Политика на поверителност

Your review 5 from 2 voteа

"ТУРИСТ СЕРВИЗ ХОЛДИНГ" АД

 

ПОЛИТИКА ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

TOURIST SERVICE HOLDING AD

 

 

COMPANY POLICY FOR PERSONAL DATA PROCESSING

Уважаеми дами и господа,

 

Моля, прочетете внимателно настоящата информация, за да научите подробности за начина на обработка на личните Ви данни в качеството Ви на потенциален служител, служител, потенциален клиент, клиент, потенциален доставчик, доставчик или друго заинтересовано лице.

 

Настоящата Политика може да бъде изменяна периодично. Измененията ще влязат в сила при обявяване на актуалната Политика в офисите на Дружеството и/или на Интернет страницата: www.tourist-service.com

 

Dear ladies and gentlemen,

 

Please read this information carefully to learn about how your personal data is processed as a potential employee, employee, potential client, client, potential contractor, contractor or other interested party.

 

 

 

 

This Policy may be amended from time to time. Amendments will take effect upon the announcement of the updated Policy at the Company’s offices and/or at the Internet site: www.tourist-service.com

1. Дружеството

1. The Company

Турист сервиз холдинг АД е дружество, учредено съгласно законите на Република България, регистрирано в търговския регистър при Агенция по вписванията под Единен идентификационен код (ЕИК) 121166204 със седалище и адрес на управление в гр. София, бул. Братя Бъкстон, бл.14, ет.6, ап.28 (наричано по-нататък „Дружеството“).

 

Tourist service holding AD is a company incorporated under the laws of the Republic of Bulgaria, registered in the Commercial Register of the Registry Agency under the Unified Identification Code (UIC) 121166204 with headquarters and registered office in Sofia, Bratiya Buxton blvd., bl.14, entrance B, floor 6, ap.28, (hereinafter referred to as "the Company").

2. Данни за контакт

2. Contact details

Ако имате въпроси или искания, свързани с обработката на личните Ви данни, моля свържете се с нас на: e-mail internet@tourist-service.com или телефон +35929310062

 

If you have questions or inquiries relating to the processing of your personal data, please contact us at: internet@tourist-service.com or telephone +35929310062

 

3. Видове обработвани лични данни

 

3. Types of processed personal data

 

Дружеството може да обработва различни видове лични данни, свързани с физическата идентичност, социалната идентичност или икономическата идентичност на субектите на данни. Данните могат да бъдат получени от субекта на данни, от трети страни или могат да бъдат създадени от Дружеството по време на отношенията със субекта на личните данни.

 

The company may process different types of personal data related to the physical identity, social identity or economic identity of the data subjects. Data may be obtained from the data subject, from third parties, or may be created by the Company during the relationship with the data subject.

3.1. Дружеството може да обработва различни типове данни в зависимост от целта на обработката, например:

а. за да ви идентифицира: име, ЕГН, адрес, а в някои случаи и пълни данни от документ за самоличност (например за целите на договори и документи, които изискват нотариална заверка, за хотелска или друга туристическа резервация или с цел предоставяне на документи и информация на официалните власти), IP адрес на компютър, мас адрес на мобилен телефон;

б. за да се свърже с Вас: телефонен номер, имейл, пощенски адрес, а в някои случаи (например за целите на търговските взаимоотношения) и месторабота и длъжност.

в. за целите на обработка и контрол на плащания - банкова сметка и/или банкова карта.

г. за целите на изпълнение на законови задължения (например по Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закон за пощенските услуги и др.): освен горните лични данни Дружеството обработва и допълнителна информация за своите служители (в т.ч. и кандидати за работа) като например:  образование, квалификация, правоспособност, трудов стаж, данни за заболявания (само за служителите) и др.

д. за целите на управление на човешките ресурси.

 

3.1. The company could process different types of data depending on the purpose of the processing, for example:

 

a. to identify you: name, EGN, address and, in some cases, full details of an identity document (for example, for purposes of contracts and documents requiring a notary certification, for hotel or other tourist reservation or for providing documents and information, required by official authorities), IP address of computer, mac address of mobile phone;

 

b. to contact you: phone number, email, postal address and in some cases (for example for the purposes of the commercial relations) also place of work and position.

 

c. for the purpose of processing and controlling payments - a bank account and/or bank card.

d. for the purpose of exercising legal obligation (for example under the Labor Code, the Social Security Code, the Accountancy Act, Postal Services Act etc.): in addition to the above personal data, the Company also processes additional information about its employees (including candidates for work) such as: education, qualifications, competency, length of service, data for different sickness (employees only), etc.

e. for the purpose of human resources management.

 

 

3.2. Публични данни и данни, получени от трети страни

Дружеството понякога обработва публични данни, като информация, която е обект на задължение за разкриване, например ако сте назначен за управител или пълномощник на дружество или ако притежавате дружество. Дружеството може да получава също лични данни чрез трети лица, например чрез официални регистри, които носят отговорност за събирането на тази информация.

 

3.2. Public data and data received from third parties

The company sometimes processes public data as information that is subject to a disclosure obligation, for example, if you are appointed as a manager or a proxy of a company or if you own a company. The company may also receive personal data through third parties, for example through official registers, which are responsible for collecting this information.

3.3. Изображения от охранителни камери/видео наблюдение

Дружеството може да използва видео наблюдение в и около своите обекти. Ако има видеонаблюдение, това е посочено изрично с подходящ знак и/или надпис. Записите от видеонаблюдението, се съхраняват за максимум два месеца. По изключение, в случай на инцидент или престъпление, изображенията могат да се съхраняват по-дълго, за да подпомогнат разследването от страна на компетентните органи.

 

3.3. Images of security cameras/ video surveillance

The company can use video surveillance in and around its facilities. If there is a video surveillance, this is explicitly indicated with an appropriate sign and/or inscription. Video surveillance records are stored for a maximum of two months. Exceptionally, in the event of an incident or crime, the images may be stored longer to support the investigation by the competent authorities.

4. Цели на обработката на лични данни

4. Purposes of the personal data processing

Личните данни, събирани от Дружеството, могат да бъдат обработвани за различни цели и на различни законни основания, както следва:

 

4.1. Цели, при които обработването на лични данни е необходимо за спазването на правни задължения:

a. Отчитане пред регулаторни и правителствени органи - например, за данъчни цели въз основа на изискванията на Закона за счетоводството, за митнически цели, за целите на граничен контрол и др.

 

Personal data collected by the Company may be processed for different purposes and on different legitimate grounds as follows:

 

 

4.1. Purposes under which the processing of personal data is necessary for the fulfillment of legal obligations:

 

a. Reporting to regulatory and government bodies - for example, for tax purposes based on the requirements of the Accountancy Act, for customs purposes, for the purposes of border control etc.

4.2. Цели, при които обработването на лични данни е необходимо за изпълнението на договор:

a. Сключване, изменение или прекратяване на договори и изпълнение на договорни задължения от страна на Дружеството - например трудови договори, договори за услуги, договори за покупко-продажба на стоки, договори за наем, извършване на резервации на туристически услуги и продажба на туристически пакети, продажба на автобусни булети, куриерски услуги и др.

 

4.2. Purposes under which the processing of personal data is necessary for the performance of a contract:

 

a. Conclusion, amendment or termination of contracts and performance of contractual obligations by the Company - for example, employment contracts, service contracts, contracts for purchase and sale of goods, rent contracts, making reservations of tourist services and sale of tourist packages, sale of bus tickets, courier services etc..

4.3. Цели, при които обработката на лични данни се основава на съгласието на субекта на личните данни:

a. Директен маркетинг на продукти, предлагани от Дружеството чрез електронна поща, SMS, телефон, онлайн канали.

б. Индивидуален/ персонализиран директен маркетинг и сегментиране (профилиране) с търговски цели, включително използване на „Бисквитки/кукита (cookies): Създаване на профили на клиенти с цел предоставяне на нови, по-добри услуги и продукти, като се отчитат индивидуалните потребности на клиентите.

в. Предпазване от и разследване на инциденти и криминални актове (относно обработването на лични данни при видео наблюдение). В този случай субектите на данни, попаднали в обхвата на видео наблюдението биват информирани чрез информационни табели и знаци.

 

4.3. Purposes under which the processing of personal data is based on the consent of the data subject:

 

a. Direct marketing of products offered by the Company via e-mail, SMS, telephone, online channels.

 

b. Individual/customized direct marketing and segmentation (profiling), including use of cookies: Creating customer profiles to provide new, better services and products, taking into account the individual needs of customers.

 

 

 

c. Prevention and investigation of incidents and criminal acts (concerning the processing of personal data collected by video surveillance). In this case the  subjects falling in the scope of the video surveillance are informed by means of information signboards and signs.

4.4. Цели, при които обработването на лични данни се основава на легитимен интерес на администратора:

a. Изпращане на съобщения за продукти и услуги - Дружеството обработва лични данни, за да изпраща съобщения за продуктите и услугите, използвани от даден клиент чрез обаждания, имейли, SMS, писма и др. Съобщенията се отнасят само до вече използваните от клиента продукти и услуги; съобщенията не преследват маркетингови цели, нито съдържат нови оферти за услуги.

б. Спорове - Създаване, упражняване или защита на права на Дружеството - Дружеството ще обработва данните на служителите, клиентите и доставчиците си, за да защитава правата си при съдебни процедури, при уреждане на искове с помощта на правни консултанти и др.

в. Вътрешна отчетност, организация на работния процес, анализ и развитие на предлаганите продукти и услуги.

 

4.4. Purposes under which the processing of personal data is based on the legitimate interest of the controller:

 

a. Sending messages about products and services - The company processes personal data to send messages about products and services used by a customer through calls, emails, SMS, letters, and others. Messages refer only to products and services already used by the customer; messages do not pursue marketing goals nor contain new service offerings.

 

c. Disputes - Creation, exercise, or protection of Company rights - the Company will process employee, customers and suppliers data to defend its rights in court proceedings, settling claims with the help of legal counselors etc.

 

c. Internal reporting, organization of the work process, analysis and development of products and services offered.

5. Получатели на лични данни

5. Recipients of personal data

Личните данни се обработват предимно от служители на Дружеството в минимален обем, който е необходим за изпълнение на задълженията им. Обработката на лични данни може да се извършва и от други лица във връзка с услугите, предоставяни на Дружеството въз основа на договор за обработка на лични данни, сключен с Дружеството.

a. Получателите на лични данни, на които Дружеството може да предава лични данни, включват:

КЗЛД (Комисия за защита на личните данни)

КЗП (Комисия за защита на потребителите)

Инспенция по труда

НОИ

НАП

Агенция Митници

Органи на МВР и на съдебната власт

Други длъжностни лица

Застрахователни дружества

Охранителни дружества

Служба по трудова медицина

Трети лица, като например счетоводни или правни консултанти

Свързани с Дружеството лица

Куриерски дружества

Дружества предоставящи IT услуги (например поддържащи резервационната система или Интернет хот-спот услугата в автобусите)

б. Лицата, на които се предават лични данни за обработка са физически или юридически лица, публични органи, агенции или всеки друг компетентен орган.

в. Получатели извън Европейското икономическо пространство (ЕИП)

Някои от посочените по-горе получатели могат да бъдат разположени извън ЕИП. Дружеството ще предава лични данни до държави извън ЕИП (трети страни), само ако са налице необходимите предпазни мерки за защита на личните данни съгласно местното и европейското законодателство и предоставените лични данни са адекватно защитени в съответната трета държава.

 

Personal data are processed primarily by employees of the Company in the minimum volume required to perform their duties. The processing of personal data may also be carried out by other persons in connection with the services provided to the Company on the basis of a contract for the processing of personal data concluded with the Company.

a. Recipients of personal data to which the Company may transmit personal data include:

CPDP (Personal Data Protection Commission)

CPC (Consumer Protection Commission)

Labor Incapacity

NSSI (social security authorities)

NRA (tax authorities)

Customs Agency

Policy and judicial authorities

Other officials

Insurance companies

Security companies

Occupational health service

Third persons, such as accountants or legal counselors

A parties linked to the Company

Courier companies

IT service providers (for example those maintaining the reservation system or Internet hot-spot in the buses)

 

 

b. Persons to whom personal data are processed are individuals or legal entities, public authorities, agencies or any other competent authority.

 

c. Recipients outside the European Economic Area (EEA)

Some of the recipients listed above may be located outside the EEA. The company will only transmit personal data to non-EEA countries (third countries) if the necessary personal data protection measures are in place under local and European law and the personal data provided are adequately protected in the third country concerned.

6. Продължителност на съхраняването на лични данни

6. Personal data storage time limit

Дружеството съхранява личните данни на субектите на данни в съответствие със законоустановените срокове за съхранение, а когато няма такива, личните данни ще бъдат изтрити в срок до пет (5) години след прекратяване на отношенията със субекта на данните, освен ако с цел защитата на и от правни претенции налага по-дълъг срок за обработване, с оглед изтичане на определените от закона давностни срокове.

The company shall keep the personal data of the data subjects in accordance with the statutory retention periods, and when there are no such, the personal data will be erased within up to five (5) years after termination of the relations with the data subject, unless a longer period for processing is required for the purpose of protection of and from legal claims considering the statutory limitation periods for such claims.

 

7. Права на Субектите на данни

7. Rights of data subjects

 

Всички субекти на лични данни имат следните права и могат да упражняват което и да е от тях по своя преценка и при наличието на съответните законови предпостaвки:

All data subjects have the following rights and may exercise any of them at their discretion and in the presence of the appropriate legal conditions:

a. Право на достъп – По искане на Субекта на данни Дружеството предоставя информация за категориите лични данни свързани с него, които се събират и обработват, както и информация за целите на обработката, получателите или категориите получатели, на които данните се разкриват и източниците на тези данни.

a. Right of access - At a request of the data subject, the Company shall provide information about the categories of personal data concerning him/her that are collected and processed, as well as information for the purposes of the processing, recipients or categories of recipients to whom the data have been or could be disclosed and the sources of this data .

б. Право на коригиране, изтриване и ограничаване на обработването в случаите, в които обработването не съответства на разпоредбите на законодателството – По искане на Субекта на данните, Дружеството ще коригира (например, когато данните са неточни или непълни), изтрие (например, когато данните не са необходими повече за целите,  за които са били обработвани или субектът на данните оттегля своето съгласие) или ограничи обработването на лични данни (например ако точността на личните данни се оспорва за срока на проверка на точността или дружеството не се нуждае повече от тях, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции или субектът на данните е възразил срещу обработването - докато тече съответната проверка). Дружеството няма да изтрие личните данни ако същите са необходими за спазване на правно задължение, за изпълнение на задача от обществен интерес или в други предвидени от закона случаи.

 

b. Right to correct, erase, and restrict processing in cases where the processing does not comply with the legislation - At the request of the data subject, the Company will rectify (for example, when the data are inaccurate or incomplete), erase (for example, when data are no longer necessary for the purposes for which they were processed or the data subject withdraws their consent) or restricts the processing of personal data (for example, if the accuracy of the personal data is contested for the duration of the verification of the accuracy or the Company no longer needs the data, but the data subject requires them for the establishment, exercise or defense of legal claims or the data subject has objected to processing - while the respective verification is in process). The company will not erase the personal data if it is necessary to comply with a legal obligation, to carry out a task of public interest or in other cases provided by law.

в. Право на преносимост на данни – Субектът на данни има право да получи личните си данни, които е предоставил на Дружеството, в общодостъпен, структуриран и машинно четим формат и има право да прехвърля тези данни на друг Администратор, когато обработката на лични данни се основава на съгласие или договорно задължение и обработката на лични данни се извършва по автоматизиран начин.

 

c. Right to data portability - The data subject shall have the right to receive the personal data he/she has provided to the Company in a structured commonly used and machine-readable format and have the right to transmit those data to another controller when the processing of personal data is based on consent or contractual obligation and the processing of personal data is done in an automated means.

г. Право на възражение – Субектът на данни има право да подаде възражение срещу обработването на личните му данни, когато:

- обработването на лични данни се основава на изпълнение на задача от обществен интерес или на легитимния интерес на администратора. В този случай, след като разгледа възражението Дружеството прекратява обработването на личните данни на физическото лице освен ако не са налице законни основания Дружеството да продължи обработването (например за целите на установяването, упражняването или защитата на правни претенции. Ако продължи обработването на личните данни, Дружеството ще информира Субекта на данните, който е подал възражението, за да му изясни причините на Дружеството да продължи обработката на личните му данни.

- обработването на личните данни е за целите на директния маркетинг, в т.ч. и профилиране за целите на директния маркетинг;

d. Right to object - The data subject shall have the right to object to the processing of his or her personal data when:

 

- the processing of personal data is based on the performance of a task of public interest or of the legitimate interest of the controller. In this case, after examining the objection, the Company shall discontinue the processing of the personal data of the person unless there are legitimate reasons for the Company to continue processing (for example, for the purpose of establishing, exercising or protecting legal claims.) If the processing of personal data continues, the Company shall inform the data subject who filed the objection to clarify the reasons for the Company to continue processing its personal data.

 

 

 

 

- the processing of personal data is for direct marketing purposes, incl. profiling for the purposes of direct marketing;

е. Право на подаване на жалба в Комисията за защита на личните данни (КЗЛД) - Субектът на данни има право да подаде жалба до Комисията за защита на личните данни (КЗЛД) срещу незаконосъобразни действия на Дружеството във връзка с обработване на неговите лични данни (www.cpdp.bg, тел. 02/9153555, София 1592, бул. „Проф. Цветан Лазаров” № 2).

 

e. Right to file a complaint with the Commission for the Protection of Personal Data (CPDP) - The data subject has the right to file a complaint with the Commission for the Protection of Personal Data (CPDP) against unlawful actions of the Company in relation to the processing of his/her personal data (www.cpdp.bg, tel. 02/9153555, Sofia 1592, 2, Prof. Tsvetan Lazarov Blvd.).

Дружеството може да разработва и публикува по-подробни политики за защита на различните данни относно някоя или всяка от извършваните специфични дейности.

The Company may develop and publish more detailed data protection policies for some or any of the performed specific activities.

 

 

София/Sofia                                                    подпис/ signature

                                                                   /Изп. директор/ CEO/