Целта на настоящата политика за защита на личните данни („Политиката“) е да определи принципите и правилата за защита на личните данни във "Фондация Устрем - България" Фондация, със седалище и адрес на управление: Република България, гр. Варна, 9003, ул. „Деде Агач“ № 18А, с ЕИК 208121415, тел.: +359 885 194 449, електронна поща: info@aspirebulgaria.com („Устрем - България“, „Ние“ или „Нас“), в случаите когато Устрем – България обработва лични данни в качеството си на администратор. 

Политиката определя процедурата за достъп, събиране, съхраняване, използване, предаване и защита на личните данни в Устрем - България. В Приложение № 1, като неразделна част от Политиката, са дефинирани основните термини, използвани в Политиката.

Политиката се прилага към обработването на лични данни от Устрем – България в контекста на управление на дейности, свързани с доброволци на Устрем - България, участници в програми/семинари/конференции, организатори, ментори, лектори и партньори на Устрем - България. Спазването на Политиката и на всички други документи на Устрем - България, свързани със защита на личните данни, е задължително. 

По-долу можете да намерите кратка информация относно:

• Личните данни, които обработваме, 
• Правното основание, на което обработваме личните данни, 
• Целите, за които използваме личните данни, 
• Принципи на обработване на личните данни, 
• Срок на съхранение на личните данни, 
• Достъп до и предаване на личните данни, и 
• Правата и гаранциите, които ОРЗД предоставя на субектите на данни. 

Използването на лични данни от страна на Устрем - България е предмет на правила и ограничения, определени в законите за поверителност и защита на личните данни в Република България, Европейския съюз („ЕС“) и по света, които Ние спазваме. Тези закони включват Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) („ОРЗД“) и българския Закон за защита на личните данни. 

Ако имате някакви въпроси относно Политиката, моля, обърнете се към Гергана Невянова, на info@aspirebulgaria.com. 

В хода на нашата дейност Ние получаваме, събираме, поддържаме, използваме и споделяме лични данни. Политиката се прилага за всички лични данни, които Ние обработваме в хода на тези дейности, като например: 

1. Лични данни на ментори/лектори, включително информация за бивши и настоящи ментори и лектори. Това може да включва имена и позиция, имейл адрес, телефонни номера, образование и допълнителна квалификация, снимки, профил в социалната мрежа LinkedIn; 
2. Лични данни на кандидати за участие в програма Aspire Impact Academy, събрани в хода на процеса по подбор на участниците в програмата. Това може да включва лични идентификационни данни (имена, години, имейл адреси, телефонни номера, местоживеене, профил в социалната мрежа LinkedIn) и описателни/автобиографични данни (образование, квалификация, професионален опит, позиция, езикови познания), както и други лични данни, изпратени доброволно от кандидата; 
3. Лични данни на спонсори - физически лица и/или на представители на спонсори – юридически лица, включително информация за бивши и настоящи спонсори. Това може да включва имена и данни за контакт (позиции, имейл адреси и телефонни номера); 
4. Лични данни на посетители на събития, семинари, конференции, организирани от Устрем - България. Това може да включва именна, данни за контакт (позиции, компания, имейл адреси, профил в социалната мрежа LinkedIn и телефонни номера) и снимки от съответното събитие.

Някои видове лични данни са допълнително защитени. В ЕС, включително в Република България, това са лични данни за расов или етнически произход, вероизповедание или сходни убеждения, сексуален живот и ориентация, медицинска история, политическа принадлежност и убеждения, членство в синдикати, генетична информация и биометрични данни. Тези данни са наречени в Политиката „Чувствителни лични данни“ и са описани по-подробно в Приложение № 1.

Ние спазваме принципите за обработване на лични данни, изложени в приложимите закони и в Политиката.

Законите за защита на личните данни в Република България и в ЕС изискват да имаме правно основание, което да оправдава обработката на лични данни. Например в ОРЗД са изброени редица основания, въз основа на които можем да обработваме лични данни. Устрем - България ще обработва лични данни в ЕС, включително в Република България, само въз основа на поне едно от тези основания, например ако обработването е необходимо за изпълнението на договор; ако обработването е необходимо за наш легитимен интерес (и няма надделяващи права на Субектите на данни); ако обработването е необходимо за спазването на правно задължение, което ни се налага съгласно българското законодателство или законодателството на ЕС; или ако сме получили съгласието на Субекта на данни.

Доколкото е възможно, в Република България и в ЕС, Ние се стремим да се позоваваме на основание, различно от съгласието, за да оправдаем обработването на лични данни на Субектите на данни. Когато това не е възможно, Ние ще гарантираме, че такова съгласие е получено валидно в съответствие с ОРЗД или друго приложимо право (например съгласно ОРЗД, за да бъде съгласието валидно, то трябва да бъде (наред с други неща) свободно дадено, информирано и да може да бъде оттеглено).

При обработката на Чувствителни лични данни се прилагат допълнителни основания (моля вижте точка 4.3 по-долу).

При обработването на лични данни Устрем - България ще обясни на Субектите на данни как ще бъдат използвани тези данни и ще предостави всяка друга информация, изисквана от закона.

Ние сме коректни и прозрачни по отношение на Субектите на данни на това защо и как събираме и обработваме лични данни за тях. Ние гарантираме това, като предоставяме уведомления на Субектите на данни. Уведомленията са лесно достъпни, ясни и кратки, лесни за разбиране и достъп и включват цялата информация, изисквана от приложимото законодателство, което за Устрем - България включва: 

• самоличността и данните за контакт на Устрем - България;
• целите на обработването;
• категориите обработвана лична информация и категориите получатели на тези лични данни; 
• правното основание за обработване (и естеството на законните интереси на Устрем - България, когато се разчита на това правно основание); 
• списък на правата на Субекта на лични данни, свързани с неговите/нейните лични данни (виж точка 4.13 по-долу);
• правото, във всеки един момент, да се оттегли съгласието (когато съгласието е правно основание за обработване на личните данни); 
• получателите или категориите получатели на личните данни, ако има такива; 
• подробности относно планираното трансгранично предаване на лични данни и използваните предпазни мерки, обосноваващи предаването (например използването на договори за защита на информацията);
• срока, за който се съхраняват личните данни, или критериите, използвани за определяне на този срок;
• право на подаване на жалба до орган за защита на данните;
• дали предоставянето на лични данни е законово или договорно изискване, дали предоставянето е задължително и какви са последиците от отказа за предоставяне на такива лични данни;
• начините за свързване със съответното лице, отговорно за защита на данните в Устрем - България, назначено в съответствие с приложимото законодателство, включително данните за контакт с това лице; и
• подробности за всяко чисто автоматизирано вземане на решения за даден Субект на данни, включително подробности за използваната логика и потенциалните последици за засегнатите лица.

Уведомлението може да бъде предоставено по различни начини, включително писмено и по електронен път, в зависимост от контекста, и се предоставя при първото събиране на лични данни или възможно най-скоро след това. В ограничени случаи може да не е необходимо да предоставяме уведомление, например защото Субектът на данни вече разполага с информацията или предоставянето на уведомлението може да се окаже невъзможно или да изисква непропорционални усилия. 

Устрем - България няма да обработва Чувствителни лични данни. Все пак, в случай че има ситуация, при която Устрем – България обработва Чувствителни лични данни, то Устрем - България ще спазва всички законови изисквания в тази връзка, както и необходимостта от прилагане на засилени мерки за сигурност на тези Чувствителни личните данни.

Устрем - България е отговорно за спазването на законодателството в сферата на защита на личните данни при обработката на лични данни. Устрем - България е в състояние да докаже, че спазва законодателството в сферата на защита на личните данни.

Когато това се изисква от приложимото законодателство, Устрем - България гарантира, че неприкосновеността на личния живот се взема предвид в началото на дейностите по защита на личните данни и че по подразбиране Ние обработваме само минималния брой лични данни, необходими за постигане на предвидената цел.

Устрем - България е приело адекватни технически мерки (като технологични и софтуерни решения) и организационни мерки (като политики, процеси и контрол) за защита на личните данни от самото начало на всяка дейност по обработване на лични данни. 

Устрем - България използва личните данни, които събира, само за конкретни, изрични и легитимни цели, които Ние сме обяснили на Субектите на данни (например: за организиране и/или провеждане на програмата Aspire Impact Academy, на събития, на конференции и други, за маркетингови дейности – например: предложения за участие в нови/други семинари и събития) и не обработваме допълнително лични данни по начин, който е несъвместим с целите, за които те са били първоначално събрани.

На практика това означава, че Ние винаги имаме ясна и легитимна цел, за която събираме лични данни, и ги използваме само за тази цел и за съвместими цели. 

Устрем - България събира само лични данни, които са адекватни, релевантни и ограничени до това, което е необходимо за предвидените цели.

На практика това означава, че Ние сме наясно какви лични данни са ни необходими за постигане на нашата цел и гарантираме, че събираме само този минимум данни. Ние не събираме лични данни „за всеки случай“ ако ни потрябват в бъдеще, или защото е „хубаво да ги имаме“. 

Устрем - България предприема подходящи мерки, за да гарантира, че обработваните от Нас лични данни са точни и, когато е необходимо, се актуализират.

Ние извършваме редовни проверки, за да гарантираме точността на личните данни, които Ние съхраняваме, включително, доколкото е необходимо, да изпращаме напомняния на Субектите на данни да актуализират личните данни в своите досиета или сметки. 

Устрем - България не съхранява лични данни във форма, която позволява идентифицирането на Субекти на данни за по-дълго време, отколкото е необходимо за целите, за които тези лични данни се обработват, или от законово установения срок, когато това е приложимо.

Личните данни, които обработваме, се съхраняват само толкова дълго, колкото е необходимо, за да постигнем целта на обработката или за да спазим законово или регулаторно изискване, и се архивират и изтриват в съответствие с приложимите срокове за съхранение. 

Устрем - България е приело и поддържа подходящи технически и организационни мерки за сигурност, за да гарантира, че личните данни не са изложени на риск и се обработват в съответствие с нашите стандарти за сигурност.

Устрем - България прилага подходящи мерки за сигурност, за да защити личните данни срещу случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп и срещу всички други незаконни форми на обработване. 

Устрем - България реагира на всички инциденти и нарушения на сигурността на личните данни.

Когато това се изисква по закон, Устрем - България ще уведомява органите за защита на лични данни за нарушения на сигурността, които излагат на риск личните данни, в съответствие с приложимите срокове. При определени обстоятелства може да се наложи Устрем - България да уведоми и засегнатите физически лица. Възможно е да се наложи да уведомим и други външни страни (например да уведомим нашите спонсори или да осъществим връзка с пресата).

Когато ангажира доставчици на услуги за обработване на лични данни от Наше име, Устрем - България използва тези доставчици на услуги, които предоставят достатъчни гаранции, за да се гарантира спазването на съответните изисквания на приложимото законодателство в сферата на защитата на лични данни, и само след подписване на подходящи договорни условия.

Когато назначаваме обработващ лични данни (т.е. доставчик на услуги, който обработва лична информация от Наше име), се уверяваме, че те предоставят достатъчни гаранции за защита на личните данни, която обработват за Устрем – България и им предоставяме достъп само тези лични данни, които е необходимо да знаят и/или е необходимо да ползват, за да изпълнят задълженията си. 

В зависимост от местонахождението си Субектите на данни могат да имат определени права по отношение на личните данни, които Устрем - България обработва за тях. Когато това се изисква от закона, Устрем - България спазва тези права и удовлетворява исканията бързо и в съответствие със законовите изисквания.

Конкретните права, от които може да се възползва даден Субект на данни, зависят от местоположението му. В ЕС тези права включват, в допълнение на споменатите в 4.2 по-горе:

• Право на достъп: Субектите на данни могат да получат потвърждение дали Ние обработваме лични данни за тях и да им бъде предоставена подробна информация за тези лични данни и достъп до тях.
• Право на коригиране: Субектите на данни могат да поискат от Нас да коригираме всички неточни лични данни, които обработваме за тях.
• Право на изтриване („право да бъдеш забравен“): Субектите на данни могат да поискат от Нас да изтрием личните им данни на определени основания.
• Право на преносимост на данните: Субектите на данни могат да поискат да получат определени лични данни, отнасящи се до тях, в структуриран, широко използван и пригоден за машинно четене формат и да предадат тази информация на друго дружество, ако са налице определени основания за това.
• Право на ограничаване: Субектите на данни могат да ограничат начина, по който Ние обработваме техните лични данни; все пак, Ние можем да използваме ограничените лични данни при определени обстоятелства (например, лични данни, необходими за правни искове).
• Право на възражение: Субектите на данни могат да възразяват срещу обработката на лични данни за тях (включително използването на личната им информация за целите на директния маркетинг), ако са налице определени основания.
• Право на оттегляне на съгласието за обработване: В случай че личните данни се обработват на основание предоставено съгласие, във всеки един момент, Субектите на данни имат право, да оттеглят съгласието си. Оттеглянето няма да повлияе на законосъобразността на обработването, основаващо се на съгласие преди неговото оттегляне. 
• Права, свързани с автоматизирано вземане на решения и профилиране: моля вижте точка 4.16 по-долу.

Може да упражните правата по-горе като се свържете с Гергана Невянова на info@aspirebulgaria.com.

Когато тези права се прилагат, Устрем - България разглежда такива искания бързо и ефективно, в рамките на приложимите срокове, изисквани от закона, освен ако няма основание да не го направи (например когато искането на Субекта на данни е явно неоснователно или повтарящо се). 

Устрем - България няма да предава лични данни на (или да предоставя достъп до лични данни от) други държави. 

Когато това се изисква от приложимото законодателство, личните данни могат да бъдат предадени на получател в друга държава или на получател извън Европейското икономическо пространство („ЕИП“), при условие че са предприети подходящи стъпки, за да се гарантира, че тези данни ще останат защитени по законен начин. Такива подходящи стъпки могат да включват сключване на споразумение за предаване на лични данни с получателя въз основа на стандартни договорни клаузи, одобрени от Европейската комисия.

Устрем - България контролира разкриването на лични данни и гарантира, че всяко разкриване е законосъобразно.

Устрем - България разкрива лични данни на трети страни или правоприлагащи органи, когато законът изисква или позволява да направим такова разкриване.

Устрем - България зачита правото на Субектите на данни да не бъдат обект на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда правни последици или по подобен начин ги засяга в значителна степен.

Устрем - България няма да извършва обработване на лични данни, което води до автоматизирано вземане на решения, свързани със Субекти на данни и тяхното профилиране. 

Ще разглеждаме жалби или спорове относно обработката на лични данни от страна на Устрем - България незабавно и в съответствие с приложимото законодателство. Когато е уместно, ще си сътрудничим с регулаторите на защитата на личните данни при разследването и разрешаването на жалби и ще се стремим добросъвестно да спазваме техните съвети.

Ако разберат за ситуация, която може да включва потенциално или действително нарушение на Политиката или на приложим закон или друга политика или процедура на Устрем - България – независимо дали е умишлено или неумишлено – може да се свържете с Устрем – България по следния начин:

• info@aspirebulgaria.com
• +359 885 194 449

В случай че считате, че личните Ви данни не се обработват законосъобразно или че някое от правата Ви, свързани със защитата на лични данни, е нарушено, имате право да подадете жалба до Комисия за защита на личните данни на Република България, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, телефон: 02/91 53 519, електронна поща: kzld@cpdp.bg, интернет страница: https://www.cpdp.bg/. 

Също така имате право да търсите защита на правата си по съдебен ред.

Устрем - България може да актуализира Политиката от време на време, за да отрази промените в приложимото законодателство, регулаторните насоки и/или нашите бизнес практики. Промените в тази Политика ще бъдат публикувани на интернет страницата на Устрем - България.

Можете да повдигнете всякакви въпроси относно обработката на лични данни от Устрем - България, като се свържете с Гергана Невянова на +359 885 194 449..

Политиката е приета на 15.01.2025 г. и последно актуализирана на 05.03.2025 г.

Приложение № 1: Основни дефиниции за защита на личните данни

По-долу е посочено значението на някои ключови термини, използвани в Политиката:

• Субект на данни (или физическо лице) означава идентифицираното или подлежащо на идентификация физическо лице, за което се отнасят личните данни. Различните физически лица, за които Устрем - България обработва данни, са субекти на данни. Например, това обикновено може да бъде участник в програмата Aspire Impact Academy, ментор, посетител на събитие (но може да бъде и друго физическо лице за всеки отделен случай).
• Лични данни означава всякакви данни, свързани с идентифицирано или подлежащо на идентифициране физическо лице. Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице;
• Обработване означава всяка операция или набор от операции, които се извършват с лични данни или с набори от лични данни, независимо дали с автоматични средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространяване или предоставяне по друг начин, подреждане или комбиниране, ограничаване, изтриване или унищожаване. Почти всичко, което Устрем - България прави с лични данни, е „обработване“;
• Чувствителни лични данни означава данни, които се отнасят до расовия или етническия произход, политическите възгледи, религиозните или философските убеждения, членството в синдикати, генетичните данни или биометричните данни, обработвани с цел уникално идентифициране на физическо лице, данните за здравето или данните за сексуалния живот или сексуалната ориентация на физическо лице.