GDPR

Уважаеми клиенти и партньори,

За нас защитата на личните данни е съществен въпрос, поради което предприехме необходимите мерки, да Ви предоставим обобщена информация за обработване и защита на личните данни от дружествата в групата на ЧЕЗ в България.

Имам отговорността да изпълнявам функциите по защита на личните данни в дружествата от групата на ЧЕЗ в България и вярвам, че с изложената информация ще Ви помогна да откриете отговори на всички въпроси, отнасящи се до Вашите лични данни. Можете да се обръщате към моя екип по всички въпроси, свързани с обработването на лични данни и спазването на Вашите права.

В предоставената информация ще намерите отговори на често задавани въпроси, обяснение на понятията, които се отнасят до защитата на личните данни, и друга полезна информация, свързана с обработването на личните Ви данни.

Лазар Чифлигаров

Длъжностно лице по защита на личните данни

Кой може да се обърне към длъжностното лице

Длъжностното лице по защита на личните данни е назначено, съгласно разпоредбите на чл. 37 от РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година, относно защитата на физическите лица, във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент, относно защитата на данните - ОРЗД) за дружествата от групата на ЧЕЗ.

Задълженията на длъжностното лице по защита на личните данни включват и задължението да защитава правата и интересите на субектите на данните.

Към длъжностното лице по защита на личните данни могат да се обръщат всички субекти на лични данни. Под субект на лични данни се има предвид всяко физическо лице, за което се отнасят личните данни. Това са всички граждани на Европейския съюз (ЕС), чиито права са защитени от ОРЗД. Защитата на личните данни се прилага само по отношение на живи физически лица, тъй като Общите правила изключват от обхвата на своето действие данните за починали лица. С оглед на дейността на дружествата от групата на ЧЕЗ, това са преди всичко нашите клиенти, служители и търговски партньори.

Длъжностното лице по защита на личните данни отговаря за спазване на изискванията, относно прилагане на правата на субектите на данните в дружествата от групата на ЧЕЗ. Вашите заявления, отнасящи се към конкретно дружество - администратор от групата на ЧЕЗ в България, можете да изпращате директно към дружеството по един от следните начини:

-       Лично в клиентските центрове на дружествата

-       Чрез нотариално заверено заявление, изпратено по пощата

-       По електронна поща, подписано с квалифициран електронен подпис.

За какво отговаря Длъжностното лице по защита на личните данни

Длъжностното лице по защита на личните данни организира дейностите по комуникация и съдействие със  субектите, в случаите когато са били нарушени техните права при обработване на личните им данни и в случаите на прилагане на техните права, съгласно Регламент 2016/679 (Общ регламент за защита на личните данни).

Основните права са следните:

-       право на достъп до лични данни

-       право на корекция на лични данни

-       право за получаване на информация за обработване на лични данни

-       право на ограничаване обработването на лични данни

-       право на преносимост на личните данни

-       право на възражение срещу обработването на лични данни

-       право на отказ от автоматизирано обработване на данните, включително профилиране

-       право на заличаване ("правото да бъдеш забравен")

-       право за получаване на информация, в случай на нарушения, свързани със сигурността на личните данни

-       право на оттегляне на съгласие за обработване на лични данни

Всяко от посочените права може да бъде упражнено от субекта чрез подаване на заявление.

Подаване на заявление във връзка с лични данни

Можете да подадете Вашето заявление до администратора на лични данни, т.е. до конкретното дружество от групата на ЧЕЗ или до Длъжностното лице по защита на личните данни. Вашите искания ще бъдат разгледани във възможно най - кратък срок. Лицето, което приеме Вашето искане (администратора или Длъжностното лице по защита на личните данни), ще Ви предостави информация за предприетите мерки в срок до един месец от получаване на Вашето точно, разбираемо и формулирано заявление, при условие че подателят на заявлението е еднозначно идентифициран. Посоченият срок може да бъде удължен с още два месеца, ако това се налага, поради сложността на случая и броя на заявките. Администраторът (Длъжностното лице по защита на личните данни)е длъжен да Ви информира за всяко възможно удължаване, в срок до един месец от получаване на заявлението, като посочи основанията за подобно отлагане.

Ако заявлението Ви не може да бъде идентифицирано, или не е формулирано точно и разбираемо, администраторът или Длъжностното лице по защита на личните данни ще се обърне към Вас с молба да го допълните, като от този момент престава да тече едномесечният срок за решаване на Вашето заявление, до деня на неговото допълване. В тази връзка молим да имате предвид, че ако не допълните Вашето заявление в разумен срок, то няма да бъде разгледано и ще бъде отхвърлено на основание член 12 от Регламента.

Заявленията могат да бъдат подадени по един от следните начини:

-       Лично в клиентски център на ЧЕЗ

-       По пощата с нотариално заверено заявление

-       По електронна поща чрез подписано с квалифициран електронен подпис заявление и съобщение.

Отговорът ще Ви бъде изпратен по посочен в заявлението начин.

В случай, че администраторът не може да предприеме мерките, които сте поискали, ще бъдете информиран, не по-късно от един месец от приемането на заявлението Ви.

Предоставянето на исканата информация от наша страна, както и удовлетворяването на Вашите искания се извършва напълно безплатно. В случай на заявления, които са необосновани или несъстоятелни, най-вече по причина че се повтарят, администраторът има право:

а) да изиска съответна такса, включваща административните разходи, извършени във връзка с предоставяне на поисканата информация

или

б) да отхвърли искането.

Как да се свържете с длъжностното лице по защита на личните данни

По пощата, на адрес: София 1784 бул. Цариградско шосе 159 ЧЕЗ България ЕАД Длъжностно лице по защита на личните данни
Чрез имейл съобщение, подписано с квалифициран електронен подпис на адрес: privacy@cez.bg
Лично – в избран от Вас Център за клиенти на ЧЕЗ.

Моля да имате предвид следната информация за обработване на личните данни, които ще ни предоставите във връзка с разглеждането на Вашето заявление, сигнал или искане:

Обработването на лични данни се извършва с цел изпълнение на законовите разпоредби, свързани с прилагане на вашите права, съгласно Регламент (ЕС) № 2016/679 на Европейския парламент и Съвета от 27 април 2016 г. за защита на физическите лица, във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО. Ще използваме Вашите лични данни за удостоверяване на Вашата самоличност и за надлежно разглеждане на Вашето искане. Вашите данни и техните носители ще се съхраняват в информационната система за защита на личните данни за периода на разглеждане на Вашето искане, след което ще се съхраняват за срок от 5 години от разглеждане на Вашето заявление, с цел осигуряване на съответните доказателства при започване на евентуални съдебни или административни процедури. Личните Ви данни ще бъдат достъпни за заинтересованите дружества, които обработват Вашето искане, както и за дружеството ЧЕЗ ИКТ България АД, със седалище 1784 София, бул. Цариградско шосе 159, Идент. номер: 203517599, което е оператор на информационните системи и дружеството ЧЕЗ България ЕАД, със седалище 1784 София, бул. Цариградско шосе 159, Идент. номер: 131434768,  към което е назначено Длъжностното лице по защита на личните данни.

Във връзка с това, бихме искали да Ви информираме за правото Ви да поискате от ЧЕЗ достъп до Вашите лични данни, тяхното коригиране или изтриване, ограничаване на обработването им, депозиране на възражение за обработването им, както и правото за пренос на данните. Допълнителна информация, относно обработването на личните данни и начина на разглеждане на исканията за прилагане на правата на субектите на данните, както и за процедурите в случай на нарушаване защитата на личните данни, можете да намерите в интернет секциите за поверителност на отделните дружества на ЧЕЗ в България.

 

Основни понятия

Регулатор - в Република България това е Комисия за защитна на личните данни (КЗЛД).

Регламент – РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните - ОРЗД).

Ограничаване обработване на лични данни - обозначаване на съхранените лични данни с цел ограничаване на тяхното обработване в бъдеще.

Лични данни - цялата информация за идентифицираните или подлежащи на идентифициране физически лица.Подлежащо на идентифициране физическо лице е лице, което може да бъде пряко или непряко идентифицирано посредством използване на даден идентификатор на физическото лице, например: име, идентификационен номер, информация за местонахождение, мрежов идентификатор, абонатен номер, клиентски номер, номер на СТИ, точка на измерване и други подобни.

Длъжностно лице по защита на личните данни - лице, назначено от дружествата на ЧЕЗ, съгласно член 37 от Регламента. Длъжностното лице по защита на личните данни носи собствена отговорност що се отнася до защитата на личните данни в дружества от групата на ЧЕЗ, с изключение на дружества с чуждестранно участие. Задължение на Длъжностното лице по защита на личните данни е да защитава интересите на субектите на данните и на дружествата от групата на ЧЕЗ в България.

Получател - физическо или юридическо лице, орган на държавната власт, агенция или друг субект, на когото са предоставени личните данни, независимо дали става въпрос за трета страна или не. В конкретния случай органите на държавната власт, които имат право да получават лични данни при извършване на конкретна проверка, в съответствие с нормативната уредба на дадена държава членка, не се считат за получатели на данни; обработването на лични данни от посочените органи на държавната власт трябва да се извършва в съответствие с приложимите правила за защита на данните, в зависимост от конкретните цели на обработване на информацията.

Събиране на лични данни - систематичен процес или набор от процедури, чиято цел е получаване на лични данни, с цел тяхното по-нататъшно съхраняване на информационен носител и незабавното им или последващо обработване.

Обработване на лични данни – всички операции или набор от операции с лични данни или файлове с лични данни, извършвани с или без автоматизирани устройства, като събиране, записване, организиране, структуриране, съхраняване, адаптиране или промяна, търсене, преглед, използване, достъп при прехвърляне, разпространение или всяко друго осъществяване на достъп до данни, организиране или комбиниране, ограничаване, изтриване или унищожаване.

Съгласие за обработване на лични данни - всяко свободно, конкретно, информирано и еднозначно волеизявление, с което лицето, предоставящо данните, дава съгласие или друг вид разрешение за обработване на личните му данни.

Администратор на лични данни – юридическо лице (дружество от групата на ЧЕЗ), което определя целите и начина на обработване на личните данни, извършва обработването на данните и носи отговорност за него. Администраторът може да упълномощи или да възложи обработването на личните данни на друго лице – обработващ лични данни.

Субект на данните (субект на личните данни) - физическото лице, за което се отнасят личните данни. Субектът на данните се смята за идентифициран или подлежащ на идентифициране, когато въз основа на един или повече идентификатори на личните данни, може да бъде пряко или непряко идентифициран.

Проверка на състоятелността – извършване на оценка на заявлението на субекта на личните данни от странана Администратора, ако заявлението на субекта на личните данни е необосновано или несъстоятелно, преди всичко ако е депозирано повторно. За явно неоснователно може да бъде смятано заявление, в случаите когато от пръв поглед може да се установи, че липсва обосновка (ако такава трябва да бъде приложена) и когато, дори след допълнително тълкуване, не е възможно да бъде установено какво е искането на субекта на данните (например възражение срещу обработване на данни, съгласно член 21, параграф 1 от Регламента, когато субектът на данните не посочва в заявлението си информация за своето положение, което да позволи на Администратора да прецени дали обоснованият интерес надделява над интереса на субекта на данните). За явно несъстоятелни могат да бъдат смятани най-вече заявления, които се повтарят неоснователно, или са прекалено много на брой. Практиката е да не се налагат санкции за тях, преди да се разгледа контекстът на конкретния случай. Администраторът констатира явната неоснователност или несъстоятелност на заявлението, за което изготвя обосновка и я включва в своето уведомление до Длъжностното лице по защита на личните данни за отхвърляне на заявлението. Администраторът е длъжен да документира и архивира своята обосновка, за целите на евентуална проверка от страна на Регулатора.

Трета страна - физическо или юридическо лице, орган на държавната власт, агенция или друг субект, различен от субекта на данните, Администратора, Обработващия личните данни или лицата, пряко подчинени на Администратора или Обработващия личните данни, които имат право да обработват лични данни.

КЗЛД (Комисия за защита на личните данни) - създадена по силата на Закона за защита на личните данни, в последното му валидно изменение. На комисията са делегирани правомощията на централен административен орган за защита на личните данни, в обхвата на цитирания закон, както и други правомощия, определени по силата на подзаконовите актове.

Обработващ (Изпълнител) - физическо или юридическо лице, орган на държавната власт, агенция или друг субект, който обработва за Администратора личните данни.

Оповестяване на лични данни – данни, които са оповестени чрез средствата за масово осведомяване, друг начин на публично оповестяване или като част от публичен списък/ регистър.

Специални категории данни (чувствителни данни) - лични данни, които разкриват расова или етническа принадлежност, политически възгледи, религиозни или философски убеждения или членство в организации, обработване на генетични данни, биометрични данни за целите на индивидуалната идентификация на физически лица и данни за здравословното състояние или сексуалния живот или сексуална ориентация на физическите лица.

Политика за поверителност

Общи положения            

Във връзка с предоставянето на своите услуги и извършването на своите дейности компаниите на ЧЕЗ обработват като администратори личните данни на своите клиенти – физически лица, както и личните данни на други физически лица в съответствие с предвидените в Политиката за защита на личните данни на дружествата правила и принципи.Всички термини, използвани в тези Политики, имат значението определено в Общите условия към договорите на всяко дружество („Общите условия“), освен ако в Политиките изрично не е предвидено друго.

Субекти на данните

Съответното дружество на ЧЕЗима право да събира и обработва информация относно следните категории физически лица (субекти на данни) в качеството им на настоящи, потенциални или бивши:

- клиенти и/или техни представители

- служители

- доставчици

- или в друго тяхно качество при взаимоотношенията им с дружествата.

Категории лични данни

Информацията (категориите лични данни), която съответното дружество на ЧЕЗ обработва, относно субектите на данните, съобразно тази Политика на дружествата може да включва:

-       Идентификационни данни

-       Данни за контакт

-       Допълнителна информация за представители на клиенти

-       Договорна и финансова информация

-       Информация за обекти

-       Информация за подадени жалби, заявления, искания, молби и сигнали (вкл. в свободен текст) и за друга кореспонденция с дружествата на ЧЕЗ

-       Друга информация и документи.

Аудио записи

В рамките, допустими от закона,съответното дружество на ЧЕЗ записва телефонните разговори (входящи и изходящи) с кол центрове и линии (телефонни номера), предназначени за обслужване на клиенти и управление на инфраструктурата си.

Записването на телефонните разговори и съхраняването и обработването на аудио записите (ведно с разкриваните в рамките на разговорите лични данни) се извършва за целите назащита на правата и законните интереси на съответното дружество на ЧЕЗ и на неговите партньори.

Съответното дружество на ЧЕЗ съхранява аудио записите за срок,посочен в съответната нормативна уредба или Политиката за поверителност на всяко дружество.

Директен маркетинг

При наличието на изрично и доброволно дадено съгласие за това от страна на субекта на данни,съответното дружество на ЧЕЗ (при спазване на законовите ограничения за обмен на такава информация) или партньори на това дружество могат да обработват лични данни, съобразно обхвата на конкретно даденото съгласие.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу това обработване или да оттегли даденото от него съгласиеза обработване на личните му данни за целите на директния маркетинг.

Цели за обработване на лични данни

Съответното дружество на ЧЕЗ събира, използва и обработва по друг начин лични данни за целите, предвидени в Политиките и в Общите условия на дружествата, които в зависимост от правното основание за обработването могат да бъдат:

  1. Цели, свързани със спазване на законови задължения на дружествата и/или
  2. Цели, свързани с и/или необходими за изпълнението на договорите, сключвани с дружествата, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор

и/или

  1. Цели на легитимния интерес на дружествата или на трети лица
  2. Цели, за които субектът на данни е дал съгласие за обработване на данните му.

Обработване на лични данни от дружествата може да бъде извършвано за едни и същи цели едновременно на повече от едно от посочените по-горе правни основания.

Предоставяне на лични данни и последици при отказ да се предоставят

Дружествата на ЧЕЗ ясно обозначават във всички свои бланки на заявления, искания, протоколи и други формуляри (електронни и на хартия) дали посочването/ предоставянето на съответните данни и/или документи е задължително или договорно изискване, или изискване необходимо за сключването на договор, както и последиците от отказ за предоставяне.

При необходимост от допълнителни разяснения всеки субект на данни може да поиска такива в търговските обекти, обслужващи Дружествата на ЧЕЗ или да се обърне към ДЛЗД на ЧЕЗ.

Отказът за предоставяне на данни и документи, посочени като задължителни, може да представлява непреодолима пречка пред предоставянето на услуга от страна на съответното дружество на ЧЕЗ.

Отказът за предоставяне на данни и документи или предоставянето на неверни такива може да доведе до невъзможност за предоставяне на съответните услуги или до спиране на достъпа до услуги, предоставяни от съответното дружество на ЧЕЗ.

Други източници на лични данни

В някои случаи личните данни, обработвани от съответното дружество на ЧЕЗ, не се събират или получават директно от субекта на данните, за когото се отнасят, а от трети лица като:

  1. Официални публични регистри (напр. търговски регистър, имотен регистър и др. под.

  2. Държавни и общински органи

  1. Търговски партньори и подизпълнители

 Обработване на информация за субекта на данни от трети лица – обработващи лични данни

За целите, посочени в Политиките и Общите условия, съответното дружество на ЧЕЗ може да възлага дейности по обработване на личните данни на субектите на данни на трети лица – обработващи лични данни, съобразно и в рамките на изискванията на Регламента и другите приложими правила за защита на личните данни.

Категории получатели на лични данни

Съответното дружество на ЧЕЗ се задължава да не разкрива лични данни относно субекта на данни, за заявените или ползваните от субекта на данни услуги, и да не предоставя събраната информация на трети лица, освен в случаите когато:

  1. това е необходимо за изпълнение на законово задължение на съответното дружество на ЧЕЗ
  2. това е изрично предвидено в Политиката и в Общите условията:
  3. това е необходимо за сключването, изменението, изпълнението или прекратяването на договорите:
  4. субектът на данни е дал изричното си съгласие:
  5. за защита на правата или законните интереси на дружествата на съответното дружество на ЧЕЗ, на трети лица или на субекта на данни.
  6. в други предвидени в закона случаи.

Период на съхранение на информацията

Съответното дружество на ЧЕЗ ще обработва и съхранява информация относно субекта на данни до постигане на съответните цели. В случаите на сключен договор личните данни се обработват през целия период на действие на договора, както и за определен срок след прекратяване на договора, освен в случаите, когато се изисква по-дълго запазване на съответна информация, съобразно изискванията на действащия закон или Политиките на дружествата.

Права по отношение на личните данни

Във връзка с обработването на личните данни, свързани с него, всеки субект на данни разполага със следните права, предоставени му от Регламента:

  1. Право на информация;
  2. Право на достъп;
  3. Правото на коригиране;
  4. Правото на изтриване;
  5. Право на ограничаване на обработването на личните данни;
  6. Уведомяване на трети лица;
  7. Право на преносимост на данните;
  8. Права при автоматизирано вземане на индивидуални решения, включително профилиране;
  9. Право на оттегляне на съгласие за обработване.

Право на възражение

Субектът на данни има по всяко време и на основания, свързани с неговата конкретна ситуация, право да възрази срещу обработването на лични данни.

Субектът на данните може да упражни правата си, свързани със защита на личните данни като отправи съответно писмено искане към ДЛЗД на ЧЕЗ.

Право на жалба до надзорен орган

Всеки субект на данни има право да подаде жалба до надзорен орган по защита на личните данни, по-специално в държавата членка (на ЕС/ЕИП) на обичайното си местопребиваване, мястото си на работа или мястото на предполагаемото нарушение, ако счита, че обработването на лични му данни нарушава разпоредбите на Регламента или на други приложими изисквания за защита на личните данни.

Надзорен орган в Република България

Надзорен орган в Република България е:

Комисия за защита на личните данни,

Адрес: гр. София 1592, бул. Проф. Цветан Лазаров 2

Уебсайт: https://www.cpdp.bg/

Ограничения на правата

Обхватът на правата на субектите на данни и на задълженията на всяко от дружествата на ЧЕЗ в България, във връзка с тези права може да бъде ограничен чрез законодателна мярка от правото на ЕС или на държава членка, което се прилага спрямо съответното дружество на ЧЕЗ.

Разяснения и допълнителна информация

Субектът на данните може да получи разяснения относно съдържанието, основанията за възникване, начина на упражняване на правата си по Политиките на дружествата, както и всякаква допълнителна информация във връзка с правата си при обработването на лични данни от съответното дружество на ЧЕЗ от ДЗЛД.

Политика за поверителност на ЧЕЗ Трейд България ЕАД 
Общ регламент за защита на данните 

Често задавани въпроси

Какъв е смисълът на Регламент (ЕС) № 2016/679 за защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО или „GDPR“?

Регламентът беше приет през април 2016 г., но се прилага от 25 май 2018 г. Регламентът представлява промяна в защитата на личните данни, с цел опазване в максимална степен на дигиталните права на гражданите на ЕС срещу нерегламентирано използване на техните лични данни. Регламентът се отнася до всички търговски дружества, държавни и общински институции, но и до отделни лица, обработващи лични данни. В обхвата му попадат и онлайн услуги, при които се обработват лични данни на потребители – физически лица.

За кого се отнася защитата на личните данни?

Общият регламент относно защитата на личните данни или ОРЗД (GDPR - General Data Protection Regulation) до този момент е най-пълният сбор от правила за защита на данните по света. Той е приложим за всеки, който събира или обработва личните данни на европейски граждани, включително дружества и институции извън ЕС, които развиват своята дейност на европейския пазар. Регламентът е насочен към дружества, институции и лица, които работят с лични данни – на техни служители, клиенти или доставчици, при това от различни сегменти и отрасли. Ще засегне и онези, които следят или анализират поведението на уеб потребителите при използването на приложения или „умни“ технологии. Независимо дали става въпрос за банкови или здравни учреждения, за държавна администрация или електронни магазини, обработването на личните данни трябва да е в съответствие с Регламента.

Какво представлява съгласието с обработване на лични данни?

Съгласието за обработване на лични данни съгласно Регламента означава, че ако обработването е извършено въз основа на съгласие, администраторът трябва да може да докаже, че физическото лице е дало съгласието си за обработване на данните в израз на свободна воля и че съгласието е било конкретно за посочения повод, информирано, еднозначно и дадено без условие. Става дума за активно и доброволно волеизявление на субекта на данните, което не е дадено насила. Трябва да се има предвид, че субектът на данните има право по всяко време да оттегли своето съгласие, без да посочва причина за това, а от своя страна администраторът е длъжен да прекрати обработването на личните му данни за посочената цел.

Съгласието е само едно от правните основания, въз основа на които администраторът има право да обработва личните данни, като от гледна точка на практическата приложимост, според Регламента е всъщност на последно място. Съгласието винаги се предоставя за конкретна цел на обработването на данните, която трябва да е предварително известна на субекта на данните. Трябва да се има предвид, че оттеглянето на съгласие не означава, че администраторът на личните данни е длъжен да унищожи личните данни, тъй като оттеглянето на съгласие се извършва с оглед на конкретната цел, заради която са били обработвани данните. Въпреки това администраторът може да обработва личните данни и за други цели, но тогава трябва да използва друго правно основание за обработване на данните, като например законово задължение, договор или свой законен интерес.

Какви права дава Регламентът на субектите на лични данни?

-       право на достъп до лични данни

-       право на корекция

-       право на заличаване ("правото да бъдеш забравен")

-       право на ограничаване обработването на личните данни

-       право на уведомяване за извършени корекции или изтриване на лични данни или ограничаване обработването на личните данни

-       право на пренос на личните данни

-       право на възражение

-       право на отказ от автоматизирано обработване на данните, включително профилиране

-       право на уведомяване, в случай на нарушения, свързани със сигурността на личните данни

-       право на оттегляне на съгласие за обработване на личните данни