данни; Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова); Информация за всички права, които субектът на данни има; Правото на жалба до надзорния орган.

Чл. 16. Право на коригиране на лични данни (ако данните са неточни) – субектът на данни има право да поиска от „Пампорово“ АД да коригира без ненужно забавяне неточните лични данни свързани с него.

Чл. 17. Право на изтриване на лични данни (право „да бъдеш забравен“) - Субектът на данни може да поиска от „Пампорово“ АД изтриване, ако е налице едно от следните условия:

  • Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

  • Субектът на данните оттегля своето съгласие, върху което единствено се основава обработването на данните и няма друго правно основание за обработването /обработване по силата на нормативно задължение на „Пампорово“ АД , сключен договор с дружеството/;

  • Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;

  • Личните данни са били обработвани незаконосъобразно;

  • Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейски съюз или правото на Република България, което се прилага спрямо „Пампорово“ АД в качеството му на администратор;

  • Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.

Чл.18. Право на ограничаване на обработването от страна на „Пампорово“ АД или обработващия лични данни – за възможността от използване на това право, са необходими конкретни условия, като:

  • Точността/актуалността на личните данни се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който позволява на „Пампорово“ АД да провери точността на личните данни;

  • Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

  • Пампорово“ АД не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

  • Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на „Пампорово“ АД имат преимущество пред интересите на субекта на данните.

Чл.19. Право на преносимост на личните данни между отделните администратори - субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на „Пампорово“ АД, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от дружеството, на което личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от „Пампорово“ АД към друг администратор, когато това е технически осъществимо.

Чл. 20. Право на възражение спрямо обработването на негови лични данни- субектите на данни имат право да възразят пред „Пампорово“ АД срещу обработването на личните им данни, като дружеството ще прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг „Пампорово“ АД ще прекрати обработването незабавно.

Чл. 21. Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;

Чл. 22. Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени – ако субекта на данни счете, че правото му на защита на личните данни и неприкосновеност е било нарушено, то може да подаде жалба пред съответния надзорен орган-Комисия за защита на личните данни или да търси правата си по съдебен ред.

  1. Разкриване на лични данни

Чл. 23. „Пампорово“ АД може да разкрива лични данни на следните категории лица:

(а) Лицата, за които се отнасят данните, а именно: лица, ползващи туристически услуги или продукти или подали искане за ползване на туристическите услуги, както и лицата, които са страни по туристически и/или други търговски сделки и договорни отношения с Дружеството;

(б) Лица, които имат право на достъп до лични данни по силата на закон или други нормативен акт;

(в) Лица, за които правото произтича по силата на договор, сключен с „Пампорово“ АД.

VI. Ред за упражняване на правата

Чл. 24. (1) При упражняване на правото си на достъп физическите лица, имат право по всяко време да поискат от „Пампорово“ АД:

1. потвърждение за това, дали отнасящи се до тях данни се обработват от Дружеството, какви са целите на обработването, категориите данни и получателите на тези данни или категориите получатели, на които данните се разкриват;

2. Дружеството да изпрати съобщение до тях в разбираема форма, съдържащо личните данни, които се обработват и всяка налична информация за източника на тези данни;

3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до физическите лица, поне в случаите на автоматизирани решения по реда на Общия регламент за защита на личните данни и Закона за защита на личните данни;

(2) При поискване, “Пампорово“ АД предоставя информацията по ал. 1 безплатно.

(3) Физическите лица имат право по всяко време да поискат от “ Пампорово“ АД да:

1. заличи, коригира или блокира техни лични данни, обработването на които не отговаря на изискванията на действащото законодателство

2. Дружеството да уведоми третите лица, на които са били разкрити личните данни на физическите лица за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни за дружеството усилия.

Чл.25.(1) Физическите лица, упражняват правата си като подават писмено заявление до „Пампорово“ АД, съдържащо минимум следната информация:

  1. име, ЕГН, адрес и други данни за идентифициране на съответното физическо лице;

  2. описание на искането;

  3. предпочитана форма за предоставяне на информацията /устно или писмено- на хартиен носител или по електронен път/;

  4. подпис, дата, адрес за кореспонденция и телефон.

(2) Подаване на заявлението е безплатно.

(3) При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.

(4) В случай на смърт на физическото лице, правата му се упражняват от неговите наследници като към заявлението се прилага и удостоверение за наследници.

Чл. 26. Заявлението се разглежда и „Пампорово“ АД се произнася в 14-дневен срок, а когато с оглед събиране на данни и информация е необходим по-дълъг срок, искането се разглежда и Дружеството се произнася в срок до 1 месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца. Дружеството информира субекта на данни за всяко такова удължаване в срок от 1 месец от получаване на искането като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

Чл. 27. Дружеството предоставя отговор на заявителя като се съобразява с предпочитаната от заявителя форма на предоставяне на информация/устно или писмено- на хартиен носител или по електронен път/.

Чл. 28. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.

Чл. 29. В случай, че заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, заявителят има право да упражни правото си на защита.

VII. Информация за субекта на данни:

Администратор:

Пампорово АД

ЕИК:

830166943

Седалище и адрес на управление

К.к. Пампорово 4870, гр. Чепеларе, хотел Орловец

Телефон

070017702

Е-mail

marketing@pamporovo.me

Официален сайт

www.pamporovo.me

Длъжностно лице за защита на личните данни в Пампорово АД

Катерина Радичева

Телефон:

+359 3 0958409;

E-mail:

dpo@pamporovo.me

Надзорен орган

Комисия за защита на личните данни

Адрес

София 1592, бул. „Проф. Цветан Лазаров” № 2

Телефон

+359 2 915 3518

Е-mail

kzld@cpdp.bg

Официален сайт:

www.cpdp.bg

Заключителна разпоредба

Настоящата политика е приета с Решение на Съвета на директорите на „Пампорово“ АД от 23.05.2018 г.