CONFIDENTIALITY AND PERSONAL DATA PROTECTION POLICY

INTRODUCTION
In the regular course of our business, SMARTOTEL Jsc., UIC (Unified Identification Code): 207032636, with headquarters and management address: 1124, city of Sofia, 23 Mizia Str. (the “Company“, “We“, “Us“), processes information, including personal data.
This Policy aims to inform you of our processes of handling your personal data in our capacity as administrator, as well as brief you on your rights.
The personal data protection is of exceptional significance for us. The Company strictly observes the principle of confidentiality in the processing of your personal data. In the events in which your data are presented to third persons, these shall be either the competent authorities entitled to access it by law or our contractors which process the information on our behalf following our instructions and applying our standard for protection of your personal data. We aim to present information on the handling of your personal data with the utmost clarity, in a specific and transparent manner.
At your request, the full contents of the Confidentiality and Personal Data Protection Policy of the Company shall be made available to you.

1. WHAT PERSONAL INFORMATION WE COLLECT
The Company collects, uses, stores and processes solely those personal data it needs for the provision of the relevant tourist services. In particular, the data ratified by the Minister of Tourism pursuant to Art. 116, Para. 1 of the Tourism Act shall be processed as follows: Name of the person; PIN/PFN; Date of birth; Gender; Citizenship; Number of identity card/valid national identity paper;
For the purposes of the tourist services rendered by it the Company also processes personal data of children, and the same are presented to the Company by the tour operators, the parents of the child or by third persons who by the operation of law or a contract exercise the supervision over the child.
With a view towards the provision of a tourist service adequate to the guests’ requirements, the Company also collects sensitive data about their health status and in particular, whether the same suffer from certain allergic conditions, or whether they have some impairment which necessitates specific care on the part of the hotelier.
Further to the data and information indicated hereinabove, i.e., the address of the user (inclusive of his electronic address), his/her telephone number and the details of the means of payment shall also be collected for the issuance of an invoice.
In addition, with the preliminary consent of the guests, we can also sent follow-up offers, promotions and marketing communications.

2. ON WHAT GROUNDS AND FOR WHAT PURPOSES WE PROCESS YOUR PERSONAL DATA
The Company processes personal date for the following main activities, objectives and grounds:
(i) Leading grounds and objective shall be the provision of the services of the Company to the tourists as well as the evaluation, the analysis and the improvement of these services – i.e. the processing is needed for the execution of a contract to which the provider of the data is a party, or to undertake steps requested by the owner of the data prior to the actual conclusion of a contract.
(ii) For compliance with the obligations of the Company under the Tourism Act, the Civil Registration Act, the Accountancy Act and other applicable legislative acts.
(iii) For the protection of the legitimate interests of the administrator or of a third party – (а) the protection, exercise or preservation of the legal rights and safeguards, the preservation of the property of the Company, its related persons or their employees and contractors; (b) the protection of the personal safety and security of the users of the services of the Company and of unrelated parties; (c) fraud protection of the Company as well as of other unrelated parties – users of the services of the Company and, finally, for risk management.
The legitimate interests of the administrator include the execution of a corporate transaction such as a restructuring, the sale of the enterprise, cession, assignment or another disposition of the entire or a part of the business / the activity / the commercial enterprise / the assets or the shares of the Company.
(iv) Marketing activities of the Company pursuant a prior consent.

 

3. HOW WE PROCESS YOUR PERSONAL DATA

The personal data are processed both by automatic means and manually and are protected through appropriate security measures, balancing modern technology and practices with the cost of their implementation, as well as the nature, the scope, the context and the objective of the processing, as well as, with various probability and weights, the risks to the rights and the freedoms of the natural persons.
To that end, the Company implements appropriate administrative, technical, staff and physical measures to protect the personal data in its possession from illegal processing, loss, theft and non-permitted use, disclosure or modification.

4. DISCLOSURE OF YOUR PERSONAL DATA
The Company may share your personal data with:
(i) Providers of services;
(ii) Affiliates;
(iii) The competent authorities and bodies to discharge our obligations under applicable laws.
In the event that the Company shares information about you with third parties – providers or third parties, we employ mechanism to ensure that they provide a level of protection of the data in conformity with the agreed standard for the purpose. Your data shall be treated as confidential by our partners as well.
We may be required to disclose your personal information by the operation of a statute, in a formal investigation, or in connection with a lawsuit or litigation and/or following a request by a public or governmental authority from within or without your country of residence. We may also disclose information about you if we establish that for the purposes of the national security, the law enforcement or other problems of social significance, such disclosure is needed or relevant.
It is possible that we should also disclose information about you if we establish that such disclosure is substantiated as needed for the application of our rules and conditions or for the protection of our activities or users. In addition, in the context of a reorganization, amalgamation or a sale of our business, it is possible that we transfer any and all personal data in our possession to a third party.

5. TRANSFER IN THIRD COUNTRIES
The Company, as a rule, does not disclose personal data, except to affiliates, to recipients in countries outside the EU. In exceptional circumstances, it is possible that the data should be transferred to countries outside the EU by the operation of a contract between the Company and an outside service provider. In such an event, the Company guarantees that this transfer should be made in full conformity of the relevant requirements under the law, ensuring an adequate level of protection of the personal data (inclusive of but not limited to, standard clauses for transfer, approved by the European Commission). If the partners of the Company are in the USA, the Company should verify their certification under Privacy Shield, which is a legal mechanism allowing for the transfer of data to this country.

6. WHAT ARE YOUR RIGHTS WITH REGARD TO YOUR PERSONAL DATA
If you have presented your personal data to the Company you are entitled at any time to:
(i) Receive access to the data provided by you which access is stated in a confirmation whether the provided personal data exist or not and what their contents are as well as verify the precision of the personal information on file; request correction, an update or a change;
(ii) Request deletion, anonymization or limitation of the processing of the personal data if the same are processed in violation of the applicable legislation;
(iii) Make an objection against the processing of the personal data on legal grounds;
(iv) Request portability of the data;
(v) Refuse to provide your consent, in the events when the consent constitutes grounds for the processing of the personal data;
(vi) Withdraw a consent that you had previously provided for the processing of personal data;
(vii) File a complaint with the Commission for Personal Data Protection, if you consider that your rights for personal data protection were infringed;
(i) Your rights under paragraph (i) – (vi) can be exercised by sending an electronic message to E-Mail: [ ] or through sending a letter to postal address: 1124, city of Sofia, 23 Mizia Str., Attention the Data Protection Official.
Model forms were developed in connection with the exercise of your rights, which are available at the reception desk of the hotel.
Your requests will be considered in up to 20 (twenty) working days.
The Company may refuse to process requests which are groundlessly repeated, require disproportionate technical efforts, threaten the confidentiality of other users, applications, or where the identity of the applicant may not be confirmed, regardless of the required additional information.
The exercise of your rights (with the exception of the requests under the preceding paragraph) is not subject to the payment of a fee.

7. STORAGE OF THE PERSONAL INFORMATION
We will keep your personal information for a period needed for the attainment of the objectives set up in this Personal Data Protection Policy. In any case, the following periods of preservation shall be applied at the processing of the personal data for the objectives indicated herein below:
(i) The data collected for the objectives indicated in Section Three, paragraph (i) – (iii) shall be preserved for the time of the provision of the service by the Company adding also the duration of the limitation period in conformity with the applicable legislation, after the termination of the service;
(ii) The data collected for the purpose, indicated in Section Three, paragraph (iv) shall be preserved for a period of 24 months from their collection;
(i) The data representing sensitive information shall be destroyed promptly after the termination of the provision of the service.
After the expiration of the period of preservation, the personal data shall be deleted or anonymized.

8. VIDEO MONITORING
The common areas of the hotel are covered by 24-hour video monitoring which is exercised through appropriately located stationary security cameras.
The video monitoring we employ is aimed at the protection, the exercise or the preservation of the legal rights, security and the safety or the property of the Company and its employees and partners, as well as for the provision of the protection, safety and security of the hotel guests and the members of the general public.
The video monitoring is organized and controlled by employees of the Company, where the manager of the security company of the hotel which has the status of a personal data processor also has an access to the data.
The records are stored on video-servers for a term of 14 days, except with a recorded infringement of the rights of the Company, the tourists or the third persons, in which event the term of preservation of the records may be extended.
You are entitled to request a review of the records if you claim infringement of rights, which refer to you or to a person, with regard to whom you exercise supervision, and your request shall be considered within a 3-day term.
The Company may refuse to consider requests which are groundlessly repeated, require disproportionate technical efforts or threaten the confidentiality of other users.


9. VALIDITY AND UPDATING OF THE POLICY.
It is possible for us periodically to update our Personal Data Protection Policy. In event of an amendment in this policy, you shall be notified in due time in an appropriate manner as of the time of the receipt of your personal data.


10. CONTACT DATA.
If you wish to contact us on issues related to this Policy or the protection of the personal data in the Company, you may do it in the following manners:
(ii) At E-mail address – [ ]
(iii) 1124, city of Sofia, 23 Mizia Str., Attention: the Data Protection Official.

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

ВЪВЕДЕНИЕ
Извършвайки дейността си, “СМАРТОТЕЛ“ АД, ЕИК: 207032636, със седалище и адрес на управление: гр. София 1124, ул. „Мизия“ No 23, („Дружеството“, „ние“, „нас“), обработва информация, между която и такава, представляваща лични данни.
Настоящата Политика има за цел да Ви информира за начина, по който обработваме Вашите лични данни в качеството си на администратор, както и за Вашите права.
Защитата на личните данни е от изключителна важност за нас. Дружеството стриктно спазва принципа на поверителност при обработването на Вашите лични данни. В случаите, в които Вашите данни се предоставят на трети лица, то това са или компетентните органи имащи права на достъп по закон, или наши изпълнители, които обработват информацията от наше име, следвайки инструкциите ни и прилагайки нашия стандарт за защита на личните Ви данни. Ние се стремим да бъдем максимално ясни, конкретни и прозрачни в информацията относно обработването на личните Ви данни, която Ви предоставяме.
При поискване от Ваша страна, ще Ви бъде предоставена в пълното й съдържание Политиката на Дружеството за поверителност и защита на личните данни.

1. КАКВА ЛИЧНА ИНФОРМАЦИЯ СЪБИРАМЕ
Дружеството събира, използва, съхранява и обработва само тези лични данни, които са му нужни за предоставяне на съответните туристически услуги. По-конкретно, обработват се данните, утвърдени от министъра на туризма, съгласно чл.116, ал.1 от Закона за туризма, както следва: Име на лицето; ЕГН/ЛНЧ; Дата на раждане; Пол; Гражданство; Номер на лична карта/валиден национален документ за самоличност;
За целите на предоставяните от него туристически услуги Дружеството обработва и лични данни на деца, като същите се предоставят на Дружеството от туроператорите, родителите на детето, или от трети лица, които по силата на закон или договор осъществяват надзора върху детето.
С оглед предоставяне на адекватна на изискванията на гостите туристическа услуга, Дружеството събира и чувствителни данни относно тяхното здравословно състояние и по-конкретно, дали същите страдат от определени алергични състояния, респективно дали при същите е налице определено увреждане, което да налага специфична грижа от страна на хотелиера.
За издаване на фактура се събират освен горепосочените данни и информация относно адреса на потребителя (включително и електронния му адрес), телефонният му номер и използваното средство за плащане.
В допълнение, с предварителното предварителното съгласие на туристите, на същите могат да бъдат изпращани оферти, промоции и маркетингови съобщения.

2. НА КАКВО ОСНОВАНИЕ И ЗА КАКВИ ЦЕЛИ ОБРАБОТВАМЕ ВАШИТЕ ЛИЧНИ ДАННИ
Основните дейности, цели и основания, които са свързани с обработване на личните данни за Дружеството са следните:
(i) Водещо основание и цел е предоставянето на туристите на услугите на дружеството, както и оценката, анализа и подобряването на тези услуги – т.е., обработването е необходимо за изпълнението на договор, по който субектът на данни е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.
(ii) Същевременно, обработването на определени лични данни е необходимо за спазването на законови задължения на Дружеството по Закона за туризма, Закона за гражданската регистрация, Закона за счетоводството и други приложими нормативни актве.
(iii) Обработването е необходимо и за защита на легитимните интереси на администратора или на трета страна – (а) защитата, упражняване или запазване на законовите права, неприкосновеността, безопасността или собствеността на Дружеството, неговите свързани лица или техните служители и контрагенти; (б) защита на безопасността, неприкосновеността и сигурността на потребителите на услугите на Дружеството и членовете на обществото; (в) защитата на Дружеството, както и на други трети лица – потребители на услугите на Дружеството срещу измама или за целите на управлението на риска.
В обхвата на легитимните интереси на администратора се включва осъществяването на корпоративна сделка, като преструктуриране, продажба на предприятието, преотстъпване, прехвърляне или друго разпореждане с целия или част от бизнеса/дейността/търговското предприятие/активите или акциите на Дружеството. .
(iv) Маркетинг дейности на Дружеството на основание дадено съгласие.

 

3. КАК ОБРАБОТВАМЕ ВАШИТЕ ЛИЧНИ ДАННИ

Личните данни се обработват както с автоматични средства, така и ръчно и са защитени чрез подходящи мерки за сигурност, като се отчитат постиженията на техническия прогрес, разходите по изпълнението, както и естеството, обхвата, контекста и целта на обработката, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица.
За тази цел Дружеството въвежда подходящи административни, технически, кадрови и физически мерки, за да опази личните данни, с които разполага от неправомерно обработване, загуба, кражба и неразрешено ползване, разкриване или модифициране.

4. РАЗКРИВАНЕ НА ВАШИТЕ ЛИЧНИ ДАННИ
Дружеството може да споделя Вашите лични данни с:
(i) доставчици на услуги;
(ii) нашите свързани лица;
(iii) компетентните органи и организации с оглед спазване на приложимото законодателство.
За случаите, в които Дружеството споделя информация за Вас с трети лица – доставчици или свързани лица, налице са механизми, с които се гарантира, че те предоставят ниво на защита на данните според уговорения стандарт за това. Вашите данни се считат за поверителни и за нашите партньори.
Възможно е да се наложи – по закон, при съдебен процес, при съдебен спор и/или по заявка от страна на обществени и правителствени органи в или извън Вашата страна на местоживеене – Дружеството да разкрие личната Ви информация. Възможно е и да разкрием информация за Вас, ако установим, че за целите на националната сигурност, правоприлагането или други проблеми от обществена значимост, такова разкриване е необходимо или уместно.
Възможно е и да разкрием информация за Вас, ако установим, че такова разкриване е обосновано необходимо за прилагането на нашите правила и условия, или за да защитим своите дейности или потребители. Освен това, в случай на реорганизация, сливане или продажба е възможно да прехвърлим всякаква и цялата събрана лична информация на съответната трета страна.

5. ТРАНСФЕР В ТРЕТИ СТРАНИ
Дружеството по правило не прехвърля лични данните извън Свързаните лица в трети страни извън ЕС. В отделни случаи е възможно данните да бъдат прехвърлени в трети страни по силата на договор между Дружеството и дружество, действащо като изпълнител за определени услуги. В тези случаи Дружеството гарантира този трансфер да бъде извършен при пълно съответствие на законовите разпоредби за това, като гарантира нивото на защита на личните данни (включително но не само сключване на стандартни клаузи за трансфер, одобрени от Европейската Комисия). Ако партньорите на Дружеството се намират в САЩ, Дружеството следва да провери тяхната сертификация по Privacy Shield, който е юридически механизъм, позволяващ трансфер на данни към тази страна.

6. КАКВИ СА ВАШИТЕ ПРАВА ПО ОТНОШЕНИЕ НА ЛИЧНИТЕ ВИ ДАННИ
Ако сте предоставили Ваши лични данни на Дружеството, Вие по всяко време имате право да:
(i) получите достъп до данните, предоставени от Вас, който достъп се изразява в потвърждение дали предоставените лични данни съществуват или не и какво е тяхното съдържание както и да проверите точността на обработваната лична информация, а също и да поискате коригиране, актуализиране или изменение;
(ii) поискате изтриване, анонимизиране или ограничаване на обработването на личните данни, ако същите се обработват в нарушение на приложимото законодателство;
(iii) направите възражение срещу обработването на личните данни на законните основания;
(iv) поискате преносимост на данните;
(v) откажате да предоставите съгласието си, в случаите в които съгласието е основание за обработването на личните данни;
(vi) оттеглите предоставеното от Вас съгласие за обработване на личните данни;
(vii) заявите жалба до Комисията за защита на личните данни, ако считате, че са нарушени правата Ви за защита на личните данни;
Упражняването на правата по параграф (i) – (vi) се осъществява чрез изпращане на електронно съобщение на E-Mail: [ ] или чрез изпращане на писмо на пощенски адрес: гр.София 1124, ул. „Мизия“ № 23, На вниманието на Дъжностното лице за защита на данните.
Във връзка с упражняването на правата Ви са изготвени образци, които могат да Ви бъдат предоставени на рецепцията на хотелския комплекс. .
Вашите искания ще бъдат разгледани в срок до 20 (двадесет) работни дни.
Дружеството може да откаже да обработи заявки, които се повтарят неоснователно, изискват несъразмерни технически усилия, застрашават поверителността на други потребители, заявки, или при които самоличността на заявителя не може да бъде потвърдена, независимо от изисканата допълнителна информация.
Упражняването на Вашите права (с изключение на случаите по предходния абзац) не е обвързано със заплащане на такса.


7. СЪХРАНЕНИЕ НА ЛИЧНАТА ИНФОРМАЦИЯ
Ще задържим личната ви информация за период, необходим да бъдат изпълнени целите, изложени в настоящата Политика за защита на личните данни. Във всички случаи, следните периоди на запазване ще се прилагат при обработката на личните данни за посочените по-долу цели:
(i) Данните, събирани за целите, посочени в Раздел Трети, параграф (i) – (iii) се запазват за времето на предоставяне на услугата от Дружеството, като се добави и продължителността на давностния срок съгласно приложимото законодателство, след прекратяване на услугата;
(ii) Данните, събирани за целта, посочена в Раздел Трети, параграф (iv) се запазват за период от 24 месеца от събирането им;
(i) Данните, представляващи чувствителна информация се унищожават незабавно след прекратяване на предоставянето на услугата.
След изтичане на периода на запазване, личните данни се заличават или анонимизират.


8. ВИДЕОНАБЛЮДЕНИЕ
Общите площи на хотела са обект на денонощно видеонаблюдение, което се осъществява чрез разположени на съответните места стационарни охранителни камери.
Видеонаблюдението се осъществява с цел защитата, упражняване или запазване на законовите права, неприкосновеността, безопасността или собствеността на Дружеството и неговите служители и контрагенти, както и за обезпечаване безопасността, неприкосновеността и сигурността на туристите и членовете на обществото.
Видеонаблюдението се организира и контролира от служители на Дружеството, като ръководителят на охранителната фирма на хотела, която има статута на обработващ личните данни, също има достъп до данните.
Записите се съхраняват на видео-сървъри за срок от 14 дни, освен при записано нарушение на правата на Дружеството, туристите или третите лица, в който случай срокът на пазене на записите може да бъде продължен.
Имате право да поискате преглед на записите, ако твърдите нарушение на права, които се отнасят до Вас или до лице, по отношение на което упражнявате надзор, като искането Ви ще бъде разгледано в 3-дневен срок.
Дружеството може да откаже да разгледа искания, които се повтарят неоснователно, изискват несъразмерни технически усилия или застрашават поверителността на други потребители.


9. ВАЛИДНОСТ И АКТУАЛИЗИРАНЕ НА ПОЛИТИКАТА.

Възможно е периодично да актуализираме своята Политика за защита на личните данни. При промяна в настоящата политика, ще бъдете своевременно уведомени по подходящ начин към момента на получаването на Вашите лични данни.


10. ДАННИ ЗА КОНТАКТ.
Ако желаете да се свържете с нас по въпроси, свързани с настоящата Политика или защитата на лични данни в Дружеството, можете да го направите по следните начини:
(i) На E-mail адрес – [ ]
(ii) По пощата: гр.София 1124, ул. „Мизия“ № 23, На вниманието на длъжностното лице за защита на данните.