Политика за поверителност
Политика за поверителност на Хотел Космополитан АД
Приета на 25.05.2018 г.
Одобрена от: Красимир Ангелов Даков /управител/
Хотел Космополитан АД, ЕИК: 201344433 със седалище и адрес на управление: гр. Русе, ул. Добри Немиров 1 е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни. Политиката за поверителност на Хотел Космополитан АД има за цел да информира физическите лица (субектите на данни) за целите и основанията за обработване на личните данни, правата и начините на упражняването им от субектите на данните, категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволен характер на предоставяне на данните.
1. Обща информация:
1.1 Политиката за поверителност на Хотел Космополитан АД е изготвена и се основава на изискванията и принципите за защита на личните данни приети с Регламент (ЕС) 2016/679 (Общ регламент за защита на данните-GDPR) относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
1.2 По смисъла на Регламент (ЕС) 2016/679, използваните в тази Политика определения имат следното значение:
Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Регистър с лични данни означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
Администратор е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на Република България, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз или в правото на Република България;
Субект на данни – е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация, представляваща лични данни пряко или непряко;
2. Принципи при обработката на личните данни
2.1 Хотел Космополитан АД обработва лични данни по начин, като се прилагат подходящи технически и/или организационни мерки. При обработката се спазват на следните принципи:
данните се събират за конкретни, легитимни цели и не се обработват по начин, несъвместим с тези цели („целесъобразност при обработване на личните данни и ограничение на целите“)
законосъобразно, добросъвестно и прозрачно по отношение на субекта на данните обработване на личните данни (законосъобразност, добросъвестност и прозрачност)
пропорционалност и ограничение на обработване на личните данни във връзка с целите, за които се обработват данните („свеждане на данните до минимум“);
ограничение на съхранението за период, не по-дълъг от необходимото за целите, за които се обработват личните данни („ограничение на съхранението“)
Обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“)
точност и актуалност на обработване на лични данни.
3. Основание за обработване на лични данни:
3.1 Хотел Космополитан АД обработва лични данни на основание:
обработването е необходимо за спазването на законово задължение, което се прилага спрямо Хотел Космополитан АД в качеството й на администратор на лични данни.
обработването е необходимо за изпълнение на договор с Хотел Космополитан АД, по който субектът на данните е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.
субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели. В случаите, когато личните данни се обработват единствено на основание дадено съгласие, субектът на данни има правото да оттегли съгласието си по всяко време. Оттегляне на съгласието от субекта на данни не е приложимо в случаите, когато обработването на данните е основано на законово или договорно основание.
Хотел Космополитан АД обработва личните данни самостоятелно или чрез възлагане на обработващи данните по законоустановения ред.
4. Хотел Космополитан АД, като администратор не обработва лични данни като расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическото лице, данни за здравословно състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, освен ако субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели.
5. Цел на обработване на лични данни.
5.1 Хотел Космополитан АД като дружество, опериращо в сферата на хотелиерството, ресторантьорството и туризма обработва лични данни за следните цели:
хотелско настаняване
организация на изхранване в ресторантите си
използване на СПА, Уелнес и фитнес услуги
допълнителни туристически услуги (превоз, екскурзии и други)
Ако откажете да предоставите на лични данни, Хотел Космополитан АД няма да може предостави исканите хотелски и туристически услуги или да извърши съответната търговска сделка, доколкото обработването на лични данни в голяма част е в изпълнение на законово и нормативно установени задължения на дружеството (освен в случаите, за които личните данни се обработват на основание различно от законовото).
6. Личните данни, които лицата предоставят на Хотел Космополитан АД при подаване на искане за предоставяне на хотелска и туристическа услуга и/или извършване на други търговски сделки, се обработват с цел анализиране на това дали тези услуги могат да се предоставят на лицата за съответния период, с цел защита на тяхното здраве, както и с цел надлежна идентификация на страните по извършваните търговски сделки в изпълнение на законово и нормативно установени задължения на хотела.
7. Обработването на лични данни най-често е в изпълнение на нормативно-установени задължения на Хотел Космополитан АД, произтичащи от законови изисквания, регламентиращи хотелската и друга съпътстваща търговска дейност, финансово-счетоводната дейност, дейностите по превенция на изпирането на пари, за целите на автоматичния обмен на финансова информация по смисъла на Данъчно-осигурителния процесуален кодекс, пенсионна, здравна и социално осигурителна дейност, дейността по управление на човешките ресурси, и др.
8. Освен в случаите, когато е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни, обработване на личните данни е допустимо и когато е необходимо за изпълнение на задължения по договор с Хотел Космополитан АД, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор с Хотел Космополитан АД, предприети по искане на лицето или когато физическото лице, за което се отнасят данните, е дало изрично своето съгласие за обработването.
Освен описаните случаи, обработване на лични данни на субекти на данни е допустимо при наличие на легитимен интерес на Хотел Космополитан АД или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данни /клиента/, например с цел предотвратяване на престъпления включително измами, предотвратяване изпиране на пари и финансиране на тероризъм, други законосъобразни цели.
9. Личните данни на субектите се съхраняват в законоустановените срокове съгласно изискванията на приложимите специални закони.
10. Лицата, ненавършили 18 (осемнадесет) години са субекти на данни с право на по-високо ниво на защита на техните лични данни. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.
11. Права на субектите на данни (клиентите физически лица, за които се отнасят данните)
11.1 Информираност – субекта на данни има право на информация включваща: идентификационни данни на Хотел Космополитан АД, координати за връзка с хотела и длъжностното лице по защита на данните; Целите и правното основание за обработването; Получателите или категориите получатели на личните данни, ако има такива; Намерението на администратора да предаде личните данни на трета страна/ трета държава (когато е приложимо); Срока на съхранение на личните данни; Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова); Информация за всички права, които субектът на данни има; Правото на жалба до надзорния орган.
11.2 Достъп до собствените си лични данни – субектът на данните има право да получи от Хотел Космополитан АД потвърждение дали се обработват лични данни свързани с него и ако това е така да получи достъп до данните и следната информация: Цел на обработване; Съответните категории лични данни; Получателите или категориите получатели на личните данни, ако има такива; Намерението на администратора да предаде личните данни на трета страна (когато е приложимо); Срока на съхранение на личните данни; Съществуване на правото на коригиране на лични данни, както и правото на възражение срещу обработване на лични данни; Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова); Информация за всички права, които субектът на данни има; Правото на жалба до надзорния орган.
11.3 Коригиране (ако данните са неточни) – субектът на данни има право да поиска от Хотел Космополитан АД да коригира без ненужно забавяне неточните лични данни свързани с него.
11.4 Изтриване (право „да бъдеш забравен“) – Субектът на данни може да поиска от Хотел Космополитан АД изтриване, ако е налице едно от следните условия:
Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
Субектът на данните оттегля своето съгласие, върху което единствено се основава обработването на данните и няма друго правно основание за обработването /обработване по силата на нормативно задължение на Хотел Космополитан АД , сключен договор с дружеството/;
Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
Личните данни са били обработвани незаконосъобразно;
Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейски съюз или правото на Република България, което се прилага спрямо Хотел Космополитан АД в качеството му на администратор;
Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.
11.5 Ограничаване от страна на Хотел Космополитан АД или обработващия лични данни – за възможността от използване на това право, са необходими конкретни условия, като:
Точността/актуалността на личните данни се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който позволява на Хотел Космополитан АД да провери точността на личните данни;
Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
Хотел Космополитан АД не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Хотел Космополитан АД имат преимущество пред интересите на субекта на данните.
11.6 Преносимост на личните данни между отделните администратори – субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Хотел Космополитан АД, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от дружеството, на което личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от Хотел Космополитан АД към друг администратор, когато това е технически осъществимо.
11.7 Възражение спрямо обработването на негови лични данни- субектите на данни имат право да възразят пред Хотел Космополитан АД срещу обработването на личните им данни, като хотела ще прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
При възразяване срещу обработването на лични данни за целите на директния маркетинг Хотел Космополитан АД ще прекрати обработването незабавно.
11.8 Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
11.9 Защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени – ако субекта на данни счете, че правото му на защита на личните данни и неприкосновеност е било нарушено, то може да подаде жалба пред съответния надзорен орган-Комисия за защита на личните данни или да търси правата си по съдебен ред.
12. Разкриване на лични данни
12.1. Хотел Космополитан АД може да разкрива лични данни на следните категории лица:
Лицата, за които се отнасят данните, а именно: лица, ползващи туристически услуги или продукти или подали искане за ползване на туристическите услуги, както и лицата, които са страни по туристически и/или други търговски сделки и договорни отношения с хотела;
Лица, които имат право на достъп до лични данни по силата на закон или други нормативен акт;
Лица, за които правото произтича по силата на договор, сключен с Хотел Космополитан АД.
13. Процес за упражняване на правата на субектите на данни:
13.1 Физическите лица (субекти на данни), имат право по всяко време да поискат от Хотел Космополитан АД:
потвърждение за това, дали отнасящи се до тях данни се обработват от хотела, какви са целите на обработването, категориите данни и получателите на тези данни или категориите получатели, на които данните се разкриват;
хотела да изпрати съобщение до тях в разбираема форма, съдържащо личните данни, които се обработват и всяка налична информация за източника на тези данни;
информация за логиката на всяко автоматизирано обработване на лични данни (ако е налично), отнасящи се до физическите лица, поне в случаите на автоматизирани решения по реда на Общия регламент за защита на личните данни и Закона за защита на личните данни;
13.2 При поискване, Хотел Космополитан АД предоставя информацията гореописаната информация безплатно.
13.3 Физическите лица имат право по всяко време да поискат от Хотел Космополитан АД да:
заличи, коригира или блокира техни лични данни, обработването на които не отговаря на изискванията на действащото законодателство
уведоми третите лица, на които са били разкрити личните данни на физическите лица за всяко заличаване, коригиране или блокиране, извършено в съответствие (с изключение на случаите, когато това е невъзможно или е свързано с прекомерни за дружеството усилия).
13.4 Физическите лица (субекти на данни), упражняват правата си като подават писмено заявление до Хотел Космополитан АД, съдържащо: име, ЕГН, адрес и други данни за идентифициране на съответното физическо лице; описание на искането; предпочитана форма за предоставяне на информацията подпис, дата, адрес за кореспонденция и телефон.
13.5 Подаване на заявлението е безплатно.
13.6 При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.
13.7 В случай на смърт на физическото лице, правата му се упражняват от неговите наследници като към заявлението се прилага и удостоверение за наследници.
14. Заявлението се разглежда и Хотел Космополитан АД се отговаря в срок до 1 месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца. Дружеството информира субекта на данни за всяко такова удължаване в срок от 1 месец от получаване на искането като посочва и причините за забавянето.
15. Хотел Космополитан АД предоставя отговор на заявителя като се съобразява с предпочитаната от заявителя форма на предоставяне на информацията.
16. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.
17. В случай, че заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, заявителят има право да упражни правото си на защита.
18. Контактни данни с администратора:
Администратор: Хотел Космополитан АД,
ЕИК: 201344433
Адрес: гр. Русе, ул. Добри Немиров 1
Е-mail: reception@cosmopolitanhotelbg.com
Телефон: 082805050
Интернет сайт: www.cosmopolitanhotelbg.com
19. Контактни данни с надзорния орган:
Надзорен орган: Комисия за защита на личните данни
Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2
Електронна поща: kzld@cpdp.bg
Интернет страница: www.cpdp.bg
Последна актуализация: 25 май 2018 г.