Политика за поверителност

ENG BELOW

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

НА  „АЛГОРА ЕС“ ЕООД / MyGreekRent.com

с ЕИК 205735746, седалище и адрес на управление: гр. София, ж.к Дружба 2, бл.315 , вх.Г, ет.2, Ап. 79, email: info@mygreekrent.com, представлявано от Управителя ГЕРГАНА ЙОРДАНОВА (накратко “Дружеството“ или „АЛГОРА ЕС” ЕООД), което развива дейност чрез своя уебсайт-онлайн платформа www.mygreekrent.com.

I. Декларация относно политиката за защита на личните данни
1. Ръководството на „АЛГОРА ЕС“ ЕООД се ангажира да осигури съответствие със законодателството на ЕС и държавите-членки по отношение на обработването на личните данни и защитата на правата и свободите на лицата, чиито лични данни Дружеството събира и обработва съгласно Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Регламента“) и останалите приложими правни норми.
2. В съответствие с Регламента беше изготвена настоящата политика за защита на личните данни “Политиката“, към която са описани и други релевантни документи, както и свързани процеси и процедури.
3. Политика се отнася до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, служители, доставчици и партньори и всякакви други лични данни, които Дружеството обработва от различни източници.
4. Дружеството преразглежда Политиката ежегодно в светлината на всякакви промени в дейностите на „АЛГОРА ЕС“ ЕООД, както и спазва всички допълнителни изисквания и извършва оценки на въздействието върху защитата на данните.
5. Тази Политика се прилага за всички служители/работници и за други трети лица, на които Дружеството я е предоставило във връзка с обработка на лични данни на субекти на данни. Всяко нарушение на Регламента или Политиката ще бъде разглеждано като нарушение на трудовата дисциплина, а в случай че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в най-кратък възможен срок на съответните държавни органи.
6. Партньори и трети лица, които работят с или за „АЛГОРА ЕС“ ЕООД, както и които имат или могат да имат достъп до личните данни, ще се очаква да се запознаят, разбират и да се съобразят с тази Политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от „АЛГОРА ЕС“ ЕООД, без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които „АЛГОРА ЕС“ ЕООД е поело, и което дава право на „АЛГОРА ЕС“ ЕООД да извършва проверки на спазването на наложените със споразумението задължения.
II. Задължения и роли по Регламента
1. Дружеството може да обработва лични данни както в качеството на администратор на лични данни (като само определя целите и средствата на обработването), така и като обработващ лични данни, действащ от името на трети лица – администратори на лични данни. Дружеството осъществява основните си дейности по обработване на лични данни в качеството му на администратор на лични данни.
2. Ръководството на „АЛГОРА ЕС“ ЕООД е отговорно за разработване и насърчаване на добри практики в областта на обработване на информация в „АЛГОРА ЕС“ ЕООД.
3. Спазването на законодателството за защита на данните е отговорност на всички служители на „АЛГОРА ЕС“ ЕООД, които обработват лични данни.

III. Принципи за защита на данните
Обработването на лични данни трябва да се извършва в съответствие с принципите за защита на данните, посочени в член 5 от Регламента. Политиките и процедурите на „АЛГОРА ЕС“ ЕООД имат за цел да гарантират спазването на тези принципи.
1. Личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и прозрачно
Законосъобразно – Дружеството следва да идентифицира законова основа, преди да обработва съответните лични данни. Такава законова основа често се посочва като „основание за обработване“, например „съгласие“.
Добросъвестно – за да може обработването да бъде добросъвестно администраторът на данни трябва да предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи, независимо дали личните данни са получени директно от субектите на данни или от други източници.
Регламентът увеличава изискванията за това каква информация трябва да бъде на разположение на субектите на данни, която е обхваната от изискването за „прозрачност“.
Прозрачно – Регламентът включва правила относно предоставяне на поверителна информация на субектите на данни в членове 12, 13 и 14 от Регламента. Те са подробни и конкретни, поставяйки акцента върху това, че известията за поверителност са разбираеми и достъпни. Информацията трябва да бъде съобщена на субекта на данните в разбираема форма, като се използва ясен и разбираем език.
Специфичната информация, която трябва да бъде предоставена на субекта на данните, трябва да включва като минимум:
● данни, които идентифицират администратора и данните за контакт на администратора и, ако има такъв, на представителя на администратора;
● контактите на ДЛЗД/отговорника по защита на личните данни, ако администраторът прецени, че попада в обхвата на задължителното назначаване на такова лице;
● целите на обработването, за което личните данни са предназначени, както и правното основание за обработването; периода, за който ще се съхраняват личните данни;
● съществуването на следните права – да поиска достъп до данните, коригиране, изтриване (право „да бъдеш забравен“), ограничаване на обработването, както право на възражение срещу условията (или липсата на такива) във връзка с упражняването на тези права;
● категориите лични данни;
● получателите или категориите получатели на лични данни, където това е приложимо;
● където е приложимо, дали администраторът възнамерява да прехвърли личните данни към получател в трета страна и нивото на защита на данните;
● правото на жалба;
● източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник; съществуването на автоматизирано вземане на решения, включително профилиране;
● всякаква допълнителна информация, необходима да се гарантира добросъвестно обработване.
2. Лични данни могат да се събират само за конкретни, изрично указани и законни цели
Данните, получени за конкретни цели, не трябва да се използват за цел, която се различава от тези, за които предварително са събрани данните (чл. 30 Регламента).
3. Личните данни трябва да бъдат адекватни, релевантни, ограничени до това, което е необходимо за обработването им със съответната цел. (принцип на минимално необходимото)
● Управителят на Дружеството следи то да не събира информация, която не е строго необходима за целта, за която тя е получена.
● Всички формуляри за събиране на данни (електронни или на хартиен носител), включително изискванията за събиране на данни в новите информационни системи, трябва да включват декларация за добросъвестно обработване или връзка към Декларация за поверителност или към настоящата Политика (уведомление за поверително третиране на личните данни).
4. Личните данни трябва да бъдат точни и актуализирани във всеки един момент, и да са положени необходими усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране.
● Данните, които се съхраняват от администратора на данни, трябва да бъдат прегледани и актуализирани при необходимост. Не трябва да се съхраняват данни, в случаите, когато има вероятност да не са точни.
● Управителят гарантира, че при наемането на персонал, целият персонал ще бъде обучен в значението на събирането на точни данни и поддържането им.
● Също така, задължение на субекта на данните, респективно администраторът – в случаите, в които Дружеството действа като обработващ лични данни, е да декларира, че данните, които предава за съхраняване от „АЛГОРА ЕС“ ЕООД са точни и актуални. Попълването на формуляр от субекта на данни/администратора, предназначени за Дружеството, ще включва изявление, че съдържащите се в него данни са точни към датата на подаване.
● От служителите / работниците, клиентите и доставчиците на продукти/услуги трябва да се изисква да уведомяват „АЛГОРА ЕС“ ЕООД за всякакви промени в обстоятелствата, за да могат да се актуализират записите на лични данни. Отговорността на „АЛГОРА ЕС“ ЕООД е да гарантира, че всяко уведомление относно промяната на обстоятелствата е записано и се предприемат действия.
● Управителят на Дружеството декларира, че са налице подходящи процедури и политики за поддържане на точност и актуалност на личните данни, като се отчита обемът на събраните данни, скоростта, с която може да се промени, други относими фактори.
● Най-малко на годишна база Управителят на Дружеството ще преглежда сроковете на съхранение на всички лични данни, обработвани от „АЛГОРА ЕС“ ЕООД, като се позовава на инвентаризацията на данните и ще идентифицира всички данни, които вече не се изискват в контекста на регистрираната цел. Тези данни ще бъдат надеждно унищожени в съответствие с процедурите и правилата на администратора.
● Управителят на Дружеството привежда съответните лични данни в съответствие с постъпили надлежни искания за корекция на данни в рамките на един месец от датата на постъпване на искането съобразно вътрешните правила за управление на исканията от субектите). Този срок може да бъде удължен с още два месеца за сложни заявки. Ако „АЛГОРА ЕС“ ЕООД реши да не се съобрази с искането, Дружеството ще отговори на субекта на данните, за да обясни мотивите си и да го информира за правото му да подаде жалба пред надзорния орган и да потърси правна защита.
● Управителят на Дружеството взема подходящи мерки, в случаите когато организациите на трети лица имат неточни или остарели лични данни, информира ги, че информацията е неточна или остаряла и не се използва за вземане на решения относно лицата, информира съответните лица; и препраща всяка корекция на лични данни към третите лица, където това е необходимо.
5. Личните данни трябва да се съхраняват в такава форма, че субектът на данните може да бъде идентифициран само толкова дълго, колкото е необходимо за обработването.
● Когато личните данни се запазват след датата на обработването, те ще бъдат съхранявани по подходящ начин (минимизирани, криптирани, псевдонимизирани), за да се защити самоличността на субекта на данните в случай на нарушение на данните.
● Лични данни ще бъдат пазени в съответствие с вътрешните правила за съхранение и унищожаване на данните, описани в Раздел VIII от Политиката и след като е преминал срокът им на съхранение, те трябва да бъдат надеждно унищожени по указания в тази процедура ред.
● Управителят одобрява всяко запазване на данни, което надхвърля срока на съхранение, съгласно настоящата Политика и трябва да гарантира, че обосновката е ясно определена и е в съответствие с изискванията на законодателството за защита на данните. Това одобрение трябва да бъде писмено.
6. Личните данни трябва да бъдат обработвани по начин, който гарантира подходяща сигурност (чл. 24, чл. 32 от Регламента)
Управителят на Дружеството ще извърши оценка на въздействието (оценка на риска), като вземе предвид всички обстоятелства, свързани с операциите по управление или обработване на данни от „АЛГОРА ЕС“ ЕООД.
При определянето на това доколко уместно е обработването, Управителят на Дружеството разглежда степента на евентуална вреда или загуба, която може да бъде причинена на физически лица (напр. персонал или клиенти), ако възникне нарушение на сигурността, както и всяка вероятна вреда за репутацията на администратора, включително евентуална загуба на доверие на клиентите.
При оценяването на подходящи технически мерки, Управителят на Дружеството ще разгледа следните възможности:
● Защита с парола;
● Автоматично заключване на бездействащи работни станции в мрежата;
● Премахване на права на достъп за USB и други преносими носители с памет;
● Антивирусен софтуер и защитни стени;
● Правата за достъп основани на роли, включително тези на назначен временно персонал;
● Защитата на устройства, които напускат помещенията на организацията, като лаптопи или други;
● Сигурност на локални и широкообхватни мрежи;
● Технологии за подобряване на поверителността, като например псевдонимизиране и анонимизиране.

При оценяването на подходящите организационни мерки Управителят на Дружеството ще вземе предвид следното:
● Нивата на подходящо обучение в „АЛГОРА ЕС“ ЕООД;
● Мерките, които отчитат надеждността на служителите (например атестационни оценки, препоръки и т.н.);
● Включването на защитата на данните в трудовите договори;
● Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
● Редовна проверка на персонала за спазване на съответните стандарти за сигурност;
● Контрол на физическия достъп до електронни и хартиено базирани записи;
● Приемането на политика на „чисто работно място“;
● Ограничаване на използването на портативни електронни устройства за работни цели извън работното място;
● Ограничаване на използването от служителите на лични устройства на работното място;
● Приемане на ясни правила за създаване и ползване на пароли;
● Редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса;
● Налагане на договорни задължения на организации контрагенти да предприемат подходящи мерки за сигурност при прехвърляне на данни извън ЕС.
Тези контроли са избрани въз основа на идентифицираните рискове за лични данни, както и потенциала за нанасяне на вреди на лицата, чиито данни се обработват.

7. Спазване на принципа на отчетност
„АЛГОРА ЕС“ ЕООД ще доказва спазването на принципите за защита на данните чрез прилагане на политики по защита на данните, като се присъединява към кодекси за поведение, внедрява подходящи технически и организационни мерки, както и чрез защита на данните по подразбиране, оценка на въздействието върху защитата на личните данни, процедура за уведомяване за нарушаване на лични данни и т.н.

IV. Лични данни, обработвани от „АЛГОРА ЕС“ ЕООД

1. Каква информация се събира, съхранява и обработва от администратора:

„АЛГОРА ЕС“ ООД обработва лични данни на свои клиенти, служители и на други лица, с които същото е в договорни отношения или следва да обработва данните им по закон.

1.1. Лични данни на клиенти:

Ние събираме Вашите лични данни директно от Вас, така че Вие имате контрол над вида информация, която ни предоставяте. Възможно е да разглеждате нашия уебсайт и нашите страници в социалните медии без да ни предоставяте лична информация. Въпреки това има конкретни ситуации, които може да изискват да ни предоставите лични данни.

Примерни случаи, които изискват да предоставите такава информация са:
• Във връзка с писане и публикуване на коментари/мнения/отзиви или допълнителна информация на нашия уебсайт и/или нашите страници в социалните медии;
• При изпращане на запитвания и съобщения чрез нашата електронна поща, чрез модула за лични съобщения на нашите страници в социалните медии, чрез системата за запитвания на нашия уебсайт или по телефона;
• При извършване на резервации във връзка с предлаганите от нас услуги;
• Във връзка с всеки раздел на уебсайта, където съзнателно и доброволно предоставяте лична информация и данни.

За целите на извършване на резервации ние обработваме следните лични данни: имена, адрес на електронна поща и телефон. В случаите, в които е необходимо да възстановяваме заплатени от Вас суми е налице необходимост от обработване на данни като номер на банкова сметка и титуляр на банкова сметка.

Дружеството не обработва и не съхранява данни от банкови карти.

Когато използвате профила си в социалните медийни платформи като Facebook и други ние имаме правото да обработваме личните данни, които сте направили видими в профила си. Накратко, ние обработваме вашата лична информация и данни за следните цели:

• Отговаряне на вашите запитвания, въпроси и коментари;
• Обработка на резервациите ви;
• Уведомяване за актуализации и новини във връзка с предоставяните от нас услуги;
• Откриване, разследване и предотвратяване на действия, които може да са в нарушение на нашите политики, или са незаконни.

Освен това, можем да събираме и впоследствие да обработваме определена информация относно Вашето онлайн поведение при сърфиране в уеб сайтът ни, за да персонализираме Вашето преживяване и да изготвим предложения, които са съобразени с Вашите интереси. Можете да научите повече в тази връзка, като се запознаете с раздела относно обработването по-долу.

В нашия уеб сайт можем да съхраняваме и събираме информация посредством „бисквитки“ (cookies).
„Бисквитката“ представлява малък текстов файл, който бива съхраняван на компютъра на посетителя на уеб сайта за идентифициране на браузъра му по време на взаимодействие с даден уеб сайт. Всеки сайт може да изпрати „бисквитка“ на браузъра, ако настройките на последния го позволяват. Браузърът позволява само онзи сайт, който е съхранил „бисквитки“, да има достъп до съхранената информация. Уеб сайтът ни използва „бисквитки“ за съхраняване на предпочитанията на отделните посетители на сайта, както и за обобщен анализ на посещаемостта, като „помни“ Вашия компютър, а не каквато и да е лична информация за Вас.

0.1. Лични данни на работници/служители:
При постъпване на работа в Дружеството, на служителите се връчват подробни уведомления във връзка с обработването на личните им данни, като същите сключват и анекс към трудовите си договори. Същите правила са в сила и за лица, които имат договорни отношения с Дружеството различни от трудово правоотношение.

1. Основания и цели на обработката на лични данни

2.1. Предоставяне на услуги, предлагани чрез уеб сайта на Дружеството и страници в социалните медии:
Тази обща цел може да включва, при необходимост, следното:
• обработване на резервации, включващо приемане, валидиране и фактуриране на същите;
• разрешаване на всякакви проблеми, свързани с резервациите и закупените услуги;
• извършване на рекламации от потребителите в съответствие с разпоредбите на действащото българско законодателство;
• възстановяване на стойността на услугите съгласно законовите разпоредби;
• оказване на подкрепа, включително даване на отговори на въпроси във връзка с направените резервации от сайта на „Алгора ЕС“ ЕООД, страниците в социалните медии, електронната поща или чрез предоставените телефонни номера за контакт.

1.1. Маркетинг
Дружеството цели да предостави информация на субекта на данните за предстоящи събития, както и за най-добрите предложения относно продуктите и услугите, организирани или предлагани от страна на Дружеството. В тази връзка, „АЛГОРА ЕС“ ЕООД си запазва правото да изпраща всякакви видове съобщения, посредством канали за електронни съобщения, които съдържат обща и тематична информация. Това обработване се извършва при строго спазване на правата и свободите на субекта на данни.

1.2. Защита законните интереси на дружеството

Дружеството има право да събира, използва, съхранява и предава информация и когато това налага защита на негови законни интереси. Всички предприемани мерки се съобразяват едновременно с интересите на „АЛГОРА ЕС“ ЕООД, както и с правата и свободите на субекта на данни.

V. Права на субектите на данни
1. Всеки от субектите на данни има следните права по отношение на обработването на данни, както и на данните, които се записват за него:
● Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни;
● Да поиска копие от своите лични данни от администратора;
● Да иска от администратора коригиране на лични данни когато те са неточни, както и когато не са вече актуални;
● Да изиска от администратора изтриване на лични данни (право „да бъдеш забравен“);
● Да иска от администратора ограничаване на обработването на лични данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани по друг начин;
● Да направи възражение срещу обработване на негови лични данни;
● Да направи възражение срещу обработване на лични данни, отнасящи се до него за целите на директния маркетинг.
● Да се обърне с жалба до надзорен орган ако смята, че някоя от разпоредбите на Регламента е нарушена;
● Да поиска и да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат;
● Да оттегли съгласието си за обработване на личните данни по всяко време с отделно искане, отправено до администратора;
● Да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;
● Да се противопостави на автоматизирано профилиране, което се случва без негово съгласие;

2. „АЛГОРА ЕС“ ЕООД осигурява условия, които да гарантират упражняването на тези права от субекта на данни:
● Субектите на данни могат да направят искания за достъп до данни, както е описано в правилата за управление на исканията от субектите; тази процедура също така описва как „АЛГОРА ЕС“ ЕООД ще гарантира, че отговорът на искането на субекта на данни отговаря на изискванията на Регламента.
● Субектите на данни имат право да подават жалби до „АЛГОРА ЕС“ ЕООД, свързани с обработването на личните им данни.

VI. Съгласие
1. Под „съгласие“ „АЛГОРА ЕС“ ЕООД ще разбира всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. Субектът на данните може да оттегли своето съгласие по всяко време.
2. „АЛГОРА ЕС“ ЕООД разбира под „съгласие“ само случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие и без върху него да бъде упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни.
3. Съгласието не може да бъде изведено от липсата на отговор на съобщение до субекта на данни. Трябва да има активна комуникация между администратора и субекта, за да е налице съгласие. Администраторът трябва да може да докаже, че е получено съгласие за дейностите по обработване.
4. За специални категории данни трябва да се получи изрично писмено съгласие на субектите на данни, освен ако не съществува алтернативно законно основание за обработване.
5. В повечето случаи съгласието за обработване на лични данни и специални категории данни се получава рутинно от „АЛГОРА ЕС“ ЕООД, като се използват стандартни документи за съгласие, напр. когато нов клиент подписва договор или по време на набиране на нов персонал и т.н.
6. Когато „АЛГОРА ЕС“ ЕООД обработва лични данни на деца, трябва да бъде получено разрешение от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 14 години.

VII. Сигурност на данните
1. Всички служители / работници са отговорни за гарантирането на сигурността при съхраняването на данните, за които те отговарят и които „АЛГОРА ЕС“ ЕООД държи, както и, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети страни, освен ако „АЛГОРА ЕС“ ЕООД не е дал такива права на тази трета страна, като са сключили договор/клауза за поверителност.
2. Всички лични данни трябва да бъдат достъпни само за тези, които се нуждаят от тях, а достъпът може да бъде предоставен само в съответствие с изградените правила за контрол на достъпа. Всички лични данни трябва да се третират с най-голяма сигурност и трябва да се съхраняват:
● ако е компютъризирана, защитена с парола в съответствие с вътрешните изисквания посочени в организационните и технически мерки за контролиране на достъпа до информация (например правила за контрол на достъпа); и / или
● съхранявани на преносими компютърни носители, които са защитени в съответствие с организационните и технически мерки за контролиране на достъпа до информация.
3. Да се създаде организация, която да гарантира, че компютърните екрани и терминалите не могат да бъдат гледани от друг, освен от оторизираните служители / работници на „АЛГОРА ЕС“ ЕООД. От всички служители / работници се изисква да бъдат обучени и да приемат съответните договорни клаузи/декларация за спазване на организационните и технически мерки за достъп, както и правилата за заключване на работните станции, преди да им бъде предоставен достъп до информация от всякакъв вид.
4. Записите върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни от неоторизирани лица и не могат да бъдат изваждани от определените офисни помещения без изрично разрешение. Веднага щом хартиените документи вече не са необходими за текущата работа, те трябва да бъдат унищожени в съответствие със създадени за това вътрешни правила.
5. Личните данни могат да бъдат изтривани или унищожавани само в съответствие с правилата за съхраняване и унищожаване на данните, посочени в раздел VIII на настоящата Политика. Записите на хартиен носител, които са достигнали датата на съхранение, трябва да бъдат нарязани и унищожени като „поверителни отпадъци“. Данните върху твърдите дискове на излишните персонални компютри трябва да бъдат изтрити или дисковете унищожени, съгласно изградените правила/процедури.

VIII. Разкриване на данни
1. „АЛГОРА ЕС“ ЕООД осигурява условия, при които личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, дори разследващи такива, ако има основателно съмнение, че не се изискват по установения ред. Всички служители / работници трябва да бъдат предпазливи, когато им поискат да разкрият съхранявани лични данни за друго лице на трета страна. Важно е да се има предвид, дали разкриването на информацията е свързано или не с нуждите на дейността извършвана от организацията. На служителите се извършва специално обучение и периодични инструктажи с цел да се избегне рискът от такова нарушение.
2. Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат специално разрешени от Управителя на Дружеството или лицето, заемащо длъжността „счетоводител“.
3. Получатели на Вашите лични данни
Дружеството се ангажира да прилага най-високите стандарти на етични и юридически практики във всички свои дейности, включително защитата на личните данни на всички потребители на уебсайта. С изключение на случаите, посочени по-долу, няма да разкриваме, нито ще позволим на никое лице извън дружеството да има достъп до личната ви информация или да я използва.
В зависимост от спецификата на всеки конкретен случай, можем да предаваме или да предоставяме достъп до някои от Вашите лични данни на следните категории получатели:
• доставчици на платежни/банкови услуги;
• доставчици на куриерски услуги;
• подизпълнители на услуги предлагани от Дружеството;
• и на други категории лица във връзка със сключването и изпълнението на договорите (вкл. устни и неформални такива) между Вас и Дружеството.
Гарантираме, че достъпът до Вашите данни от частноправни субекти – трети страни се осъществява съгласно законовите разпоредби в областта на защитата на личните данни и конфиденциалността на информацията въз основа на договори, сключени с тях, и са задължени да защитават поверителността и сигурността на Вашата лична информация и данни. Те не са упълномощени да използват, разкриват или променят тази информация по никакъв начин, освен за целите на извършване на услугите, възложени от дружеството.
Ако сме задължени по закон или ако това е необходимо за защита на законните ни интереси, имаме право да разкриваме определени лични данни и на публични органи.

IX. Съхраняване и унищожаване на данните

1. Личните данни, които обработва „АЛГОРА ЕС“ ЕООД се съхраняват в офиса на Дружеството на адрес: гр. София, ж.к Дружба 2, бл.315 , вх.Г, ет.2, Ап. 79

2. „АЛГОРА ЕС“ ЕООД не съхранява лични данни във вид, който позволява идентифицирането на субектите за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните.
3. „АЛГОРА ЕС“ ЕООД може да съхранява данни за по-дълги периоди единствено ако личните данни ще бъдат обработвани за целите на архивиране, за цели в обществен интерес, научни или исторически изследвания и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.
4. Личните данни се унищожават по сигурен начин, съобразно изискванията на чл. 5, пар. 1 б. е) от Регламента, като се прилагат подходящи технически или организационни мерки срещу случайна загуба, унищожаване или повреждане („цялостност и поверителност“);
5. След отпадане на необходимостта от обработване на съответната категория лични данни „АЛГОРА ЕС“ ЕООД предприема стъпки за унищожаването на данните съгласно настоящите правила.
6. Всички лични данни, съхранявани на хартиен носител, се унищожават в офиса на „АЛГОРА ЕС“ ЕООД посредством устройство за нарязване (шредер). В случай че такова устройство не е налично към момента на възникване на задължението за унищожаване, данните се унищожават чрез нарязване с ножица, като лицето, отговорно за унищожаването следва да се увери, че след нарязването данните не могат да бъдат възстановени. Когато на съответния хартиен носител се съдържат и други данни, които все още се обработват от Дружеството на определено законово основание, ненужните данни се заличават от хартиения носител със средства, непозволяващи тяхното възстановяване;
7. Данните, които се съхраняват под формата на електронни съобщения (имейли) се унищожават чрез постоянно изтриване (изтриване, след което имейлите не подлежат на възстановяване).
8. Личните данни, съхранявани в електронна форма се изтриват по начин, който не позволява тяхното възстановяване.
9. След извършване на унищожаване на лични данни лицето, осъществило унищожаването, издава нарочен протокол, който следва да съдържа информация относно категорията лични данни, формата, под която данните са били съхранявани, основанието за предприетото унищожаване, метода на сигурно унищожаване, дата на унищожаване, имена и подпис на лицето, осъществило унищожаването.

X. Регистър на обработванията на данни (инвентаризация на данните)
1. „АЛГОРА ЕС“ ЕООД използва процес на инвентаризация на данните като част от своя подход за справяне с рисковете и възможностите в процеса на спазване на политиката за съответствие с Регламента. При инвентаризацията на данните в „АЛГОРА ЕС“ ЕООД и в работния поток от данни се установяват:
● бизнес процесите, които използват лични данни;
● източниците на лични данни;
● броя на субектите на данни;
● описание на категориите лични данни и елементите на във всяка категория;
● дейностите по обработване;
● целите на обработването, за което личните данни са предназначени;
● правното основание за обработването;
● получателите или категориите получатели на личните данни;
● основните системи и места за съхранение;
● всички лични данни, които подлежат на трансфери извън ЕС;
● сроковете за съхранение и заличаване.
2. „АЛГОРА ЕС“ ЕООД е наясно с рисковете, свързани с обработването на определени видове лични данни.
3. „АЛГОРА ЕС“ ЕООД оценява нивото на риска за лицата, свързани с обработването на личните им данни. Извършват се оценки на въздействието върху защитата на данните във връзка с обработването на лични данни от „АЛГОРА ЕС“ ЕООД и във връзка с обработването, предприето от други организации от името на „АЛГОРА ЕС“ ЕООД.
4. „АЛГОРА ЕС“ ЕООД управлява всички рискове, идентифицирани от оценката на въздействието, с цел да се намали вероятността от несъответствие с тези правила.
Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване „АЛГОРА ЕС“ ЕООД следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. Една обща оценка на въздействието може да разглежда набор от подобни операции по обработване, които представляват подобни високи рискове.
5. „АЛГОРА ЕС“ ЕООД не носи отговорност за данните предоставени на трети лица чрез използването на функционалностите на онлайн платформата www.mygreekrent.com.
XI. Жалби
Разполагате със законовото право да депозирате жалба пред местния надзорен орган относно обработването на Вашите лични данни. На територията на Република България данните за контакт с надзорния орган за защита на данните са следните:

Комисия за защита на лични данни
Адрес: гр. София, бул. „Цветан Лазаров” № 2
Тел. +359 2 915 3580; факс: +359 2 915 3525
E-mail: kzld@cpdp.bg
Интернет страница: http://www.cpdp.bg/

Без да ограничаваме по какъвто и да било начин Вашето законово право да се свързвате с надзорния орган по всяко време, Ви молим да се свържете с нас предварително и обещаваме, че ще положим максимални усилия, за да разрешим възникналите проблеми по взаимно съгласие.

Настоящата Политика за защита на личните данни е утвърдена от Управителя на 19.10.2021 година.

PERSONAL DATA PROTECTION POLICY

OF

“ALGORA ES” Ltd / MyGreekRent.com

with UIC 205735746, registered office and address of management: Sofia, Druzhba 2, bl.315, ent. G, fl. 2, Ap. 79, email: info@mygreekrent.com, represented by the Manager GERGANA YORDANOVA (briefly “The Company” or “ALGORA ES” Ltd.), which operates through its website www.mygreekrent.com.

I. Declaration on the policy on protection of personal data
1. The management of „Algora ES“ Ltd. is committed to ensuring compliance with EU legislation and Member States with regard to the processing of personal data and the protection of the rights and freedoms of individuals whose personal data the company collected and processed in accordance with Regulation (EU) 2016 / 679 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (the „Regulation“) and other applicable legal rules.
2. In accordance with the Regulation, the current data protection policy „Policy“ has been prepared, to which other relevant documents are described, as well as related processes and procedures.
3. The Policy applies to all functions of personal data processing, including those performed on personal data of customers, employees, suppliers and partners and any other personal data that the Company processes from various sources.
4. The Company reviews the Policy annually in the light of any changes in the activities of “ALGORA ES” Ltd., as well as complies with all additional requirements and performs impact assessments on data protection.
5. This Policy applies to all employees and other third parties to whom the Company has provided it in connection with the processing of personal data of data subjects. Any violation of the Regulation or the Policy will be considered as a violation of labor discipline, and in case there is a suspicion of a crime, the issue will be submitted for consideration as soon as possible to the relevant state authorities.
6. Partners and third parties who work with or for „ALGORA ES“ Ltd., as well as who have or may have access to personal data, will be expected to know, understand and comply with this Policy. No third party may have access to personal data stored by „ALGORA ES“ Ltd., without having previously concluded an agreement on data confidentiality, which imposes on the third party obligations no less burdensome than those undertaken by „ALGORA ES“ Ltd., and which entitles „ALGORA ES“ Ltd. to inspect compliance with the obligations imposed by the agreement.

II. Obligations and roles under the Regulation
1. The company may process personal data both as a controller of personal data (only determining the purposes and means of processing) and as a processor of personal data, acting on behalf of third parties – controllers of personal data. The company carries out its main activities for personal data processing in its capacity of personal data administrator.
2. The management of „ALGORA ES“ Ltd. is responsible for developing and promoting good practices in the field of information processing in „ALGORA ES“ Ltd.
3. Compliance with data protection legislation is the responsibility of all employees of „ALGORA ES“ Ltd. who process personal data.

III. Principles of data protection
The processing of personal data must be carried out in accordance with the data protection principles set out in Article 5 of the Regulation. The policies and procedures of „ALGORA ES“ Ltd. aim to ensure compliance with these principles.
1. Personal data must be processed lawfully, in good faith and transparently
Legally – The Company should identify a legal basis before processing the relevant personal data. Such a legal basis is often referred to as a „ground for processing“, such as „consent“.
In good faith – in order for the processing to be in good faith, the data controller must provide certain information to the data subjects as far as practicable. This applies whether the personal data are obtained directly from the data subjects or from other sources.
The Regulation increases the requirements for what information must be available to data subjects, which is covered by the „transparency“ requirement.
Transparent – The Regulation includes rules on the provision of confidential information to data subjects in Articles 12, 13 and 14 of the Regulation. They are detailed and specific, emphasizing that privacy notices are understandable and accessible. The information must be communicated to the data subject in an intelligible form, using clear and comprehensible language.
The specific information to be provided to the data subject must include at least:
● data that identifies the administrator and the contact details of the administrator and, if any, of the administrator’s representative;
● the contacts of the DPP / personal data protection officer, if the controller deems that it falls within the scope of the mandatory appointment of such a person;
● the purposes of the processing for which the personal data are intended, as well as the legal basis for the processing; the period for which the personal data will be stored;
● the existence of the following rights – to request access to the data, correction, deletion („right to be forgotten“), restriction of processing, as well as the right to object to the conditions (or lack thereof) in connection with the exercise of these rights;
● the categories of personal data;
● the recipients or categories of recipients of personal data, where applicable;
● where applicable, whether the controller intends to transfer personal data to a recipient in a third country and the level of data protection;
● the right to appeal;
● the source of the personal data and, if applicable, whether the data are from a publicly available source; the existence of automated decision making, including profiling;
● any additional information necessary to ensure conscientious processing.
2. Personal data may only be collected for specific, explicit and legitimate purposes
Data obtained for specific purposes must not be used for a purpose other than that for which the data were previously collected (Article 30 of the Regulation).
3. Personal data must be adequate, relevant, limited to what is necessary for their processing for the relevant purpose. (principle of minimum necessary)
● The Manager of the Company ensures that it does not collect information that is not strictly necessary for the purpose for which it was obtained.
● All data collection forms (electronic or paper), including the data collection requirements in the new information systems, must include a statement of good faith processing or a link to the Privacy Statement or this Policy (notice of confidentiality of personal data).
4. Personal data must be accurate and up-to-date at all times, and the necessary efforts must be made to enable immediate (within the scope of possible technical solutions) deletion or rectification.
● Data stored by the data controller should be reviewed and updated as necessary. Data should not be stored in cases where it is likely to be inaccurate.
● The manager ensures that when hiring staff, all staff will be trained in the importance of collecting accurate data and maintaining it.
● Also, the obligation of the data subject, respectively the controller – in cases where the Company acts as a processor of personal data, is to declare that the data it transmits for storage by „ALGORA ES“ Ltd. are accurate and up-to-date. By the data subject / administrator intended for the Company will include a statement that the data contained therein are accurate as of the date of submission.
● Employees, customers and suppliers of products / services must be required to notify „ALGORA ES“ Ltd. of any changes in circumstances in order to update personal data records. „ALGORA ES“ Ltd. is responsible for ensure that any notification of a change in circumstances is recorded and action is taken.
● The Manager of the Company declares that there are appropriate procedures and policies for maintaining the accuracy and timeliness of personal data, taking into account the volume of data collected, the speed at which it may change, other relevant factors.
● At least on an annual basis, the Manager of the Company will review the retention periods of all personal data processed by „ALGORA ES“ Ltd., referring to the data inventory and will identify all data that are no longer required in the context of the registered. This data will be reliably destroyed in accordance with the procedures and rules of the controller.
● The Manager of the Company adjusts the respective personal data in accordance with the received due requests for correction of data within one month from the date of receipt of the request in accordance with the internal rules for management of the requests by the subjects). This period can be extended by another two months for complex applications. If „ALGORA ES“ Ltd. decides not to comply with the request, the Company will respond to the data subject to explain its reasons and inform it of its right to lodge a complaint with the supervisory authority and seek legal redress.
The Manager of the Company takes appropriate measures in cases where third party organizations have inaccurate or outdated personal data, informs them that the information is inaccurate or outdated and is not used to make decisions about individuals, inform the relevant persons; and forwards any correction of personal data to third parties where necessary.
5. Personal data must be stored in such a form that the data subject can only be identified for as long as is necessary for processing.
● When personal data is retained after the date of processing, it will be stored in an appropriate manner (minimized, encrypted, pseudonymized) to protect the identity of the data subject in the event of a data breach.
● Personal data will be stored in accordance with the internal rules for storage and destruction of data described in Section VIII of the Policy and after their storage period has expired, they must be securely destroyed in accordance with the procedure specified in this procedure.
● The Manager approves any retention of data that exceeds the retention period in accordance with this Policy and must ensure that the justification is clearly defined and complies with the requirements of data protection legislation. This approval must be in writing.
6. Personal data must be processed in a way that ensures adequate security (Article 24, Article 32 of the Regulation)
The Manager of the Company will perform an impact assessment (risk assessment), taking into account all the circumstances related to the operations of data management or processing by „ALGORA ES“ Ltd.
In determining whether the processing is appropriate, the Company’s Manager considers the extent of any damage or loss that may be caused to individuals (eg staff or customers) if a breach of security occurs, as well as any probable damage to the reputation of the company or the administrator, including a possible loss of customer confidence.
In assessing appropriate technical measures, the Manager of the Company will consider the following options:
● Password protection;
● Automatic locking of inactive workstations in the network;
● Remove access rights for USB and other removable storage media;
● Antivirus software and firewalls;
● Role-based access rights, including those of temporary staff
● Protection of devices that leave the premises of the organization, such as laptops or others;
● Security of local and wide area networks;
● Privacy enhancement technologies, such as pseudonymization and anonymization.
In assessing the appropriate organizational measures, the Manager of the Company will take into account the following:
● The levels of appropriate training in „ALGORA ES“ Ltd.
● Measures that take into account the reliability of employees (eg attestation assessments, recommendations, etc.);
● The inclusion of data protection in employment contracts;
● Identification of disciplinary measures for violations regarding data processing;
● Regular inspection of personnel for compliance with relevant security standards;
● Adopting a „clean workplace“ policy;
● Storage of database paper in lockable wall cabinets;
● Limiting the use of portable electronic devices for work purposes outside the workplace;
● Restricting the use of personal devices by employees in the workplace;
● Adopting clear rules for creating and using passwords;
● Regular backup of personal data and physical storage of media with copies outside the office;
● Imposing contractual obligations on counterparty organizations to take appropriate security measures when transferring data outside the EU.
These controls are selected on the basis of the identified risks to personal data as well as the potential for harm to the data subjects.
7. Observance of the principle of accountability
„ALGORA ES“ Ltd. will prove the observance of the principles of data protection by applying data protection policies, by joining codes of conduct, implementing appropriate technical and organizational measures, as well as by default data protection, impact assessment on the protection of personal data, procedure for notification of personal data breach, etc.
IV. Personal data processed by „ALGORA ES“ Ltd.

1. What information is collected, stored and processed by the administrator:

„ALGORA ES“ Ltd processes personal data of its clients, employees and other persons with whom it has a contractual relationship or should process their data by law.

1.1. Personal data of clients:

We collect your personal data directly from you, so you have control over the type of information you provide to us. You may browse our website and our social media pages without providing us with personal information. However, there are specific situations that may require you to provide us with personal information.

Examples of cases that require you to provide such information are:
• In connection with writing and publishing comments / opinions / feedback or additional information on our website and / or our social media pages;
• When sending inquiries and messages via our e-mail, through the personal messaging module on our social media pages, through the inquiry system on our website or by phone;
• When making bookings in connection with the services we offer;
• In connection with any section of the website where you knowingly and voluntarily provide personal information and data.

For the purpose of making bookings, we process the following personal data: names, e-mail address and telephone number. In cases where it is necessary to refund the amounts paid by you, there is a need to process data such as bank account number and bank account holder.
The company does not process or store bank card data.
When you use your account on social media platforms such as Facebook and others, we have the right to process personal data that you have made visible in your account. Briefly, we process your personal information and data for the following purposes:
• Answering your inquiries, questions and comments;
• Processing of your bookings;
• Notification of updates and news in connection with the services we provide;
• Detect, investigate and prevent actions that may be in violation of our policies or are illegal.
In addition, we may collect and subsequently process certain information about your online browsing behavior on our website in order to personalize your experience and make suggestions that are tailored to your interests. You can learn more in this regard by reading the section on processing below.
The information is stored and collected on the Company’s website through cookies. A cookie is a small text file that is stored on a visitor’s computer to identify his or her browser when interacting with a website. Each site can send a cookie to the browser if the settings of the browser allow it. The browser only allows the site that has stored cookies to access the stored information. Our website uses cookies to store the preferences of individual visitors to the site, as well as for a generalized analysis of traffic, by „remembering“ the computer of the data subject, and not any personal information about the same.
1.2. Personal data of employees:

Upon entering the Company, employees are given detailed notifications in connection with the processing of their personal data, and they also conclude an annex to their employment contracts. The same rules apply to persons who have a contractual relationship with the Company other than employment.
2. Grounds and purposes of personal data processing
2.1. Provision of services offered through the Company’s website and social media pages:
This general objective may include, as appropriate, the following:
• processing of bookings, including acceptance, validation and invoicing of the same;
• solving any problems related to bookings and purchased services;
• making complaints by consumers in accordance with the provisions of current Bulgarian legislation;
• reimbursement of the value of the services in accordance with the legal provisions;
• providing support, including answering questions in connection with bookings made on the website of Algora ES EOOD, social media pages, e-mail or through the provided contact telephone numbers.

3.2. Marketing
The Company aims to provide information to the data subject about upcoming events, as well as about the best offers about the products and services organized or offered by the Company. In this regard, „ALGORA ES“ Ltd. reserves the right to send all types of messages through electronic communication channels that contain general and thematic information. This processing is carried out in strict compliance with the rights and freedoms of the data subject.
3.3. Protects the legitimate interests of the Company
The Company has the right to collect, use, store and transmit information even when it requires protection of its legitimate interests. All measures taken take into account at the same time the interests of „ALGORA ES“ Ltd., as well as the rights and freedoms of the data subject.
V. Rights of data subjects
1. Each of the data subjects has the following rights with regard to the processing of data as well as the data recorded for it:
● To make requests to confirm whether personal data related to him are being processed and, if so, to have access to the data as well as information on the recipients of this data;
● To request a copy of your personal data from the administrator;
● To ask the administrator to correct personal data when they are inaccurate and when they are no longer up to date;
● To require from the administrator to delete personal data (right to be „forgotten“);
● To ask the administrator to limit the processing of personal data, in which case the data will only be stored, but not otherwise processed;
● To object to the processing of his personal data;
● To object to the processing of personal data relating to him for the purposes of direct marketing.
● To complain to a supervisory authority if it considers that any of the provisions of the Regulation have been violated;
● To request and to be provided with personal data in a structured, widely used and machine-readable format;
● To withdraw its consent to the processing of personal data at any time with a separate request addressed to the administrator;
● Not to be subject to automated decisions that affect it significantly, without the possibility of human intervention;
● To oppose to an automated profiling, which happens without his consent;

2. „ALGORA ES“ Ltd. provides conditions that guarantee the exercise of these rights by the data subject:
● Data subjects may make requests for access to data as described in the rules for managing requests from subjects; this procedure also describes how „ALGORA ES“ Ltd. will ensure that the response to the data subject’s request meets the requirements of the Regulation.
● Data subjects have the right to submit complaints to „ALGORA ES“ Ltd. related to the processing of their personal data.
VI. Consent
1. By „consent“ „ALGORA ES“ Ltd. will mean any freely expressed, specific, informed and unambiguous indication of the will of the data subject, through a statement or clearly confirming action, which expresses his consent to the processing of personal data related to him. Data subject may withdraw its consent at any time.
2. „ALGORA ES“ Ltd. means by „consent“ only the cases in which the data subject has been fully informed about the planned processing and has expressed his consent without being subjected to pressure. Consent obtained under pressure or on the basis of misleading information, will not be a valid basis for processing personal data.
3. Consent cannot be inferred from the lack of response to a message to the data subject. There must be active communication between the administrator and the subject in order for there to be consent. The administrator must be able to demonstrate that consent has been obtained for the processing activities.
4. For special categories of data, the express written consent of the data subjects must be obtained, unless there is an alternative legal basis for processing.
5. In most cases, consent for the processing of personal data and special categories of data is routinely obtained from „ALGORA ES“ Ltd., using standard consent documents, eg when a new customer signs a contract or during the recruitment of new staff, etc. .
6. When „ALGORA ES“ Ltd. processes personal data of children, permission must be obtained from the exercise of parental rights (parents, guardians, etc.). This requirement applies to children under 14 years of age.

VII. Data security
1. All employees are responsible for ensuring the security of the storage of the data for which they are responsible and which „ALGORA ES“ Ltd. holds, as well as that the data is stored securely and is not disclosed under any circumstances to third parties, unless „ALGORA ES“ Ltd. has granted such rights to this third party by concluding a contract / confidentiality clause.
2. All personal data should be available only to those who need it, and access can only be granted in accordance with the established rules for access control. All personal data must be treated with the utmost security and must be stored:
● if it is computerized, password protected in accordance with the internal requirements specified in the organizational and technical measures for controlling access to information (eg access control rules); and / or
● stored on portable computer media, which are protected in accordance with the organizational and technical measures for controlling access to information.
3. To create an organization that will ensure that the computer screens and terminals cannot be viewed by anyone other than the authorized employees / workers of „ALGORA ES“ Ltd. All employees / workers are required to be trained and to accept the relevant contracts clauses / declaration of compliance with the organizational and technical measures for access, as well as the rules for locking the workstations before they are granted access to information of any kind.
4. Paper records should not be left where they can be accessed by unauthorized persons and cannot be removed from designated office premises without express permission. As soon as paper documents are no longer needed for current work, they must be destroyed in accordance with established internal rules.
5. Personal data may be deleted or destroyed only in accordance with the rules for storage and destruction of data set out in Section VIII of this Policy. Paper records that have reached the date of storage must be cut and disposed of as „confidential waste“. The data on the hard disks of the redundant personal computers must be deleted or the disks destroyed according to the established rules / procedures.

VIII. Data disclosure
1.“ALGORA ES“ Ltd. provides conditions under which personal data are not disclosed to unauthorized third parties, which includes family members, friends, government agencies, even investigators, if there is a reasonable suspicion that they are not required in the prescribed manner. All employees should be careful when asked to disclose stored personal data about another third party It is important to consider whether or not the disclosure is related to the needs of the activity carried out by the organization.
Employees are provided with special training and periodic briefings in order to avoid the risk of such a violation.
2. All requests from third parties for the provision of data must be supported by appropriate documentation and all such disclosures must be specifically authorized by the Manager of the Company or the person holding the position of „accountant“.
3. Recipients of your personal data
The company is committed to applying the highest standards of ethical and legal practices in all its activities, including the protection of personal data of all users of the website. Except as set forth below, we will not disclose or allow anyone outside the company to access or use your personal information.
Depending on the specifics of each case, we may transmit or provide access to some of your personal data to the following categories of recipients:
• payment / banking service providers;
• courier service providers;
• subcontractors of services offered by the Company;
• and other categories of persons in connection with the conclusion and execution of contracts (including oral and informal ones) between you and the Company.
We guarantee that access to your data by private parties – third parties is carried out in accordance with the legal provisions in the field of personal data protection and confidentiality on the basis of contracts concluded with them, and are obliged to protect the confidentiality and security of your personal information. and data. They are not authorized to use, disclose or change this information in any way except for the purpose of performing the services assigned by the company.
If we are obliged by law or if this is necessary to protect our legitimate interests, we have the right to disclose certain personal data to public authorities.

IX. Data storage and destruction

1. The personal data processed by „ALGORA ES“ Ltd. are stored in the office of the Company at the address: Sofia, Druzhba 2, bl.315, ent. G, fl. 2, Ap. 79

2. „ALGORA ES“ Ltd. does not store personal data in a form that allows the identification of subjects for a longer period than necessary, in relation to the purposes for which the data were collected.
3. „ALGORA ES“ Ltd. may store data for longer periods only if the personal data will be processed for archiving purposes, for purposes of public interest, scientific or historical research and for statistical purposes, and only in the performance of appropriate technical and organizational measures to guarantee the rights and freedoms of the data subject.
4. The retention period for each category of personal data is defined in this Policy.
5. Personal data shall be destroyed in a secure manner, in accordance with the requirements of Art. 5, para. 1 p. (f) the Regulation, applying appropriate technical or organizational measures against accidental loss, destruction or damage („integrity and confidentiality“);
6. After eliminating the need to process the relevant category of personal data, „ALGORA ES“ Ltd. takes steps to destroy the data in accordance with these rules.
7. All personal data stored on paper are destroyed in the office of „ALGORA ES“ Ltd. by means of a cutting device (shredder). In case such a device is not available at the time of the obligation to destroy, the data are destroyed by cutting with scissors, and the person responsible for the destruction should make sure that the data cannot be recovered after cutting. When the relevant paper contains other data that is still being processed by the Company on a certain legal basis, the unnecessary data is deleted on paper with means that do not allow their recovery;
8. Data stored in the form of electronic messages (emails) are destroyed by permanent deletion (deletion, after which the emails are not recoverable).
9. Personal data stored in electronic form are deleted in a way that does not allow their recovery.
10. After the destruction of personal data, the person who carried out the destruction issues a special protocol, which should contain information about the category of personal data, the form in which the data were stored, the grounds for destruction, the method of secure destruction, date of destruction, names and the signature of the person who carried out the destruction.

X. Data processing register (data inventory)
1. „ALGORA ES“ Ltd. uses a data inventory process as part of its approach to addressing the risks and opportunities in the process of complying with the policy of compliance with the Regulation. During the inventory of the data in „ALGORA ES“ Ltd. and in the workflow of data the following are established:
● business processes that use personal data;
● the sources of personal data;
● the number of data subjects;
● description of the categories of personal data and the elements of each category;
● processing activities;
● the purposes of the processing for which the personal data are intended;
● the legal basis for the processing;
● the recipients or categories of recipients of personal data;
● main storage systems and locations;
● all personal data that are subject to transfers outside the EU;
● the terms for storage and deletion.
2. „ ALGORA ES „Ltd. is aware of the risks associated with the processing of certain types of personal data.
3. „ALGORA ES“ Ltd. assesses the level of risk for the persons related to the processing of their personal data. Assessments of the impact on data protection in connection with the processing of personal data by „ALGORA ES“ Ltd. and in connection with the processing undertaken by other organizations on behalf of „ALGORA ES“ Ltd.
4. „ALGORA ES“ Ltd. manages all risks identified by the impact assessment in order to reduce the likelihood of non-compliance with these rules.
When the type of processing may lead to a high risk for the rights and freedoms of individuals, in particular through the use of new technologies and taking into account the nature, scope, context and purposes of the processing, before proceeding to processing „ALGORA ES“ Ltd. should carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A general impact assessment may consider a set of similar processing operations that present similar high risks.
XI. Complaints
You have the legal right to lodge a complaint with the local supervisory authority regarding the processing of your personal data. On the territory of the Republic of Bulgaria the data for contact with the data protection supervisory body are the following:

Commission for Personal Data Protection
Address: Sofia, 2 Tsvetan Lazarov Blvd.
Tel. +359 2 915 3580; Fax: +359 2 915 3525
Email: kzld@cpdp.bg
Website: http://www.cpdp.bg/

Without in any way restricting your legal right to contact the supervisory authority at any time, we ask you to contact us in advance and we promise to make every effort to resolve any issues by mutual consent.

This Privacy Policy is approved by the Manager on 19th of October 2021.