Политика за защита на личните данни

  1. Въведение

            Дружеството е администратор на лични данни, като обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им.

Настоящата Политика за защита на личните данни  има за цел да Ви информира какви лични данни се обработват от Администратора, защо и как се обработват, кога е необходимо да се разкриват на трети лица. Също така, с нея се предоставя информация за правата, които субектите на данните имат във връзка с обработването на лични им данни от Администратора съгласно Регламент (ЕС) 2016/679 (ОРЗД) и Закона за защита на личните данни.

Настоящата политика се отнася до всички дейности по обработването на лични данни, които организацията на Администратора обработва от различни източници.

Трети страни, които работят с или за Администратора, в т.ч. партньори, външни доставчици, клиенти, посетители и др., както и които имат или могат да имат достъп до личните данни на Администратора, са длъжни да се запознаят и съобразят с тази политика.

 

  1. Обхват, очертан от Общия регламент за защита на данните

 

Регламент (ЕС) 2016/679 (Общ регламент за защита на данните – ОРЗД) замества Директивата 95/46/ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните – членки в областта на защитата на личните данни. Неговата цел е да защитава „правата и свободите“ на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.

Материален обхват (член 2) – Общият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни (например ръчно и на хартия), които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

Териториален обхват (член 3) – правилата на Общия Регламент важат за всички администратори на лични данни, които са установени в ЕС, които обработват лични данни на физически лица, в контекста на своята дейност. Прилага и за администратори извън ЕС, които обработват лични данни с цел да предлагат стоки и услуги или ако наблюдават поведението на субектите на данни, които пребивават в ЕС.

 

  1. Определения

 

  • „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
  • „Специални (чувствителни) категории лични данни“ представляват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, както и всички други лични данни, които се определят от приложимото право като специални.
  • „Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  • „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
  • „Субект на данните“ е всяко живо физическо лице, което е идентифицирано или може да бъде идентифицирано.
  • „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
  • „Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
  • „Нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
  • „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
  • „Трета страна“ означава всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, Администратора, обработващия лични данни и лицата, които под прякото ръководство на Администратора или на обработващия лични данни имат право да обработват личните данни;
  • „Надзорен орган“ означава независим публичен орган, създаден от държава членка и отговорен за наблюдението на прилагането на Регламент (ЕС) 2016/679. В България това е Комисията за защита на личните данни /КЗЛД/ с адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2, електронна поща: kzld@cpdp.bg, интернет страница: cpdp.bg, тел.: 02/91-53-555

 

  1. Принципи за защита на данните

 

Администраторът извършва обработването на личните данни в съответствие с принципите за защита на данните, посочени в ОРЗД. Политиките и процедурите на Администратора имат за цел да гарантират спазването на тези принципи.

В тази връзка личните данни се обработват законосъобразно, добросъвестно и прозрачно.

Законосъобразно – Преди самото обработване на личните данни администраторът идентифицира законна основа. Това са т. нар „основания за обработване“, например „съгласие“.

Добросъвестно – За да може обработването да бъде добросъвестно, администраторът на данни предоставя определена информация на субектите на данни, необходима във всеки конкретен случай и за всяка конкретна цел, по разбираем, кратък и достъпен за субекта на данни начин. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.

Прозрачно – Информацията се съобщава на субекта на данните в разбираема форма, като се използва ясен и разбираем език.

 

  1. Видове лични данни, които се обработват от Администратора

Личните данни, събирани и обработвани от Администратора, са:

 

  • Когато се регистрирате в сайта, ние събираме следните категории лични данни: Вашите имена и имейл адрес.
  • Когато закупите нещо от онлайн магазина, като част от процеса на покупко-продажба, ние събираме следните категории лични данни: Вашите имена, адрес, телефон и имейл адрес.
  • Технически данни- Когато разглеждате онлайн магазина, ние автоматично получаваме данни за браузъра, който използвате, бисквитки, IP адрес, насочваща страница (referrer).
  • Когато се абонирате за нашия бюлетин като ни предоставите имейл адреса си, ние го използваме, за да Ви изпращаме имейли за електронния магазин, нови продукти и текущи промоции.
  • Когато искате да върнете закупена стока и ако последната подлежи на връщане, Вие ни предоставяте Вашия IBAN, за да можем да Ви върнем парите за върнатата стока.
  • Създаване на профил и управление –Всеки потребител при регистриране на профил въвежда информацията по-горе и е отговорен за нейната достоверност. При регистрация той въвежда свой емейл и всяка понататъшна комуникация свързана с личните данни се провежда само и единствено на регистрирания емейл.

Отговорност на потребителя е да съхранява данните си за достъп(емейл и парола) и в случай на необходимост трябва да уведоми админстрацията за неоторизиран достъп чрез потребителския акаунт.

На страницата на профила си, потребителят може да променя личната информация. Администрацията не е отговорна по никакъв начин за достоверността на въведената информация.

 

  1. Чувствителни лични данни

 

Администраторът не обработва чувствителни лични дании.

 

  1. Цел на обработването

Личните данни на субектите се обработват в съответствие с ОРЗД и Закона за защита на личните данни, както и подзаконовите нормативни актове в областта на защитата на лични данни. Администраторът обработва личните Ви данни за следните цели:

 

  • установяване самоличността на субектите на данните;
  • сключване и изпълнение на договора от разстояние;
  • осъществяване на обратна връзка с потребителите с цел потвърждение на поръчките, подобряване на предлаганите услуги и изпращане на информация към тях;
  • осчетоводяване, изготвяне и изпращане на сметки/фактури за стоките, които закупувате от нас;
  • дейности, свързани с разработването и въвеждането на мерки за борба с тероризма;
  • осигуряване на сигурност и защита на субектите на данните;
  • получаване на плащания и възстановяване на погрешно заплатени суми;
  • упражняване и защита на законните права и интереси на Администратора (като отправяне на съобщения, нотариални покани, подаване на искови молби, заявления, жалби, сигнали и др.);
  • изпращане на маркетингови и рекламни съобщения, свързани с предлаганите от Администратора услуги – след получаване на изрично съгласие;
  • осигуряване на индивидуален подход при предоставяне на стоките, съобразен със заявените от потребителите предпочитания;
  • проучване относно предлаганите стоки;
  • извършването на бизнес анализи;
  • проследяване поведението и предпочитанията на потребителите;
  • обработване на заявления;
  • осъществяване на ефективна комуникация;
  • актуализиране на личните данни на субектите на данните;
  • изпълнение на други законови задължения на Администратора;
  • други цели, с оглед изпълняване на задълженията по договора, спазване изискванията на закона или за които изрично е предоставено съгласие от субекта на данните.

 

  1. Правно основание за обработване на личните данни

Администраторът събира и обработва Вашите лични данни на едно от долупосочените основания:

  • изрично предоставено съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. /напр. за целите на директния маркетинг/;
  • изпълнение на договорни задължения – доколкото основният предмет и цел на договора обективно не могат да бъдат постигнати без предоставяне на определен обем лични данни, в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения и съответно не е нужно даване на отделно съгласие за обработване на лични данни. Това не изключва възможността съгласието да се използва като правно основание за обработване на лична информация (данни за контакт и др.) за допълнителни цели, като например маркетинг и реклама, освен ако в нормативен акт не е предвидено основание за това. /напр. за заплащане на парично задължение по договорно правоотношение/;
  • изпълнение на законово задължение на Администратора – в случаите, когато личните данни се предават от един администратор на друг в резултат на прехвърляне на вземания (цесия), правното основание за обработване на личните данни е изпълнение на законовото задължение по чл. 99, ал. 3 от Закона за задълженията и договорите. Законът задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането. Това обстоятелство обуславя и предаването на личните данни, доколкото същите се съдържат в съответните документи;
  • защита на жизненоважни интереси – такава хипотеза би била налице при спешен случай и когато субектът на данните е неспособен да даде съгласие;
  • за защита на легитимни интереси на администратора – това са случаите, в които се предприемат мерки за сигурност и охрана, включително чрез видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др. Легитимен интерес е налице и при обработване на лични данни за защита на правата на администратора по съдебен или не съдебен ред, например за подаване на иск за неизпълнение на договор или за търсене на отговорност за причинени вреди.

 

  1. Лични данни на деца

С използването на този сайт, потребителят декларира, че има навършени 14 години. Ние не събираме съзнателно лична информация от деца на възраст под 14 години. Ако установим, че сме събрали такава, ще предприемем стъпки, за да изтрием информацията възможно най-скоро.

  1. Последици при отказ за предоставяне на лични данни

Изричното съгласие на субекта на данните невинаги е необходимо, ако Администраторът разполага с друго правно основание за обработката на личните данни – напр. нормативно установено задължение.

Отказът за предоставяне на изискваните от Администратора лични данни, както и предоставянето на неверни такива, може да доведе до невъзможност за: сключване на договор; изпълнение на договорни и законови задължения, доставяне на стоки и други, което освобождава Администратора от отговорност за неизпълнение.

  1. Получатели на лични данни, пред които са или може да бъдат разкрити личните Ви данни

Администраторът предоставя личните данни на субектите на компетентните държавни, общински и съдебни органи и институции, когато това се изисква от законодателството на страната и в съответствие с определеното в него (напр. НАП, НОИ, МВР и др.). Администраторът предоставя данни и на: търговски партньори; обработващи лични данни по възлагане от администратора; банки; доставчици на пощенски и куриерски услуги; съдебни изпълнители; счетоводители; адвокати; нотариуси и други органи, когато това е необходимо за изпълнение на законово задължение на Администратора.

  1. Период на съхранение на личните данни

Личните данни се съхраняват за срок от 10 години, считано от 1 януари на годината, следваща годината на възникване на съответното правоотношение, на основание чл. 12, ал. 1, т. 2 от Закона за счетоводството.

След изтичане на срока за съхранение и при положение, че няма документи, подлежащи на предаване в Държавния архив, всички носители на данни от регистъра се унищожават чрез подходящ метод, вкл. и изтриване на резервните електронни копия.

 

  1. Права на субектите на данни

Съгласно ОРЗД субектът на данни има следните права по отношение на обработването на личните му данни:

– право на достъп до данните и информация за целите на обработването – Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните.

– право на коригиране на личните данни – Всяко лице, чиито данни се обработват от Администратора, има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването лицето има право непълните лични данни да бъдат допълнени;

– право на изтриване (правото „да бъдеш забравен“) – Всяко лице, чиито данни се обработват от Администратора, има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да ги изтрие без ненужно забавяне, когато са налице предпоставките за това.

Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

– право на ограничаване обработването на лични данни – всяко лице, чиито данни се обработват от Администратора, има право да изиска от Администратора ограничаване на обработването.

– право на преносимост на лични данни – субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат.

Когато упражнява правото си на преносимост, субектът на данните може да получи пряко прехвърляне на личните данни от един администратор към друг, в случаите, в които това е технически осъществимо;

– право на възражение срещу обработването – Субектът на данните има право на възражение срещу обработване на лични данни, отнасящи се до него

       – право на жалба до надзорен орган за защита на личните данни – Съгласно българското законодателство надзорен орган по смисъла на ОРЗД е Комисията за защита на личните данни /КЗЛД/ с адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg, тел.: 02/91-53-555.

  1. Права на Администратора на лични данни

– да откаже да изтрие личните данни при условията и основанията, предвидени в Общия регламент относно защитата на данните, ЗЗЛД и другите нормативни актове в тази област, като се мотивира за отказа;

– да откаже предоставяне на достъп до данните на субекта на данни, ако искането за предоставяне право на достъп е неясно, неконкретно, или по друга причина, като във всеки конкретен случай администраторът е длъжен да се мотивира;

– да откаже коригиране на личните данни или ограничаване на обработването на личните данни, свързани със субекта на данни, като обясни причините за това.

  1. Защита на личните данни

За осигуряване на адекватна защита на данните Администраторът прилага всички необходими организационни и технически мерки, предвидени в ОРЗД, Закона за защита на личните данни, подзаконовите нормативни актове в областта на защитата на лични данни, както и най-добрите практики от международните стандарти. С цел максимална сигурност при обработване, пренос и съхранение на лични данни, Администраторът използва допълнителни механизми за защита, като защитни стени, процедури за контрол на достъпа, пароли за сигурност, заключващи устройства и система за видеоконтрол.

 

  1. Нарушения. Уведомяване за нарушения

Нарушение на сигурността на данни възниква, когато личните данни, за които Администраторът отговаря, са засегнати от нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

В случай на нарушение на сигурността на личните данните, което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.

Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, съобщава на субекта за нарушението.

Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.

 

  1. Изменения и допълнения в политиката

Настоящата политика е приета на 01.09.2021г. Администраторът си запазва правото да извършва промени в нея с цел същата да е съобразена с актуалните нормативни уредби, като промените ще бъдат публикувани незабавно на настоящата интернет страница.