Политика на поверителност и защита на личните данни

I. Общи положения

Чл. 1. Политиката на ТР ОРГАНИК СЕРТ ЕООД (Дружеството) се основава на условията и изискванията на Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Регламент (ЕС) 2016/679).

Чл. 2. ОРГАНИК СЕРТ е администратор на лични данни по смисъла на т. 7 от чл. 4 на Регламент (ЕС) 2016/679.

Чл. 3. Настоящата политика има за цел да предостави информацията и правила, прилагани по отношение на задълженията на Дружеството като администратор на лични данни, правата на операторите, условията за предоставяне на лични данни на трети лица, средствата за правна защитата на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни при процедурите за сертификация и контрол на биологичното производство.

Чл. 4. Настоящата политика се прилага за обработването на лични данни от ОРГАНИК СЕРТ изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистрите с лични данни на Дружеството или които са предназначени да съставляват част от регистрите с лични данни.

Чл. 5. За целите на настоящата политика се прилагат определенията по чл. 4 от Регламент (ЕС) 2016/679.

II. Администриране на лични данни

Чл. 6. ОРГАНИК СЕРТ в качеството си на администратор събира, обработва и съхранява, като в случаите на наличие на законово основание и предава лични данни на физически лица във връзка със:

1. Приемане и обработка на заявления за сертификация на непреработена земеделска продукция от растениевъдство, животновъдство, диворастящи растения, производство, преработка, търговия и съхранение на растителни и животински продукти, вино и дрожди;
2. Провеждане на контрол върху дейностите по биологично производство на субектите на лични данни и налагането на мерки при установени несъответствия и/или нарушения;
3. Водене на съответните регистри на системата за управление и сертификация на Дружеството.

Чл. 7. При осъществяване на дейностите по обработване на лични данни на физически лица Дружеството прилага съответните технически и организационни мерки осигуряващи подходящо ниво на защита на данните при спазване на следните принципи:

а) личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели („ограничение на целите“);

в) личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) личните данни са точни и се поддържат в актуален вид; предприемат се всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни („ограничение на съхранението“);

е) личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

Чл. 8. (1) ОРГАНИК СЕРТ обработва лични данни при спазване на едно от следните условия (условия за законосъобразност):

а) данните са необходими във връзка с изпълнение на договор за сертификация и контрол, по който Дружеството и субектът на данните са страни, или за предприемане на стъпки по искане на субекта на данните преди сключването на този договор;

б) данните са необходими за спазването на законови задължения на ОРГАНИК СЕРТ в качеството му на контролиращ орган на биологично производство, произтичащи от:

1. Регламент (ЕО) № 834/2007 на Съвета от 28 юни 2007 година относно биологичното производство и етикетирането на биологични продукти и за отмяна на Регламент (ЕИО) № 2092/91

(OB L 189, 20.7.2007г., стр. 1—23);

2. Регламент на Комисията (ЕО) № 889/2008 от 5 септември 2008 г. за определяне на подробни правила за прилагането на Регламент (ЕО) № 834/2007 на Съвета относно биологичното производство и етикетирането на биологични продукти по отношение на биологичното производство, етикетирането и контрола (OB L 250, 18.9.2008г., стр. 1—84);
3. Закон за прилагане на общата организация на пазарите на земеделски продукти на ЕС (ЗПООПЗПЕС);
4. Наредба № 5 от 3 септември 2018 г. за прилагане на правилата на биологично производство, етикетиране и контрол, и за издаване на разрешение за контролна дейност за спазване на правилата на биологичното производство, както и за последващ официален надзор върху контролиращите лица.

(2) ОРГАНИК СЕРТ обработва личните данни при условията за законосъобразност по ал. 1 след получаване на писмена декларация от субекта с изрично съгласие личните му данни да бъдат обработени за една или повече конкретни цели.

(3) Служителите на Дружеството обработват личните данни на субектите при спазване на изискванията на Закона за личните данни и вътрешните процедури на Дружеството.

(4) Личните данни на субектите се съхраняват в законоустановените срокове съгласно изискванията на приложимите специални закони.

Чл. 9. ОРГАНИК СЕРТ не обработва лични данни на лица под 18-годишна възраст или лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

Чл. 10. (1) В качеството си на администратор на лични данни ОРГАНИК СЕРТ събира и обработва следните категории лични данни:

а) данни за физическа идентичност на лицата подлежащи на регистрация – данни за лицето – имена, документ за самоличност; адреси за кореспонденция, телефон, факс, електронен адрес, подпис;

б) във връзка с работата на уебсайта,  чрез който ОРГАНИК СЕРТ предоставя на потребителите достъп до цялата документация (процедури, образци на заявления, приложения, формуляри и декларации), необходима за сертификация на биологично производство – технически данни – IP адреси, MAC адреси, име на устройство, история на посещавани сайтове, „бисквитки” ( в случай на използване на такива).

Чл. 11. ОРГАНИК СЕРТ има право да разкрива лични данни на следната категория лица:

(а) Субекти на данни, за които се отнасят данните, а именно: лица, заявили интерес за преминаване в системата за сертификация и контрол на ОРГАНИК СЕРТ, както и лица, които са вече встъпили в договорни отношения с Дружеството;

б) МЗХ, ИА БСА, Държавен фонд „Земеделие“ – Разплащателна агенция, другите контролиращи лица по чл. 18, ал. 1 от ЗПООПЗПЕС и БАБХ, в зависимост от конкретния случай;

в) Лица, за които правото произтича по силата на договор, сключен с Дружеството;

г) Лица, които имат право на достъп до лични данни по силата на закон или друг нормативен акт.

III. Права на субектите на данни

Чл. 12. В момента на получаване на личните данни ОРГАНИК СЕРТ предоставя на субекта на данните посочена по-долу информация:

1. данните, които идентифицират Дружеството и координатите за връзка с него;

б)  целите на обработването по чл. 6, за което личните данни са предназначени, както и правното основание за обработването по чл. 8;

в)    получателите или категориите получатели на личните данни, съответно

г)    срока, за който ще се съхраняват личните данни;

д)   правото на жалба до надзорния орган.

Чл. 13. (1) Субектът на данни има право да поиска от ОРГАНИК СЕРТ:

а) достъп до личните данни, които са свързани с него и се обработват от Дружеството;

б) да коригира без ненужно забавяне неточните лични данни, свързани с него, включително чрез добавяне на декларация;

в) да изтрие свързаните с него лични данни без ненужно забавяне (право „да бъдеш забравен“) при условията на чл. 17 от Регламент (ЕС) 2016/679;

г)  ограничаване на обработването на личните му данни при условията на чл. 18 от Регламент (ЕС) 2016/679;

д) личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат при условията на чл. 20 от Регламент (ЕС) 2016/679;

(2) Субектът на данни има право по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, по реда и условията на чл. 21 от Регламент (ЕС) 2016/679.

(3) ОРГАНИК СЕРТ съобщава за всяко извършено в съответствие с член 16, член 17, параграф 1 и член 18 от Регламент (ЕС) 2016/679 коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити.

Чл. 14. (1) Субектът на данни упражнява правата си по чл. 13, ал. 1 и 2 чрез писмено заявление до ОРГАНИК СЕРТ, което съдържа информацията по чл. 37в от Закона за защита на личните данни.

(2) ОРГАНИК СЕРТ разглежда подаденото заявление в срок от 10 работни дни от постъпването му и се уведомява субекта на данни писмено на хартиен или електронен носител за взетото решение.

(3) ОРГАНИК СЕРТ отказва достъп до данните или заличаването им, когато предоставянето или заличаването им е забранено със закон или на основание чл. 37а, ал. 1 от ЗЗЛД.

IV. Защита на правата на субектите на лични данни

Чл. 15. При нарушаване на правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД от страна на ОРГАНИК СЕРТ субектът на данни има право да сезира надзорния орган по т. VI в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му, по реда на глава VII от ЗЗЛД.

V. Oбмен на информация и уведомяване за промени в настоящата политика за защита на личните данни

Чл. 16. (1) В случай на нарушение на сигурността на личните данни ОРГАНИК СЕРТ, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган.

(2) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, ОРГАНИК СЕРТ, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

Чл. 17. ОРГАНИК СЕРТ си запазва правото да прави изменения и допълнения в настоящата Политика. При извършване на промени в Политиката те ще бъдат своевременно отразявани в нея и предоставяни на разположение субектите на данни в уебсайта на Дружеството.

VI. Данни, идентифициращи администратора на лични данни и надзорния орган и координатите за връзка с тях