ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
при използване на уебсайта www.viaaqua.bg
ПРЕАМБЮЛ
- „ВИА ДАЙМЪНД“ ЕООД, с ЕИК: 207419533, със седалище и адрес на управление: гр. Варна 9023, ж.к. „Владислав Варненчик“, бл. 402, вх. 2, ап. 24, представлявано от управителя Иванка Александрова Живкова, телефон за контакт: +359886121980, имейл адрес: info@viaaqua.bg, наричано по-долу също така „Администратор“ и/или „Дружество“, е търговско дружество, вписано в Търговския регистър при Агенцията по вписванията.
- Уебсайтът www.viaaqua.bg („Уебсайтът“) се притежава и администрира от Дружеството при зачитане правата на субектите на данни в електронна среда, както и при стриктно спазване на нормативната уредба в областта на защитата на личните данни.
- Дружеството е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защитата на данните“ или ОРЗД) и Закона за защита на личните данни (ЗЗЛД), тъй като самостоятелно определя целите и средствата за обработване на лични данни, предоставени от посетителите на Уебсайта.
I. ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА
Чл. 1. (1) Настоящата Политика цели да информира посетителите на Уебсайтa www.viaaqua.bg относно правилата за обработване на личните им данни, събрани при ползването му.
(2) Всеки потребител следва да се запознае със съдържанието на Политиката, както и с това на Политиката за бисквитките, достъпни на самия Уебсайт, а Администраторът се задължава да актуализира незабавно своите Политики при всяко тяхно изменение.
Чл. 2. Настоящата редакция на Политиката съдържа информация относно:
- терминологията, използвана в Общия регламент за защитата на данните и ЗЗЛД;
- принципите, свързани с обработването на лични данни, към които Администраторът се придържа;
- приложимите основания за обработване на лични данни съгласно чл. 6 от Общия регламент за защитата на данните;
- категориите лични данни, които подлежат на обработване;
- приложимите срокове за обработване на личните данни от Аминистратора;
- категориите получатели, пред които се разкриват личните данни;
- правата на субектите на данни и реда за упражняването им;
- общи задължения на Администратора;
- задължения на Администратора при нарушение на сигурността на личните данни.
II. ДЕФИНИЦИИ
Чл. 3. По смисъла на настоящата Политика термините, посочени по-долу, имат следните дефиниции:
- „лични данни“ е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
- „обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
- „потребител“ e всяко физическо лице, което осъществява достъп до Уебсайта;
- „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждности, поведение, местоположение или движение;
- „получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;
- „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, Администратора, обработващия лични данни и лицата, които под прякото ръководство на Администратора или на обработващия лични данни имат право да обработват личните данни;
- „нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
- „злонамерена атака“ е всяко действие, което нарушава нормалното функциониране на Уебсайта – изпращане на нежелана поща (SPAM, JUNK MAIL), извършване на действия, които могат да бъдат квалифицирани като компютърни или друг вид престъпления по смисъла на Наказателния кодекс, умишлено заразяване с вируси, смущаване нормалната работа на останалите потребители на Уебсайта и др.
- „надзорен орган“ е независим публичен орган, който е отговорен за наблюдението на прилагането на съответните разпоредби, за да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни. За територията на Република България надзорният орган по смисъла на чл. 51 от Общия регламент за защитата на данните е Комисия за защита на личните данни, с адрес: София 1592, бул. „Проф. Цветан Лазаров“ № 2.
III. ПРИНЦИПИ, ПРИЛАГАНИ ОТ „ВИА ДАЙМЪНД“ ЕООД
ПРИ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
Чл. 4. При изпълнение на дейността си като администратор на лични данни, „ВИА ДАЙМЪНД“ ЕООД обработва лични данни при спазване на следните принципи:
- принцип на законосъобразност, добросъвестност и прозрачност – личните данни се обработват от Администратора законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните;
- принцип на ограничение на целите – личните данни се събират от Администратора за конкретни, изрично указани и легитимни цели и не се обработват по начин, несъвместим с тези цели;
- принцип на свеждане на данните до минимум – личните данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват;
- принцип на точност – личните данни са точни и поддържани от Администратора в актуален вид, като се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
- принцип на ограничение на съхранението – личните данни се съхраняват от Администратора във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;
- принцип на цялостност и поверителност – личните данни се обработват от Администратора по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
- принцип на отчетност – Администраторът е в състояние да докаже спазването на предходните принципи.
IV. ЗАКОНОСЪОБРАЗНОСТ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
ОТ „ВИА ДАЙМЪНД“ ЕООД
Чл. 5. (1) Придържайки се към принципа на законосъобразност на обработването и принципа на ограничение на целите, „ВИА ДАЙМЪНД“ ЕООД обработва лични данни, предоставени от субектите при ползване на Уебсайта, само ако и доколкото са налице поне едно от следните основания и една от посочените цели:
- обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор (извършване и обработване на поръчка в хода на електронна търговия, идентифициране на контрагента при сключване на договори от разстояние, изпращане на потвърждение по имейл за статуса на Вашата поръчка);
- обработването е необходимо за спазването на законово задължение, предвидено в счетоводното и данъчното законодателство (напр. издаване на фактура, отчитане на приходи) или възникнало по силата на потребителското право (предявяване на рекламация, отказ от сключения договор, връщане на закупени стоки, възстановяване на платената цена);
- обработването е необходимо за целите на легитимни интереси на Администратора (упражняване на търговска дейност, реклама и привличане на нови клиенти посредством качената на Уебсайта информация за предлаганите от Дружеството услуги), освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни;
- обработването се извършва след даване на изрично, информирано, конкретно, недвусмислено и свободно дадено съгласие – за целите на директния маркетинг (когато се абонирате за известия относно нови продукти, наличности и др.), при създаване на потребителски профил (възможно е пазаруване и като гост) или при приемане на бисквитки (вж. Политиката за бисквитки, достъпна на Уебсайта);
(2) „ВИА ДАЙМЪНД“ ЕООД призовава всички родители и лица, носещи родителска отговорност, да следят за безопасността на децата в Интернет и да ги възпитават в дух на предпазливост и отговорност към всички техни действия онлайн. Дружеството предполага, че личните данни, които обработва, са събрани пряко от лицата, за които се отнасят.
Чл. 6. При администриране на Уебсайта „ВИА ДАЙМЪНД“ ЕООД не обработва лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
V. КАТЕГОРИИ ЛИЧНИ ДАННИ, ПОДЛЕЖАЩИ НА ОБРАБОТВАНЕ
Чл. 7. (1) Администраторът обработва следните категории лични данни, предоставени от субектите на данни при ползването на Уебсайта:
- задължителни контактни данни– имена, имейл адрес, телефонен номер, адрес за доставка, данни от банкова карта и др.;
- незадължителни данни, предоставени доброволно от субекта чрез онлайн формата за контакт с Дружеството – имейл адрес и др.;
- IP адрес на устройството, от което субектът на данни е осъществил достъп до Уебсайта.
(2) Администраторът не използва получените лични данни с цел профилиране на субектите по смисъла на чл. 3, т. 4 от настоящата Политика.
VI. СРОКОВЕ ЗА ОБРАБОТВАНЕ И СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ
Чл. 8. (1) „ВИА ДАЙМЪНД“ ЕООД съхранява личните данни по начин, който позволява идентифициране на физическите лица за срок, не по-дълъг от необходимия за изпълнение на целите, за които личните данни са били събрани, доколкото в нормативен акт или във вътрешните правила за защита на личните данни на Администратора, не е предвиден друг, изрично определен срок.
(2) Администраторът обработва данни за счетоводни цели за срок от 10 години от сключване на договора от разстояние.
(3) Администраторът съхранява лични данни, предоставени във връзка с направени онлайн поръчки, за срок от 5 години от сключване на договора – при определените в Закона за задълженията и договорите давностни срокове за предявяване на претенции.
(4) Администраторът съхранява лични данни, които следва да пази по силата на приложимото законодателство за срок, който може да надхвърля срока на съществуване на потребителския профил в електронния магазин или до приключване на поръчката.
(5) След изтичане на съответния законоустановен или предвиден от Администратора срок всички лични данни се унищожават, за което се съставя протокол.
VII. КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ
Чл. 9. (1) Личните данни, обработвани от „ВИА ДАЙМЪНД“ ЕООД, се разкриват пред ограничен брой служители на Дружеството – лица по чл. 29 от ОРЗД, които действат под ръководството на Администратора (обработват поръчките от онлайн магазина, отговарят на клиентски запитвания и др.), и пред обработващи данните, с които Администраторът има сключени договори за обработване на лични данни съгласно изискванията на ОРЗД, напр. доставчици на платежни услуги, куриери, лица, които извършват монтаж, счетоводители, външни консултанти, доставчици на IT и хостинг услуги.
(2) Администраторът предприема всички необходими мерки, за да гарантира, че Вашите данни ще се обработват при спазване на всички законови изисквания и че обработващият личните данни е предприел необходимите технически и организационни мерки за защитата на данните.
(3) При изискване на документация, съдържаща лични данни, от държавни органи по реда на приложимото законодателство (напр. НАП, Комисията за защита на потребителите, съдилища и др.) за Администратора може да възникне законово задължение да разкрие лични данни пред съответния държавен орган.
(4) Личните данни не се разкриват пред получатели в трети държави и/или международни организации.
(5) На Уебсайта могат да съдържат връзки към други Интернет страници, които не прилагат същите правила за защита на личните данни. Когато напускате сайта на Администратора, моля, потърсете и се запознайте с политиките за поверителност на всеки сайт, който събира лични данни. „ВИА ДАЙМЪНД“ ЕООД не носи отговорност за начина, по които администраторите на тези сайтове обработват данни.
VII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Чл. 10. В изпълнение на изискванията на чл. 13 от ОРЗД Администраторът предоставя на субекта на данните цялата посочена по-долу информация (право на информация):
- данните, които идентифицират Администратора, и координатите за връзка с него;
- целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
- когато обработването се извършва въз основа на легитимни интереси, преследвани от Администратора или от трета страна, същите трябва да бъдат посочени;
- получателите или категориите получатели на личните данни, ако има такива;
- срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
- съществуване на право да се изиска от Адмиистратора достъп до личните данни, коригиране, изтриване или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
- когато обработването се основава на съгласие, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
- правото на жалба до надзорен орган;
- дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
- съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
Чл. 11. Субектът на данните има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация (право на достъп):
- целите на обработването;
- съответните категории лични данни;
- получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни;
- когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
- съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
- правото на жалба до надзорен орган;
- съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
- подходящите гаранции във връзка с предаване на лични данни към трета държава или международна организация, ако има такова.
Чл. 12. Субектът на данни има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него (право на коригиране).
Чл. 13. Субектът на данните има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, когато е налице някое от посочените по-долу основания (право на изтриване или право „да бъдеш забравен“):
- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- субектът на данните оттегля своето съгласие, върху което се основава обработването, и няма друго правно основание за обработването;
- субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на правно задължение съгласно правото на Европейския съюз или Република България;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество по чл. 8, параграф 1 от Общия регламент за защитата на данните.
Чл. 14. (1) Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следните (право на ограничаване на обработването):
- точността на личните данни се оспорва от субекта на данните, за срок, който позволява на Администратора да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.
(2) Когато обработването е ограничено съгласно предходната алинея, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Европейския съюз или държава членка.
Чл. 15. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора (право на преносимост на данните), когато:
- обработването е основано на съгласие или договорно задължение; и
- обработването се извършва по автоматизиран начин.
Чл. 16. (1) Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на изпълнението на задача от обществен интерес или легитимните интереси на Администратора или на трета страна, включително профилиране на същите основания (право на възражение).
(2) В случаите по ал. 1 Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
(3) Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.
(4) В случаите по ал. 3, когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
Чл. 17. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен (право да не бъде обект на автоматизирано вземане на индивидуални решения, включително профилиране).
IX.УПРАЖНЯВАНЕ НА ПРАВА ОТ СУБЕКТИТЕ НА ДАННИ
Чл. 18. Администраторът съдейства на субекта на данни като предприема необходимите мерки за предоставяне на информация и осъществяване на комуникация по предходния раздел със субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.
Чл. 19. (1) Субектите на данни упражняват правата си по предходния раздел, изпращайки писмено заявление (на адреса на управление на Дружеството) или електронно изявление (чрез контактната форма на Уебсайта) до Администратора.
(2) Когато субектът на данните е подал искане, ползвайки Уебсайта, т.е. с електронни средства, Администраторът предоставя информацията с електронни средства, освен ако субектът на данни не е поискал друго.
Чл. 20. (1) Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане за упражняване на правата по предходния раздел, без ненужно забавяне и във всички случаи в срок от 1 (един) месец от получаване на искането.
(2) При необходимост срокът по ал. 1 може да бъде удължен с още 2 (два) месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от 1 (един) месец от получаване на искането, като посочва и причините заа забавянето.
Чл. 21. Ако Администраторът не предприеме действия по искането на субекта на данни за упражняване на право по предходния раздел, Администраторът уведомява субекта на данни без забавяне и най-късно в срок от 1 (един) месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.
Чл. 22. (1) Предоставянето на информация и воденето на кореспонденция по предходния раздел със субекта на данните се предоставят безплатно.
(2) Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повтаряемост, Администраторът може или:
- да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията/комуникацията/предприемането на исканите действия, или
- да откаже да предприеме действия по искането.
X. ОБЩИ ЗАДЪЛЖЕНИЯ НА „ВИА ДАЙМЪНД“ ЕООД
Чл. 23. Администраторът въвежда подходящи технически и организационни мерки, изрично посочени в регистрите по чл. 30 ОРЗД, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с приложимото законодателство.
Чл. 24. (1) Администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по начин, че обработването се извършва в съответствие с приложимото законодателство.
(2) Обработването от страна на обработващия винаги се урежда с договор или с друг приложим правен акт, с който се определят предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на Администратора.
XI. ЗАДЪЛЖЕНИЯ НА „ВИА ДАЙМЪНД“ ЕООД
ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл. 25. (1) В случай на нарушение на сигурността на личните данни Администраторът, независимо дали същото е настъпило в резултат на злонамерена атака или не, не по-късно от 72 часа от узнаването, е длъжен да уведоми надзорния орган за нарушението на сигурността на личните данни, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
(2) Когато уведомяването на надзорния орган не е извършено в срока от 72 часа, уведомлението задължително съдържа причините за забавянето.
Чл. 26. Администраторът документира в специално създадения за целта дневник всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите мерки за ограничаване на вредоносните последици.
Чл. 27. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни, освен ако:
- Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни;
- Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
- съобщаването би довело до непропорционални усилия – в този случай Администраторът прави публично съобщение или взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
!!! „ВИА ДАЙМЪНД“ ЕООД прилага настоящата Политика за защита на личните данни, като следи за промени в приложимото законодателство в областта на защитата на личните данни и своевременно адаптира редакциите на всички свои вътрешни правила и процедури съобразно законовите изисквания, в изпълнение на принципа за добросъвестност по чл. 5, параграф 1, буква „а“ от ОРЗД. При въпроси относно обработването на лични данни, моля, използвайте контактната форма на Уебсайта или посочените телефони/имейл адреси. При съмнение от Ваша страна относно законосъобразността на обработването можете да сезирате надзорния орган на Република България – Комисия за защита на личните данни, с адрес: София 1592, бул. „Проф. Цветан Лазаров“ № 2, www.cpdp.bg.
!!! Уебсайтът www.viaaqua.bg е обект на авторско право, ползва се със защита и не се разрешава възпроизвеждане на част или на цялото му съдържание.