Politique GDPR

POLITIQUE GÉNÉRALE DE PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
DANS "UNION IVKONI" EOOD /EURL/

1. Introduction
 
1.1. Considérations générales
La présente politique générale sur la protection des données à caractère personnel (ci-après dénommée la « Politique ») régit le traitement des données à caractère personnel par Union Ivkoni EOOD /EURL/, code d’identification unique de la société 121444454, dont le siège social est situé à l'adresse suivante : 17, rue Tsar Ivan Shishman, 1000Sofia (ci-après dénommée « la Société» et / ou « l'Administrateur ») en ce qui concerne les catégories de personnes concernées par les données à caractère personnel qui y sont spécifiées afin de garantir que ce traitement soit conforme aux exigences du règlement (CE) 2016/679 du Parlement européen et du Conseil sur la protection des personnes dans l'Union européenne concernant le traitement des données à caractère personnel et la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après dénommé « le Règlement ») et toute autre législation pertinente de l'Union européenne (UE) et de la législation nationale sur la protection des données. Cette Politique s'applique à toutes les questions relatives à la protection des données personnelles pour lesquelles il n'y a pas d'autres réglementations explicites ou spéciales en vertu d'autres actes de la société.
 
1.2. La politique vise à réglementer et à couvrir en particulier les points suivants :
 
• le traitement des données à caractère personnel, les catégories de personnes concernées par la Politique, les principes de traitement et les responsabilités en matière de traitement ;
• les obligations des personnes agissant sous la direction de la Société au sens de l'art. 29 du Règlement dans le traitement des données à caractère personnel et leur responsabilité pour inexécution de ces obligations ;
• les droits des personnes concernées et la procédure pour les exercer ;
• une procédure relative au traitement des données à caractère personnel sur la base du consentement des personnes concernées ;
• règles de réponse en cas de violation des données à caractère personnel ;
• les mesures techniques et organisationnelles pour la protection des données à caractère personnel appliquées dans l'entreprise.
 
1.3. Information sur l’Administrateur
Société “Union Ivkoni” EOOD /EURL/
   
Données de l’immatriculation Immatriculée au Registrede commerce et des sociétés et des personnesmorales à but non-lucratif auprès de l’Agence des immatriculations, sous le code d’identification unique 121444454
   
Siège et adresse de gestion 17, rue Ivan Shishman, 1000 Sofia
   
Objet d’activité commerce national et international, activité de touropérateur et d’agent touristique, représentation, médiation et représentation de personnes physiques et morales locales et étrangères, exerçant une activité de médiation concernant le recrutement de personnel dans le pays et à l'étranger, les opérations de transport et d'expédition dans le pays et à l'étranger, la gestion d'hôtels, la fabrication, le commerce de biens industriels, biens ménagers, produits alimentaires et agricoles, production, transport et commerce avec de l’énergie électrique, ainsi que toutes autres transactions commerciales non prohibées par la loi
   
Employé chargé de la protection des données t.bolen@union-ivkoni.com
 
2. Termes et abréviations utilisés
 
Tous les termes et abréviations qui ne sont pas explicitement définis dans la Politique ont la signification définie dans le Règlement.
 
3. Activités de traitement des données personnelles

 
3.1. Principes de traitement des données personnelles

Le traitement des données personnelles par l'Administrateur est régi par les principes suivants:
• Les données à caractère personnel ne sont traitées que si l'un des motifs de traitement, conformément au règlement et/ou à toute autre législation applicable en matière de protection des données est présent, et cela se fait de bonne foi et de manière transparente à l'égard de la personne concernée (principe de légalité, d'intégrité et de transparence) ;
• les données personnelles sont collectées à des fins spécifiques, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces objectifs ;
• les données personnelles sont appropriées, pertinentes et limitées à ce qui est nécessaire par rapport aux objectifs pour lesquels elles sont traitées (principe de minimisation des données);
• les données personnelles sont exactes et, si nécessaire, mises à jour. L'Administrateur prend toutes les mesures raisonnables pour assurer l'effacement ou la correction opportuns des données à caractère personnel inexactes, en tenant compte des objectifs pour lesquels elles sont traitées (principe de la précision du traitement);
• les données à caractère personnel sont stockées sous une forme permettant à la personne concernée d'être identifiée pas plus longtemps qu'il n'est nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées;
• les données à caractère personnel sont traitées de manière à garantir un niveau de sécurité approprié, y compris une protection contre le traitement non autorisé ou illégal et contre la perte, la détection, la destruction ou les dommages accidentels, en appliquant les mesures techniques ou organisationnelles appropriées;
• les mesures organisationnelles et techniques mises en place assurent la confidentialité, l'intégrité, la disponibilité et la pérennité des systèmes et des services de traitement des données. 

3.2. Catégories de personnes concernées. Catégories de données à caractère personnel et objectifs de traitement.
Surveillance vidéo

3.2.1. L'Administrateur a le droit de traiter des données personnelles sur ses clients et d'autres personnes concernées comme suit:
 
i. les clients (particuliers/personnes physiques) de la Société en tant que transporteur pour lesquels des données personnelles telles que les noms et prénoms, identifiant national, adresse IP, e-mail, numéro de téléphone, adresse MAC, etc. peuvent être traitées. Le traitement des données à caractère personnel repose sur le principe de la minimisation des données, en fonction de la fourniture des services utilisés par le client, tels que des réductions pour les enfants et/ou les personnes dépassant un certain âge (NIP – identifiant national), (Adresse IP, e-mail, téléphone, habitudes et préférences), Wi-Fi dans les bus de la société (adresse MAC), etc. Les objectifs de traitement incluent: (i). fourniture de services de transport et/ou de services connexes, y compris l'achat de billets en ligne et l'utilisation du site Web de la société; (ii). stockage des registres fiscaux et comptables; (iii). mise en œuvre des exigences législatives; (iv). fourniture de remises aux clients réguliers ; (v). les objectifs liés aux intérêts légitimes de la société au sens du règlement;
 
ii. les clients (particuliers/personnes physiques) de la Société en tant que touropérateurpour lesquels des données à caractère personnel telles que les noms et prénoms, identifiant national, des données à caractère personnel (carte d'identité ou passeport selon la destination choisie), des données et des documents nécessaires aux fins de la police, douanes à la frontière ou inspections effectuées par une autorité publique compétente, visas et / ou autres types de documents d'autorisation, informations sur les liens familiaux (par exemple: pour les touristes de moins de 18 ans afin de respecter l'exigence de sortie parentale) etc.), informations sur le compte bancaire (IBAN, paiement bancaire), informations relatives à l'assurance médicale de voyage, en type et volume, selon les exigences de la ou des compagnies d'assurance concernées et / ou la loi, les informations de contact (adresse e-mail, adresse de contact, numéro de téléphone, par exemple) et d'autres données telles que l'adresse IP, le code MAC d’un appareil, etc. Le traitement des données à caractère personnel est entièrement basé sur le principe de minimisation des données, en fonction de la fourniture des services utilisés par le client, tels que l'utilisation du wi-fidans les bus de la société (MAC), via le site internet de la Société (adresse IP ; données liées aux habitudes et préférences), etc. Les objectifs de traitement incluent : (i). fourniture du service touristique demandé et / ou de services supplémentaires, y compris l'utilisation du site Web de la Société; (ii). archives des registres fiscaux et comptables; (iii). mise en œuvre des exigences législatives ; (iv). fourniture des rabais aux clients réguliers; (v). marketing direct; (vi). objectifs liés aux intérêts légitimes de la Société au sens du règlement;
 
iii. employés potentiels, actuels et / ou anciens de la Société. En ce qui concerne les données personnelles de ces personnes, une politique de confidentialité pour les employés de la société est appliquée;
 
iv. autres personnes physiques et personnes physiques-représentants ou personnes de contact des personnes morales qui sont en contact avec la Société (y compris, sans toutefois s'y limiter, fournisseurs, contacts commerciaux, sous-traitants, autres contractants et partenaires commerciaux, etc.) aux fins de la mise en œuvre et / ou de la gestion de l'activité de la société;
 
v. autres personnes physiques, représentants légitimes ou mandataires de personnes physiques - clients de la Société (par ex. parents de mineurs dans les cas d’autorisation de quitter le pays, etc.)

3.2.2. La société a créé et tient à jour un registre de traitement des données personnelles en tant qu'administrateur au sens de l'art. 30 du règlement (ci-après dénommé le « Registre »). Le registre est décrit en détails à la section 7 de la politique et contient les informations spécifiées dans le règlement, y compris les catégories spécifiques de personnes concernées, les catégories de données à caractère personnel, les objectifs et la période de traitement classés par activités.
 
3.2.3. La Société conserve les données personnelles pendant la plus longue des périodes nécessaires pour se conformer aux lois et règlements applicables ou pour toute autre période requise par les activités de la Société. Le traitement des données à caractère personnel repose sur le principe de la minimisation des données, en fonction de la fourniture des services que le client utilise (par exemple, une réduction pour les enfants et / ou les personnes âgées d’un certain âge, etc.) Certaines données peuvent être stockées une fois que le service demandé par le client a été complété dans le but d’accorder des rabais aux clients réguliers.
 
3.2.4. La société surveille par vidéosurveillance les zones accessibles au public aux points de vente, aux bureaux et aux installations de service. La surveillance vidéo est effectuée conformément aux règles de surveillance vidéo de l'administrateur.
 
4. Catégories des destinataires de données
 
L'Administrateur peut divulguer des données personnelles aux personnes suivantes:
• des prestataires de services - consultants, avocats, comptables, auditeurs, informaticiens, etc. dans le cadre de la conclusion des contrats de l'activité principale de la Société, de l’exécution deses obligations légales, du support technique, etc. Cette divulgation doit être faite sur la base d'un accord écrit avec le prestataire des services concerné afin de garantir qu'il assure un niveau de protection adéquat et le respect de la législation en matière de données à caractère personnel.
• sous-traitants - lorsqu'ils fournissent des services pour le compte de l'Administrateur (représentants des ventes, touropérateurs, agents de voyages, etc.) sur et hors du territoire de la République de Bulgarie en relation avec la conclusion et l'exécution des contrats de transport de passagers et de services touristiques. Cette divulgation doit être faite sur la base d'un accord écrit avec le sous-traitant concerné afin de garantir qu'elle assure un niveau de protection adéquat et le respect de la législation en matière de données à caractère personnel.
• fournisseurs de services pour la fourniture et la maintenance d'équipements, logiciels et matériels utilisés pour le traitement (y compris le stockage) de données à caractère personnel, pour le reporting des paiements, etc.
• les banques assurent le traitement des paiements effectués par les personnes concernées par les données pour les services passagers et / ou les services de voyage;
• les sociétés de sécurité fournissant des services de sécurité privés en liaison avec la vidéosurveillance des zones accessibles au public dans les points de vente de l'Administrateur;
• les autorités publiques ou judiciaires, dans la mesure permise et / ou requise par la loi;
• les compagnies d’assurance - dans le cadre de la conclusion d’une assurance de voyage liée à la fourniture de services touristiques;
• d’autres administrateurs de données, dans les cas où la Société agit en tant que sous-traitant pour leur compte.
 
5. Obligations de l'Administrateur
 
L'Administrateur a les obligations suivantes:
• définit les politiques et procédures relatives à la protection des données à caractère personnel traitées, respecte les exigences du Règlement, la législation de l'UE et la législation nationale en matière de protection des données à caractère personnel;
• désigne un délégué qui est chargé de la protection des données;
• permet à l'organisme de tenir le registre conformément aux mesures envisagées pour assurer une protection adéquate;
• introduit, tant au moment de la désignation du moyen de traitement que du traitement lui-même, les mesures techniques et organisationnelles appropriées développées en vue de la mise en œuvre effective des principes de protection des données;
• veille à l'exercice des droits des individus à la protection des données personnelles;
• introduit des mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement des données à caractère personnel est effectué conformément aux exigences du Règlement;
• Introduit des mesures techniques et organisationnelles appropriées pour garantir que seules les données personnelles requises pour chaque objectif de traitement sont traitées par défaut. Cette obligation concerne le volume des données à caractère personnel collectées, le niveau de traitement, la durée de conservation et l'accessibilité;
• surveille le respect des exigences en matière de protection du Registre, établit les circonstances liées à la violation de leur protection et prend des mesures pour leur élimination;
• met à jour les Registres entretenus ;
• conserve les données personnelles sous une forme permettant l'identification des personnes concernées pendant une période ne dépassant pas la durée nécessaire aux fins pour lesquelles ces données sont traitées;
• informe et organise périodiquement, le cas échéant, la formation du personnel sur les questions relatives à la protection des données à caractère personnel;
• assiste dans l'exercice des fonctions de contrôle de la Commission pour la protection des données à caractère personnel en sa qualité d'organe de surveillance au sens de l'art. 51 du Règlement (ci-après dénommé « CPDCP »), aide à établir des circonstances liées à la protection des données à caractère personnel;
• définit les droits des employés d'accéder aux données à caractère personnel dans les systèmes d'information en fonction de l'objectif du traitement, afin de garantir la légalité et de respecter les principes du traitement;
• utilise un traitement de données à caractère personnel offrant des garanties adéquates grâce à l'application de mesures de protection techniques et organisationnelles appropriées;
• respecte certaines règles en cas de violation des données à caractère personnel;
• documente toute violation de la sécurité des données à caractère personnel, y compris les faits relatifs à la violation des données à caractère personnel, à ses conséquences et aux mesures prises pour remédier à cette situation;
• réalise une évaluation des risques, comme l'exige le règlement, ou une analyse de l'impact, si les conditions sont remplies en vertu du règlement.
 
6. Devoirs des employés de l'Administrateur. Responsabilité.Déclarations de confidentialité
 
6.1. Les employés de l’Administrateur commencent à traiter des données personnelles après avoir appris:

• le cadre juridique dans le domaine de la protection des données à caractère personnel, y compris le Règlement et la Loi sur la protection des données à caractère personnel (ci-après dénommé « LPDCP »);
• la politique et les autres actes internes de l'Administrateur relatifs à la protection des données à caractère personnel;

• Les risques liés aux données personnelles traitées par l'Administrateur.


Les employés de l'Administrateur doivent:
• se conformer aux exigences du Règlement, aux autres lois applicables en matière de protection des données, à la politique de confidentialité et aux autres actes internes de l'Administrateur;
• traiter des données à caractère personnel uniquement s'il existe une condition pour le traitement licite (base légale), à ​​savoir: un motif de traitement de données à caractère personnel résultant de la loi; ou une raison du traitement des données à caractère personnel découlant de la relation contractuelle avec la personne; ou une raison du traitement des données personnelles résultant du consentement explicite de l'individu; ou une raison du traitement de données à caractère personnel découlant de l'intérêt légitime de l'Administrateur ou d'un tiers et qui constitue un intérêt légitime qui prime sur les intérêts, droits fondamentaux et libertés de la personne concernée qui nécessitent la protection de données à caractère personnel;
• utiliser les données à caractère personnel auxquelles ils ont eu accès conformément aux objectifs pour lesquelles elles ont été collectées et ne pas les traiter ultérieurement de manière incompatible avec ces objectifs ;
• ne pas utiliser les données personnelles accessibles en tant qu'employés de l'Administrateur à des fins personnelles;
• respecter la règle consistant à éviter la possibilité d'un accès non autorisé à des données personnelles et à laisser les données personnelles disponibles sans surveillance sur le lieu de travail. Dans les locaux accessibles aux tiers, le personnel concerné est tenu de prendre des mesures afin que les tiers ne puissent avoir accès sans autorisation à des documents contenant des données à caractère personnel, notamment en pouvant les visualiser, les copier ou les photographier à l'aide d'un outil technique ;
• lorsque l’exécution de l’activité concernée le permet, limiter au maximum les données à caractère personnel utilisées;
• assurer et garantir les droits des individus en ce qui concerne le traitement des données à caractère personnel;
• prévenir, ne pas contribuer ou ne pas créer des conditions pour la violation de la sécurité lors du traitement des données personnelles;
• ne pas partager ou fournir entre eux ou à des tiers des informations qui sont d’importance primordiale pour la sécurité des données (noms d'utilisateur, mots de passe, etc.);
• ne pas copier des fichiers contenant des informations corporatives contenant des données personnelles sur un support portable sous un type non crypté (ou protégé par un mot de passe);
• ne pas envoyer par courrier électronique à des courriers électroniques extérieurs à la Société des informations contenant des volumes importants de données à caractère personnel ou des catégories particulières de données à caractère personnel ou d'autres données à caractère personnel dont l'accès non autorisé peut constituer un risque élevé pour les droits et les intérêts des personnes concernées par les données auxquelles ils font référence dans des fichiers non protégés par un mot de passe;
• ne pas publier des données personnelles sur des clients ou des employés de la Société sur des sites publics, etc., sans une base légale adéquate;
• prêter assistance à l’employé chargé de la protection des données dans l'exercice de ses pouvoirs.
 
6.2. Responsabilité des employés
6.2.1. Toutes les actions qui entraînent ou pourraient entraîner la suppression, la destruction ou la modification non autorisées des données à caractère personnel reçues par l'Administrateur sous forme électronique ou papier, ainsi que le partage/la divulgation non autorisés des données à caractère personnel par les employés de la Société sont interdites et peuvent engager la responsabilité de l'employé concerné.
6.2.2. En cas de non-respect des dispositions du Règlement et/ou du LPDCP  et/ou de la Politique et/ou des autres actes internes applicables de l'Administrateur, les employés de l'Administrateur sont passibles de mesures disciplinaires.
 
6.2.3. Outre la responsabilité disciplinaire, la responsabilité administrative, pénale et/ou pénale du salarié concerné peut être engagée si l'acte est un acte pour lequel une responsabilité pénale ou administrative-pénale est prévue;
6.2.4. Outre les responsabilités disciplinaires, administratives-pénales et pénales, le salarié en question assume également la responsabilité civile qui peut être engagée à son encontre si les conditions préalables sont remplies.
 
6.3. L'Administrateur:
• assure la signature d'une déclaration de confidentialité et de non-diffusion des données personnelles par tous les employés qui traitent des données personnelles le concernant;
• conserve des informations sur le respect de ses obligations en matière de formation du personnel qui traite des données à caractère personnel et sur laformation du personnel à des événements menaçant la sécurité des données à caractère personnel.
  •  
  •  

• le nom de l'activité(processus métier, fonction) pour le traitement des données à caractère personnel;
• les finalités et les raisons du traitement des données à caractère personnel;
• les catégories des personnes pour lesquelles les données personnelles sont traitées (clients, employés, personnes de contacter des personnes morales, etc.);
• les catégories de données à caractère personnel traitées dans le cadre de l'activité concernée ;
• traitement de catégories particulières de données (par exemple informations sur la santé, le cas échéant);
• les sources de données personnelles;
• des tiers qui reçoivent ou participent d'une autre manière au traitement de données à caractère personnel dans le cadre de l'activité concernée;
• emplacement (stockage) des données personnelles;
• les délais de stockage et de suppression des différentes catégories de données à caractère personnel dans la mesure du possible;
• une description générale des mesures de sécurité techniques et organisationnelles, dans la mesure du possible.
 
8. Tenue des registres de traitement des données personnelles en tant que processeur
 
Pour certaines activités de traitement de données, la Société agit en tant que pouvoir adjudicateur, c.-à-d. pour le compte d'autres personnes - administrateurs de données personnelles, par ex. compagnies d’assurances (dans le cas de son activitéde touropérateur). Dans de tels cas de traitement, la Société agit en tant que processeur de données à caractère personnel. Conformément aux exigences de l'art. 30, par. 2 du Règlement, la Société tient un registre pour le traitement des données à caractère personnel en tant que processeur /sous-traitant/, qui contient le nom et les coordonnées de la Société et du responsable du traitement pour le compte duquel elle traite les données. Le registre doit inclure une description détaillée de toutes les activités (processus d’affaires, fonctions) pour le traitement des données à caractère personnel, conformément aux exigences de l'art. 30, par. 2 du Règlement comprenant au moins les caractéristiques suivantes:
• les catégories de traitement effectuées pour le compte de chaque administrateur;
• des tiers qui reçoivent ou participent d'une autre manière au traitement de données à caractère personnel dans le cadre de l'activité concernée;
• le cas échéant, le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale, ainsi que des garanties appropriées (le cas échéant);
• une description générale des mesures de sécurité techniques et organisationnelles, le cas échéant et dans la mesure du possible.
 
 
9. Personne déléguée à la protection des données
 
L’Administrateur a nommé un délégué à la protection des données (ci-après dénommé « PDPD »), qui participe en temps opportun à toutes les questions relatives à la protection des données à caractère personnel. Le PDPD a les devoirs et pouvoirs suivants:
• informe et conseille la direction et les employés effectuant des activités de traitement de données sur les obligations qui leur incombent en vertu du règlement et de toute autre législation européenne et nationale pertinente en matière de protection des données;
• surveille et est responsable de la sensibilisation et de la formation du personnel impliqué dans les opérations de traitement des données à caractère personnel;
• élabore et propose pour approbation des règles et politiques internes relatives à la protection des données à caractère personnel ou à la modification des règles et politiques existantes;
• surveille la nécessité de modifier le traitement des données à caractère personnel et des documents connexes et/ou des documents réglementaires;
• participe à des activités d'évaluation des risques et, le cas échéant, à l'impact du traitement de données à caractère personnel;
• agit en tant que point de contact unique pour les personnes concernées par l'exercice de leurs droits en vertu du règlement;
• conserve les demandes des personnes concernées pour l'exercice de leurs droits;
• conserve des informations sur les atteintes à la sécurité de la protection des données personnelles;
• tient des registres en vertu de l'art. 30 du Règlement sur le traitement des données à caractère personnel;
• effectue un suivi complet, procède à des évaluations régulières, conseille et fournit des recommandations et des suggestions pour assurer un niveau approprié de sécurité des données à caractère personnel.
Les responsabilités du responsable du PDPDsont détaillées dans la description du poste qu’il occupe (lorsqu'il est employé de la société) ou dans le contrat de service correspondant (lorsqu'il n'est pas un employé de la société).
 
10. Droits des personnes concernées par le traitement des données à caractère personnel
 
L'administrateur prend les mesures nécessaires pour fournir aux personnes concernées des informations sur le traitement des données à caractère personnel sous une forme claire, transparente, compréhensible et facilement accessible, dans un langage clair et simple. L'administrateur aide à l'exercice des droits de la personne concernée en vertu des articles 15 à 22 du règlement.
Dans les cas où les réclamations d'une personne concernée sont clairement déraisonnables ou excessives (notamment en raison de leur répétabilité), l'Administrateur peut refuser d'entreprendre les actes respectifs.
L'administrateur veille notamment à l’exercice des droits suivants des personnes concernées:
• le droit à l'information lors de la collecte de données à caractère personnel par la personne concernée ou par des tiers;
• le droit d'accès aux données de la personne concernée, et notamment :(i). confirmation que les données personnelles de cette personne concernée sont en cours de traitement par la Société; (ii). fourniture d'accès à des données via une copie des données en cours de traitement ainsi que des informations sur les objectifs du traitement; les catégories de données personnelles; les destinataires ou les catégories de destinataires auxquels des données personnelles sont ou seront divulguées; les délais de stockage des données personnelles; l'existence d'un droit de rectifier ou de supprimer des données à caractère personnel ou de restreindre le traitement de données à caractère personnel ou d'une objection au traitement; le droit de faire appel devant une autorité de surveillance (qui, en République de Bulgarie, est la CPDP); les sources de données personnelles; l'existence d'une prise de décision automatisée, y compris le profilage;
• le droit de rectification - exiger que ses données personnelles soient corrigées ou complétées si elles sont inexactes ou incomplètes;
• le droit de supprimer des données à caractère personnel lorsque les motifs prévus dans le règlement sont disponibles;
• le droit de limiter le traitement;
• le droit à la portabilité des données;
• le droit d'opposition;
• le droit de la personne concernée de ne pas faire l'objet d'une décision reposant uniquement sur un traitement automatisé comportant un profilage produisant des effets juridiques ou d'une autre manière qui la concerne de manière significative;
• accorder, modifier ou retirer son consentement au traitement des données à caractère personnel lorsque le motif du traitement est le consentement de la personne concernée.
Les personnes concernées du traitement des données peuvent exercer leurs droits en soumettant une demande écrite à l'Administrateur de l'une des manières suivantes:
• personnellement, par un représentant légal ou par un représentant de la personne concernée moyennant une procuration certifiée notariée, au bureau de la Société, situé à Sofia, 102, bd Kn. MariyaLuiza, gare routière « Serdika » - 2èmeétage, après l'identification de la personne concernée ou du représentant concerné par un employé de l'Administrateur;
• par courrier électronique à la PDPD au moyen d'une signature électronique qualifiée, conformément à la Loi sur le document électronique et les services de certification électroniques (ci-après dénommée « SEQ » /signature électronique qualifiée/);
• par la poste avec l'envoi d'une déclaration certifiée notariée afin de garantir l'identification du demandeur.
Toutes les demandes déposées au bureau de la société susmentionné ou par la poste sont envoyées au PDPD, qui les traite dans les meilleurs délais. Dans un délai d'un mois à compter du dépôt de la demande, le PDPD informe la personne concernée des suites données à la demande, des motifs de non-intervention et de la possibilité de déposer une plainte auprès d'un responsable et de solliciter une protection juridique. En cas d'acteentrepris dans le cadre de la demande, le délai de notification de cet acte à la personne concernée peut être prolongé de trois mois au total, en tenant compte de la complexité et du nombre de demandes. Dans ce cas, le PDPD informera la personne concernée de la prolongation du délai initial d'un mois.
L’information (qui peut varier en fonction du droit de la personne concernée exercé avec la demande) est fournie sur papier personnellement au sujet concerné, à son représentant légal ou à un représentant autorisé par procuration certifiée notariée. Si la demande est soumise par courrier électronique, l’information est également fournie par courrier électronique à l'adresse de messagerie à partir de laquelle la demande est déposée. Dans ce cas, l’information est envoyée sous forme de fichiers protégés par un mot de passe.
 
11. Consentement de la personne concernée en tant que base du traitement des données à caractère personnel.
 
11.1. Motif
A la base de l'art. 6, par. 1, lettre « a » du Règlement, le consentement de la personne est l'un des fondements juridiques de la licéité du traitement des données à caractère personnel. Le consentement doit être donné personnellement par déclaration écrite, sous forme électronique ou par un autre moyen spécifié par l'Administrateur, pour s'assurer que le consentement est:

• donné volontairement; et
• concrètement; et
• informé; et
• incontestablement
 
11.2 Personnes concernées par le traitement des données à caractère personnel
La Société peut collecter des autorisations pour toutes les catégories de personnes concernées pour lesquelles des données à caractère personnel sont traitées, y compris les clients et les employés.
Le consentement des personnes concernées ne doit être recueilli que sous forme écrite, au moyen de déclarations de consentement, une fois que la personne a été identifiée pour prouver l'existence d'un consentement à l'activité de traitement concernée, le cas échéant. Le consentement est un motif distinct pour le traitement des données à caractère personnel et les objectifs spécifiques du traitement y sont spécifiés.

 11.3 Retrait
La société permet aux personnes concernées de modifier ou de retirer facilement leur consentement sans causer de conséquences juridiques négatives pour elles lorsque cela est objectivement possible. Les modifications ou les retraits de consentement sont effectués par les personnes concernées dans l'ordre des consentements. En cas de retrait partiel ou total du consentement, lorsque le traitement des données à caractère personnel est effectué sur cette base, la Société peut ne pas être en mesure de fournir le service demandé par le Client.
 
11.4. Collecte des consentements des clients
Les consentements d'anciens etd’actuels clients et de leurs représentants sont recueillis de l'une des manières suivantes:
• en personne, dans tout bureau ou représentation de la société;
• par l’intermédiaire d’un opérateur postal agréé avec une déclaration de consentement certifiée notariée; ou
• une déclaration de consentement signée par signature électronique qualifiée envoyée par courrier électronique au PDPD.
 
11.5 Collecte des consentements des employés
Les consentements d'anciens etd’actuels employés et de demandeurs d'emploi sont recueillis de l'une des manières suivantes:
• personnellement, dans l'unité de gestion des ressources humaines;
• par courrier électronique pour les employés actuels;
• une déclaration de consentement signée par signature électronique qualifiée envoyée par courrier électronique au PDPD– pour les anciens employés et demandeurs d'emploi; ou
• par l’intermédiaire d’un opérateur postal agréé avec une déclaration de consentement certifiée notariée.
 
11.6 Donner et retirer des consentements en ligne

Lorsqu'il existe un cas dans lequel le consentement à traiter des données à caractère personnel par la Société est requis pour les services fournis par la Société qui seront demandés ou utilisés en ligne, ce consentement doit également être obtenu (respectivement retiré) en ligne, sous réserve de règles distinctes pour cela.
 
11.7. Stockage

Tous les consentements pour le traitement des données personnelles sont enregistrés et stockés par l'Administrateur.
 
12. Traitement de données à caractère personnel par l'Administrateur en utilisant les services d’un tiers
Pour l’exercice de son activité, la Société peut faire appel à des tiers (sous-traitants, représentants commerciaux, prestataires de services, etc.) agissant en son nom pour le traitement de données à caractère personnel et le traitement de données à caractère personnel au sens de l’art. 4, point 8 du Règlement. Ces processeurs peuvent être:
          • des sociétés commerciales;
• des personnes physiques embauchées sur des contrats civils.
Lorsqu'il attribue le traitement des données à caractère personnel à un processeur, l'Administrateur respecte les conditions suivantes:
• la sélection de processeurs offrant des garanties suffisantes pour l'application de mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel;
• les conditions de protection des données à caractère personnel sont définies dans un accord écrit séparé ou dans le contrat écrit principal conclu entre l'Administrateur et le processeur;
Les contrats (respectivement les accords) que l’Administrateur conclut avec les responsables du traitement des données à caractère personnel doivent définir et régler au moins:
• l’objet et la durée du traitement;
• le but et la nature du traitement;
• les catégories des personnes concernées en ce qui concerne les données à traiter;
• le type de données personnelles que le processeur traitera pour le compte de l'Administrateur;
• les droits et obligations de l'Administrateur et du processeur;
• les exigences relatives aux mesures techniques et organisationnelles pour la protection des données à caractère personnel que le responsable du traitement devrait appliquer, en fonction des spécificités et de la portée de la mission spécifique. Nonobstant les dispositions spécifiques prévues dans ces contrats, aucune déviation ou niveau de protection des données à caractère personnel inférieur à celui prévu dans la présente Politique ne sera autorisé;
• l'obligation pour le processeur d'aider l'Administrateur à s'acquitter de ses obligations en vertu de l'art. 31-36 du Règlement;
• une obligation pour le processeur d'avertir l'Administrateur dans les meilleurs délais après qu'il ait eu connaissance de l'existence d'une violation des données à caractère personnel;
• exigences relatives au processeur et d’autres conditions obligatoires conf. à l'art. 28, point 3 du règlement.
 
13. Règlesde réaction en cas de violation de la sécurité des données personnelles
 
13.1. Motif
Les règles pour répondre aux atteintes à la sécurité des données personnelles sontbasées sur les exigences de l'art. 33 et Art. 34 du Règlement.
 
13.2. Constatation de la violation de la sécurité par un employé
S'il y a un cas d'atteinte à la sécurité constatée par un employé de l’Administrateur, l'employé concerné communique immédiatement au PDPD par écrit (si possible –oralement aussi - personnellement ou par téléphone), fournissant tous les détails (d’autant qu’il y ait l’information) sur la nature de l'infraction, la période présumée de survenue/de commission de l’infraction, etc.
 
13.3. Signaux sur la violation de la sécurité déposés par des tiers
Les signaux de violation de la sécurité par des tiers sont recueillis par l'Administrateur de la manière suivante:
• personnellement au bureau de la Société, sis au 102, bd « Kn. MariyaLuiza », gare de  bus « Serdika », 2èmeétage, après l'identification de la personne par un employé de l'Administrateur.
• par e-mail à la PDPD par une signature électronique qualifiée en vertu de la Loi sur le document électronique et les services de certification électronique;
• par la poste en envoyant un signal certifié notarié.
 
13.4. Evaluation de la violation de la sécurité et mesures
La PDPD, sans retard injustifié, forme un comité chargé d'étudier le cas, composé des dirigeants de l'Administrateur possédant les qualifications appropriées, selon le cas. La Commission devrait examiner le contexte factuel pour analyser et évaluer la gravité de l'infraction, en vue du risque pour les droits et les libertés des personnes physiques, le nombre des sujets de données concernés, etc., et propose des mesures appropriées en vue de remédier et où il est impossible - de minimiser les risques identifiés et les conséquences négatives potentielles.
 
13.5. Notification de laCPDCP
S'il y a un cas de violation, l'Administrateur, par l’intermédiaire de la PDPD, informe laCPDCP  dans les 72 heures de la constatation de la violation, sauf si, dans le cas particulier, il n’y a aucune probabilité que laviolation de la sécurité crée un risque pour les droits et libertés des personnes physiques.
 
13.6. Notification des personnes concernées
Lorsque la violation de la sécurité peut conduire à un risque élevé pour les droits et libertés des personnes physiques, l’Administrateur signale la violation des données personnelles des personnes concernées dans les meilleurs délais. La notification du cas à la personne concernée, dans un langage clair et simple, décrit la nature de la violation de la sécurité des données personnelles et indique au moins: le nom et les coordonnées de contact de laPDPD; une description des conséquences possibles de violation des données personnelles; une description des mesures entreprises ou proposées par l'Administrateur pour remédier à la violation de la sécurité des données personnelles, y compris des mesures appropriées pour réduire les effets négatifs éventuels.
 
L'Administrateur a le droit de ne pas communiquer aux sujets des données concernés par l'infraction au cas où :
(i). il a entrepris des mesures anticipées de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données concernées par la violation de la sécurité des données personnelles (par exemple par cryptage); et / ou
(ii). a pris par la suite des mesures pour garantir qu'il n'y aurait aucune probabilité de matérialiser un risque plus élevé pour les droits et libertés des personnes concernées; et / ou
(iii). cette communication impliquerait un effort disproportionné. Dans ce cas, l'Administrateur fait une annonce publique sur son site Web et/ou par la divulgation de façon appropriée par les médias pour une infraction à la sécurité qui peut conduire à un risque élevé pour les droits et libertés des personnes physiques.
 
13.7. Stockage
Toutes les alertes de violation de la sécurité sont enregistrées et stockées par l'Administrateur.

13.8. Formations
Les employés participant au traitement des données à caractère personnel reçoivent une formation périodique pour réagir aux violations des données à caractère personnel.
 
14. Mesures techniques et organisationnelles pour la protection des données personnelles
 
14.1. Mesures techniques et organisationnelles de la Société en tant qu'administrateur

 
Les activités de la société prévoient les mesures techniques et organisationnelles nécessaires pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'accès non autorisé, la modification ou la dissémination, et sont dirigées  contre toute autre forme de traitement illicite.
 
Les types de protection sont physiques, personnels, documentaires, la protection des systèmes d’information automatisés et/ou des réseaux, la protection cryptographique.
Les mesures sont conformes aux dernières avancées technologiques et offrent un niveau de protection correspondant aux risques liés aux activités de traitement et à la catégorie des données protégées.

Les mesures techniques et organisationnelles spécifiques appliquées par la Société sont détaillées dans l’Annexe 1 à la présente Politique et peuvent faire l’objet de mises à jour périodiques.
 
14.2 Mesures techniques et organisationnelles de la Société en tant que processeur
Si la société traite des données à caractère personnel en tant que processeur pour le compte d'autres Administrateurs, les mesures techniques et organisationnelles spécifiques appliquées par la Société en tant que processeur sont définies dans des accords individuels avec l'administrateur concerné. S’il manque une telle désignation, la Société suivra les mesures techniques et organisationnelles qu'elle applique en tant qu'Administrateur.
 
15. Transmission de données à caractère personnel en dehors de l'Espace économique européen (EEE)
 
L'Administrateur peut procéder à une transmission internationale de données provenant de l'Espace économique européen (EEE) lorsque la Commission européenne a reconnu qu'un pays ne faisant pas partie de l'EEE offre un niveau de protection des données adéquat.
Pour les émissions dans les pays hors l’EEE dont le niveau de protection n'est pas reconnu par la Commission européenne, l'Administrateur fera soit référence à une dérogation spécifique applicable à la situation spécifique prévue par le Règlement (par exemple, si la transmission est nécessaire à l'exécution du contrat de la société avec l'entité données), soit il appliquera l’une des garanties prévues par la législation applicable.
Dans d'autres cas, pour le transfert de données à caractère personnel en dehors de l'EEE, cela se fait sur la base du consentement explicite de la personne concernée sur la transmission de données proposée.
En pareils cas, la nécessité d'une telle transmission, le pays de transmission, ainsi que l'absence de décision de la Commission européenne concernant un niveau de protection adéquat pour cet État et les garanties appropriées pour la transmission proposée seront portés à l'attention de l’individu concerné par les données et son consentement sera demandé.