Политика за защита на личните данни
Ние зачитаме личните данни, които ни предоставяте. Искаме да Ви информираме как ползваме Вашите лични данни. Kак тази информация се ползва.
Ние събираме и използваме лична информация, за да разберем Вашите нужди и интереси. Да Ви обслужваме по-добре. В допълнение към информацията, която Вие ни предоставите, ние може така също да събираме информация по време на Вашето посещение на нашия сайт. Това става чрез инструменти за автоматично събиране на информация. Които включват бисквитки, връзки, страници и други често ползвани инструменти за събиране на информация.
Информацията която събираме е за да разберем Вашите потребности и интереси. Това ни помага да направим Вашето посещение последователно и персонализирано.
Например, ние може да използваме Вашата информация, за да Ви:
- помогнем при попълване на поръчка;
- информираме отностно продукти или услуги;
- да предоставим услуги и поддръжка;
- известим за нови услуги или други ползи;
- предоставим персонализирани промоционални оферти;
- изберем съдържание което да Ви бъде показано;
Също така, ние получаваме техническа информация, когато използвате нашия сайт.
Всеки път, когато използвате сайта, мобилно приложение или друга интернет услуга, системата създава и записва определена информация автоматично.
Ето някои от категориите информация, която събираме:
a/ Данни в регистрационните файлове. Когато използвате сайта, нашите сървъри записват информация (“данни от дневника” или “log data”). Включително информация, която браузърът ви автоматично изпраща при посещение на уеб сайт или мобилното ви приложение автоматично изпраща, когато го използвате. Тези данни от дневника включват адреса на интернет протокола, адреса и активността на посещаваните от вас уеб сайтове, търсения, тип и настройки на браузъра, дата и час на заявката ви, как сте използвали сайта, данните за “бисквитките” и данните за устройствата.
б/ Данни за “бисквитките”. Ние също така използваме “бисквитки”. Това да малки текстови файлове, изпратени от вашия компютър всеки път, когато посещавате нашия уеб сайт. А също и подобни технологии за улавяне на данни.
Ние използваме “бисквитки” на сесията (поддържат се, докато затворите браузъра си). Или постоянните “бисквитки” (които се поддържат, докато вие или браузърът ви ги изтрият).
Например, ние използваме “бисквитки”, за да съхраняваме вашите езикови предпочитания или други настройки. Така че не е нужно да ги настройвате всеки път, когато посещавате сайта. Някои от “бисквитките”, които използваме, са свързани с профила ви (включително информация за вас, като например имейл адреса, който сте ни дали), а други “бисквитки” не са.
в/ Информация за устройството. В допълнение към данните в дневника, ние събираме информация за устройството, чрез което използвате нашия уеб сайт. Включително тип устройство, операционна система, настройки, уникални идентификатори на устройства и данни за сривове, които ни помагат да разберем, когато нещо се счупи. Дали събираме част или цялата информация, често зависи от типа на устройството, което използвате и от настройките му.
ИНСТРУКЦИЯ
за обработване на лични данни и защитата им от незаконни форми на обработване в регистър “Контрагенти”, воден във exist.bg
I. ОБЩИ ПОЛОЖЕНИЯ
Чл.1. Настоящият правилник има за цел да регламентира:
1.1. Воденето, поддържането и защитата на регистър ” Контрагенти “, съхраняващ лични данни на клиенти в exist.bg.
1.2. Задълженията на длъжностните лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения.
1.3. Необходимите технически и организационни мерки за защита личните данни на посочените по-горе лица от неправомерно обработване. (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
ІI. ПРЕДНАЗНАЧEНИЕ НА РЕГИСТЪРА IИ СРОК НА ОБРАБОТКА
Чл.2. Регистърът набира и съхранява лични данни от контрагенти на exist.bg по време на дейността им по изпълнение на договори, с оглед:
2.1. За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на поръчки, които са постъпили в онлайн платформата.
2.2. За водене на счетоводна отчетност.
2.3 за ретаргетинг във връзка с целите на маркетинга, ремаркетинга или оптимизацията;
Срок
Данните се съхраняват и обработват докато акаунтът на потребителя е действащ и 1 година след деактивирането или изтриването му, както и докато има нужда от нея за предоставяне на услугите ни. В случай, че лицето направи съответната заявка, информацията се унищожава незабавно.
С цел извършване на доставка, когато такава е заявена от потребителя, exist.bg има право да предоставя горепосочените лични данни или част от тях на куриери компании или националните пощенски оператори, вкл. ЕКОНТ, СПИДИ, ЕВРОПЪТ. В тази връзка, потрeбителят може да получава SMS или обаждания от тези лица.
ІІІ. ВОДЕНЕ НА РЕГИСТЪРА
Чл.3. Регистърът се води на електронен носител.
3.1. При водене на регистъра на технически носител, личните данни се въвеждат на твърд диск, на изолиран компютър.
3.2 Компютърът е със защитен достъп чрез парола за достъп до личните данни, който е непосредствен само от страна на обработващите на лични данни. При работа с данните се използват софтуерни продукти по обработка на данните.
3.3 Достъп до операционната система, съдържаща файлове за обработка на лични данни, имат само обработващите на лични данни чрез парола за отваряне на тези файлове. Защитата на електронните данни от неправомерен достъп, повреждане, изгубване или унищожаване се осигурява посредством поддържане на високотехнологични антивирусни програми и периодично архивиране на данните.
ІV. ЛИЧНИ ДАННИ, СЪХРАНЯВАНИ В РЕГИСТЪРА
Чл.4. В регистъра се поддържат следните видове данни:
4.1 Физическа идентичност – имена, адрес, телефон и ЕГН.
V. НАБИРАНЕ, ОБРАБОТВАНЕ И СЪХРАНЯВАНЕ НА ЛИЧНИ ДАННИ
Чл. 5. Личните данни в регистър “Клиенти” се набират чрез постъпване на поръчки в платформата, от дадено лице, което е клиент в изпълнение на Общи условия.
Чл.6. Във всички случаи, лицата, чиито данни подлежат на обработка в регистъра, подават необходимите лични данни на администратора /длъжностното лице/, назначено за обработването им – обработващ на лични данни.
Чл.7. За необходимостта от набиране на лични данни и целите, за които ще бъдат използвани, длъжностното лице / общаботващ на личните данни информира лицето.
Чл.8. При необходимост от поправка на личните данни, лицата предоставят такива на длъжностното лице /обработващ на лични данни по негово искане на основание нормативно задължение.
VІ. ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ
Чл.9. Достъп до данните на лицето се осигурява под формата на:
9.1. устна справка;
9.2. писмена справка;
9.3. преглед на данните от самото лице или упълномощено от него такова;
9.4. предоставяне на копие от исканата информация.
Чл.10. При подаване искане за осигуряване на достъп, представляващият администратора разглежда заявлението за достъп или разпорежда на обработващия на лични данни да осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето, с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя, лично срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.
Чл. 11. Достъп до личните данни на лицата, съдържащи се на технически носител, имат само обработващите на лични данни с паролата за достъп до файловете.
Чл.12. Освен на длъжностните лица Обработващи лични данни, правомерен е достъпът и на длъжностните лица, пряко ангажирани с оформяне и проверка законосъобразността на документите на лицата – управител, главен счетоводител, както и на лицата, осъществяващи технически счетоводни операции по обработка на документите. Обработващите на лични данни са длъжни да им осигурят достъп при поискване от тяхна страна.
VІІ. ДОСТЪП НА ТРЕТИ ЛИЦА ДО РЕГИСТЪР „КЛИЕНТИ””
Чл.13. Информацията от регистър “Клиенти” не се изнася извън сградата на администратора. Никое длъжностно или трето лице няма право на достъп до регистър “Клиенти” на exist.bg, освен ако същото е изисквано по надлежен път от органи на съдебната власт (съд, прокуратура, следствени органи). Достъпът на тези органи до личните данни на лицата е правомерен.
Чл.14. (1) Не се изисква съгласие на лицето, ако обработването на неговите лични данни се извършва само от или под контрола на компетентен държавен орган за лични данни, свързани с извършване на престъпления, на административни нарушения и на непозволени увреждания. На такива лица се осигурява достъп до личните данни, като при необходимост им се осигуряват съответни условия за работа в помещение на дружеството.
(2) Правомерен е и достъпът на ревизиращите държавни органи, надлежно легитимирали се със съответни документи. Писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, като за целите на дейността им е необходимо да им се осигури достъп до данни в регистър „Клиенти”.
(3) При промени в статута на дружеството (преобразуване, ликвидация и други), налагащи прехвърляне на регистрите за лични данни от дружеството на друг администратор на лични данни, предаването на регистъра се извършва след разрешение на Комисията за защита на лични данни и съгласно посочения по-горе ред за внасяне на съответното искане.
Чл.15. Решението си за предоставяне или отказване достъп до лични данни за съответното лице администраторът съобщава на третите лица в 30-дневен срок от подаване на молбата, респ. искането.
VІІІ. ДОПЪЛНИТЕЛНА РАЗПОРЕДБА
За целите на настоящия правилник:
§ 1. “Администратор на лични данни” е exist.bg
§ 2. “Обработващ на лични данни” са следните длъжностни лица: Павлета Енчева Савова
§ 3. Настоящият правилник се издава на основание чл. 24, ал. 4 от Закона за защита на личните данни.
§ 4. Настоящият правилник влиза в сила от 11.04.2016 г. и след като всички длъжностни лица, за които създава субективни права и задължения се запознаят с неговото съдържание срещу подпис.
§ 5. Копие от Правилника е на разположение за сведение и изпълнение.
Всички права се упражняват, а съответните искания и уведомления във връзка с правата на субектите на данни, се депозират чрез ФОРМАТА ЗА КОНТАКТ ПО ВЪПРОСИ, СВЪРЗАНИ С ЛИЧНИТЕ ДАННИ exist.bg, на e-mail admin@exist.bg. Или по пощата на адреса на управление, посочен по-горе. Исканията се правят по начин, който позволява да се идентифицира самоличността на заявителя. По отношение на някои права, възможно е да бъдат приложими технически възможности за упражняването им, например Бутон за отписване. При всички случаи, администраторът следва да отговори на искането или да се произнесе по отношение на обявеното право на предоставения във формата за контакт адрес или е-мейл, в срок от един месец от получаването й.
Според Общия регламент за защита на личните данни субектът на данни има право на:
• Информираност (във връзка с обработването на личните му данни от администратора);
Когато има риск за нарушение сигурността на личните Ви данни, администраторът е длъжен да Ви уведоми за естеството на нарушението и какви мерки са предприети за отстраняването му, както и дали е уведомен надзорният орган за нарушението.
• Достъп до собствените си лични данни и право на оттегляне на съгласието за обработка.
Като субект на лични данни имате право да поискате потвърждение дали се обработват личните Ви данни и ако това е така – да получите достъп до данните си и следната информация: за каква цел се обработват данни, какви лични данни, получателите на данни, срокът на обработване. Исканията за достъп трябва да бъдат изготвени в писмен/електронен вид и да бъдат адресирани до администратора. Също така, имате право по всяко време да оттеглите съгласието си за обработка на личните ви данни.
• Коригиране (ако данните са неточни).
Като субект на лични данни имате право да поискате коригиране на личните си данни, които са неточни/неактуални. За тази цел трябва да подадете отделно искане. На искането Ви ще бъде отговорено от страна на администратора по следния начин – писмено, на предоставения и-мейл адрес.
• Изтриване на личните данни (право „да бъдеш забравен“).
Като субект на лични данни имате право да „бъдете забравен”, т.е. да поискате личните Ви данни да бъдат изтрити без ненужно забавяне. Т.е. администраторът да заличи личните ви данни от всички системи и записи, където те се съхраняват, включително да уведоми всички трети лица/обработващи лични данни, на които е предоставил данните.
• Ограничаване на обработването от страна на администратора или обработващия лични данни.
Като субект на лични данни имате право да поискате от администратора на личните Ви данни да ограничи обработването им. Ограничаването се допуска в следните случаи: – когато считате, че личните Ви данни не са точни, като в този случай ограничаването е за срок, необходим на администратора да провери точността; – когато обработването на личните Ви данни е неправомерно, но не желаете те да бъдат изтрити, а желаете само да бъде ограничено използването им; – когато администраторът не се нуждае повече от личните Ви данни за целите на обработването, но вие, като субект на данните, ги изисквате за установяването, упражняването или защитата на правни претенции; – когато сте възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите ви. За целта, при наличие на някое от горните условия, следва да подадете искане.
• Преносимост на личните данни, вкл. между отделните администратори.
Субектът на данните има право на преносимост. Да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
• Възражение спрямо обработването на негови лични данни.
Като субект на лични данни имате право да възразите срещу обработването на личните ви данни по всяко време, вкл. когато е за целите на директния маркетинг. Администраторът следва да се мотивира дали приема възражението, респ. защо продължава да обработва личните данни, ако отхвърли възражението.
• Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен. Субектът на данни има право по всяко време да оспори автоматизираното решение.
• Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени. Като субект на лични данни имате право на жалба срещу обработването на личните Ви данни или неспазване на правата ви във връзка със защитата на лични данни пред компетентния надзорен орган. Също така, лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.
Сигурност
Ние сме предприели множество технически, правни и организационни мерки за защита на личните данни на всяко едно лице. С цел избягване на нерегламентиран достъп, ние изпълняваме процедури по криптиране в някои области. Също така, ние използваме SSL – протоколи, за да предотвратим възможността за злоупотреба с данните от трети лица. Ние не споделяме данни с трети лица, освен в случаите когато следва да извършим доставка на поръчана стока.
Възможно е да ползваме услугите на трети лица, които се явяват обработващи лични данни за горепосочените цели на обработката. Тези лица обработват личните данни по наше възлагане и са задължени да спазват действащите разпоредби за защита на личните данни. Тези лица са внимателно подбрани от нас и имат достъп единствено до данни, които са им необходими за предоставянето на услугите, с които са ангажирани и в рамките на изявеното към нас съгласие. В случай, че тези лица са извън ЕС и не изпълняват необходимите изисквания на GDPR, въз основа на статута му на нормативен акт, ние ще гарантираме защитата на личните данни чрез договорни или други правни инструменти. Също така, възможно е личните данни могат да бъдат предоставени на държавни или общински органи, които осъществяват различен вид контрол в рамките на закона.