Terms + Privacy




ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

"Стефан Добрев- Архитектура и Дизайн" ЕООД, ЕИК: 131367020, с адрес: гр. София, ул. Оборище 18, ет. 1, BG131367020, тел.: +359 2 8435741 и имейл адрес: arch_dobrev@abv.bg, прилага в търговските си взаимоотношения с Клиентите настоящите Общи условия, ("Администраторът" или " Стефан Добрев - Архитектура и Дизайн" ЕООД ).

ПРЕАМБЮЛ

"Стефан Добрев- Архитектура и Дизайн" ЕООД, като администратор на лични данни, събира и обработва определена информация за физически лица. Тази информация може да се отнася до служители, управители, клиенти, доставчици, контрагенти, бизнес контакти и други физически лица, с които Администраторът има връзка или, иска да установи бизнес контакт. Настоящата политика за защита на личните данни урежда как да бъдат събирани, обработвани и съхранявани личните данни, за да отговарят на стандартите в организацията на Администратора и да са в съответствие с правните изисквания.

I. Правно основаниe

Настоящата Политика за защита на личните данни ("Политика") се издава на основание Закона за защита на личните данни и подзаконовите му актове, така както се променят, ("Българското законодателство"), и Общия регламент относно защитата на данните (ЕС) 2016/679 ("GDPR"). Българското законодателство и GDPR предвиждат правила как организациите, вкл. "Стефан Добрев- Архитектура и Дизайн" ЕООД трябва да събират, обработват и съхраняват лични данни. Тези правила се прилагат от Администратора независимо дали се касае за данни, които се обработват електронно, на хартия или на други носители. За да бъде обработването на лични данни в съответствие с правните изискванията, личните данни се събират и използват основателно, съхраняват се сигурно и Администраторът предприема необходимите мерки, за да не бъдат обработваните лични данни обект на незакономерно разкриване. Администраторът на лични данни е запознат с и следва принципите, предвидени в GDPR:

Личните данни се обработват законосъобразно, добросъвестно и прозрачно;

Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

Личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват;

Личните данни са точни и при необходимост се поддържат в актуален вид;

Личните данни се съхраняват във форма, която да позволява идентифицирането на засегнатите лица за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;

Личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

II. Цели на Политиката

Настоящата Политика цели Администраторът да:

Бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установените добри практики;

Установи механизмите за водене, поддържане и защита на отчетните регистри;

Установи задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения;

Защитава правата на персонала, клиентите и партньорите;

Бъде открит как съхранява и защитава личните данни на физическите лица;

Установи необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);

Бъде защитен при риск от нарушения.

III. Обхват

Настоящата Политика се прилага по отношение на обработването на лични данни на контрагенти, доставчици, клиенти и партньори, така както са описани в електронните отчетни регистри, установени в съответствие с тази Политика, Българското законодателство и чл. 30 от GDPR ("Регистри на дейностите по обработване").

IV. Събиране на лични данни

Категории данни и субекти

"Лични данни" са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („Субект на данни“), а именно:

Администраторът събира лични данни по отношение на следните категории лица:

Лица, представляващи дружествата, с които Администраторът има или планира да има бизнес взаимоотношения;

Лица за контакт в дружествата, с които Администраторът има бизнес взаимоотношения;

Лица, които са заинтересовани от получаването на информационни услуги – информационен бюлетин, справочници и др.;

Лица, които се регистрират с цел използване на онлайн-магазин.

Цели на събирането на данните

Администраторът събира личните данни във връзка с изпълнението на следните цели:

1. За изпълнение на дейности, свързани със сключване, съществуване, изменение и прекратяване на договорни правоотношения, вкл. за:

Изготвяне на всякакви документи;

За установяване на връзка с лицето за контакт по телефон, факс, имейл или по всякакъв друг законосъобразен начин;

За доставка и/или приемане на стоки/услуги, за комуникация във връзка с предоставяне и/или получаване на стоки/услуги и за предоставяне на свързаното с тях клиентско обслужване;

За водене на счетоводна отчетност във връзка с изпълненията по договори, по които Администраторът е страна;

За обработка на плащания във връзка със сключените договори от Администратора;

За изпращане на важна информация до субектите във връзка с промени в правилата, условията и политиките на Администратора и/или друга административна информация;

2. За маркетингови цели – след получаване на изрично съгласие от субектите на лични данни;

3. За статистически цели - след получаване на изрично съгласие от субектите на лични данни;

Събиране на данните

Данни на контрагенти (управители, представители и/или лица за контакт на юридическото лице по търговски договор) Личните данни за всяко лице се предоставят доброволно от самите лица и се събират от Администратора в изпълнение на нормативно задължение, във връзка със сключването на договор и/или изпълнения на задълженията по сключен договор съгласно разпоредбите на Търговския закон, Закона за счетоводството, Закона за задълженията и договорите, Закона за данъка добавена стойност и др. и условията посочени в търговски договор със съответния клиент чрез: хартиен носител – писмени документи (вкл. пълномощни, договори, запорни съобщения, банкова информация и др.), по електронна поща - предоставени във връзка с изпълнението на търговски договор и/или чрез попълване на регистрационна форма. Лицата се уведомяват за разпоредбите на тази Политика предварително или в момента на получаване на данните им.

V. Законни интереси, преследвани от Администратора

Във връзка с обработване на данните на управителите и контрагенти: Обработването на данните се извършва на основание законен интерес и във връзка с сключването, съществуването, изменението и прекратяването на търговски и граждански договори при прилагането и изпълнение на нормативните изисквания на Търговския закон, Кодекса за социално осигуряване, Данъчно-осигурителен процесуален кодекс, Кодекса на застраховането, Закон за данъците върху доходите на физическите лица, Закона за счетоводството, Закон за задълженията и договорите и др.

VI. Прозрачност. Права на лицата, чиито данни се обработват от Администратора

Прозрачност и условия за упражняване на правата на лицата

Администраторът предоставя информация на лицата в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Администраторът се стреми да гарантира, че лицата са запознати относно обработваните от него лични данни и че лицата изцяло и напълно разбират и са информирани във връзка с обработването в съответствие с изискванията на GDPR и Българското законодателство. Администраторът предоставя информацията на лицата писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако лицето е поискало това, информацията може да бъде дадена устно, при положение че идентичността на лицето е доказана с други средства. Администраторът предоставя на лицата безплатно информация относно действията, предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато съответно лице подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако лицето не е поискало друго. Ако Администраторът не предприеме действия по искането, Администраторът уведомява лицето без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Когато исканията на лицето са явно неоснователни или прекомерни, по-специално поради своята повторяемост, Администраторът може или:

Да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

Да откаже да предприеме действия по искането.

Право на достъп на лицата

Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

Целите на обработването;

Съответните категории лични данни;

Получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации);

Когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;

Съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със засегнатите лицата, или да се направи възражение срещу такова обработване;

Правото на жалба до Комисията за защита на личните данни;

Когато личните данни не се събират от самите лица, всякаква налична информация за техния източник;

Съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата.

Когато личните данни се предават на трета държава или на международна организация, лицата имат право да бъдат информирани относно подходящите гаранции във връзка с предаването. Администраторът предоставя на лицето копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от лицата, Администраторът може да наложи разумна такса въз основа на административните разходи. Когато лицето подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако лицето не е поискало друго.

Право на коригиране

Всяко лице, чиито данни се обработват от Администратора, има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването лицето има право непълните лични данни да бъдат допълнени.

Право на изтриване (право „да бъдеш забравен“)

Всяко лице, чиито данни се обработват от Администратора, има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато:

личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

лицето оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;

лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;

личните данни са били обработвани незаконосъобразно;

личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора;

личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Когато Администраторът е направил личните данни обществено достояние и е задължен съгласно предходния параграф да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че засегнатото лице е поискало изтриване от тези администратори на всички връзки, копия или реплики на неговите лични данни.

Право на ограничаване на обработването

Всяко лице, чиито данни се обработват от Администратора, има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следното:

Точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни;

Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.

Когато субект на данните е изискал ограничаване на обработването, Администраторът го информира преди отмяната на ограничаването на обработването.

Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването

Администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

Право на преносимост на данните

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, когато обработването е основано на съгласие във връзка с определени цели или на договорно задължение на субекта или предприемане на стъпки преди сключване на договор и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

Право на възражение

Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него (когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия на Администратора, или обработването е за целите на легитимните интереси на Администратора или на трета страна), включително профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява. Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходните параграфи, което му се представя по ясен начин и отделно от всяка друга информация.

VII. Технически и организационни мерки за защита на данните

Защитата на данните на хартиено копие, както и на електронен носител от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поредица от вътрешно регулирани технически и организационни мерки.

VIII. Трансфер на лични данни

Администраторът не осъществява и няма да осъществява трансфер на лични данни в страни, извън Европейския съюз.

IX. Нарушения. Уведомяване за нарушения

Нарушения

Нарушение на сигурността на данни възниква, когато личните данни, за които Стефан Добрев архитектура и дизайн ЕООД отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват. В случай на нарушение на сигурността на личните данни незабавно следва да се уведоми на имейл arch_dobrev@abv.bg.

Оценка на нарушенията

След като съответният служител на Стефан Добрев архитектура и дизайн ЕООД получи информация за извършено нарушение, то трябва да определи дали конкретното събитие представлява нарушение на лични данни и да уведоми управителите на Администратора за събитието (в случай, че те не знаят). В случай на нарушение на сигурността на личните данните, което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът (чрез съответния служител), без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, съобщава на субекта за нарушението. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.

X. Унищожаване

Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от Администратора в следните срокове:

Ведомости за заплати - 50 години;

Счетоводни регистри и финансови отчети - 10 години;

Документи за данъчно-осигурителен контрол - 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;

Всички останали носители - 5 години, доколкото по закон не е предвиден по-кратък срок.

След изтичането на срока за съхранението им носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.

След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител-чрез заличаване и изтриване на съответните файлове от компютрите на Дружеството.

Допълнителни разпоредби

По смисъла на настоящите вътрешни правила:

§ 1. ”Администратор на лични данни” е "Стефан Добрев архитектура и дизайн" ЕООД е еднолично дружество с ограничена отговорност, с ЕИК 131367020 , като действия от името на администратора осъществява Венетка Петелова, администратор база данни.

§ 2. „Обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

§ 3. Настоящaта Политика подлежи на утвърждаване и довеждане до знанието на лицата, които касаят, със заповед на управителя на Администратора.

Политиката е одобрена от управителя на: 22.05.2018 г.

Политиката е ефективна от: 25.05.2018 г.

Следваща дата за актуализиране: 25.10.2018 г.

 

 

 

PERSONAL DATA PROTECTION POLICY

 

Stefan Dobrev - Architecture and Design EOOD, BG 131367020, adress : Sofia, 18 Oborishte St., tel.: +359 2 8435741, e-mail adress: arch_dobrev@abv.bg, apllies in its business relations with clients the following general terms, (“Controller“ or "Stefan Dobrev - Architecture and Design EOOD").

PREAMBLE

Stefan Dobrev - Architecture and Design EOOD, as Controller of personal data, collects and process certain information of data subjects. This information may refer to employees, managers, clients, suppliers, contractors, business contacts and other data subjects, with which the Controller has a relation or, whishes to establish business contact. The present data protection policy governs as how to collect, process and store personal data, for it to comply to the standards of the organization of the Controller and to be in accordance to the legal requirements.

I. Legal basis

The present Data Protection Policy (Policy) is issued on the grounds of the Personal Data Protection Act and its By-laws, as they change, ("Bulgarian Legislation"), and the General Data Protection Regulation (EU) 2016/679 ("GDPR"). Bulgarian Legislation and GDPR provide rules for organizations, incl. Stefan Dobrev - Architecture and Design EOOD, regarding how they must collect, process and store personal data. These rules are applied by the Controller regardless of whether it concerns data, processed electronically, on paper, or on other media. In order for the collection of personal data to be compliant to the legal requirements, personal data are to be collected and used reasonably, stored securely and the Controller is to undertake the neccessesary measures for personal data not to be subject to unlawful disclosure. The Controller is aware with and follows the principles laid down in GDPR:

Personal data are processed lawfully, in good faith and transparently;

Personal data are collected for specific, explicitly stated, and legitimate purposes and not further processed in a manner inconsistent with these purposes;

Personal data are appropriate, relevant and limited to what is necessary in relation to the purposes for which they are processed;

Personal data are accurate and, if necessary, kept up-to-date;

Personal data are to be stored in such a manner that would permit the identification of the data subjects concerned for a period no longer than is necessary for the purposes for which the personal data are processed;

Personal data are to be processed in such a manner as to ensure an appropriate level of security of personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, by applying appropriate technical or organizational measures.

II. Policy goals

The present policy aims for the Controller to:

Be in compliance with the applicable legislation on personal data and follow the established good practices;

Establish the systems for keeping, maintaining and securing the accounting registers;

Identify the responsibilities of officials handling personal data and/or data subjects with access to personal data and work under the personal data processors, their responsibility for non-performance of these obligations;

Protects the rights of personel, customers and partners;

Stores and protects transparently the personal data of data subjects;

Establish the necessary technical and organizational measures to protect personal data from unauthorized processing (accidental or unlawful destruction, accidental loss, unauthorized access, alteration or dissemination, and any other unlawful forms of processing of personal data);

Be protected against the risk of violations.

III. Scope

The present Policy applies to the processing of personal data of contractors, suppliers, customers and partners as described in the electronic reporting registers established in accordance with this Policy, the Bulgarian legislation and Art. 30 of the GDPR ("Registry of Processing Activities").

IV. Personal data collection

Categories of data and entities

"Personal data" are all informations, related to an identified natural person or a natural person, who can be identified ("Data subject"), namely:

The Controller collect personal data, related to the foolowing categories of data subjects:

Data subjects representing the companies with which the Controller has or plans to have business relationships;

Contact persons in companies with which the Controller has business relationships;

Data subjects who are interested in receiving information services - newsletters, guides, etc.;

Data subjects who registered to use online shop.

Objectives of data collection

The Controller collects personal data, in connection with the following objectives:

1. For activities related to the conclusion, existence, amendment and termination of contractual relationships, incl. for:

Preparation of any documents;

To contact the contact person by telephone, fax, email or any other legitimate means;

For the supply and/or receipt of goods/services for communication in connection with the provision and/or receipt of goods/services and the provision of related customer service;

To maintain bookkeeping in connection with contracts to which the Controller represents a party;

For processing payments in connection with the contracts entered into by the Controller;

To send important information to subjects, regarding changes to the Controller's rules, terms and policies and/or other administrative information;

2. For marketing purposes - subject to the explicit consent of the data subjects;

3. For statistical purposes - subject to the explicit consent of the data subjects;

Data collection

Data of contractors (managers, representatives and/or contact persons of the legal person under a commercial contract). The personal data of each data subject is provided voluntarily by the data subjects themselves and collected by the Controller in execution of a statutory obligation, in connection with the conclusion of a contract and/or fulfillment of the obligations under the concluded contract under the provisions of the Commerce Act, the Accountancy Act, the Obligations and Contracts Act, The Value Added Tax Act and others and the terms and conditions set forth in a commercial contract with the respective client through: paper documents - written documents (including powers of attorney, contracts, seizure noteces, bank information, etc.) by e-mail - provided in connection with the execution of a commercial contract and/or by filling in a registration form. Individuals are notified of the provisions of this Policy in advance or at the time of receiving their data.

V. Legitimate interests pursued by the Controller

In relation to managers' and contractors' data processing: The processing of data is done on grounds of legitimate interest and in connection with the conclusion, existence, amendment and termination of commercial and civil contracts in the implementation and execution of the regulatory requirements of the Commerce Act, the Social Insurance Code, the Tax-Insurance Procedure Code, the Insurance Code, the Taxation of the Income of Natural Persons Act, the Accountancy Act, the Obligations and Contracts Act, etc.

VI. Transparency. Rights of data subjects whose data is processed by the Controller

Transparency and conditions for exercising the rights of data subjects

The Controller is to provide information to data subjects in a short, transparent and comprehensible form and in a simple language. The Controller is to ensure that the data subjects are aware of the personal data he/she processes and that the data subjects entirely and fully understand and are informed about the processing in compliance with the requirements of the GDPR and the Bulgarian legislation. The Controller is to provide the information to the data subjects in writing or otherwise, including, where appropriate, by electronic means. If the data subject has requested the latter, the information may be given verbally, provided that the identity of the data subject is proved by other means. The Controller is to provide data subjects free of charge with information on the actions taken in connection with a request regarding their right of access, rectification, erasure, limitation of processing, portability, objection and automated decision-making, without undue delay and in any event within one month of receipt of the request. If necessary, this period may be extended by a further two months, taking into account the complexity and the number of requests. The Controller is to inform the data subject of any such extension within one month of receipt of the request, indicating the reasons for the delay. Where a data subject submits a request by electronic means, the information is to be provided by electronic means, if possible, unless the data subject has specifically requested otherwise. If the Controller does not act upon the request, the Controller is to notify the data subject for the reasons such action was not taken and the possibility of issuing a complaint to a supervisory authority and seeking legal protection, without delay and no later than one month from receipt of the request. Where the data subject's claims are manifestly unfounded, or excessive, due to its repeatability in particular, the Controller may either:

Apply a reasonable fee, taking into account administrative costs for providing the information or communication or taking the requested actions, or

To refuse to take the requested actions.

Data subject's right of access

Every data subject has the right to obtain a confirmation from the Controller that personal data related to him/her are processed, and if so, to recieve access to the data and the following information:

Purposes of processing;

Categories of personal data;

The recipients or categories of recipients to whom personal data are or will be disclosed (incl. third parties, States or international organizations);

Whenever possible, the period for which the data will be stored or, given that is not possible, the criteria used to determine this period;

The existence of the right to request the Controller to rectify or delete personal data or to limit the processing of personal data, related to the data subjects concerned, or to object to such processing;

Right to appeal to the Commission for Personal Data Protection;

Where personal data are not collected by the data subjects themselves, any available information about their source;

The existence of automated decision-making, incl. profiling, and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

Where personal data is transferred to a third country or an international organization, the data subject shall have the right to be informed of the appropriate safeguards relating to the transfer. The Controller provides a copy of the personal data being processed to the data subject. For additional copies requested by the data subjects, the Controller may impose a reasonable fee on the basis of administrative costs. When the data subject makes a request by electronic means, if possible, the information is provided in a commonly used electronic form, unless the data subject has requested otherwise.

Right of rectification

Every data subject, whose personal data are undergoing processing by the controller, is entitled to the right to rectify, without undue delay, the inaccurate data, concerning him/her. Taking into account the purposes of the data processing, the data subject has the right to have incomplete personal data completed.

Right to erasure (right „to be forgotten“)

Every data subject has the right to obtain from the Controller the erasure of personal data concerning him/her without undue delay and the controller has have the obligation to erase personal data without undue delay where one of the following grounds applies:

The personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

The data subject withdraws consent on which the processing is based on, and where there is no other legal ground for the processing;

the data subject objects to the processing and there are no overriding legitimate grounds for the processing;

The personal data have been unlawfully processed;

The personal data have to be erased for compliance with a legal obligation to which the controller is subject;

The personal data have been collected in relation to the offer of information society.

Where the controller has made the personal data public and is obliged pursuant to the foregoing paragraph to erase the personal data, the controller, taking account of available technology and the cost of implementation, is to take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

Right to restriction of processing

Every data subject, whose data is proessed by the controller, has the right to obtain from the controller restriction of processing where one of the following applies:

The accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;

The processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;

The controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;

The data subject has objected to processing, pending the verification whether the legitimate grounds of the controller override those of the data subject.

Whenever a data subject requests restriction of processing, he/she is to be informed by the controller before the restriction of processing is lifted.

Obligation to notify when rectifying or erasing personal data or restricting processing

The administrator is to report any rectification, erasure, or restriction of processing to any recipient to whom personal data has been disclosed, unless this is impossible or requires disproportionately large amount of efforts. The controller is to inform the data subject about these recipients if the data subject so requests.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller, where processing is based on consent in relation to a particular purpose or contractual obligation of the data subject, or taking steps prior to entering into a contract and the processing is carried out in an automated manner. When exercising its right of portability, the data subject is entitled to receive a direct transfer of personal data from one controller to another where this is technically feasible

Right to object

The data subject has the right to object, on grounds relating to his or her particular situation, at any time, to processing of personal data concerning him or her (when the processing is necessary for the performance of a task of public interest or in the exercise of official authority of the Administrator, or the processing is for the purposes of the legitimate interests of the Administrator or a third party), including profiling based on those provisions.The controller is no longer to process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.Where the data subject objects to processing for direct marketing purposes, the personal data is no longer to be processed for such purposes. At the latest at the time of the first communication with the data subject, the right referred to in the foregoing paragraphs is to be explicitly brought to the attention of the data subject and is to be presented clearly and separately from any other information.

VII. Technical and organizational data protection measures

Data protection of a hard copy, as well as electronic media from unauthorized access, damage, loss or destruction is ensured through a series of internally regulated technical and organizational measures.

VIII. Personal data transfer

The controller does not and will not transfer personal data to countries outside The European Union.

IX. Violations. Notification of violations

Violations

Data security breach occurs when the personal data for which Stefan Dobrev - Architecture and Design EOOD is responsible for, are affected by a security incident that results in violation of privacy, privacy or integrity of personal data. Violation of the data occurs when there is a security breach leading to an accidental or unlawful destruction, loss, alteration, unauthorized disclosure of the data to be transfered, stored or otherwise processed. In the event of a personal data breach, Stefan Dobrev - Architecture and Design EOOD is immediately to be notified by e-mail, at the adress: arch_dobrev@abv.bg.

Assessment of violations

After the respective employee of Stefan Dobrev - Architecture and Design EOOD receives information about aviolation commited, he/she must determine whether the particular event constitutes a violation of personal data and must notify the controllers of the event (in the case that they do not know). In the event of personal data breach that is likely to result in a high risk to the rights and freedoms of natural persons, the controller (through the respective employee) without undue delay and when possible - not later than 72 hours after the controller has become aware of it, to inform the Commission for personal data protection. Whenever and so long as it is not possible to submit the information at the same time, the information may be submitted gradually without further unnecessary delay. When the security breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller, without undue delay, is to inform the subject of the breach. The controller documents each violation of the security of the personal data, including the evidence for the violation, the consequences from it and the actions taken to deal with it.

X. Destruction

Accounting and business information as well as any other relevant information and documents for taxation and mandatory insurance contributions are kept by the controller within the following deadlines:

Payroll payments - 50 years;

Accounting records and financial statements - 10 years;

Documents for fiscal supervision - 5 years after expiration of the limitation period for repayment of the public debt with which they are related;

All other media - 5 years, in so far as no shorter period is provided by law.

After the period for storage of media (on paper or technical) has expired, which are not subject to submission to the National Archive Fund, may be destroyed.

After the period for storage has expired, the data are to be destroyed as soon as possible by means of the physical destruction of paper media by shredding, and the technical media by erasure of the files from the Company's computers.

Additional provisions

For the purposes of these Internal Rules:

§ 1. ”Controller of personal data” is Stefan Dobrev - Architecture and Design EOOD is a Solely owned limited liability company, BG 131367020, where actions on behalf of the controller are performed by Venetka Petelova, database processor.

§ 2. „Processing" means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

§ 3. The present Policy is subject to affirmation and disclosure to the persons concerned, by order of the manager of the controller.

The present policy is approved by the manager as of: 22.05.2018

The policy is in effect as of: 25.05.2018

Next Policy update: 25.10.2018