ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ВЪВ „ШАЙ БЪЛГАРИЯ” ЕООД
I. ВЪВЕДЕНИЕ
„ТИЕС2020” ООД е търговско дружество, регистрирано в Търговския регистър към Агенция по вписванията с ЕИК 205914658,със седалище и адрес на управление: гр. София 1421, ул. “Хага” № 16, вх. В, ап.4 , представлявано от управителя Теодора Боянова Ангелова; Интернет страница: www.erectedstore.com; имейл: [email protected]; телефон за връзка: +359 897 01 90 34, (Наричано по-долу за краткост „Администратор“ или „Дружеството“)
„ТИЕС2020” ООД извършва дейност в областта на търговията в търговската мрежа под наименованието „Totally Erected Store“ и онлайн търговия чрез интернет страницата www.erectedstore.com (наричана по-долу за краткост „Сайта”), представляващ онлайн магазин, чийто собственик е.
„ТИЕС2020” ООД е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (известен също като „Общ регламент за защита на данните”, наричан по-долу за краткост „ОРДЗ“) и на Закона за защита на личните данни (наричан по-долу „ЗЗЛД“).
С настоящата Политиката за поверителност и защита на личните данни (наричана по-долу за краткост „Политика“) „ТИЕС2020” ООД отчита неприкосновеността на личността и полага дължимата грижа за защита срещу неправомерно обработване на личните данни на физическите лица, негови Клиенти (Наричани по-долу за краткост „Потребители”). Това задължение отпада, ако Потребителят е предоставил неверни данни. В съответствие с българското законодателството, ОРЗД и добрите практики, „ТИЕС2020” ООД е взело необходимите технически и организационни мерки за защита на личните данни на Клиентите му. Политиката за поверителност, заедно с Общи условия за ползване на Интернет страницата www.erectedstore.com, Политиката за използване на “Бисквитки” и всякакви други документи, които са упоменати на Платформата (домейна erectedstore.com и неговите поддомейни), определя правилата, които „ТИЕС2020” ООД спазва при обработване на лични данни.
Важно е да се запознаете с настоящата Политика преди използване на нашите услуги, тъй като предоставянето им е свързано със събиране на определени категории лични данни. Ако не желаете да обработваме личните Ви данни по начина, описан в настоящата Политика за поверителност, моля не ни ги предоставяйте. Предоставянето на лични данни от Ваша страна е доброволно, с оглед използването на определени, предоставяни от нас услуги и използването на Платформата и/или достъп до нея, както и с оглед онлайн пазаруването, ползването на отстъпки при пазаруване по програма за лоялни клиенти. Моля да имате предвид, че в някои случаи ние няма да можем да Ви предоставим услугата и/или продадем стоката, които сте поискали, ако не ни предоставите нужната информация.
Сигурността и правилното използване на личните данни са от изключително значение както за нашите потребители, така и за „ТИЕС2020” ООД. Затова е важно потребителите ни да разбират защо и как обработваме тяхната лична информация.
1. ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА
Настоящата Политика за поверителност и защита на личните данни е неразривно свързана с Общите условия на „ТИЕС2020” ООД, но не е част от тях. Тя не регламентира права и задължения, а има за цел да обясни на потребителите какви лични данни обработваме във връзка с предоставянето на електронни продукти и услуги и програмата за лоялни клиенти, защо и как ги обработваме, в това число, кога е необходимо да разкриваме лични данни на трети лица. Също така, с нея се предоставя информация за правата, които потребителите имат във връзка с обработването на лични данни от „ТИЕС2020” ООД.
С настоящата Политиката за поверителност и защита на личните данни,„ТИЕС2020” ООД цели да информира своите клиенти от програма за лоялни клиенти и потребителите на Интернет страницата www.erectedstore.com относно:
- целите и средствата на обработване на личните данни;
- получателите или категориите получатели, на които могат да бъдат разкрити данните;
- основание за обработване на личните данни /задължителния или доброволния характер на предоставяне на данните/, както и последиците при отказ за предоставянето им;
- информация за правото на достъп, за правото на коригиране, за правото на преносимост и изтриване на събраните данни.
2. ТЕРМИНИ И ДЕФИНИЦИИ:
За целите на настоящата политика се прилагат терминологията и дефинициите, използвани в ОРЗД.
3. ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ И ИЗТОЧНИЦИ НА ЛИЧНИ ДАННИ:
3.1„ТИЕС2020” ООД обработва лични данни на физически лица във връзка с използването на електронния магазин www.erectedstore.com, на следните основания:
- Изрично получено съгласие;
- Изпълнение на задълженията на Администратора по договор с Потребител;
- Спазване на законово задължение, което се прилага спрямо Администратора;
- За целите на легитимните интереси на Администратора или на трета страна;
3.2 „ТИЕС2020” ООД обработва лични данни на свои клиенти и с оглед разработена от него програма за лоялни клиенти, въз основа на тяхното съгласие.
3.3 „ТИЕС2020” ООД обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице във връзка с обработване и осъществяване на направена поръчка, като лицето, предоставило тези данни на Дружеството се задължава:
3.3.1. Да предостави на субекта на личните данни информация за индивидуализация на администратора – „ТИЕС2020” ООД;
3.3.2. Да уведоми субекта на данните за целите, категориите предоставени данни и категориите получатели на тези данни;
3.3.3 Да предостави на субекта на данните информация за правото на достъп и на коригиране на лични данни на лицето, за което се отнасят.
4. Средства, принципи и цели при събирането, обработването и съхраняването на вашите лични данни
4.1 „ТИЕС2020” ООД обработва лични данни чрез съвкупност от действия, които могат да се извършват с автоматични или други неавтоматични средства, като събиране, записване, организиране, структуриране, подреждане или комбиниране, ограничаване, съхранение, изтриване или унищожаване, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни.
4.2 Посочените действия по обработване се извършват при спазване на следните принципи:
1. законосъобразност добросъвестност и прозрачност;
2. целесъобразност на обработката на лични данни (ограничение на целите на обработване);
3. пропорционалност на обработката на лични данни (съотносимост с целите на обработката и свеждане до минимум на събираните данни);
4. точност и актуалност на обработваните лични данни;
5. ограничение на съхранението с оглед постигане на целите;
6. цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.
4.3. Целта на обработването на лични данни, които Вие ни предоставяте във връзка с използването на онлайн магазина www.erectedstore.com и сключване на договор с дружеството е еднозначно да се идентифицират физическите лица – настоящи и бъдещи клиенти на „ТИЕС2020” ООД (Потребители) и на трети лица (при хипотезата на т.3.3. по-горе), както и изпълнение на нормативно установени задължения, преддоговорни и договорни отношения.
4.3.1 При осъществяване на своята дейност, „ТИЕС2020” ООД обработва лични данни на Потребители и на трети лица (при хипотезата на т.3.3. по-горе), за следните цели:
• създаване на профил на клиента и предоставяне на пълна функционалност при използването на онлайн магазина;
• предоставяне на услугите, свързани с програма за лоялни клиенти;
• сключване и изпълнение на договор, включително на договор за предоставяне на услуга и/или продажба на стока от разстояние;
• индивидуализация на страна по договор;
• счетоводни цели;
• статистически цели;
• защита на информационната сигурност;
• обезпечаване на изпълнението на договора за предоставяне на съответната услуга/продажба на стока и защита правата на страните по договора, включително по съдебен и административен ред;
• изпращане на информационен бюлетин (е-бюлетин) и за целите на директния маркетинг, при изразено желание от страна на Потребителя.
4.3.2. За подготовка, сключване и изпълнение на договори, Администраторът обработва лични данни на законни представители или пълномощници на търговци и юридически лица-партньори.
4.3.3 При обработването и съхранението на личните данни, Администраторът може да обработва и съхранява личните данни с цел защита на следните си легитимни интереси: изпълнение на задълженията си към Национална агенция по приходите, Министерство на вътрешните работи, Национален статистически институт, Държавна агенция „Национална сигурност” и други държавни и общински органи, както и за съдебна и административна защита на правата и законните интереси на Администратора във връзка със сключени договори за предоставяне на услуга и/или продажба на стока.
4.4„ТИЕС2020” ООД обработва личните данни самостоятелно или чрез възлагане на обработващи данните, като с писмен договор определя целите и обемът на задълженията, възложени от администратора на обработващия данните, при наличие на релевантно правно основание, съгласно изискванията на ОРЗД/ЗЗЛД. Обработващи от името на „ТИЕС2020” ООД за посочените цели, са:
• Доставчици на куриерски и пощенски услуги – за целите на обработване, изпълнение на поръчки и тяхната доставка;
• Доставчици на платежни услуги и услуги по парични преводи – за изпълнение на задълженията за плащане по договори за предоставяне на услуга/продажба на стока;
• Доставчици на IT(компютърни и информационни) услуги и хостинг услуги – за използване на виртуални и наети сървъри за съхранение на информация и др.;
• Доставчици на услуги за поддръжка на онлайн магазина.
5. Видове лични данни събирани, обработвани и съхранявани от нашето дружество
5.1. Дружеството извършва следните операции с предоставените от Вас лични данни за следните цели:
5.1.1.Регистрация на потребител в електронния магазин и изпълнение на договор за покупко-продажба от разстояние – целта на тази операция е създаване на профил за използване на електронния магазин за закупуване на стоки и предоставяне на данни за контакт за извършване на доставка на закупени стоки. Регистрацията и създаването на профил за използване на онлайн магазина не е задължителна стъпка от предоставянето на услугата и тя е достъпна и без създаването на профил.
5.1.2.Сключване и изпълнение на търговска сделка с клиент или партньор – целта на тази операция е сключване и изпълнение на договор с търговски партньор или клиент и неговото администриране.
5.1.3.Изпращане на информационен бюлетин и рекламни съобщения – целта на тази операция е администриране на процеса по изпращане на бюлетини до клиентите, които са заявили, че желаят да получават.
5.1.4.Упражняване право на отказ или извършване на рекламация – целта на тази операция е администриране на процеса по упражняване на правото на отказ или рекламация (връщане) от Потребителя.
5.1.5 Закупуване на стока – целта на тази операция е съдействие при прехвърляне на стоката чрез сключване на договор за покупко-продажба на стока с потребител – физическо лице.
5.1.6. При издаване на карта по програма за лоялни клиенти – целта на тази операция е издаване на персонална карта на лоялен клиент за ползване на отстъпки от клиента при последващи покупки на стоки в търговската мрежа – магазините на „ТИЕС2020” ООД в страната.
5.2. Администраторът обработва следните категории лични данни и информация за следните цели и на следните основания:
5.2.1.Данни за регистрация и получаване на бюлетин (име, е-mail, IP адрес):
– Цел, за която се събират данните: 1) Осъществяване на връзка с потребителя и изпращане на информация към него, 2) за целите на регистрация на потребител в онлайн магазина, както и 3) за изпращане на информационен бюлетин.
– Основание за обработка на личните Ви данни: С приемането на Общите условия и регистрация в електронния магазин или извършване на поръчка без регистрация, или при сключването на писмен договор, между Администратора и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) от ОРЗД. Данните Ви за изпращане на информационен бюлетин се обработват на основание дадено от Вас изрично съгласие – чл. 6, ал. 1, б. (а) от ОРЗД.
5.2.2.Допълнителни данни, предоставяни от Вас: Ако желаете да допълните Вашия профил, можете да попълните в него данни за фамилия, адрес, телефонен номер:
– Цел, за която се събират данните: Допълване на информация за потребителя в потребителския му акаунт.
– Основания за обработка на данните: Вие сте предоставили изрично съгласие за обработване на личните Ви данни за една или повече конкретни цели – 6, ал. 1, б. (a) от ОРЗД в момента на регистрация в онлайн магазина.
5.2.3.Данни за извършване на доставка (име, фамилия, дата на раждане, телефон, e-mail, адрес,IP адрес):
– Цел, за която се събират данните: Изпълнение на задължения на Администратора по договор за покупко-продажба от разстояние и доставка на закупените стоки, включително при упражняване на право на връщане и замяна или отказ от закупена стока.
– Основание за обработка на личните Ви данни – с приемането на Общите условия и регистрация в електронния магазин или извършване на поръчка без регистрация, или при сключването на писмен договор, между Администратора и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) от ОРЗД.
5.2.4. Данни за извършване на рекламация (име, фамилия, телефон, e-mail, IP адрес,адрес, банкова сметка):
– Цел, за която се събират данните: Изпълнение на задължения на Администратора по договор за покупко-продажба от разстояние и доставка на закупените стоки, при упражняване на право на рекламация на закупена стока.
– Основание за обработка на личните Ви данни – с приемането на Общите условия и регистрация в електронния магазин или извършване на поръчка без регистрация, или при сключването на писмен договор, между Администратора и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) от ОРЗД.
5.2.5. Данни, които потребителят предоставя, когато съобщава за проблем в онлайн магазина на „ТИЕС2020” ООД, подава сигнал срещу друг потребител на онлайн магазина на„ТИЕС2020” ООД или се свърже с Администратора по друга причина чрез „Форма за контакт“, чрез изпращане на съобщение на имейл адрес: [email protected], на адреса на Админитратора или при обаждане на тел.: +359 897 01 90 34(име, фамилия, телефон, e-mail, IP адрес):
– Цел, за която се събират данните: Осъществяване на връзка с потребителя и изпращане на информация към него, за допълнителна информация по повод проблема, за който е сигнализирал. При водене на такава кореспонденция между Потребителя и Администратора, е възможно тя да бъде запазена, с цел отстраняване на проблема и запазване на доказателства при евентуално административно или съдебно производство.
– Основание за обработка на личните Ви данни – Вие сте предоставили изрично съгласие за обработване на личните Ви данни за една или повече конкретни цели – 6, ал. 1, б. (a) от ОРЗД в момента на попълване на „Форма за контакт“, изпращане на съобщение на имейл адреса ни или на адреса на Администратора или при обаждането Ви на тел.: +359 897 01 90 34 .
5.2.6. Данни, предоставени от Вас при издаване на карта по програма за лоялни клиенти (имена, рожденна дата, телефонен номер, e-mail).
– Цел, за която се събират данните: издаване на персонална карта на лоялен клиент за ползване на отстъпки от клиента при последващи покупки на стоки в търговската мрежа – магазините на „ТИЕС2020” ООД в страната и за изпращане на информационен бюлетин и рекламни съобщения.
– Основания за обработка на данните: Вие сте предоставили изрично съгласие за обработване на личните Ви данни за една или повече конкретни цели – 6, ал. 1, б. (a) от ОРЗД в момента на попълване на формуляра за издаване на картата.
5.3. Администраторът не събира и не обработва лични данни, които се отнасят за следното:
– разкриват расов или етнически произход;
– разкриват политически, религиозни или философски убеждения, или членство в синдикални организации;
– генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.
5.4. Личните данни се събират от Администратора както от лицата, за които се отнасят, така и от:
5.4.1. Публично достъпна информация, която Администраторът получава, включително, но и не само, в случай че клиентът свърже профила си в онлайн магазина на „ТИЕС2020” ООД със своя Facebook профил или с профила си в друга социална мрежа/приложение на трето лице, доколкото такава техническа възможност е налична в онлайн магазина на „ТИЕС2020” ООД ;
5.4.2. Информация за посещения на онлайн магазина на „ТИЕС2020” ООД , включително, но не само, дата и час на достъп до онлайн магазина на „ТИЕС2020” ООД , прегледани страници, IP адрес, хардуер и софтуер, който е използван, данни за трафик, данни за местоположение, блог и други използвани комуникационни данни и ресурси;
5.4.3 Ако клиентът осъществи достъп до онлайн магазина на „ТИЕС2020” ООД чрез мобилно устройство, е възможна обработка на данни относно местонахождение, както и информация за това устройство, например идентификационен номер и вид на мобилното устройство, с оглед осигуряване на по-голяма добавена стойност на нашите услуги. Ако клиентът не желае да предоставя данни за местонахождението си, може да изключи съответните функции на устройството си, които позволяват проследяване, ако устройството предлага такава възможност.
5.5. Дружеството не извършва автоматизирано взимане на решения с данни.
5.6. Дружеството не събира и обработва данни за лица под 16 години, освен с изричното съгласие на техните родители или законни представители.
5.7. Линкове към други уеб страници
Нашият сайт съдържа линкове към други интернет страници. Указанията за защита на личните данни важат само за нашата интернет страница. Молим да обръщате внимание на информацията за защита на личните данни, която е дадена на чуждите уеб страници. Ние не носим отговорност за тяхното съдържание. За незаконосъобразни, непълни или липсващи указания, както и за вреди, причинени от наличието, неналичието или непълнотата на такава информация, отговорност носи притежателят (администраторът) на интернет страницата, към която сте били препратени.
5.8 Google AdWords
Уеб сайт www.erectedstore.com използва Google AdWords, услуга за ремаркетинг и поведенческо насочване, предоставена от Google. С тази услуга рекламната дейност на www.erectedstore.bg се свързва с рекламната мрежа AdWords посредством т.нар. cookies („бисквитки“). „ТИЕС2020” ООД не идентифицира и не събира данни за потребителите посредством Google AdWords. Можете да се откажете от показване на реклама чрез Google AdWords от сайта им: https://www.google.com/settings/ads/anonymous?hl=bg.
5.9.Google Analytics
www.erectedstore.bg използва Google Analytics („Гугъл Аналитикс“), услуга за уеб анализ, предлагана от Google, Inc (“Google”). Google Analytics използва т.нар. cookies („бисквитки“), представляващи текстови файлове, запаметени на Вашия компютър, за да направи възможен анализа на използването на Сайта от потребителите.
Google ще използва тази информация, за да оцени използването на Сайта, за съставяне на отчети за уеб-активности и предоставяне на „ТИЕС2020” ООД на други услуги, свързани с използването на Сайта и използването на интернет към Сайта. Google няма да свързва IP адреса, изпратен от Вашия браузър чрез Google Analytics, с други данни, съхранявани от Google.
Можете да предотвратите записа на бисквитки чрез съответните настройки на вашия браузър. Обръщаме Ви внимание, че ако направите това, е възможно да не можете да използвате всички функции на Сайта.
Освен това можете да предотвратите събирането на данните, извличани чрез бисквитките и свързани с използването на Сайта от Вас (включително и IP адрес) от Google, както и обработката на тези данни от Гугъл, като изтеглите и инсталирате намиращия се на следния интернет адрес браузър-плъгин: https://tools.google.com/dlpage/gaoptout?hl=en. Имайте предвид, че използването на браузър-плъгина е ограничено до съответния браузър и съответния компютър и след инсталирането му не е възможно да бъде изтрит, с цел запазване на деактивацията на Google Analytics. Декларацията за поверителност на Google (Гугъл) може да намерите на https://www.google.com/intl/bg/policies/privacy.
5.10. Google Conversion Tracking
Google Conversion Tracking позволява на нас и на Google да разпознаем, че някой е кликнал върху рекламата ни в Google и след това е пренасочен към нашата страница. Не можем обаче да видим кои други интернет страници сте заредили. Събраната чрез Google Conversion Tracking информация е предназначена единствено за изготвянето на статистики за успешността и използването на нашите рекламни кампании в AdWords. Въпреки това, ние не събираме и не получаваме информация, която позволява потребителите да бъдат персонално идентифицирани.
5.11. Facebook Social Plugins
Това онлайн приложение използва Social Plugins („Plugins“) на социалната мрежа facebook.com, която се поддържа от Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. („Facebook“). Plugins се разпознават по логата на Facebook (бяло „f“ на син фон или „вдигнат нагоре палец“) или биват отличени с „Facebook Social Plugin”.
Когато влезете в дадена уеб страница, Вашият браузър веднага ще направи директна връзка със сървърите на Facebook. Съдържанието на този Plugin ще бъде предадено директно от Facebook към Вашия браузър, който ще го свърже с интернет страницата. „ТИЕС2020” ООД не може да влияе на количеството данни, които Facebook събира с помощта на тези Plugins. Затова чрез следния линк ние ви информираме само за това, което ни е известно https://www.facebook.com/help/?faq=17512.
С Add-ons можете да блокирате Facebook-Social-Plugins за Вашия браузър, като използвате например „Facebook Blocker“.
5.12. Facebook Conversion Pixel и Facebook Remarketing
Посредством Facebook Conversion Pixel ние и Facebook разбираме, че някой е кликнал върху нашата Facebook реклама и е бил пренасочен към нашата интернет страница. Не можем обаче да видим кои други интернет страници сте заредили. Информацията, събрана с помощта на Facebook Conversion Pixel, е предназначена за изготвянето на статистики за успешността и използването на нашите реклами във Facebook. Въпреки това ние не събираме и не получаваме информация, която позволява потребителите да бъдат персонално идентифицирани.
С технологията Facebook Remarketing към потребителите, които са посетили нашите интернет страници, може да бъде насочена целева реклама на интернет страниците на Facebook. Въпреки това ние не събираме данни и не следим на кои потребители на Facebook действително се показват целеви реклами. И тук нямаме възможност за идентифициране на отделни потребители. За повече информация относно целите и обхвата на събирането и обработката на Вашите лични данни от Facebook, както и възможностите за настройки с цел защита на личната Ви неприкосновеност във Facebook, моля, направете справка с https://www.facebook.com/policy.php
6. Срок за съхранение на личните данни
6.1. „ТИЕС2020” ООД съхранява личните данни на потребителите толкова дълго, колкото е необходимо, за да бъдат постигнати целите, посочени в тази Политика за личните данни, или за да бъдат спазени изисквания на законодателството.
6.2. С оглед изпълнение на задълженията ни след изтичане на сроковете за обработка на лични данни, същите се анонимизират или се изтриват/унищожават, освен ако съответният потребител е упражнил правото си да поиска ограничаване/изтриване на обработването на лични данни, отнасящи се за него/нея;
6.3. Продължителността на съхранение на личните Ви данни зависи от целите на обработването, за които са събрани:
6.3.1. Администраторът съхранява Вашите лични данни за срок не по-дълъг от съществуването на профила Ви в онлайн магазин или извършване на поръчка като “Гост“. След заличаване на профила Ви или успешно приключване на поръчката, Администраторът полага необходимите грижи да изтрие и унищожи всички Ваши данни, без ненужно забавяне или да ги анонимизира (т.е. да ги обезличи, да ги приведе във вид, който не разкрива вашата личност).
6.3.2. Администраторът съхранява Вашите лични данни, предоставени във връзка с направени онлайн поръчки/сключване на договор за покупко-продажба чрез онлайн магазина/ или на закупени стоки в търговската мрежа, за срок от 5 години, за целите на защита на правата и законните интереси на Администратора при съдебни или административни спорове с потребители на онлайн магазина.
6.3.3. При дадено съгласие от субекта на лични данни за получаване на информационни съобщения (е-бюлетин) за нови стоки/продукти и/или за дейността на Администратора и/или за целите на директния маркетинг, личните данни се съхраняват докато същият не се отпише или не поиска да бъде отписан.
6.3.4. Личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно–осигурителния контрол, като, но не само – фактури, дебитни, кредитни известия, приемо-предавателни протоколи, договори за предоставяне на услуги/стоки, се съхраняват за съответния законоустановен срок, който е петгодишен от изпълнение на поръчката или от прекратяване на договора, освен ако в закон или нормативен акт не е предвиден по-дълъг срок.
6.3.5. Администраторът Ви уведомява, в случай, че срокът за съхранение на данните е необходимо да бъде удължен с оглед изпълнение на нормативно задължение или с оглед легитимни интереси на Администратора или при наличие на друго законно основание.
6.3.6. При наличие на вменено от приложимото законодателство задължение, Администраторът съхранява личните данни за срок, който може да надхвърля срока на съществуване на профила Ви в онлайн магазин или извършване на поръчка като “Гост“, срока на изпълнение на поръчката (договора) или на прекратяване на договора.
6.3.7. Администраторът съхранява личните данни на законните представители на търговските си партньори за срока на изпълнение на договора, за спазване на легитимните интереси и законови задължения на Администратора, както и в петгодишен срок от прекратяване на договора, освен ако е налице висящо съдебно, арбитражно или администротивно производство за разрешаване на спор във връзка и по повод изпълнението на договора.
7. Права на субектите на данни:
7.1 ПРАВО НА ДОСТЪП
7.1.1. ВСЕКИ СУБЕКТ НА ДАННИ ИМА ПРАВОТО ДА ИЗИСКВА ИНФОРМАЦИЯ ОТНОСНО ВИДА ЛИЧНИ ДАННИ, ОБРАБОТВАНИ ОТ „ШАЙ БЪЛГАРИЯ” ЕООД, КАТО ПОПЪЛНИ ПРИЛОЖЕНИЕ № 3 ИЛИ ЧРЕЗ ИСКАНЕ В СВОБОДЕН ТЕКСТ (КАТО ВЪВ ВТОРИЯ СЛУЧАЙ СЛЕДВА ДА ПОСОЧИ ДАННИТЕ, ЧРЕЗ КОИТО ДА БЪДЕ ИДЕНТИФИЦИРАНО КАТО ПРАВОИМАЩ СУБЕКТ, НАПРИМЕР – ИМЕ, ТЕЛЕФОН И МЕЙЛ), ИЗПРАТЕНО ПО ИМЕЙЛ ДО АДМИНИСТРАТОРА. АДМИНИСТРАТОРЪТ ПРЕДОСТАВЯ ИСКАНАТА ИНФОРМАЦИЯ САМО ПРИ КОРЕКТНО ПОСОЧЕНА ИНФОРМАЦИЯ, ИДЕНТИФИЦИРАЩА СУБЕКТА НА ДАННИ И КОРЕКТНА ИНФОРМАЦИЯ ЗА КОНТАКТ С НЕГО, ПОЗВОЛЯВАЩА БЕЗПРЕПЯТСТВЕНА КОМУНИКАЦИЯ.
7.1.2 СУБЕКТЪТ НА ДАННИ МОЖЕ ДА ИСКА ДОСТЪП ДО ДАННИТЕ, СВЪРЗАНИ С НЕГО, КАКТО И ДО ИНФОРМАЦИЯТА, ОТНАСЯЩА СЕ ДО СЪБИРАНЕТО, ОБРАБОТВАНЕТО И СЪХРАНЕНИЕТО ИМ.
7.1.3 Администраторът трябва да съдейства на субекта като му предостави, по възможност, обработваните за него лични данни в желания от него формат, който трябва да бъде структуриран в широко използван и пригоден формат за машинно четене. Тази информация се предоставя на субекта съгласно приета от „ШАЙ БЪЛГАРИЯ” ЕООД „Процедура за предоставяне на информация на субекта на лични данни”.
7.1.4 Предоставянето на достъп до данните е безплатно, но Администраторът си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.
7.1.5 Субектът на данни има право на информация за целите на обработване на личните му данни, която му се предоставя при събиране на личните му данни и при последваща промяна на целите на обработване.
7.2 ИСКАНЕ ЗА КОРЕКЦИЯ
7.2.1 Субектът на лични данни може по всяко време да коригира или да попълни неточните или непълни лични данни, свързани с него, през опцията „Редакция на профила“.
7.2.2 Субектът на лични данни може да иска от Администратора да коригира или попълни неточните или непълните лични данни, свързани с него, директно през профила на потребителя в Сайта или с отправяне на искане до Администратора по имейл, като използва формата в Приложение № 4 или чрез искане в свободен текст (като в този случай следва да посочи данните, чрез които да бъде идентифициран като правоимащ субект, например – име, телефон и мейл).
7.2.3 Субектът на данни е отговорен за предоставянето на коректни лични данни на Администратора.
7.2.4 Субектът на данните следва да информира Администратора относно всякакви релевантни промени в личните му данни (като промени в името или адреса на субекта).
7.3 Ограничаване използването
7.3.1 Във всеки момент от обработването на личните данни, субектът на данни може да поиска от Администратора да ограничи използването на личните му данни за част или всички цели на обработването, за което субектът е дал съгласие, като попълни Приложение № 5 или чрез искане в свободен текст (като във втория случай следва да посочи данните, чрез които да бъде идентифициран като правоимащ субект, например – име, телефон и мейл), изпратено по имейл до Администратора, когато:
- се оспорва точността на личните данни, за срок, който позволява на Администратора да провери точността на личните данни;
- обработването е неправомерно, но субектът не желае личните данни да бъдат изтрити, а само използването им да бъде ограничено;
- администраторът не се нуждае повече от личните данни за целите на обработването, но субектът ги изисква за установяването, упражняването или защитата на свои правни претенции;
- субектът на лични данни е възразил срещу обработването, докато се провежда проверка дали законните основания на Администратора имат преимущество пред интересите на субекта.
7.3.2 След като ограничи обработването на личните данни, Администраторът ще преустанови обработването на личните данни, но няма да премахне публикациите, които субектът е направил в онлайн магазина, ако има такива.
7.4 ОТКАЗ НА ИСКАНЕ ЗА ДОСТЪП ДО ИНФОРМАЦИЯ, КОРЕКЦИЯ ИЛИ ОГРАНИЧАВАНЕ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
Ако искането за достъп до информация, корекция или ограничаването на обработването бъде отказано, субектът на данни ще бъде информиран относно причината за съответния отказ. Отказът се прави във вида на подаденото искане от субекта и следва да бъде мотивиран.
7.5 ПРАВО НА ИЗТРИВАНЕ („ПРАВО ДА БЪДЕШ ЗАБРАВЕН“)
7.5.1 Всяко лице има право да поиска от Администратора изтриване на част или всички лични данни, свързани с него, а Администраторът има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания:
- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- при оттегляне на дадено съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
- при подадено възражение срещу обработването на свързаните с лицето лични данни, включително за целите на получаване на информационни съобщения (e-бюлетин) за нови стоки/продукти и/или за дейността на Администратора и/или за целите на директния маркетинг, и няма законни основания за обработването, които да имат предимство пред правото на субекта на данни да иска тяхното заличаване;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат заличени с цел спазването на правно задължение по правото на Европейския съюз или правото на държава членка, което се прилага спрямо Администратора;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
7.5.2 Администраторът не е длъжен да изтрие личните данни, ако ги съхранява и обработва:
- за упражняване на правото на свобода на изразяването и правото на информация;
- за спазване на правно задължение, което изисква обработване, предвидено в правото на Европейския съюз или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
- по причини от обществен интерес в областта на общественото здраве;
- за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
- за установяването, упражняването или защитата на правни претенции, права и законни интереси.
7.5.3 За упражняване на „правото да бъдеш забравен“, е необходимо изпращането на искане по имейл до Администратора, чрез попълване на формата в Приложение № 6 или чрез искане в свободен текст(като във втория случай следва да посочи данните, чрез които да бъде идентифициран като правоимащ субект, например – име, телефон и мейл).
7.5.4 След като се установи идентичност на лицето, отправило искането и лицето, за което се отнасят данните, обработваните за съшия лични данни ще бъдат изтрити.
7.5.5 Ако има направена поръчка от лицето, която е в процес на обработване, или предстои доставка на закупена стока, най-ранният момент, в който може да направи искане за изтриване на обработваните за него лични данни, е при успешното завършване на поръчката/доставката.
7.6 ПРАВО НА ВЪЗРАЖЕНИЕ
7.6.1 Всеки субект на данни има право да възрази срещу обработването на лични данни, отнасящи се до него. Администраторът прекратява обработването на лични данни, освен ако не докаже, че съществува законово основание за продължаване на обработването.
7.6.1 Освен това, всеки субект на данни има право да възрази, ако личните му данни се ползват за получаване на информационни съобщения за нови стоки/продукти и/или за дейността на Администратора, или за цели, свързани с проучване на пазара или общественото мнение. В този случай личните данни следва да бъдат ограничени и да не бъдат използвани за съответните цели.
7.7. Оттегляне на съгласие за обработване на лични данни
7.7.1 Субектът на лични данни има право да оттегли съгласието си за обработване на личните му данни по всяко време с отделно искане, отправено до Администратора, като попълни формата за оттегляне на съгласие в Приложение № 7, съответно, Приложение № 9 (при оттегляне на дадено съгласие от родител) или чрез искане в свободен текст (като във втория случай следва да посочи данните, чрез които да бъде идентифициран като правоимащ субект, например – име, телефон и мейл), изпратено по имейл. След разглеждане на направеното искане, Администраторът уведомява субекта на данни за резултата от неговото искане.
7.7.2 Субектът на лични данни има право да оттегли по всяко време съгласието си за обработване на личните му данни за получаване на информационни съобщения за нови стоки/продукти и/или за дейността на Администратора и получаване на бюлетин, като попълвани формата за оттегляне на съгласие или чрез искане в свободен текст, изпратено по имейл.
7.7.3 Оттеглянето на съгласието не се отразява на законосъобразността на обработването на лични данни, което Администраторът е извършвал до този момент.
7.8. ВЪПРОСИ И ЖАЛБИ / СРЕДСТВА ЗА ПРАВНА ЗАЩИТА
7.8.1 Субектът на данни има право да подава жалби/искания до Администратора по въпроси, свързани с обработването на личните му данни.
7.8.2 За упражняване на тези свои права, Субектът се обръща към Администратора чрез искане в свободен текст, отправено на имейл [email protected] или чрез писмо, изпратено до адрес: гр. София, бул. Черни връх 47, Бизнес Център Витоша – Памучен корпус – трети полуетаж, на които Администраторът реагира в съответствие с приета процедура (Процедура за начините на комуникация при жалби и искания от субекта на данни).
7.8.3 За упражняване на правата по настоящата т. 7.8, в своето искане, субектът трабва да посочи достатъчно данни, чрез които да бъде идентифициран като правоимащ субект (например – име, телефон и мейл) и да се осигури безпрепятствена комуникация с него.
7.9. Право да изрази съгласие за обработване на личните му данни
7.9.1 За наличие на “съгласие” Администраторът приема само случаите, в които субектът на данните е бил напълно информиран за планираното обработване и е изразил своето съгласие, без върху него да бъде упражняван натиск. Съгласието, получено при натиск или въз основа на подвеждаща информация, не е валидно основание за обработване на лични данни.
7.9.2 Съгласието не може да бъде изведено от липсата на отговор на съобщение до субекта на данни. Трябва да има активна комуникация между Администратора и субекта, за да е налице съгласие. Администраторът следва да може да докаже, че е получено съгласие за дейностите по обработване.
7.9.3 В повечето случаи, съгласието за обработка на лични данни се получава рутинно от Администратора, като се използват стандартни процедури за изразяване на съгласие, например, чрез отбелязване със знак в поле с текст „Съгласен съм”, представляващо изявление за информирано и конкретно съгласие за обработване на лични данни, съгласно посоченото в Декларация – съгласие за обработване на лични данни от субект на лични данни (Приложение № 1), с която субектът се запознава предварително.
7.9.4 При обработване на лични данни на деца, Администраторът следва да получи разрешение от упражняващите родителските права (родители, настойници и т. н.). Това изискване се прилага за деца на възраст под 16 години. За целта, упражняващият родителски права се запознава и попълва формуляр, съдържащ се в Приложение № 2.
7.10 Право на преносимост
7.10.1 Ако е дадено съгласие за обработване на лични данни или обработването е необходимо за изпълнението на договора с Администратора, или ако данните се обработват по автоматизиран начин, субектът на данни може:
- да поиска от Администратора да му предостави личните му данни в четим формат и да ги прехвърли към друг Администратор;
- да поиска от Администратора пряко да прехвърли личните му данни към посочен от субекта администратор, когато това е технически осъществимо.
7.10.2 Правото на преносимост може да бъде упражнено като бъде изпратена по имейл попълнена форма съгласно Приложение № 8 или искане в свободен текст (като във втория случай следва да посочи данните, чрез които да бъде идентифициран като правоимащ субект, например – име, телефон и мейл), след което Администраторът ще изпрати на имейла, от който е направено искането, писмо с подробни инструкции за верификация като получател на бюлетини и субект на личните данни, за които е отправено искане за преносимост.
7.10.3 След извършване на верификацията съгласно т.7.10.2, Дружеството изпраща на посочения от субекта имейл данните, които обработва за него, във формат XML.
7.11. Право на представителство
Субектът на данни може да упълномощи друго лице за упражняване на гореизложените права. Упълномощаването следва да бъде изрично и направено в писмена форма. При всяко едно упражняване на правата на субекта на данни, пълномощникът е длъжен да представи копие от пълномощното си на Администратора или на обработващият лични данни от името на Администратора.
II. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ:
„ТИЕС2020” ООД осигурява сигурността на личните данни съгласно принципите, заложени в ОРЗД/ ЗЗЛД, като взема подходящи и достатъчни административни, технически и организационни мерки, за да осигури защита на данните от загуба, кражба, злоупотреба, както и от неоторизиран достъп, разкриване, промяна или унищожаване.
8. ОБЩИ ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО И СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ В „ТИЕС2020” ООД
8.1 ДОПУСТИМОСТ НА ОБРАБОТВАНЕТО НА ДАННИТЕ
8.1.1 Обработването на лични данни е допустимо единствено ако субектът на данните се е съгласил с това, ако е налице законово задължение за обработка на данните, при сключване или изпълнение на договор, когато е необходимо за защита на жизненоважни интереси на физическото лице или легитимният интерес на Администратора, при положение че той не противоречи на законните интереси на физическото лице. Допустимостта на обработването на личните данни е предпоставка за предаване на лични данни.
8.1.2 Съгласието следва да бъде декларирано в писмена форма или въз основа на други законово допустими средства, а субектът на данните трябва се уведомява предварително относно целта на обработването и възможността за предаване на лични данни на трети страни. Върху предоставянето на съгласие се поставя акцент, когато се включва в други формуляри, декларации, изявления, договори и други документи, така че да бъде ясно за субекта на данните.
8.2. ПРЕДВИДЕНА ЦЕЛ
Лични данни могат да бъдат събирани и обработвани единствено за изчерпателно изброените цели и не могат да бъдат обработвани за цели, различни от предвидените. Целта на събиране и обработване на данните се съобразява от Администратора при допълнително обработване и съхраняване на такива данни. Промени в целта са допустими единствено със съгласието на субекта на данните или ако това е разрешено от местното законодателство на съответната държава, от която са получени личните данни.
8.3. ИКОНОМИЯ НА ДАННИТЕ
Обработването на лични данни се извършва в съответствие с предвидената цел. Наличните възможности за анонимизация или въвеждане на псевдонимизация на личните данни се използват на ранен етап, доколкото това е възможно и рентабилно за предвидената защитна цел.
8.4. КАЧЕСТВО НА ДАННИТЕ
Предоставените от субекта лични данни трябва да бъдат фактически верни и, доколкото е необходимо, актуални. Администраторът предприема подходящи и разумни мерки за коригиране или изтриване на неправилните или непълни данни. Субектът на данни уведомява Администратора при всяка промяна в личните му данни.
8.5. СИГУРНОСТ НА ДАННИТЕ
Администраторът на данните въведежда подходящи технически и организационни мерки, за да осигури необходимата сигурност на данните. Тези мерки се отнасят в частност до компютрите (сървъри и работни места), мрежите и комуникационните връзки и приложения, като те са инкорпорирани в системата за управление на ИТ сигурността(сигурността на използваните информационни и комуникационни технологии). Подходящи мерки се предприемат за защита на тези данни и от изтриване по погрешка, неоторизирано изтриване или изгубване.
8.6. ПОВЕРИТЕЛНОСТ НА ОБРАБОТВАНЕТО НА ДАННИТЕ
Единствено оторизиран персонал, който се е ангажирал да спазва изискванията за поверителност на данните, има право да участва в обработването на лични данни. На служителите е забранено да използват такива данни за лични цели или да ги предоставят на неоторизирани дружества и трети страни. Неоторизирани в този контекст означава и използването на лични данни от служители, които не се нуждаят от достъп до такива данни, за да изпълняват служебните си отговорности. Задължението за поверителност продължава да действа и след прекратяване на трудовите/гражданските/служебните правоотношения с Администратора, както и след прекратяване на правоотношения между Администратора и негови подизпълнители и партньори, както и между Администратора и обработващите данни.
9. АДМИНИСТРАТИВНИ И ТЕХНИЧЕСКИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ:
„ТИЕС2020” ООД използва административни и технически мерки за защита на личните данни, които обработва чрез своите служители или предоставя за обработване на трети лица – обработващи на лични данни. Тези мерки се изразяват в следното:
9.1. Всички служители на Администратора са отговорни за гарантирането на сигурността при съхранението на данните, които обработват, както и за това, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети лица, освен ако Администраторът не е предоставил такива права на тези трети лица въз основата на писмен договор или клауза за поверителност;
9.2. Всички лични данни следва да са достъпни само за тези служители/ обработващи лични данни, в чиито задължения е включено обработването на конкретните данни, а достъпът се осъществява само в съответствие с приетите вътрешни правила за контрол на достъпа (Процедура относно правилата и правата във връзка с контрола на достъпа до лични данни чрез технически средства).
9.3. С цел осигуряване на достатъчна защита на обработваните лични данни,„ТИЕС2020” ООД използва криптографски методи във всички раздели, наред с подсигуряването на информационната инфраструктура на Администратора. За да се предотврати злоупотреба с лични данни от страна на трети лица, подадената от клиенти информация се транспортира и верифицира в криптирана форма посредством SSL (Secure Socket Layer) протокол. Този процес може да бъде разпознат в прогрес бара на браузъра по символа с катинарче, което е заключено и интернет адресът започва с https.
9.4. Администраторът на лични данни приема вътрешни правила, с които се определят нивата на чувствителност на обработваните лични данни (информация), въз основа на които се създават отделни категории лични данни, които биват обработвани за конкретни цели. Отделните категории лични данни се обособяват в регистри с лични данни. С вътрешните правила се определя както редът за достъп до тези регистри, така и лицата, които имат право да ги достъпват, респективно обработват съхранените в тях лични данни;
9.5. Администраторът с вътрешен акт определя реда за контрол на отделянето на лични данни. Тези правила съдържат мерки, които да гарантират, че данните, събирани за различни цели, могат да се обработват отделно от оторизираните служители/ лица;
9.6. Администраторът взема мерки, гарантиращи защитата на личната информация срещу случайно унищожаване или загуба;
9.7. Администраторът определя процедури за възстановяване на наличността на лични данни след физически или технически инцидент. С оглед изпълнение на тези задължения, Администраторът осигурява необходимите технически средства (сървъри, компютърна мрежа, облачно пространство), за които се предприемат защитните мерки по т. 8.3. от настоящия раздел.
10. АДМИНИСТРАТИВНИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ:
10.1.„ТИЕС2020” ООД приема процедурни правила, определящи мерките и реда за физически достъп и защита на личните данни, които са задължителни за всички служители, които извършват обработване на лични данни;
10.2. Администраторът определя защитени зони за съхраняване на физическите носители на лични данни, достъпът до които се определя съгласно процедурните правила по т. 9.2. от настоящия раздел;
10.3. Администраторът въвежда следните мерки за ограничаване на достъпа до физическите носители на данни. Всичкиличниданнисетретират с най-голямасигурност и сесъхраняват:
- в самостоятелнастая с контролирандостъп;
- компютъризиранасистема, защитена с парола в съответствие с вътрешнитеизисквания, посочени в организационните и техническимеркизаконтролираненадостъпадо данните;
- компютърниносители, коитосазащитени в съответствие с организационните и техническимеркизаконтролираненадостъпадоинформация.
10.4. Администраторът въвежда политика на „чистото бюро“, с която всички служители, които обработват лични данни се запознават и прилагат. Записите върху хартиен носител не се оставят там, където могат да бъдат достъпни за неоторизирани лица и не могат да бъдат изваждани от определените защитени помещения без изрично разрешение. Веднага щом хартиените документи вече не са необходими за текущата работа по обработване на лични данни, те следва да бъдат архивирани по съответния ред, а ако липсва основание за тяхното архивиране, следва да бъдат унищожени в съответствие със създадена за това процедура;
10.5. Личните данни се изтриват или унищожават само в съответствие с приетата от Администратора процедура (Процедура за съхраняване и унищожаване на данните). Записите на хартиен носител, чиито срок за обработване е изтекъл, се нарязват (шредират) и унищожават като “поверителни отпадъци”. Данните върху твърдите дискове на неизползвани персонални компютри се изтриват или дисковете се унищожават, съгласно въведените процедури;
10.6. Обработването на лични данни извън обектите на Администратора се осъществява съгласно съответните процедурни правила и е допустимо с изрично писмено съгласие на прекия ръководител на обработващия лични данни или на Администратора.
11. ОТГОВОРНИК ПО ЗАЩИТА НА ДАННИТЕ
11.1 „ТИЕС2020” ООД назначава Отговорник по защита на личните данни (ОЗЛД). Отговорникът е служител на Администратора. Ролята на това лице е да следи за спазването на настоящата Политика в предприятието на Администратора и да гарантира възможността за доказване на съответствието на обработването на лични данни със законодателството за защита на личните данни.
11.2 ОЗЛД разработва и внедрява изискванията за защита на личните данни съгласно разпоредбите на настоящата Политика. ОЗЛД извършва управление на сигурността и риска по отношение на съответствието с настоящата Политика.
11.3 ОЗЛД отговаря за администриране и обработване на исканията и запитванията, отправени от субекта на данни към Администратора. ОЗЛД дава необходимите разяснения на служителите на Администратора по повод спазване защитата на личните данни.
11.4 ОЗЛД периодично изготвя и представя отчети на Администратора във връзка с прилагане на настоящата Политика, нормативните разпоредби, уреждащи защитата на лични данни, както и за съответствието на осигурената защита на личните данни в предприятието с нормативните изисквания в тази област.
III. СЪХРАНЯВАНЕ, УНИЩОЖАВАНЕ И ИНВЕНТАРИЗАЦИЯ НА ЛИЧНИ ДАННИ:
12. СЪХРАНЯВАНЕ
12.1„ТИЕС2020” ООД не съхранява лични данни във вид, който позволява идентифицирането на субектите за период, по-дълъг от необходимия за осъществяване на обработването, за което е дадено съгласието на субекта на лични данни и с оглед на целите, за които са били събрани. Съхраняване на лични данни за по-дълъг период е допустимо и без изричното съгласние на субекта на данни, ако е предвидено в нормативен акт на вътрешното законодателство или на правото на Европейския съюз, или с оглед защита на легитимни интереси на Администратора или във връзка с висящо съдебно, административно или друго произовдство;
12.2. Администраторът може да съхранява данни за по-дълъг период от необходимия за извършване на обработването, за което е дадено съгласие и в случаите, когато личните данни ще бъдат обработвани за целите на архивиране в обществен интерес, научни или исторически изследвания и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните;
12.3. Периодът на съхранение на всяка категория лични данни, обособена в отделен регистър, се определя в приета от Администратора процедура (Процедура за съхраняване и унищожаване на данните). В тази процедура са посочени критериите, използвани за определяне на периода на съхранение, включително всякакви законови задължения вменени на Администратора по отношение съхранение на данните.
12.4. Процедурата за съхранение и унищожаване на данните, както и правилата за унищожаване на информацията върху физически носители се прилагат във всички случаи.
13. УНИЩОЖАВАНЕ
Личните данни се унищожават сигурно, съгласно принципа за гарантиране на подходящо ниво на сигурност. Спазването на процедурата е задължително с оглед гарантиране защитата срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане на данните, като се прилагат подходящи технически или организационни мерки.
14. ИНВЕНТАРИЗАЦИЯ
14.1. Администраторът създава процес на инвентаризация на данните като част от своя подход за справяне с възможните рискове при обработване на събираните лични данни. При инвентаризацията на данните и при тяхното обработване се извършва оценка на въздействието на риска на личните данни;
14.2. Администраторът управлява всички рискове, идентифицирани в оценката на въздействието, с цел да се намали вероятността от несъответствие с правилата, въведени с ОРЗД/ ЗЗЛД. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване, Администраторът следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. Една обща оценка на въздействието може да разглежда набор от подобни операции по обработване, които представляват подобни високи рискове;
14.3. Когато в резултат на Оценката на въздействието е ясно, че Администраторът ще обработва лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, трябва да бъде предадено за преглед от страна на ОЗЛД;
14.4. Ако ОЗЛД има сериозни опасения или относно потенциалната вреда или опасност, или относно количеството на съответните данни, то следва да изготви доклад до надзорния орган /КЗЛД/;
14.5. ОЗЛД, прави периодичен преглед на първоначално инвентаризираните данни, преразглежда вписаната информация в „Регистъра на дейностите по обработване“ с оглед всякакви промени в дейностите на Администратора.
IV. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
15.1. Администраторът на лични данни има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории лица:
а) физически лица, за които се отнасят данните;
б) лица, за които правото на достъп е предвидено в нормативен акт или
в) лица, за които правото произтича по силата на договор;
15.2. С цел предоставяне на услуги, Администраторът предоставя информация /необходими лични данни/ за изпълнението на поето договорно задължение към субекта на лични данни. Администраторът предоставя лични данни на трети страни, които предоставят услуги от негово име въз основа на изрична писмена инструкция/ писмен договор. Тези трети страни нямат право да използват или разкриват данните извън целите, за които са им предоставени, освен когато това е необходимо за извършване на услуги от името на Администратора или за съобразяване със законови изисквания. Целите за обработване на предоставените лични данни са изрично определени в писмената инструкция/писмения договор, въз основа на който данните са предоставени на третото лице. Третите лица (обработващи на лични данни) са задължени да осигурят необходимите технически и организационни мерки за защита на личните данни, предоставяни от Администратора или по-големи;
15.3. Администраторът споделя получените лични данни с негови партньори и подизпълнители, въз основа на изрична писмена инструкция или писмен договор. Тези лица могат да използват информацията за целите, описани в настоящата Политика за защита на личните данни. При предоставено изрично съгласие от субекта на лични данни, последните могат да бъдат споделени с трети страни въз основа на писмен договор, за техни собствени цели, като например предлагане на продукти и услуги, които могат да представляват интерес за субекта на данни;
15.4. Администраторът разкрива лични данни на компетентни органи/ лица с оглед организиране защитата на законните си права и интереси при иницииране на заповедни, арбитражни, охранителни, искови, административни и други производства;
15.5. Администраторът разкрива лични данни за субекти, чиито лични данни обработва, когато е задължен за това по закон, подзаконов нормативен акт, международен договор или акт на правото на Европейския съюз, или във връзка със съдебна процедура, в отговор на искане от държавни органи, (например правоприлагащи или разследващи органи), или при съмнение за сериозно и незаконосъобразно засягане законните права и интереси на субектите на правото.
VI. ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ:
НАСТОЯЩАТА ПОЛИТИКА Е ПРИЕТА С РЕШЕНИЕ ОТ 12.06.2018 Г. НА ЕДНОЛИЧНИЯ СОБСТВЕНИК НА КАПИТАЛА НА „ТИЕС2020” ООД И ВЛИЗА В СИЛА НА 13.06.2018 Г.;
В случай на нарушаване на правата Ви съгласно горепосоченото или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД). Информация относно компетентния надзорен орган защита на личните данни:
Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон: 02 915 3 518
Интернет страница: www.cpdp.bg
- Приложение 2 – ДЕКЛАРАЦИЯ-СЪГЛАСИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ОТ РОДИТЕЛ
- Приложение 3 – ЗАЯВКА ЗА ДОСТЪП ДО ЛИЧНИ ДАННИ
- Приложение 4 – ЗАЯВКА ЗА КОРИГИРАНЕ НА ЛИЧНИ ДАННИ
- Приложение 5 – ЗАЯВКА ЗА ОГРАНИЧАВАНЕ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
- Приложение 6 – ЗАЯВКА ЗА ИЗТРИВАНЕ НА ЛИЧНИТЕ ДАННИ (ИСКАНЕ „ДА БЪДА ЗАБРАВЕН“)
- Приложение 7 – УВЕДОМЛЕНИЕ ЗА ОТТЕГЛЯНЕ НА ДАДЕНО СЪГЛАСИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
- Приложение 8 – ЗАЯВКА ЗА УПРАЖНЯВАНЕ ПРАВО НА ПРЕНОСИМОСТ НА ЛИЧНИ ДАННИ
- Приложение 9 – УВЕДОМЛЕНИЕ ЗА ОТТЕГЛЯНЕ НА ДАДЕНО СЪГЛАСИЕ ОТ РОДИТЕЛ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ