Политика за поверителност

Последно актуализиранa на 22.05.2018г.

Настоящата актуализирана Политика на поверителност (“Политика”) определя правилата по отношение на защитата на личните данни на физическите лица, използващи сайта: https://www.auditor.bg (“Сайт”), собственост на „Ай Ти Дивелъп Груп“ EООД (“Администратор на лични данни”/”Администратор”). Политиката се съобразява изцяло с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Регламент“), влизащ в сила на 25.05.2018 г., и българският Закон за защита на личните данни (“ЗЗЛД”).

Настоящата Политика гарантира и съблюдава следните принципи, свързани с обработването на лични данни:

1. „Принцип на законосъобразност, добросъвестност и прозрачност“ – личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните;

2. „Принцип на ограничение на целите“ – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

3. „Принцип на свеждане на данните до минимум“ – личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват;

4. „Принцип на точност“ – личните данни са точни и при необходимост се поддържат в актуален вид; Администраторът е предприел всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

5. „Принцип на ограничение на съхранението“ – личните данни са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на субекта на данните;

6. „Принцип на цялостност и поверителност“ – личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

7. „Принцип на отчетност“ – Администраторът носи отговорност и е в състояние да докаже спазването на всички горепосочени принципи.

I. ДЕФИНИЦИИ

1.1. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

1.2. „Субект на данни“ e физическо лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

1.3. „Обработване на личните данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

1.4. „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;

1.5. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора;

1.6. В настоящата Политика Европейският съюз е наричан за краткост “Съюза”

II. ДАННИ, КОИТО ИДЕНТИФИЦИРАТ АДМИНИСТРАТОРА И КООРДИНАТИТЕ ЗА ВРЪЗКА С НЕГО

2.1. Администратор по смисъла на чл. 4, ал. 7 от Регламента и чл. 3, ал. 1 от ЗЗЛД и настоящата Политика е: „Ай Ти Дивелъп Груп“ EООД, с ЕИК 204037966, представлявано от управителя Александър Тодоров;

2.2. Координатите за връзка с Администратора и представителя на Администратора са както следва:

2.2.1. Седалище и адрес на управление: гр. София, район „Овча купел”, ж.к. „Овча купел” 2, улица „Промишлена” № 44, вх. „1”, ет. 7, ап. 42;

2.2.2. Адрес за упражняване на дейността: гр. София, бул. “Цар Борис III” 41;

2.2.3. Имейл адрес: office@auditor.bg;

2.2.4. Телефон: 0888 111 098.

III. КАТЕГОРИИ ЛИЧНИ ДАННИ, КОИТО АДМИНИСТРАТОРЪТ ОБРАБОТВА

3.1. При поръчка, съответно сключване на договор от разстояние, Администраторът събира следната информация, съставляваща лични данни на физическите лица, съответно представителите на юридическите лица, а именно:

3.1.1. Имена;

3.1.2. Адрес;

3.1.3. Телефон за контакт;

3.1.4. Имейл адрес;

3.1.5. Информация, свързана със създаването на лична страница в Сайта;

3.2. При заявяване за получаване на бюлетин за новини и промоции, Администраторът събира следната информация, съставляваща лични данни на физическите лица, а именно:

3.2.1. Имейл адрес.

IV. ЦЕЛИ НА ОБРАБОТВАНЕТО НА ЛИЧНИТЕ ДАННИ

4.1. Данните по Раздел III, т. 3.1., а именно: имена, адрес, телефон за контакт и имейл адрес се събират и обработват за следните цели:

4.1.1. Индивидуализиране на клиентите на Администратора и изпълнение на задълженията по направените поръчки и сключените договори от разстояние;

4.1.2. Доставка на поръчаните стоки и/или услуги;

4.1.3. Изпращане на кореспонденция във връзка с направената поръчка, съответно сключеният договор от разстояние;

4.1.4. Установяване на контакт с лицата по телефон или имейл адрес във връзка с направената поръчка, съответно сключеният договор от разстояние;

4.1.5. Водене на счетоводна отчетност и изпълнение на изискванията на Закона за счетоводството и други нормативни актове;

4.1.6.Изпращане на бюлетин за новини и промоции за целите на директния маркетинг;

4.2. Данните по Раздел III, т. 3.2., а именно: имейл адрес се събират и обработват за изпращане на бюлетин за новини и промоции за целите на директния маркетинг.

V. ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕТО НА ЛИЧНИТЕ ДАННИ

5.1. Администраторът събира и обработва данните по Раздел III, т. 3.1., а именно: имена, адрес, телефон за контакт и имейл адрес, за целите по Раздел IV, т. 4.1.1. – 4.1.5., а именно: индивидуализиране на клиентите на Администратора и изпълнение на задълженията по направените поръчки и сключените договори от разстояние, доставка на поръчаните стоки и/или услуги, изпращане на кореспонденция, установяване на контакт с лицата по телефон или имейл адрес във връзка с направената поръчка, съответно сключеният договор от разстояние, водене на счетоводна отчетност и изпълнение на изискванията на Закона за счетоводството и други нормативни актове, на основание чл. 6, ал. 1, б. „б“ от Регламента, а именно обработването е необходимо за изпълнението на договор, по който Субектът на данните е страна, или за предприемане на стъпки по искане на Субекта на данните преди сключването на договор.

5.1.1. В случай че Субектът на данни не предостави име, е налице невъзможност за сключване на договор от разстояние.

5.1.2. В случай че Субектът на данни не предостави адрес, е налице невъзможност Администраторът да изпълни договорът от разстояние, съответно да предостави поръчаните стоки и/или услуги.

5.1.3. В случай че Субектът на данни не предостави телефон за контакт и имейл адрес, е налице невъзможност Администраторът да потвърди направената поръчка, да предостави поръчаните стоки и/или услуги, включително на спедиторска фирма за доставка, както и в случай на необходимост да се свърже със Субекта на данни при изпълнение на направената поръчка.

5.3. Администраторът събира и обработва данните по данните по Раздел III, т. 3.1.4. и т. 3.2., а именно: имейл адрес, за целите по Раздел IV, т. 4.1.6., а именно: изпращане на бюлетин за новини и промоции за целите на директния маркетинг, на основание чл. 6, ал. 1, б. „а“ от Регламента, а именно Субектът на данните е предоставил съгласие за обработване на личните му данни за посочените цели.

5.3.1. В случай че Субектът на данни предостави съгласие за обработване на данните му по т. 5.3. за целите на директния маркетинг, последният се съгласява (като има право да оттегли съгласието си по всяко време) с това, че Администраторът може да му изпраща по имейл бюлетини и други известия, да го информира за промоции, кампании и новини по имейл за целите на директния маркетинг и реклама на стоки и/или услуги, предлагани от Администратора. Последното се счита за дадено съгласие по смисъла на чл. 6, ал. 4 от Закона за електронната търговия и чл. 261, ал. 1 от Закона за електронните съобщения.

5.3.3.Субектът на данни може да оттегли съгласието си по т. 5.3. по всяко време, както чрез кликване на бутона “unsubscribe from this list” в края на всеки получен имейл, така и като се свърже с Администратора на имейл адрес: hello@escreo.com или на телефон 0700 10 324.

VI. КАТЕГОРИИТЕ ПОЛУЧАТЕЛИ НА ЛИЧНИТЕ ДАННИ

6.1. Категориите получатели, на които личните данни могат да бъдат разкривани са:

6.1.1. на лица, ако е предвидено в нормативен акт, включително на държавни органи, по отношение на които съществува законово изискване за предоставяне на определени категории лични данни;

6.1.2. на Обработващи лични данни по силата на договор между Администратора и Обработващия, а именно дружества, осъществяващи счетоводно обслужване, IT обслужване, лица, предоставящи услугата по нанасяне, куриери, спедитори, превозвачи, лица, предоставящи маркетингово сътрудничество, рекламни услуги, консултиране, одитори, одиторски дружества, адвокати, адвокатски дружества, банки, като част от процедурата по възстановяване на средства и др., които обработват лични данни само по указание на Администратора, освен ако обработването не се изисква от действащото законодателство; Обработващите лични данни са длъжни да предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента, както и да осигуряват защита на правата на Субектите на данни.

6.1.3. на лица, които под прякото ръководство на Администратора обработват личните данни, поели са ангажимент за поверителност и са запознати със законодателството по защита на личните данни.

VII. СРОК ЗА СЪХРАНЯВАНЕ НА ЛИЧНИТЕ ДАННИ

7.1. Личните данни се съхраняват за срок от 5 години, считано от последното взаимодействие на Субекта на данни с Сайта, напр. запитване и/или поръчка, направена през Сайта, посещение на Сайта и пр. и/или до изтичане на договорните отношения

VIII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

8.1. Субектът на данните има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

8.1.1. целите на обработването;

8.1.2. съответните категории лични данни;

8.1.3. получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

8.1.4. предвидения срок, за който ще се съхраняват личните данни и/или критериите, използвани за определянето на този срок;

8.1.5. съществуването на право да се изиска от Администратора коригиране, изтриване или ограничаване на обработването на лични данни, свързани със Субекта на данните, или да се направи възражение срещу такова обработване;

8.1.6. правото на жалба до надзорен орган;

8.1.7. когато личните данни не се събират от Субекта на данните, всякаква налична информация за техния източник;

8.1.8. съществуването на автоматизирано вземане на решения, включително профилиране.

8.2. Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от Субекта на данните, последният заплаща административните разходи за същите. Когато Субектът на данни подава искане чрез електронни средства, информацията се предоставя в електронна форма, освен ако Субектът на данни не е поискал друго.

8.3. Администраторът предоставя на Субекта на данните информация по чл. 13 от Регламента в момента на получаване на личните данни, а именно с настоящата Политика.

8.4. Субектът на данни има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването Субектът на данните има право непълните лични данни да бъдат допълнени.

8.5. Субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие своевременно личните данни, в следните случаи:

8.5.1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

8.5.2. Субектът на данните е оттеглил своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

8.5.3 Субектът на данните е възразил срещу обработването на лични данни и няма законни основания за обработването, които да имат преимущество, а в случаите, когато обработването е за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява;

8.5.4. личните данни са били обработвани незаконосъобразно;

8.5.5. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по приложимото спрямо Администратора право;

8.5.6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца относно условията, приложими за съгласието на дете във връзка с услугите на информационното общество.

8.6. Субектът на данните има право да изиска от Администратора ограничаване на обработването, в следните случаи:

8.6.1. когато Субектът на данните оспорва точността на личните данни, за срок, който позволява на Администратора да провери точността на личните данни;

8.6.2. когато обработването на личните данни е неправомерно, но Субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

8.6.3. когато Администраторът не се нуждае повече от личните данни за целите на обработването, но личните данни следва да бъдат съхранявани, тъй като Субектът на данните изисква това от Администратора за установяването, упражняването или защитата на правни претенции;

8.6.4. Субектът на данните е възразил срещу обработването на личните данни, но следва да се извърши проверка дали законните основания на Администратора имат преимущество пред интересите на Субекта на данните.

8.7. Когато обработването е ограничено съгласно т. 8.6., такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на Субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.

8.8. Когато Субект на данните е изискал ограничаване на обработването съгласно т. 8.6., Администраторът го информира преди отмяната на ограничаването на обработването.

8.9 Администраторът съобщава за всяко извършено в съответствие с т. 8.4. – 8.8. коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити. Администраторът информира Субекта на данните относно тези получатели, ако Субектът на данните поиска това.

8.10. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото личните данни са предоставени, когато:

8.10.1. обработването е основано на съгласие или на договорно задължение;

8.10.2. обработването се извършва по автоматизиран начин.

8.11. Когато упражнява правото си на преносимост на данните по т. 8.10., Субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

8.12. Упражняването на правото, посочено в т. 8.10. не засяга правото на изтриване по т. 8.5. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора.

8.13. Субектът на данните има право по всяко време на възражение срещу обработване на лични данни, отнасящи се до него, на основание член 6, параграф 1, буква д) от Регламента – когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, което са предоставени на Администратора, или на основание член 6, параграф 1, буква е) от Регламента – когато обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на Субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете, включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на Субекта на данни, или за установяването, упражняването или защитата на правни претенции.

8.14. Когато се обработват лични данни за целите на директния маркетинг, Субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

8.15. Когато Субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

8.16. Най-късно в момента на първото осъществяване на контакт със Субекта на данните, той изрично се уведомява за съществуването на правото по т. 8.13. и т. 8.14., което му се представя по ясен начин и отделно от всяка друга информация.

8.17. Субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.

8.18. Субектът на данни има право да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, Субектът на данни бива информиран за това.

8.19. Всеки Субект на данни има право да подаде жалба до съответния надзорен орган, в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако Субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на Регламента. Надзорният орган в Република България е Комисия за защита на личните данни, с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, тел. 02/91-53-518, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg.

8.20. Администраторът предприема необходимите мерки за предоставяне на всякаква информация и на всякаква комуникация по Раздел VIII, т. 8.1. – т. 8.17. и Раздел IX, т. 9.8., която се отнася до обработването, на Субекта на данните в кратка, ясна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг подходящ начин, включително, с електронни средства. Ако Субектът на данните е поискал това, информацията може да бъде дадена устно, при положение, че идентичността на Субекта на данните е доказана и с други средства.

8.21. Администраторът съдейства за упражняването на правата на Субекта на данните по Раздел VIII, т. 8.1. – т. 8.17.

8.22. Администраторът се задължава да предприеме всички необходими действия по искане на Субекта на данните за упражняване на правата му по Раздел VIII, т. 8.1. – т. 8.17., като Администраторът има право да откаже да предприеме съответните действие само в случаите, когато не е в състояние да идентифицира Субекта на данните.

8.23. Администраторът се задължава да предостави на Субекта на данни информация относно действията, предприети във връзка с подадено от същия искане по Раздел VIII, т. 8.1. – т. 8.17., в срок от един месец от получаване на искането. При необходимост, в зависимост от сложността и броя на исканията, този срок може да бъде удължен с още два месеца. Администраторът се задължава да информира Субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато Субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако Субектът на данни не е поискал друго.

8.24. Ако Администраторът не предприеме действия по съответното искане на Субекта на данни, Администраторът уведомява Субекта на данни най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

IX. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

9.1. Администраторът е въвел подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламента. Тези мерки се преразглеждат периодично и при необходимост се актуализират.

9.2. Администраторът е въвел подходящи технически и организационни мерки, разработени с оглед на ефективното прилагане на принципите за защита на данните, в това число свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на Регламента и да се осигури защита на правата на Субектите на данни.

9.3.Администраторът е въвел подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

9.4. Администраторът прилага подходящи технически и организационни мерки за осигуряване на съобразено ниво на сигурност, включително:

9.4.1. гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

9.4.2. способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

9.4.3. процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

9.5. Администраторът предприема действия всяко физическо лице, действащо под ръководството на Администратора, което има достъп до лични данни, да обработва тези данни само по указание на Администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

9.6. В случай на нарушение на сигурността на личните данни Администраторът, не по-късно от 72 часа, след като е разбрал за него, уведомява за нарушението на сигурността на личните данни компетентния надзорен орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато същото не е подадено в срок от 72 часа.

9.7. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

9.8. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът своевременно съобщава на Субекта на данните за нарушението на сигурността на личните данни.

9.9. Администраторът не извършва автоматизирано вземане на решения и профилиране.

Ако смятате, че каквато и да било информация за Вас е невярна или неточна, моля да ни информирате възможно най-скоро.