Защита на личните данни (GDPR)

Дата на публикуване: 20.08.2020
Последна актуализация: 26.10.2021

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА „ИЗПЪЛНИТЕЛНА АГЕНЦИЯ ПО РИБАРСТВО И АКВАКУЛТУРИ“ (ИАРА)  

ОБЩИ ПОЛОЖЕНИЯ

Чл.1    
(1)    Във връзка с предоставянето на своите услуги и извършването на своите дейности „Изпълнителна Агенция по Рибарство и Аквакултури“ (ИАРА) обработва като администратор личните данни на заявителите на административни услуги – физически лица, както и личните данни на други физически лица, посочени по-долу („Субекти на данни“), в съответствие с предвидените в тази Политика за защита на личните данни на Администратора („Политика/та“) правила и принципи.
(2)    Седалището и адресът на управление на Администратора са: гр. Бургас 8000 , ул. “Княз Александър Батенберг” 1, ЕИК 000649519, тел.: 056/87 60 60,  факс: 056/87 60 90, електронен пощенски адрес: office@iara.government.bg.

 

ЛИЧНИ ДАННИ

Чл.2    
Личните данни са всяка информация за идентифицирано физическо лице или информация, чрез която едно физическо лице може да бъде идентифицирано.

 

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

Чл.3    
Обработване на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Чл.4    
(1)    Длъжностното лице по защита на данните (ДЛЗД) на Администратора по смисъла на чл. 37-39 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Регламент), е единната точка за контакт за всички Субекти на данни във връзка с упражняването на правата им съгласно тази Политика и приложимото законодателство за защита на личните данни, свързани с обработваните от Администратора техни лични данни. 
(2)    Субектът на данни може да адресира всички свои искания и въпроси, свързани с упражняване на правата му по защита на личните му данни, към посоченото ДЛЗД. 
(3)    Координатите за връзка с ДЗЛД на Администратора са:
Име: Ваня Иванова
Електронен пощенски адрес: dpo@iara.government.bg 
Адрес за кореспонденция: гр. Бургас 8000 , ул. “Княз Александър Батенберг” 1
Телефон за контакт: 056 87 60 81, моб. тел. 0879 497 778

 

ЗАЯВИТЕЛ

Чл.5    
Заявител („Заявител“) по смисъла на тази Политика е всяко лице, използващо предоставяни от Администратора услуги.

 

СУБЕКТИ НА ДАННИТЕ

Чл.6    
Администраторът има право да събира и обработва информация относно следните категории физически лица (Субекти на данни): 
•    Физически лица – настоящи и бивши заявители на административни услуги и техни представители и физически лица представители на юридически лица – заявители на административни услуги;
•    Други лица, различни от посочените по-горе, които влизат в контакт с Администратора или отправят, пряко или непряко, претенции към Администратора. 
 

КАТЕГОРИИ ЛИЧНИ ДАННИ

Чл.7    
Информацията (категориите лични данни), която Администраторът обработва относно Субектите на данните съобразно тази Политика, може да включва: 
Идентификационни данни: имена по документ за самоличност; ЕГН/ЛНЧ; данни за документ за самоличност; адрес (постоянен, настоящ, за кореспонденция); месторождение; възраст; пол; идентификационни данни за осъществяване на достъп до персонални профили в онлайн системи на Администратора (потребителско име; адрес на електронна поща; парола за достъп); IP адреси; 

•    Данни за контакт: телефонни номера; факсове; адреси на електронна поща; физически адреси за кореспонденция; други данни за контакт/ кореспонденция, предоставени от Субекта на данни (включително контакти в Instant Messaging системи и др. под.);

•    Данни, събирани при плащания: номер на дебитна или кредитна карта; номер на банкова сметка и друга банкова информация, използвана при извършване на плащане по банков път или чрез пос-терминално устройство;

•    Информация за здравословното състояние: информация относно здравословното състояние (Експертни решения на ТЕЛК) се удостоверяват на основание чл. 23 ал.2 от ЗРА и чл.10 ал.3 от Наредба № 7 от 21 ноември 2019 г.

•    Информация за подадени жалби и сигнали (вкл. в свободен текст) и за друга кореспонденция с Администратора, включително и информация относно обработването и статуса им и крайния резултат от обработването им;


•    Всякакви други данни, предоставяни от Заявителя във връзка с използваните от тях услуги, предоставяни от Администратора.

 

ПОЛИТИКА ЗА „БИСКВИТКИ“

Чл.8    
Администраторът използва „бисквитки“ при посещение на интернет страницата си с цел подобряване качеството на услугите, статистически цели, и др. под. Това става единствено след изрично съгласие от страна на лицето. “Бисквитките“ позволяват на интернет страницата да запаметява действия и предпочитания (включително, но не само: потребителско име, език, размер на шрифта и други настройки за показване, дата и час на посещение на страницата) за определен период от време, за да не се налага да се въвеждат всеки път, когато лицето посещава страницата или преминава от една страница към друга. Свързаната с „бисквитките“ информация  не се използва за установяване на самоличността на лицата. 
 

ВИДЕОНАБЛЮДЕНИЕ

Чл.9    
(1)    В рамките, допустими от закона, Администраторът извършва видеонаблюдение с цел осигуряване на сигурността на своите клиенти и служители, както и с цел опазване на имуществото си;  
(2)    Администраторът извършва видеонаблюдение само на общодостъпните места, които са обозначени с уведомителни табели;
(3)    Администраторът не извършва видеонаблюдение в санитарно-хигиенни помещения и помещения за отдих на служителите;
(4)    Администраторът предоставя видеозаписи само на компетентни органи, имащи законово право да ги изискват;
(5)    Администраторът съхранява видеозаписи за срок до два месеца в регистър „Видеонаблюдение“ след което се унищожават с придружаващ протокол.  Видеозаписите могат да бъдат съхранявани и използвани и за по-дълъг от посочения срок в случаи на възникване на правни спорове, проверки от компетентни органи и др. под. до окончателното приключване на съответните производства.

 

ФОТО И ВИДЕО ЗАСНЕМАНЕ 

(1)    Администраторът извършва фото и видео заснемане с цел представяне на дейността си. Записите могат да бъдат използвани в печатни издания, телевизионни предавания, интернет и социалните медии единствено и само с изричното писмено съгласие на субекта на данните.
(2)    Администраторът може да използва фото и видео изображения, за които няма съгласие само след анонимизация на субектите на данни.

 

ЦЕЛИ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл.11    
(1)    Администраторът събира, използва и обработва информацията за целите, предвидени в тази Политика, които в зависимост от правното основание за обработването могат да бъдат:
•    Цели, свързани със спазване на законови задължения на Администратора; и/или
•    Цели, свързани с и/или необходими за изпълнението на договорите, сключвани с Администратора или за предприемане на стъпки по искане на Субекта на данните преди сключването на договор; и/или
•    Цели на легитимния интерес на Администратора или на трети лица; 
•    Цели, за които Субектът на данни е дал съгласие за обработване на данните му. 
(2)    Обработване на лични данни от Администратора може да бъде извършвано за едни и същи цели едновременно на повече от едно посочените по-горе правни основания. 

Чл.12    
Целите за обработване на лични данни от Администратора, свързани със спазване на законови задължения, включват: 
•    Дейности по предоставяне на административни услуги, свързани с дейността и функциите на ИАРА; 
•    Предоставяне и удостоверяване на информация, когато такава се изисква от други институции и организации, във връзка с тяхната компетентност и правомощия
•    Дейности по фактуриране, осчетоводяване и отчитане на получени и извършени плащания, съгласно действащото счетоводно и данъчно законодателство
•    Дейности по обработка на жалби и сигнали относно предоставяните услуги;
•    Други дейности по изпълнение на законови задължения на Администратора, свързани с представяне/ отчитане на информация към компетентни държавни и съдебни органи и с оказване на съдействие при проверки от компетентни органи;

Чл.13    
Целите за обработване на лични данни от Администратора, свързани със спазване на договорни задължения, включват: 
•    Администриране и управление на услугите, предоставяни от Администратора; 
•    Дейности по обработване на плащания от страна на лицето
•    Възстановяване на грешно преведени суми;
 
Чл.14    
Целите за обработване на лични данни, необходими за упражняване на легитимните интереси на Администратора или на трети лица включват: 
(1)    упражняване и защита на законните права и интереси на Администратора
(2)    съдействие при упражняване и защита на законните права и интереси на клиенти; на служители на Администратора; на обработващи лични данни от името на Администратора лица и на търговски партньори на Администратора в случаите на:
•    Установяване, упражняване или защита на правни претенции на посочените по-горе лица по т. (1) и т. (2), включително и по съдебен ред, в това число подаване на жалби, сигнали и др. под. към компетентните държавни и съдебни органи;
•    Прехвърляне (цесия) на вземания, дължими към Администратора, към трети лица; 
•    Дейности по администриране и обслужване на постъпили жалби, сигнали, молби и други подобни;

Чл.15    
Целите за обработване на лични данни от Администратора, основаващи се на съгласие от страна на Клиент, включват: 
•    Използване на „бисквитки“ при посещение на интернет страницата на Администратора от страна на лицето
•    Други дейности, за които лицето е дало своето изрично съгласие.


ПЕРИОД НА СЪХРАНЕНИЕ НА ИНФОРМАЦИЯТА

 

Чл.16    
(1)    Администраторът може да обработва и съхранява информация относно Субекта на данни за срок до 20 (двадесет) години след предоставената услуга от страна на Администратора, освен в случаите, когато се изисква по-дълго запазване на съответна информация съобразно изискванията на действащия закон или настоящата Политика. 
(2)    Администраторът, съобразно вътрешните си правила и приложимото законодателство, ще има правото да обработва и съхранява информация относно Субекта на данни в следните срокове:
а)    Личните данни на Субектите на данни, свързани със и/или съдържащи се в документи/ носители на информация, за които са налице нормативно установени срокове за съхранение (счетоводни документи; документи, информация и други записи, свързани с данъчния контрол и др.), ще се съхраняват за сроковете, предвидени в действащото законодателство, освен ако по-долу не е предвиден по-дълъг срок за съхранение за съответните документи/ носители на информация; 
б)    За срок до 5 (пет) години ще се съхраняват личните данни на Субектите на данни, свързани със и/или съдържащи се в документация, отнасяща се до:
•    граждански и административни дела – считано от датата на окончателното приключване на съответните дела; 
•    жалби и сигнали, считано от датата на подаването им.
(3)     Ако по закон или друг нормативен акт (включително, но не само нормативни актове в областта на данъчното и счетоводното законодателство) се изисква съхраняването на съответна информация и/или съответните документи или други носители на информация за по-дълъг срок от посочения в ал. 2, за съхранението им ще се прилага нормативно установеният по-дълъг срок.

 

ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ И ПОСЛЕДИЦИ ПРИ ОТКАЗ ДА СЕ ПРЕДОСТАВЯТ НА АДМИНИСТРАТОРА


Чл.17    
(1)    Администраторът ясно обозначава във всички свои бланки на заявления, искания, декларации и други формуляри (електронни и на хартия) дали посочването/ предоставянето на съответните данни и/или документи е задължително или договорно изискване, или изискване необходимо за сключването на договор.
(2)    При необходимост от допълнителни разяснения всеки Субект на данни може да се обърне към ДЛЗД на Администратора
(3)    Отказът за предоставяне на данни и документи или предоставянето на неверни такива може да доведе до невъзможност за предоставяне на съответните услуги от страна на ИАРА.
(4)    Субектите на данни не следва да предоставят на Администратора специални категории данни по смисъла на чл. 9 и чл. 10 от Регламента (а именно: лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице; и лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност), с изключение на ограничена информация за здравословно състояние (Експертно решение на ТЕЛК), съгласно чл.7 от този документ. 

 

ОБРАБОТВАНЕ НА ИНФОРМАЦИЯ ЗА СУБЕКТА НА ДАННИ ОТ ТРЕТИ ЛИЦА – ОБРАБОТВАЩИ ЛИЧНИ ДАННИ 

Чл.18    
(1)    За целите, посочени в тази Политика, Администраторът може да превъзлага дейности по обработване на личните данни на Субектите на данни на трети лица – обработващи лични данни, съобразно и в рамките на изискванията на Регламента и другите приложими правила за защита на личните данни. 
(2)    Когато лични данни относно Субекти на данни се разкриват на и обработват от обработващи личните данни, това ще става само до степен и в обем, който е необходим за извършването на възложените им от Администратора задачи. 
(3)    Обработващите лични данни действат от името на Администратора и са задължени да обработват личните данни само и единствено при стриктно спазване инструкциите на Администратора като няма да имат право да използват или да обработват по какъвто и да е друг начин информация относно Субектите на данни за други цели освен за целите, посочени в тази Политика.

 

ДРУГИ ИЗТОЧНИЦИ НА ЛИЧНИ ДАННИ

Чл.19    
В някои случаи личните данни, обработвани от Администратора, не се събират или получават директно от Субекта на данните, за когото се отнасят, а от трети лица като:
•    Физически лица или представители на физически или юридически лица, различни от Субекта на данните; 
•    Интернет сайтове.

 

КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

Чл.20    
Администраторът се задължава да не разкрива лични данни относно Субекта на данни, за заявените или ползваните от Субекта на данни услуги, и да не предоставя събраната информация на трети лица, освен в случаите когато:
(1)    това е необходимо за изпълнение на законово задължение на Администратора към компетентни държавни и общински органи; 
(2)    това е изрично предвидено в Политиката:
•    обработващи личните данни лица; 
•    получатели на прехвърлени от Администратора вземания (цесионери);
•    подизпълнители при предоставянето на услугите на Администратора; 
(3)    това е необходимо, за да бъде възможно предоставена желаната услуга
•    други Държавни органи или администрации; 
(4)    Субектът на данни е дал изричното си съгласие:
•    други лица, изрично предвидени в съответното съгласие. 
(5)    За защита на правата или законните интереси на Администратора, на трети лица или на Субекта на данни:
•    Държавни и съдебни органи;
•    Частни и държавни съдебни изпълнители; 
•    Адвокати; 
•    Одитори и счетоводители (счетоводни къщи);
•    Нотариуси;
•    Вещи лица и др. под. 
(6)    В други предвидени в закона случаи. 
 

ПРАВА ПО ОТНОШЕНИЕ НА ЛИЧНИТЕ ДАННИ

Чл.21    
Във връзка с обработването на личните данни, свързани с него, всеки Субект на данни разполага със следните права, предоставени му от Регламента:
(1)    Право на информация – да получи информация относно извършваното обработване на личните му данни от Администратора;
(2)    Право на достъп: 
•    да получи потвърждение дали се обработват лични данни, свързани с него; 
•    да получи достъп до обработваните лични данни и до детайлната информация относно обработването и правата му съобразно Регламента. 
(3)    Правото на коригиране – да изисква коригирането или попълването на личните му данни, ако същите са неточни или непълни;
(4)    Правото на изтриване – да изисква изтриването на личните му данни, ако са налице основанията за това, предвидени в Регламента;
(5)    Право на ограничаване на обработването на личните данни – да изисква от Администратора ограничаване на обработването на личните му данни в рамките на предвиденото в Регламента, ако са налице основанията за това, предвидени в същия;
(6)    Уведомяване на трети лица – право да изисква от Администратора да уведоми третите лица, на които са били разкрити личните му данни за всяко извършено коригиране, изтриване или ограничаване на обработването на личните му данни, освен ако това е невъзможно или изисква несъразмерно големи усилия от Администратора;
(7)    Право на преносимост на данните – да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат, и да прехвърли тези данни на друг администратор без възпрепятстване от Администратора. Правото на преносимост на данните се прилага, когато са изпълнени едновременно следните две условия: 
•    обработването е основано на съгласие или на договорно задължение; и 
•    обработването се извършва по автоматизиран начин.
Ако е технически осъществимо Субектът на данни има право да получи пряко прехвърляне на личните данни от Администратора към друг администратор. Правото на преносимост на данните може да бъде упражнено по начин, по който не влияе неблагоприятно върху правата и свободите на други лица. 
(8)    Права при автоматизирано вземане на индивидуални решения, включително профилиране – да не бъде обект на автоматизирано решение, основаващо се единствено на автоматизирано обработване (т.е. обработване без човешка намеса), включително профилиране по смисъла на Регламента, което поражда правни последствия за Субекта на данни или по подобен начин го засяга в значителна степен, освен ако не са налице предвидените в Регламента основания за това и са предвидени подходящи гаранции за защита правата и свободите и легитимните интереси на Субекта на данни. Такива гаранции са най-малко правото на човешка намеса от страна на Администратора, правото на Субекта на данни да изрази гледната си точка и да оспори решението. 
Ако такова решение, включително профилиране, бъде вземано спрямо Субекта на данни, за всеки конкретен случай Субектът на данни има правото и ще получи от Администратора отделно съществена информация относно използваната логика, значението и предвидените последствия от това обработване за него, както и за начина на упражняване на правата по тази точка.
(9)    Право на оттегляне на съгласието за обработване –когато обработването на личните данни се основава единствено на дадено от Субекта на данни съгласие, същият може да оттегли съгласието си по всяко време. Такова оттегляне не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му.

 

ПРАВО НА ВЪЗРАЖЕНИЕ

Чл.22    
(1)    Субектът на данни има по всяко време и на основания, свързани с неговата конкретна ситуация, право да възрази срещу обработването на лични данни, отнасящи се до него, включително срещу профилиране по смисъла на Регламента, което се основава на обществен интерес, упражняване на официални правомощия или на легитимните интереси на Администратора или на трета страна. 
(2)    В тези случаи Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на Субекта на данни, или за установяването, упражняването или защитата на правни претенции. 

Чл.23    
(1)    Субектът на данните може да упражни правата си, свързани със защита на личните данни като отправи съответно писмено искане към ДЛЗД на Администратора – подадено лично от Субекта или чрез нотариално заверено искане, изпратено по пощата. 
(2)    Искането по ал. 1 може да бъде упражнено и по електронен път, като за целта същото трябва да е подписано от Субекта на данни с квалифициран електронен подпис по смисъла на Закона за електронния документ и електронните удостоверителни услуги и  чл. 3, т. 12 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО, и да се изпрати до ДЛЗД на Администратора на адреса на електронна поща, посочен в чл. 4, ал. 3 от тази Политика. 
(3)    Субектът на данните може да упражнява правата, свързани с личните му данни, лично или чрез изрично упълномощено от него лице (с нотариално заверено пълномощно). 

 

ПРАВО НА ЖАЛБА 

Чл.24    
Всеки Субект на данни има право да подаде жалба до надзорен орган по защита на личните данни, по-специално в държавата членка (на ЕС/ЕИП) на обичайното си местопребиваване, мястото си на работа или мястото на предполагаемото нарушение, ако счита, че обработването на лични му данни нарушава разпоредбите на Регламента или на други приложими изисквания за защита на личните данни. Субектът на данни може да подаде жалба до:
Комисия за защита на личните данни, която е надзорен орган в Република България:
Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Интернет страница: https://www.cpdp.bg/

 

ОГРАНИЧЕНИЯ НА ПРАВАТА

Чл.25    
Обхватът на правата на Субектите на данни и на задълженията на Администратора във връзка с тези права може да бъде ограничен чрез законодателна мярка от правото на ЕС или на държава членка, което се прилага спрямо „Изпълнителна Агенция по Рибарство и Аквакултури“ (ИАРА).

 

РАЗЯСНЕНИЯ И ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Чл.26    
Субектът на данните може да получи разяснения относно съдържанието, основанията за възникване, начина на упражняване на правата си по тази Политика, както и всякаква допълнителна информация във връзка с правата си при обработването на лични данни от Администратора от посоченото лице в чл. 4.