ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ОБРАБОТВАНИ ОТ„ДУНАВ ТУРС КРУИЗИС” ЕАД

„ДУНАВ ТУРС КРУИЗИС” ЕАД /Дунав турс круизис или Администраторът/

• търговски дружество, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК: 204381141, със седалище и адрес на управление: гр. Русе,

ул. „Олимпи Панов“ № 5, тел.: +359 82 82 50 51; e-mail: office@dunavtours.bg и

Интернет страница: https://www.dunavtours.bg/ .

„Дунав турс круизис” ЕАД извършва дейност по експлоатация, опериране и поддържане на пътнически кораби; организация и провеждане на речни круизни пътувания и свързаните с това дейности, като: транспорт на пътници, хотелиерство и ресторантьорство, продажба на стоки от внос и местно производство, туроператорска и тур-агентска дейност, подбор и обучение на персонал, ангажиран с дейността на дружеството, както и всяка друга дейност, незабранена от закона.

„Дунав турс круизис” ЕАД е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ, L119/1 от 4 май 2016 г.) и Закон за защита на личните данни.

• качеството на администратор и на основание чл. 37, параграф 1, буква „б“ и „в“, субектите могат да се обръщат към определеното длъжностно лице за защитата на данните на: dpo@uniongroup.bg , както и на следния адрес: гр. София, бул. Тотлебен № 30-32.

І. ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА

Чл. 1. Настоящата Политиката за поверителност и защита на личните данни цели постигането на прозрачност и лесно достъпна информация за субектите на данни, чиито лични данни се обработват от Дунав турс круизис. Администраторът отчита неприкосновеността на личността и естеството на обработваните при него лични данни, като полага усилия за тяхната защита срещу неправомерно обработване и предприема в съответствие със законодателството и добрите практики технически и организационни мерки за тяхната защита.

Чл. 2. С настоящата Политиката за поверителност и защита на личните данни „Дунав турс круизис” цели да информира субектите на данни за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данни, както и последиците от отказ за предоставянето им, информация за правата и начина за тяхното реализиране, съгласно изискванията на чл. 13 и чл. 14 от Общия регламент за защитата на данните.

ІІ. ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ Чл. 3. По смисъла на настоящата Политика:

1. Лични данни е всяка информация,свързана с идентифициранофизическо лице или физическо лице, което може да бъде идентифицирано /“субект на данни“; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, регистрационен номер, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

• Обработване на лични данни е всяка операция или съвкупност отоперации, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

• Съгласие на субекта на данните означава всяко свободно изразено,конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

• Администратор на лични данни е физическо или юридическо лице,публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;

• Обработващ лични данни е физическо или юридическо лице,публиченорган, агенция или друга структура, която обработва лични данни от името на Дунав турс круизис.

• Получател е физическо или юридическо лице,публичен орган,агенцияили друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не, където трета страна се явява администратор или обработващ лични данни и лица, които под пряко ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

• Данни за здравословно състояние са личните данни,свързани сфизическото и психическото здраве на физическото лице.

ІІІ. ЛИЧНИ ДАННИ ОБРАБОТВАНИ ОТ „ДУНАВ ТУРС КРУИЗИС”

Чл. 4. (1) „Дунав турс круизис” като администратор на лични данни, обработва категории лични данни, структурирани в регистъри, поддържани при длъжностно лице за защитата на данните в съответствие с изискванията на Общия регламент за защитата на данните.

• „Дунав турс круизис” обработва лични данни, предоставени от физическите лица, за които се отнасят данните във връзка и с цел предоставяне на услуги по организация и провеждане на речни круизни пътувания и свързаните с това дейности, като: транспорт на пътници, хотелиерство и ресторантьорство, както и туроператорска и тур-агентска дейност, както и управление на човешкия ресурс, в това число подбор и обучение на персонал, ангажиран с дейността на дружеството.

• „Дунав турс круизис” обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице основно при условията на организиране на услугата, в качеството на съвместен администратор.

• При всички случаи по ал. 3, лицето, предоставило тези данни на Администратора уведомява субектите на данни за:

1. координатите за администратора – „Дунав турс круизис” и неговото длъжностно лице по защита на данните;

• общите цели и основанията, категориите предоставени данни и категориите получатели на тези данни, в това число „Дунав турс круизис“ в качеството на получател, както и срока и/или критериите за определяне на срока за съхранение;

• правото на достъп, на коригиране или изтриване, правото на ограничаване, правото на възражение и правото на преносимост на неговите лични данни.

• правото на жалба до надзорен орган;
• източника на данните;

• правото да оттегли своето съгласие, ако данните се обработват на основание съгласие на субекта на данни.

Чл. 5. При обработка на данни за непълнолетен и/или лице, с поставени

ограничения спрямо упражняването на неговите права /например: при условия за настойничество/, данните се събират при правилата за легитимно представителство, в зависимост от случая.

Чл. 6 (1) Диференцирани от конкретната цел, примери за категории лични данни, които се обработват от „Дунав турс круизис” са данни свързани с:

1. физическата идентичност – име, ЕГН, паспортни данни, адрес, телефон, е-mail, и други като визуална идентичност;

• социална идентичност – гражданство
• лични данни, които се отнасят до здравето

• За целите на управлението на човешкия ресурс могат да се обработват като допълнение към данните по ал. 1 и следните категории данни:
• културна идентичност –  хоби и други предоставени по преценка на субекта;

• социална идентичност – образование, трудова дейност, месторабота, професия/ длъжност;

• семейна идентичност – семейно положение, родствени връзки, когато е налице изискване за установяване на конфликт на интереси;

• Други, предоставени по преценка на субекта на данни.

Чл. 7. При определяне на личните данни в различните категории, Администраторът се води от принципа на “необходимо да се знае” за конкретната цел, за която ги събира.

ІV. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 8. Като администратор на лични данни, „Дунав турс круизис” обработва лични данни чрез съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване и унищожаване, при спазване на следните принципи :

1. законосъобразност, добросъвестност и прозрачност;
2. целесъобразност на обработката на лични данни;
3. пропорционалност и свеждане на данните до минимум;
4. точност/ актуалност на обработваните лични данни;
5. ограничение на съхранението;
6. цялостност и поверителност на обработваните лични данни.

Чл. 9. Администраторът обработва личните данни самостоятелно или чрез възлагане на обработващи данните, като определя целите и обемът на задълженията, възложени от администратора на обработващия данните, при наличие на релевантно правно основание, съгласно изискванията на Общия регламент за защитата на данните.

Чл. 10. „Дунав турс круизис“ обработва лични данни и с други администратори при условията на съвместно администраторство. За тези случаи, „Дунав турс круизис“ е оповестило и предоставило на разположение на субектите на данни настоящата политика, съставляваща информацията по чл. 13 и чл. 14 от Общия регламент за защитата на данните, на интернет страницата на Администратора: https://www.dunavtours.bg/ , като осигурява възможност за достъп до същата на субектите на данни в момента на първия техен контакт със служители на „Дунав турс круизис“.

V. ЦЕЛ НА ОБРАБОТКА НА ЛИЧНИ ДАННИ

Чл. 11 (1) Целта на обработка на лични данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи клиенти на „Дунав турс круизис” с цел осъществяване предмета на дейност на дружеството, а именно: експлоатация, опериране и поддържане на пътнически кораби; организация и провеждане на речни круизни пътувания и свързаните с това дейности, като: транспорт на пътници, хотелиерство и ресторантьорство, продажба на стоки от внос и местно производство, туроператорска и турагентска дейност, подбор и обучение на персонал, ангажиран с дейността на дружеството, както и всяка друга дейност, незабранена от закона.

• Администраторът обработва лични данни и за целите на финансово-счетоводната дейност, пенсионна, здравна и социално-осигурителна дейност, дейността по управление на човешките ресурси, както и за целите на прилагане на митническите и пропускателни режими, свързани със спецификата на дейността на „Дунав турс круизис“.

Чл. 12 (1) Обработката на данни е най-често на основание изпълнение на договор,по който субектът на данни е страна,или за предприемане на стъпкипо искане на субекта на данните преди сключването на договор.

• Администраторът обработва лични данни, в това число разкрива такива и при изпълнение на нормативно установени задължения на администратора на лични данни, произтичащи от спецификата на изискванията на относимото законодателство

• Администраторът може да обработва лични данни и на друго легитимно основание, в това число съгласие на субекта на данните, като предприема необходимите мерки за прилагане на всички принципи свързани с обработването на лични данни.

• Администраторът няма автоматично вземане на решения, в това число не извършва профилиране по смисъла на чл. 22 от Общия регламент за защитата на данните.

Чл. 13. Когато личните данни се обработват за други цели, различни от посочените в настоящата политика, извън случаите на налично съгласие или нормативно установено основание, Администраторът следва да се увери, че обработването за други цели е съвместимо с първоначалната цел, като взема под внимание:

1. Връзките между целите;
2. Контекста/ основанието, на което са били събрани личните данни;
3. Естеството/ характера на данните;

• Възможни последствие от предвиденото по-нататъшно обработване за субекта на данните;

• Наличие на подходящи гаранции.

Чл. 14. В зависимост от конкретната услуга, „Дунав турс круизис“ обработва личните данни на субектите – потребители на услугата организация и провеждане на речни круизни пътувания и свързаните с това дейности, като: транспорт на пътници, хотелиерство и ресторантьорство при условията на основанията, съгласно чл. 9, параграф 2 от Общия регламент за защитата на данните, но основно за целите на превантивни мерки с оглед здравето на субектите на данни, като: установени алергии на субекта, с цел здравословно и съответстващо изхранване; инвалидност на потребителя на услугата, с цел адекватна хотелиерска услуга, като настаняване в достъпна среда, необходимост от придружител и други подобни.

VІ. СРОК ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Чл. 15 (1) „Дунав турс круизис“ обработва лични данни диференцирано, като в общия случай прилага нормативно определения давностен срок от 5 години, като в случаите на обработка на лични данни, част от счетоводна и данъчна документация по Закон за счетоводството и Данъчно-осигурителния и процесуален кодекс прилага следните диференцирани срокове:

1. лични данни, част от документи, свързани с ведомости за заплати се обработват 50 години в съответствие със Закона за счетоводството;

• лични данни, част от счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

• всички останали носители на счетоводна информация – три години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.

• лични данни, част от документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;

• всички други документи – 5 години.

• При определяне на сроковете по ал. 1 за критерии се ползват установените добри практики в сферата на дейност на Администратора, изискванията на относимите законодателства, както и обичайте при речното корабоплаване.

VІІ. ПОСЛЕДИЦИ ОТ ОТКАЗ ЗА ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ Чл. 16 (1) Изрично съгласие на физическите лица, чиито данни се

обработват не винаги е необходимо, ако Администраторът разполага с друго правно основание за обработка на лични данни – например нормативно установено задължение и/или изпълнение на договор.

• В съответствие с предходната алинея, когато личните данни се обработват на основание съгласие на субекта на данните, същото може да бъде оттеглено по всяко време, ако това не засяга законосъобразността на обработването. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

Чл. 17 (1) Изисканите от служителите на „Дунав турс круизис“ лични данни са съобразени с услугите, които се предлагат и имат задължителен и доброволен характер.

• В случай на отказ от доброволно предоставяне на лични данни, които имат задължителен характер, например: име на потребителя на услугата, “Дунав турс круизис“ няма да бъде в състояние добросъвестно и точно да предостави своите услуги.

• В случай на предоставяне от субекта на данни на данни с доброволен характер, Администраторът счита, че при наличната в настоящата политика информация и при спазване на принципа за прозрачност, субекта е взел информирано решение, като с акта на предоставяне е предоставил своето конкретно, ясно и доброволно съгласие.

Чл. 18. Когато субектът на данни не е дал своето доброволно съгласие и личните данни, касаят здравето на физическото лице, Администраторът не носи никаква отговорност за потенциални негативни последици от това решение, независимо дали са спрямо това или трето друго лице.

VІІІ. РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ

Чл. 19 (1) „Дунав турс круизис”, като администратор на лични данни има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории получатели:

1. физически лица, за които се отнасят данните;
2. лица, за които правото на достъп е предвидено в нормативен акт

• на лица за защита живота и здравето на физическото лице, за което се отнасят данните;

• лица, за които правото произтича по силата на договор, в това число съадминистратори и обработващи лични данни.

• „Дунав турс круизис“ предава лични данни на трета държава при осъществяване на услугата по провеждане на речни круизни пътувания, като получатели на тези данни са основно митнически органи и/или представители на пристанищна администрация и/или други местни държавни или общински органи, на които е възложен контрола по управлението на пристанища, речни пътища, митници и други подобни.

Чл. 20. При условията на чл. 19, ал. 2, субектите на данни с настоящата политика са запознати, че с оглед държавните компетенции и техния суверенитет

• трети държави, Администраторът, в качеството на частна организация, няма правомощието и е ограничен при оценка на нивото на защита и приложимите гаранции.

Чл. 21. Обработваните лични данни на потребители на услугите на „Дунав турс круизис”, могат да бъдат предоставяни на други търговски дружества – администратори на лични данни, при условията на чл. 19, ал. 1, т. 4, във връзка

• изпълнение на конкретни задачи съвместно или по указание и от името на „Дунав турс круизис” – при условията на съвместно администраторство или при спазване на минималните изисквания за договореност и контрол на обработващи лични данни (например: туроператорство, агентство, счетоводни и правни услуги, поддържане на архив и т.н.).

ІХ. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Чл. 22. Субектите на данни, чиито лични данни се обработват имат следните права:

1. Право на информираност,относно данните,които идентифициратадминистратора, неговия представител и длъжностното лице по защита на данните, целите, основанията и срока на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните

• последиците от отказ за предоставянето им, както и правата на субектите на данни и други съгласно чл. 13 и чл. 14 от Общия регламент за защитата на данните;

• Право на достъп до отнасящи се до тях данни–при поискване,субектът на данни може да получи информация за обработката, правата си, както и копие от личните му данни, които са в процес на обработване. В случаите, когато при предоставяне правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице;

• Право на коригиране на лични данни,които са неточни или непълни;

• Право на изтриване / право „да бъдеш забравен“,когато личнитеданни повече не са необходими за целите, за които са събрани или обработвани; оттеглено е дадено съгласие, основание за тяхната правомерна обработка; възразява се срещу обработката съгласно чл. 21 от Общия регламент за защита на данните, обработването е незаконосъобразно и/или изтриването има за цел спазването на правно задължение. Правото „да бъдеш забравен“ не се прилага, когато Администраторът спазва правно задължение, изпълнява се задача от обществен интерес или се упражняват официални правомощия на Администратора, както и по причини от обществен интерес в областта на обществено здраве, архивирането в обществен интерес, научни или статистически цели, както и за целите на установяване, упражняване или защита на правна претенции.

• Право на ограничаване на обработването –  правото се прилага,

когато се оспорва точността на данните; обработването е неправомерно, но субекта не желае да бъдат изтрити от Администратора, а само да се ограничи тяхното ползване; Администраторът не се нуждае повече за целите на обработването, но субекта ги изисква за установяване, упражняване или защита на правни претенции; налице е възражение срещу обработването съгласно чл. 21, параграф 1 от Общия регламент за защитата на данните и се очаква проверка на законните основания и интересите на субекта. Когато се упражни това право, тези данни се обработват, с изключение на случаите на тяхното съхранение, на основание съгласие на субекта или за установяване, упражняване или защита на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.

• Право на преносимост на данните –правото се реализира,когатосубектът е предоставил личните си данни в структуриран, широко използван и пригоден за машинно четене формат и съответно има право да прехвърли тези данни на друг администратор без възпрепятстване на „Дунав турс круизис“. „Дунав турс круизис“ няма установена такава практика на събиране на лични данни. Администраторът няма техническа възможност /не е технически осъществимо/ да прехвърли пряко личните данни на субектите към друг Администратор по искане на субекта.

• Право на възражение пред администратора по всяко време срещуобработване на основание обществен интерес и/или официални правомощия, както и легитимни интереси, включително профилиране, основаващо се на тези разпоредби, както и за целите на директния маркетинг. Обработването не се прекратява, ако Администраторът има убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта или за установяването, упражняването или защитата на правни претенции.

• Право на защита–субектите на лични данни имат право на жалба,кактопред длъжностното лице по защита на данните и администратора, така и пред КЗЛД и по съдебен ред.

Чл. 23 (1) „Дунав турс круизис“ съобщава за реализираното право на коригиране, на изтриване или ограничаване на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

• Във връзка с изпълнението на ал. 1, с настоящата политика, Администраторът уведомява субектите, че данните се разкриват и на получатели, които обработват същите на собствено основание и цели, което е независимо от „Дунав турс круизис“, с оглед на което субектът следва да упражни правата си и спрямо посочените получатели, в качеството им на отделни администратори.

• При поискване, Администраторът информира субекта за тези получатели.

Х. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВА

Чл. 24. (1) Субектите на данни, упражняват правата си, като подават писмено заявление до “Дунав турс круизис“, съдържащо минимум следната информация:

1. име, адрес и други данни за идентифициране на съответното физическо лице;

2.основание – упражнено право и хипотеза, в която се реализира;

• описание на искането;
• предпочитана форма за предоставяне на информацията;
• подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2)  Подаването на заявление е лично или при условията на чл.  25  на

адреса на Администратора и/или адреса на длъжностното лице по защита на данните и е безплатно.

Чл. 25. При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.

Чл. 26. В случай на смърт на физическото лице, правата му се упражняват от неговите наследници, като към заявлението се прилага удостоверение за наследници.

Чл. 27. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаването на искането, съответно – 30-дневен, когато е необходимо повече време за събиране исканите данни, с оглед възможни затруднения в дейността на Администратора.

Чл. 28. „Дунав турс круизис“ изготвя писмен отговор, като се съобразява с предпочитаната от заявителя форма на предоставяне на информацията.

Чл. 29. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.

Чл. 30. В случай, че Администратора не отговори на искането за достъп до лични данни в предвидените срокове или заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, той има право да упражни правото си на защита.

Чл. 31. За прилагането на настоящата политика, както и във връзка с реда на упражняването на своите права, субекта на данни има право да се обърне и към длъжностното лице по защита на данните, на координатите посочени в настоящата Политика.

ЗАКЛЮЧИТЕЛНА РАЗПОРЕДБА

Настоящата Политика е приета с решение на Съвета на директорите на “Дунав турс круизис“ ЕАД и е потвърдена от предприятието, като влиза в сила от 25.05.2018 г.