TAT Bus

Политика по GDPR

1. Въведение

1.1. Общи положения

Настоящата обща политика за защита на личните данни (наричана по-долу „Политиката") урежда процесите по обработване на лични данни от Т.А.Т. ЕООД, ЕИК 118550419, със седалище и адрес на управление в гр. Тутракан, ул. „Силистра" 54 (наричано по-долу „Дружеството" и/или „Администраторът"). Тя се прилага спрямо посочените в нея категории субекти на лични данни и има за цел да осигури съответствие на обработването с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица при обработване на лични данни и свободното движение на такива данни (Общ регламент относно защитата на данните, наричан по-долу „Регламентът"), както и с всички приложими актове на правото на Европейския съюз и националното законодателство в тази област. Политиката се прилага за всички въпроси, свързани със защитата на личните данни, за които не е предвидена специална уредба в други вътрешни актове на Дружеството.

1.2. Политиката има за цел да уреди и обхване по-конкретно следните аспекти:

  • дейностите по обработване на лични данни, категориите субекти, за които тя се прилага, принципите на обработване и отговорностите, свързани с тези процеси;
  • задълженията на лицата, действащи под ръководството на Дружеството по смисъла на чл. 29 от Регламента, както и тяхната отговорност при неизпълнение;
  • правата на субектите на данни и реда за тяхното упражняване;
  • процедурата за обработване на лични данни въз основа на съгласие на субектите;
  • правилата за действие при нарушение на сигурността на лични данни;
  • техническите и организационните мерки, прилагани от Дружеството за защита на личните данни.

1.3. Информация за Администратора

2. Използвани термини и съкращения

Всички термини и съкращения, които не са изрично определени в настоящата Политика, следва да се тълкуват със значението, което им е дадено в Регламента.

3. Дейности по обработване на лични данни

3.1. Принципи при обработването на лични данни

Обработването на лични данни от страна на Администратора се извършва при спазване на следните основни принципи:

  • личните данни се обработват само при наличие на законово основание съгласно Регламента и/или приложимото законодателство, по добросъвестен и прозрачен начин спрямо субектите на данни (принцип на законосъобразност, добросъвестност и прозрачност);
  • данните се събират за ясно определени, конкретни и законосъобразни цели и не се използват по начин, който е несъвместим с тях;
  • обработваните данни са адекватни, релевантни и ограничени до необходимото спрямо целите (принцип на минимизация);
  • данните са точни и при необходимост се поддържат актуални, като Администраторът предприема мерки за своевременно коригиране или изтриване на неточности (принцип на точност);
  • данните се съхраняват във вид, който позволява идентифициране на субекта за срок, не по-дълъг от необходимото за целите на обработването;
  • обработването се извършва по начин, който осигурява подходяща сигурност, включително защита срещу неразрешен достъп, неправомерно обработване, загуба, разкриване или увреждане чрез подходящи технически и организационни мерки;
  • въведените мерки гарантират постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на данни.

3.2. Категории субекти на данни, видове лични данни и цели на обработване. Видеонаблюдение

3.2.1. Администраторът обработва лични данни на клиенти и други категории субекти, както следва:

1. Клиенти (физически лица) – превоз:

Обработват се лични данни като три имена, ЕГН, IP адрес, електронна поща, телефонен номер и други, съобразно принципа на минимизация и целите на предоставяните услуги, включително:

  • предоставяне на отстъпки за деца (ЕГН);
  • използване на онлайн системата за закупуване на билети (IP адрес, имейл, телефон, данни за предпочитания и навици).

Целите на обработването включват:

  • предоставяне на транспортни и допълнителни услуги, включително онлайн продажба на билети и използване на уебсайта;
  • водене и съхранение на счетоводни и данъчни записи;
  • спазване на законови изисквания;
  • защита на легитимните интереси на Дружеството съгласно Регламента.

2. Клиенти (физически лица) – туроператор:

Обработват се данни като три имена, ЕГН, банкови данни (IBAN), контактна информация, IP адрес и други.

Целите на обработването включват:

  • предоставяне на заявените туристически услуги и свързаните с тях допълнителни услуги;
  • счетоводно и данъчно отчитане;
  • изпълнение на законови задължения;
  • осъществяване на директен маркетинг;
  • защита на легитимните интереси на Дружеството.

3. Потенциални, настоящи и бивши служители:

За обработването на лични данни на тези лица се прилага отделна политика за защита на личните данни на служителите на Дружеството.

3.2.2. Регистър на дейностите

Дружеството поддържа регистър на дейностите по обработване на лични данни като администратор съгласно чл. 30 от Регламента (наричан „Регистърът"). Той съдържа изискуемата информация, включително категориите субекти на данни, видовете данни, целите и сроковете за обработване, организирани по отделни дейности.

3.2.3. Срокове за съхранение

Личните данни се съхраняват за срок, който е по-дългият измежду необходимия за спазване на законовите изисквания или за нуждите на търговската дейност на Дружеството. Прилага се принципът на минимизация на данните. Част от информацията може да се пази и след приключване на услугата за по-отчетлива администрация и при евентуални спорове.

3.2.4. Видеонаблюдение

Дружеството осъществява видеонаблюдение в публично достъпни зони като пунктове за продажба на билети, офиси и сервизни бази. Това се извършва при спазване на вътрешни правила за видеонаблюдение, утвърдени от Администратора.

4. Категории получатели на данни

4.1. Администраторът може да предоставя лични данни на следните категории лица:

  • доставчици на услуги – като консултанти, адвокати, счетоводители, одитори, IT специалисти и други, във връзка със сключване и изпълнение на договори, спазване на законови задължения и осигуряване на техническа поддръжка, като предоставянето се извършва въз основа на писмени споразумения, гарантиращи адекватна защита на данните;
  • подизпълнители – лица, които предоставят услуги от името на Администратора (включително търговски представители, туроператори и туристически агенти) както на територията на страната, така и извън нея, при наличие на писмено договорено основание;
  • доставчици на услуги по поддръжка на оборудване, софтуер и хардуер, използвани при обработването и съхранението на лични данни;
  • банки, обслужващи плащанията, извършвани от субектите на данни;
  • охранителни фирми, ангажирани с дейности по видеонаблюдение и сигурност;
  • държавни и съдебни органи, когато това е предвидено или изисквано от закона;
  • застрахователни компании във връзка със сключване на застраховки при пътувания;
  • други администратори на лични данни в случаите, когато Дружеството действа като обработващ от тяхно име.

5. Задължения на Администратора

Администраторът носи следните основни отговорности:

  • определя и прилага политики и процедури за защита на личните данни в съответствие с Регламента, правото на ЕС и националното законодателство;
  • назначава длъжностно лице по защита на данните;
  • организира воденето и поддържането на Регистъра при спазване на необходимите мерки за сигурност;
  • прилага подходящи технически и организационни мерки както при определяне на средствата за обработване, така и при самото обработване, с цел ефективно прилагане на принципите за защита на данните;
  • осигурява възможност за упражняване на правата на субектите на данни;
  • гарантира и може да докаже съответствие на обработването с изискванията на Регламента;
  • прилага мерки, които гарантират, че се обработват само необходимите за конкретната цел лични данни;
  • осъществява контрол върху спазването на изискванията за защита, установява нарушения и предприема действия за тяхното отстраняване;
  • поддържа и актуализира съответните регистри;
  • съхранява личните данни за срок, не по-дълъг от необходимия за целите на обработването;
  • организира периодично обучение и информиране на персонала относно защитата на личните данни;
  • съдейства на Комисията за защита на личните данни при осъществяване на контрол;
  • определя нивата на достъп на служителите до лични данни според целите на обработване;
  • използва само обработващи, които осигуряват достатъчни гаранции за защита;
  • спазва установените правила при нарушения на сигурността и документира всяко такова нарушение;
  • извършва оценка на риска съгласно изискванията на Регламента.

6. Задължения на служителите на Администратора. Отговорност. Декларации за поверителност

6.1. Служителите могат да обработват лични данни след като бъдат запознати с:

  • действащата нормативна уредба в областта на защитата на личните данни, включително Регламента и Закона за защита на личните данни;
  • настоящата Политика и вътрешните правила на Администратора;
  • възможните рискове и заплахи за сигурността на обработваните данни.

Служителите са длъжни:

  • да спазват всички приложими изисквания на законодателството, Политиката и вътрешните правила;
  • да обработват лични данни само при наличие на законосъобразно основание, произтичащо от закон, договор, изрично съгласие или легитимен интерес, който не нарушава правата на субекта;
  • да използват данните единствено за целите, за които са събрани;
  • да не използват достъпните им данни за лични цели;
  • да предотвратяват нерегламентиран достъп до лични данни;
  • да ограничават обработваните данни до необходимия минимум, когато това е възможно;
  • да гарантират спазването на правата на физическите лица;
  • да не допускат действия или бездействия, които могат да доведат до нарушение на сигурността;
  • да не разкриват чувствителна информация за сигурността (като потребителски имена и пароли) на други лица;
  • да не копират данни върху преносими носители без необходимата защита;
  • да не изпращат по електронна поща големи обеми или чувствителни лични данни без защита;
  • да не публикуват лични данни в публични пространства без правно основание;
  • да оказват съдействие на длъжностното лице по защита на данните при изпълнение на неговите функции.

6.2. Отговорност на служителите

6.2.1. Забранени действия

Всички действия, които водят или могат да доведат до нерегламентирано изтриване, унищожаване или изменение на постъпили лични данни при Администратора в електронен вид или на хартиен носител, както и нерегламентирано споделяне/разкриване на лични данни, от страна на служители на Дружеството е забранено и може да доведе до реализирането на отговорността на съответния служител.

6.2.2. Дисциплинарна отговорност

За неспазването на разпоредбите на Регламента и/или ЗЗЛД, и/или Политиката, и/или другите приложими вътрешни актове на Администратора, служителите на Администратора носят дисциплинарна отговорност.

6.2.3. Административно-наказателна и наказателна отговорност

Отделно от дисциплинарната отговорност може да бъде реализирана и административно-наказателната и/или наказателната отговорност спрямо съответния служител, ако стореното представлява деяние, за което се предвижда наказателна или административно-наказателна отговорност.

6.2.4. Гражданска отговорност

Отделно от дисциплинарната, административно-наказателната и наказателната отговорност, съответният служител носи и спрямо него може да бъде реализирана и гражданска отговорност, ако са налице предпоставките за това.

6.3. Администраторът:

  • осигурява подписването на декларация за поверителност и неразпространение на лични данни от всички служители, които обработват лични данни за него;
  • поддържа информация за изпълнение на задълженията си за обучение на служителите, които обработват лични данни, и за обучение на персонала за събития, застрашаващи сигурността на личните данни.

7. Поддържане на регистър на дейностите по обработване на лични данни като администратор

В съответствие с изискванията на чл. 30, пар. 1 от Регламента, Дружеството поддържа регистър на дейностите по обработване на лични данни в качеството си на администратор. Този регистър съдържа данни за името и координатите за контакт на Администратора, както и на длъжностното лице по защита на данните. В него е включено подробно описание на всички дейности по обработване, като се посочват:

  • наименованието на съответната дейност или бизнес процес;
  • целите и правните основания за обработването;
  • категориите физически лица, чиито данни се обработват (например клиенти, служители, лица за контакт и др.);
  • видовете лични данни, които се обработват;
  • обработването на специални категории данни, когато е приложимо (например данни за здравословно състояние);
  • източниците, от които се събират личните данни;
  • трети лица, които получават или участват в обработването;
  • мястото на съхранение на данните;
  • сроковете за съхранение и изтриване на различните категории данни, когато това може да бъде определено;
  • общо описание на приложените технически и организационни мерки за сигурност, когато е възможно.

8. Поддържане на регистри на дейностите по обработване на лични данни като обработващ

В определени случаи Дружеството обработва лични данни от името на други администратори (например застрахователни дружества във връзка с туроператорската дейност), като в тези ситуации действа като обработващ.

Съгласно чл. 30, пар. 2 от Регламента, Дружеството води отделен регистър за тези дейности, който съдържа данни за неговите координати, както и за администратора, от чието име се извършва обработването. Регистърът включва:

  • категориите дейности по обработване, извършвани за всеки администратор;
  • трети лица, които получават или участват в обработването;
  • при необходимост – информация за предаване на лични данни към трети държави или международни организации, включително тяхната идентификация;
  • общо описание на приложимите технически и организационни мерки за сигурност, когато това е възможно.

9. Длъжностно лице по защита на данните

Администраторът е определил длъжностно лице по защита на данните (ДЛЗД), което се включва своевременно и по подходящ начин във всички въпроси, свързани със защитата на личните данни.

Основните му функции и правомощия включват:

  • да информира и консултира ръководството и служителите относно задълженията им по Регламента и приложимото законодателство;
  • да следи за повишаване на информираността и обучението на персонала, участващ в обработването на данни;
  • да разработва и предлага вътрешни политики и правила или изменения в съществуващите;
  • да наблюдава необходимостта от промени в дейностите по обработване;
  • да участва в оценката на риска и, при необходимост, в оценка на въздействието върху защитата на данните;
  • да служи като основна точка за контакт със субектите на данни при упражняване на техните права;
  • да съхранява подадените заявления от субекти на данни;
  • да поддържа информация за нарушения на сигурността на личните данни;
  • да води регистрите по чл. 30 от Регламента;
  • да извършва наблюдение, периодична оценка, консултиране и даване на препоръки.

Конкретните отговорности на длъжностното лице по защита на данните са подробно описани в неговата длъжностна характеристика (когато е служител на Дружеството) или в съответния договор за услуги (когато изпълнява функциите външно лице).

10. Права на субектите на данни

Администраторът предприема необходимите действия, за да предоставя на субектите на данни информация относно обработването на личните им данни по ясен, кратък, разбираем и леснодостъпен начин. Осигурява се и съдействие за упражняване на правата съгласно чл. 15–22 от Регламента.

Когато подадените искания са явно неоснователни или прекомерни, особено при повторяемост, Администраторът може да откаже да предприеме действия.

Администраторът гарантира упражняването на следните права:

  • право на информация при събиране на лични данни – независимо дали са предоставени от субекта или от трети лица;
  • право на достъп, включващо:
    • потвърждение дали се обработват лични данни;
    • предоставяне на копие от обработваните данни;
    • информация за целите на обработването;
    • категориите лични данни;
    • получателите или категориите получатели;
    • сроковете за съхранение;
    • правото на коригиране или изтриване;
    • правото на възражение;
    • правото на жалба до надзорния орган;
    • източниците на данните;
    • наличие на автоматизирано вземане на решения, включително профилиране;
  • право на коригиране на неточни или непълни данни;
  • право на изтриване при наличие на законовите основания;
  • право на ограничаване на обработването;
  • право на преносимост на данните;
  • право на възражение;
  • право да не бъде обект на изцяло автоматизирано решение, включително профилиране, когато то има правни последици или съществено го засяга;
  • право да дава, изменя или оттегля съгласие, когато обработването се основава на такова.

Начини за упражняване на правата:

Субектите на данни могат да подават писмени заявления до Администратора по следните начини:

  • лично – в офис на Дружеството в гр. Тутракан, ул. „Силистра" 54, от самото лице или чрез упълномощен представител с нотариално заверено пълномощно;
  • по електронна поща – чрез квалифициран електронен подпис до длъжностното лице по защита на данните;
  • по пощата – чрез нотариално заверено заявление за удостоверяване на самоличността.

Обработване на заявления:

Всички постъпили заявления се изпращат до длъжностното лице по защита на данните, което ги разглежда без неоправдано забавяне. В срок до един месец заявителят се уведомява за предприетите действия или за причините за отказ, както и за възможността да подаде жалба до надзорния орган. При необходимост срокът може да бъде удължен до три месеца, като лицето се уведомява за това в рамките на първоначалния срок.

Предоставяне на информация:

Информацията се предоставя на хартиен носител лично на субекта или на негов упълномощен представител. Когато заявлението е подадено по електронен път, отговорът се изпраща на същия електронен адрес, като файловете са защитени с парола.

11. Съгласие на субекта на данни като основание за обработване

11.1. Основание

Съгласието на субекта на данни е едно от законовите основания за обработване съгласно чл. 6, пар. 1, б. „а" от Регламента. То се предоставя лично – писмено, електронно или по друг определен начин, като трябва да бъде свободно изразено, конкретно, информирано и недвусмислено.

11.2. Субекти на данни

Дружеството може да събира съгласие от всички категории лица, чиито данни обработва, включително клиенти и служители. Съгласието се предоставя писмено чрез декларации след установяване на самоличността и съдържа конкретните цели на обработването.

11.3. Оттегляне

На субектите се предоставя възможност лесно да оттеглят или променят съгласието си без неблагоприятни последици, когато това е възможно. Оттеглянето се извършва по същия ред, по който е дадено съгласието. При оттегляне е възможно Дружеството да не може да предостави определени услуги.

11.4. Събиране на съгласия от клиенти

Съгласията от клиенти се събират чрез:

  • лично предоставяне в офис на Дружеството;
  • изпращане чрез лицензиран пощенски оператор с нотариална заверка;
  • електронно изявление, подписано с квалифициран електронен подпис и изпратено по електронна поща.

11.5. Събиране на съгласия от служители

Съгласията от служители и кандидати за работа се събират:

  • лично чрез звеното по човешки ресурси;
  • чрез служебна електронна поща – за настоящи служители;
  • чрез електронно подписано изявление с КЕП – за бивши служители и кандидати;
  • чрез пощенски оператор с нотариална заверка.

11.6. Онлайн съгласие

Когато услугите се заявяват или използват онлайн и е необходимо съгласие, то се дава и може да бъде оттеглено по електронен път съгласно специални правила.

11.7. Съхранение

Всички дадени съгласия се регистрират и съхраняват от Администратора.

12. Обработване на лични данни чрез обработващи

За осъществяване на дейността си Дружеството може да възлага обработването на лични данни на трети лица (подизпълнители, представители, доставчици на услуги и др.), които действат от негово име и имат качеството на обработващи по смисъла на Регламента. Такива могат да бъдат както юридически лица, така и физически лица, наети по граждански договори.

При възлагане на обработване Администраторът спазва следните принципи:

  • избира обработващи, които гарантират прилагането на подходящи технически и организационни мерки за защита на личните данни;
  • урежда отношенията чрез писмен договор или споразумение, включващо изискванията за защита на данните.

Договорите с обработващите съдържат най-малко:

  • предмета и срока на обработването;
  • целите и характера на обработването;
  • категориите субекти на данни;
  • видовете лични данни, които ще се обработват;
  • правата и задълженията на страните;
  • изискванията към мерките за сигурност, съобразени със спецификата на дейността;
  • задължение за съдействие на Администратора при изпълнение на задълженията му по Регламента;
  • задължение за своевременно уведомяване при нарушение на сигурността;
  • други задължителни условия съгласно чл. 28, т. 3 от Регламента.

13. Правила при нарушаване на сигурността на личните данни

13.1. Основание

Процедурите при нарушения се основават на разпоредбите на чл. 33 и 34 от Регламента.

13.2. Установяване на нарушение от служител

При установяване на нарушение служителят незабавно уведомява длъжностното лице по защита на данните писмено (и при възможност устно), като предоставя информация за естеството и времето на настъпване.

13.3. Сигнали от трети лица

Сигнали могат да се подават:

  • лично в офис на Дружеството след идентификация;
  • по електронна поща с квалифициран електронен подпис;
  • по пощата чрез нотариално заверено съобщение.

13.4. Проучване и мерки

ДЛЗД сформира комисия от компетентни служители, която анализира случая, оценява риска за правата на засегнатите лица и предлага мерки за ограничаване и отстраняване на последиците.

13.5. Уведомяване на надзорния орган

При нарушение Администраторът уведомява Комисията за защита на личните данни в срок до 72 часа от установяването, освен ако няма риск за правата и свободите на физическите лица.

13.6. Уведомяване на субектите на данни

Когато съществува висок риск, засегнатите лица се уведомяват без неоправдано забавяне. Съобщението съдържа:

  • данни за контакт на ДЛЗД;
  • описание на последиците;
  • предприетите или планираните мерки за справяне с нарушението.

Уведомяване може да не се извършва, ако:

  • са приложени ефективни защитни мерки (напр. криптиране);
  • са предприети действия, елиминиращи риска;
  • уведомяването би изисквало непропорционални усилия – в този случай се прави публично съобщение.

13.7. Съхранение

Всички случаи на нарушения се регистрират и съхраняват от Администратора.

13.8. Обучение

Служителите, работещи с лични данни, преминават периодични обучения за действия при нарушения на сигурността.

14. Технически и организационни мерки за защита

14.1. Мерки при дейност като администратор

Дружеството прилага необходимите технически и организационни мерки за защита на личните данни от унищожаване, загуба, неразрешен достъп, изменение или разпространение, както и от други неправомерни действия.

Защитата включва различни нива – физическа, персонална, документална, защита на информационни системи и мрежи, както и криптографска защита. Мерките са съобразени с развитието на технологиите и нивото на риска, свързан с обработването и вида на данните. Подробното им описание е включено в Приложение 1 към Политиката, което подлежи на периодично актуализиране.

14.2. Мерки при дейност като обработващ

Когато Дружеството действа като обработващ за други администратори, конкретните мерки за защита се определят в договорите с тях. При липса на специално уговорени мерки, Дружеството прилага същите стандарти за защита, които използва в качеството си на администратор.

Дата на публикуване: 05.05.2026 г.