ОБЩА ЗАЩИТА НА ДАННИТЕ

1. Увод

2. Дефиниции

3. Принципи, свързани с обработването на лични данни

4. Обща информация, във връзка с обработването на лични данни

4.1. Информация по отделни позиции от Общата информация във връзка с обработването на лични данни

5. Обща информация, във връзка с отделни видове обработване на лични данни 

5.1. Обработване на лични данни при пазаруване и ползване на услугите на страницата www.edigital.bg  

5.2. Предаване на данни

5.3. Обработване на лични данни при обслужване на клиенти и разглеждане на жалби от страна на Екстрийм Диджитал

6. Информация относно правата на субектите на данни

6.1. Право на информация, както и право на достъп до обработваните лични данни

6.2. Право на коригиране

6.3. Право на изтриване („право да бъдеш забравен“)

6.4. Право на ограничаване на обработването

6.5. Право на преносимост на данните

6.6. Право на възражение

6.7. Право на оттегляне на съгласието

6.8. Мерки за сигурност на данните

6.9. Сигурност на личните данни върху хартиен носител

6.10. Сигурност на дигитално съхраняваните лични данни

6.11. Процедура в случай на искане от страна на субект на данни във връзка с упражняване на изброените по-горе права

7. Обработка на лични данни

8. Как да отправите забележки, въпроси, жалби 

9. Лични данни, свързани с деца и трети лица

10.Юридическа защита

11.Приложения

 

1. Увод

 

В качеството на Администратор на данни Екстрийм Диджитал ЕАД (седалище: 1033 Будапеща, бул. „Сентендреи“ №89-95, вход 10-и, фирмено дело номер  01-10-045869, по-нататък в текста: „Администратор”) в настоящите Правила за защита на данните (по-нататък в текста: „Правила”) представя как събира, използва, предава,  препраща и съхранява личните данни на своите клиенти. Администраторът на данни заявява, че настоящите Правила съответстват на действащите регламенти за защита на личните данни.

Администраторът на данни има право във всеки един момент едностранно да промени настоящите Правила, с цел същите да съответстват на действащите към момента нормативни актове, като тук се отнасят и измененията във връзка с промени в услугите на Администратора на данни. За промени в настоящите Правила субектите на лични данни биват информирани едновременно с промените, на уебстраницата www.edigital.bg.

Ако възникнат въпроси във връзка с настоящите Правила, молим да ни пишете на адрес Регионален офис и нашето длъжностно лице по защита на данните ще им отговори. Настоящите Правила и техните изменения към момента са достъпни на адрес www.edigital.bg/data-bg.

При създаването на настоящите Правила Администраторът на данни е взел предвид следните нормативни актове:

  • Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ЕО (по-нататък в текста: „Общ регламент относно защитата на данните“, „GDPR”);

  • Закон CXII от 2011 г. относно правото на самостоятелно разпореждане с информация и относно свободата на информацията („Закон за информацията“, „ЗИ“);

  • Закон V от 2013 г. относно Гражданското производство („Граждански процесуален кодекс“, „ГПК“);

  • Закон XLVIII от 2008 г. относно базисните условия и другите ограничения на търговската реклама („Закон за рекламата“, „ЗР“);

  • Закон CVIII от 2001 г. относно електронните търговски услуги, както и относно някои въпроси във връзка с услугите на електронното общество („Закон за електронната търговия“, „ЗЕТ“);

  • Закон CXIX от 1995 г. относно обработката на имени и адресни данни за целите на директния маркетинг („Закон за директния маркетинг“, „ЗДМ“);

  • Закон CXXXIII от 2005 г. относно правилата за охранителна дейност на лица и имущество, както и за правилата на частно-детективската дейност („Закон за охранителната и детективска дейност“, „ЗОДД“);

  • Закон С от 2000 г. относно счетоводството („Закон за счетоводството“, „ЗС“);

  • Закон CL от 2017 г. относно реда на данъчното облагане („Закон за данъчното облагане“, „ЗДО“);

  • Закон CLV от 1997 г. относно защитата на потребителите („Закон за защитата на потребителите“, „ЗЗП“);

  • Закон CLIX от 2012 г. относно пощенските услуги („Закон за пощите“, „ПЗ“).

 

2. ДЕФИНИЦИИ 

 

Понятията по-долу, използвани в настоящите Правила, са носители на следните значения:

 „обработващ лични данни”: физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

обработване на лични данни“: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

 „ограничаване на обработването“: маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

администратор на лични данни“: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

инцидент със защитата на данни”: нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин;

 „псевдонимизация”: обработване на личните данни по такъв начин, че същите не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че такава информация се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

 „биометрични данни”: лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице. Обработването на фотографии не следва да бъде системно смятано за специално обработване на данни, тъй като дефиницията на биометричните данни се отнася до фотографиите само в случаи, когато същите се обработват със специално средство, позволяващо уникалната идентификация или заверката на същата – SZIGET не използва такъв вид специални средства;

 „получател”: физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

 „бисквитка”: кратък текстов файл, който нашият сървър изпраща до устройството  (било то компютър, мобилен телефон или таблет) на субекта на данните и го прочита при получаването му обратно. Има временни „бисквитки“ (докато трае работната сесия), които автоматично се изтриват от устройството, когато потребителят затвори браузъра, и по-дълготрайни „бисквитки“, които остават в устройството на субекта по-дълго време (това зависи и от настройките на устройството);

 „здравни данни”: лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

 „субект на данни”: лице, което се идентифицирано или може да бъде – пряко или непряко – идентифицирано въз основа на личните данни, като то винаги е определено лице. Като субекти на данни се квалифицират единствено физически лица, не и юридически, така че защитата на данните покрива само данните на физически лица. Обаче като лични данни се квалифицират и данните на едноличния търговец или представителя на дадено дружество (напр. телефонен номер, адрес за електронна поща, дата и място на раждане и др.);

съгласие на субекта на данните”: свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

 „трета страна”: физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

трета държава”: държава, която не е членка на Европейския съюз и на Европейското икономическо пространство. Страните членки на Европейския съюз могат да сключват международни споразумения, които обхващат предаването на лични данни на трети държави или международни организации, ако тези споразумения не засягат други разпоредби на GDPR или на правото на Съюза;

 „задължителни фирмени правила”: правила за защита на личните данни, които се спазват от администратор или от обработващ данни, установен на територията на държава членка на ЕС, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, осъществяващи съвместна стопанска дейност;

 „профилиране”: всяка форма на автоматизирано обработване на лични данни, при което се използват лични данни за оценяване на определени лични аспекти, свързани с физическо лице, специално за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

специализирани магазини”: специализираните магазини на Екстрийм Диджитал;

лични данни”: всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); `физическо лице, което може да бъде идентифицирано`, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Физическите лица могат също така да бъдат свързвани с онлайн идентификаторите, предоставени посредством използваните от тях апарати, приложения, устройства и протоколи – например с ІР-адреси и идентификатори-„бисквитки“, - както и с други идентификатори, например радиочестотни идентификационни етикети. По този начин могат да образуват следи, които заедно с индивидуалните идентификатори и получената чрез сървърите друга информация да се използват за създаването на профили на физическите лица и за идентификация на дадено лице;

международна организация”: организация или подчинени на нея органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави;

регистър с лични данни”: структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

дружество”: физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

длъжностно лице по защита на данните”: Администраторът, специално предвид това, че работата по експлоатацията на онлайн магазин включва и операции с обработване на лични данни, които поради своето естество, обхват и/или цели правят наложително редовното и систематично, мащабно наблюдение на субектите на данни (особено, ала не само като се вземе под внимание броят на клиентите на Администратора и свързаната с онлайн магазина рекламна и профилираща дейност, която се базира върху съгласието на клиентите и е с поведенческа база ретаргетинг), назначава длъжностна лице по защита на данните.

Администраторът гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни. Длъжностното лице по защита на данните не може да получава никакви указания във връзка с изпълнението на своите задачи, не може да бъде освобождавано от длъжност, нито  санкционирано във връзка с изпълнението на своите задачи. Длъжностното лице по защита на данните отговаря пред най-висшето ръководно ниво на Администратора, тоест има право и е длъжно да докладва своите становища и съвети направо на най-висшето ръководно ниво на Работодателя.

Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно Общия регламент относно защитата на данните /GDPR/. Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него задачи.

Длъжностното лице по защита на данните изпълнява основно следните задачи:

a) информира и съветва Администратора и служителите, които извършват обработване, за техните задължения във връзка с GDPR, както и с други разпоредби за защитата на данни на равнище Съюз или държава-членка;

б) наблюдава спазването на GDPR, както и на други разпоредби за защитата на данни на равнище Съюз или държава-членка, и на политиките на Администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в) при поискване предоставя съвети по отношение на оценката на въздействието върху защитата на данните и наблюдава извършването на оценката съгласно член 35 от GDPR;

г) сътрудничи с надзорния орган; и

д) действа като точка за контакт на надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в член 35 от GDPR, и по целесъобразност се консултира с надзорния орган по всякакви други въпроси.

При изпълнението на своите задачи длъжностното лице по защита на данните надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.

Името и координатите за връзка на Длъжностното лице по защита на данните се съдържат в т. 4.1.“б“ от настоящите Правила.

 

3. ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

 

Администраторът обработва личните данни законосъобразно, добросъвестно и по начин, прозрачен за субекта на данните, за легитимни и ясни цели, които са дефинирани в настоящите Правила, съответно в документите-приложения към тях („ограничение на целите“). Обработването на данните се ограничава до степента, необходима за постигане целите на Администратора („свеждане на данните до минимум“). Съобразно с принципа на точността Администраторът гарантира, че администрираните от него лични данни са актуални, и в интерес на това предприема всички разумни мерки, за да изтрие незабавно или да коригира данни, неточни от гледище на целите, за които се обработват („точност“). Администраторът приема за сведение, че може да съхранява личните данни само за периода, необходим за постигането на целите му („ограничение на съхранението“). Администраторът извършва администрирането по начин, който гарантира адекватна сигурност на личните данни – включително защита срещу неразрешено или незаконосъобразно обработване, и срещу случайна загуба, унищожаване или повреждане, - като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“). Мерките, предприети за съответствието с този принцип, се съдържат в точка 6.8 от настоящите Правила. За да удостовери, че съответства на представените принципи, Администраторът води вътрешни регистри за отделните операции по обработване на лични данни („отчетност”).

Изложените в настоящите Правила принципи представят нашата практика във връзка с личните данни. Принципите ни във връзка с обработването на лични данни важат за обработването на данни на хартиен носител, както и за всички устройства, уебсайтове, клиентски платформи или други онлайн приложения, които се позовават на тях по Интернет или по друг начин. Обаче там, където настоящите Правила – при отделни дейности по обработване на лични данни и свързани с тях операции – реферират към друга информация относно обработването на лични данни или към други правила, ние предоставяме на субектите на данните и тази друга информация или съответно правила. Тези правила и информация се явяват приложения към и същевременно част от настоящите Правила, като там, където някое правило или някоя информация от приложенията не се разпорежда изрично другояче, водещи са текстовете на настоящите Правила.

 

4. ОБЩА ИНФОРМАЦИЯ ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

 

Администраторът използва личните данни на субекта, за да осигури ползваните от субекта услуги и за да подобри клиентското преживяване на субекта. Администраторът извършва администриране, свързано с обработка на данни, с изложените по-долу цели, съответно във връзка с изложените по-долу дейности:

а) при покупките и услугите, извършвани на уебстраницата www.edigital.bg;

б) при абониране за информационни бюлетини;

в) при провеждането на промоции и на игри с награди;         

г) при обслужване на клиенти и при разглеждане на жалби.

 

4.1. Информация по отделни позиции от Общата информация във връзка с обработването на лични данни

a) администратор на данните, координати за връзка: Екстрийм Диджитал ЕАД (седалище: 1033 Будапеща, бул. „Сентендреи“ №89-95, вход 10-и, фирмено дело номер 01-10-045869, телефон: +36-1-452-0090, e-mail: [email protected], Интернет адрес: www.edigital.bg) [Extreme Digital Zártkörűen Működő Részvénytársaság, 1033 Budapest, Szentendrei u 89-95. X. ép];

б) длъжностно лице по защита на данните, координати за връзка: д-р Петер Зеке [dr. Zeke Péter], [email protected], телефон: +36-20-367-1197;

в) цел и правно основание на обработването на лични данни: дефинирани по отделни позиции по-долу, както и в приложението;

г) срок за съхраняване на личните данни или критерии за определянето на този срок: дефинирани по отделни позиции по-долу, както и в приложението;

д) субектите на данни, съгласно точка 9 от настоящите Правила, имат право да искат от Администратора достъп до отнасящите се за тях лични данни и коригиране, изтриване или ограничаване на обработването на същите; имат право на възражение срещу обработването на лични данни, както и могат да се възползват от правото си на преносимост на данните.

Администраторът във всеки случай, когато това е необходимо, предварително е извършил, съответно прилага теста за балансиране на интересите, съобразява се с изискванията за необходимост и пропорционалност, с принципа на постепенността и с изискванията за предварително информиране.

 

5. ОБЩА ИНФОРМАЦИЯ ВЪВ ВРЪЗКА С ОТДЕЛНИ ВИДОВЕ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

5.1. Обработване на лични данни при пазаруване и ползване на услугите на страницата www.edigital.bg  

 

5.1.1. Регистрация на страницата www.edigital.bg , обслужване на клиентите, разглеждане на жалби, лични данни, предоставени на Facebook страница

Целта на обработването на лични данни е: пазаруване в онлайн магазина на Екстрийм Диджитал, съставяне на фактура, регистрация и диференциация на купувачите, изпълнение на поръчките, документиране на покупките и плащанията, изпълнение на счетоводните задължения, поддържане на връзка с купувачите, анализ на потребителските навици, по-целенасочено обслужване, отправени въпроси със съдържание директен маркетинг, както и информация за новости, промоционални оферти, обслужване на клиентите, разглеждане на жалби.

По-подробно представяне на горепосочената дейност можете да намерите в Информацията, която същевременно се явява Приложение №1 към настоящите Правила: Информация, относно обработването на лични данни при онлайн пазаруване от сайтът

5.1.2. Обработване на лични данни при абониране за информационни бюлетини на страницата www.edigital.bg 

Вие можете да се абонирате за информационни бюлетини едновременно с регистрацията си на страницата или без регистрация. Главната цел на това обработване на лични данни е Администраторът да изпраща на субектите въпроси с маркетингово съдържание. Администраторът може да използва личните данни за изследвания и проучвания с маркетингова цел. В съответствие с относимите нормативни актове Администраторът води регистър на физическите лица, абонирани за услугата „Информационен бюлетин“. Администраторът не изпраща информационни бюлетини на физическите лица, които не фигурират в регистъра.

По-подробно представяне на горепосочената дейност можете да намерите в Информацията, която същевременно се явява Приложение №2 към настоящите Правила: Информация, относно обработването на лични данни от информационния бюлетин

5.1.3. Обработване на лични данни при организиране на игри с награди на страницата www.edigital.bg

При провеждане на други промоции, кампании и медийни изяви обхватът на личните данни се дефинира за всеки един случай поотделно, съгласно условията за участие в конкретната промоция.

 

5.2. Предаване на данни

Данните, свързани с покупки, в контекста на продажбата на продукти и оказването на услуги като цел на обработването на лични данни, се предават чрез мрежата за приемане на банковата карта на банка [Име и адрес на българската банка] (по-нататък в текста: „БАНКОВА КАРТА”), за целите на финансовото осъществяване на транзакцията, сигурността на транзакцията и проследяването на транзакцията. Предаваните данни са: фамилно име, лично име, адрес за доставка, адрес за фактура, телефонен номер, адрес за електронна поща, данни във връзка с платежната операция.

Данните, свързани с онлайн покупки, в контекста на продажбата на продукти и оказването на услуги като цел на обработването на лични данни, се предават чрез мрежата за приемане на банковата карта [Име и адрес на българската банка за онлайн транзакция] , за целите на финансовото осъществяване на транзакцията, сигурността на транзакцията и проследяването на транзакцията. Предаваните данни са: фамилно име, лично име, адрес за доставка, адрес за фактура, телефонен номер, адрес за електронна поща, данни във връзка с платежната операция.

 

5.3. Обработване на лични данни при обслужване на клиенти и разглеждане на жалби от страна на Екстрийм Диджитал

 

5.3.1. Обслужване на клиенти и разглеждане на жалби; гаранционни услуги

Целта на обработването на лични данни е: разглеждане на оплакванията от качеството и на жалбите във връзка с продаваните от Администратора продукти. Правно основание: доброволното съгласие на субекта на данните и §17/A алинея (7) от ЗЗП. Вид на обработваните данни: идентификатор, име на потребителя, адрес на потребителя, наименование на потребителската стока, покупна цена, дата на покупката и дата на докладването на дефекта, претенция на потребителя и начин на уреждане на рекламацията. По отношение на копията (вторите екземпляри) от съставените протоколи за жалби и писмени отговори на жалби срокът за администриране на данните е пет години, на основание на §17/A алинея (7) от ЗЗП.

 

5.3.2. Гаранционна администрация; гаранционен куриер

Целта на обработването на лични данни е: поправка на продуктите, продавани от Администратора, сервизни услуги. Правно основание: доброволното съгласие на субекта на данните и §4 алинея (1) от Наредба 19/2014. (IV. 29.) на унгарското Министерство на националната икономика /МНИ/. Вид на обработваните данни: идентификатор, име на потребителя, адрес на потребителя, телефонен номер и адрес за електронна поща на потребителя, дата, подпис. Срокът за администриране на данните е три години, на основание на §4 алинея (6) от Наредба 19/2014. (IV. 29.) на МНИ.  

 

6. ИНФОРМАЦИЯ ОТНОСНО ПРАВАТА НА СУБЕКТИТЕ НА ДАННИ

 

6.1. Право на информация, както и право на достъп до обработваните лични данни

Субектът на данните има право да получи от Администратора обратна връзка относно това дали се обработват негови лични данни и ако е така, да получи достъп до данните и следната информация:

a) целите на обработването;

б) категориите лични данни на субекта;

в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г) когато е възможно – предвидения срок, за който ще се съхраняват личните данни, а ако е невъзможно – критериите за определяне на този срок;

д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни, или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е) правото на жалба до надзорен орган;

ж) когато личните данни не се събират от субекта на данните – всякаква налична информация за техния източник;

з) съществуването на автоматизирано вземане на решения, включително профилирането, както и поне в тези случаи разбираема информация относно използваната логика и относно значението на това обработване на лични данни, и очакваните последствия от него за субекта на данните.

Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции във връзка с предаването.

Администраторът предоставя на субекта копие от личните данни, които са предмет на обработване. За допълнителни копия, поискани от субекта на данните, Администраторът може да наложи разумна по размер такса въз основа на административните разходи. Когато субектът на данните е подал искане по електронен път, Администраторът му предоставя информацията в широко използван електронен формат, освен ако субектът на данните не е поискал друго.

Правото на получаване на копие, споменато в предходния абзац, не влияе неблагоприятно върху правата и свободите на други лица.

Правата съгласно гореизложеното могат да бъдат упражнявани чрез координатите за връзка, посочени в точка 10.

 

6.2. Право на коригиране

Администраторът, по искане на субекта на данните, коригира без ненужно забавяне неточните лични данни, свързани със субекта. Като се имат предвид целите на обработването, субектът на данните има право да поиска попълване на непълните му лични данни – включително чрез добавяне на декларация.

 

6.3. Право на изтриване („право да бъдеш забравен“)

Субектът на данни има правото да поиска Администраторът без ненужно забавяне да изтрие личните данни, свързани с него, когато е налице някое от посочените по-долу основания:

а) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б) субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;

в) субектът на данните възразява срещу обработването и няма законни основания за същото, които да са с предимство, или субектът на данните възразява, ако обработването на данните е свързано с директен маркетинг;

г) личните данни са били обработвани незаконосъобразно;

д) личните данни трябва да бъдат изтрити с цел изпълнение на правно задължение, предписано от правото на Съюза или от правото на държава членка, което се прилага спрямо администратора;

е) личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Не може да се инициира изтриване на лични данни, ако обработването на данни е необходимо:

а) за упражняване на правото на свобода на изразяването и правото на информация;

б) за изпълнение на правно задължение, предписано от правото на Съюза или от правото на държава членка, което се прилага спрямо администратора; или в обществен интерес;

в) за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, за съставяне на лекарска диагноза, за осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи, на основание на правото на Съюза или правото на държава членка, или по смисъла на договор с медицинско лице, и когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка, или на правилата, установени от националните компетентни органи – или от друго лице, също обвързано от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка, или на правилата, установени от националните компетентни органи;

г) от съображения за обществен интерес в областта на здравеопазването, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи, лекарствените продукти и медицинските изделия, и когато се извършва на основание на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

д) на основание на обществен интерес в областта на здравеопазването, когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка, или на правилата, установени от националните компетентни органи – или от друго лице, също обвързано от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка, или на правилата, установени от националните компетентни органи;

е) за целите на архивирането в обществен интерес, за научни или исторически изследвания, или за статистически цели, доколкото съществува вероятност правото на изтриване да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или

ж) за установяването, упражняването или защитата на правни претенции.

 

6.4. Право на ограничаване на обработването

По искане на субекта на данните Администраторът ограничава обработването, когато е изпълнено някое от следните условия:

а) точността на личните данни се оспорва от субекта на данните – в този случай ограничаването се отнася за срок, който позволява на субекта да провери точността на личните данни;

б) обработването е неправомерно, а субектът на данните не желае личните данни да бъдат изтрити и вместо това изисква ограничаване на използването им;

в) Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; или

г) субектът на данните е възразил срещу обработването в контекста на такова обработване на лични данни от Администратора, което се основава върху обществен или законен интерес - в този случай ограничаването се отнася за срок, в който се установява дали законните основания на администратора имат предимство пред законните основания на субекта на данните.

Когато обработването на данни е ограничено на основание на изложеното по-горе, такива данни се обработват – с изключение на тяхното съхранение – само със съгласието на субекта на данните; или за установяването, упражняването или защитата на правни претенции; или за защита на правата на друго физическо или юридическо лице; или поради важни основания от обществен интерес за Съюза или държава членка.

Когато субект на данните е изискал ограничаване на обработването на основание на изложеното по-горе, Администраторът го информира, преди ограничаването на обработването да бъде отменено.

 

6.5. Право на преносимост на данните

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван, пригоден за машинно четене формат, и има също така правото да прехвърли тези данни на друг администратор, без да бъде възпрепятстван от администратора, на когото е предоставил личните данни, когато:

а) обработването е основано на съгласие или договор; и

б) обработването се извършва по автоматизиран начин.

Когато се упражнява правото на преносимост на данните съгласно изложеното по-горе, субектът на данните има право да поиска личните данни да бъдат прехвърлени директно от един администратор към друг, ако това е технически осъществимо.

Упражняването на правото на преносимост на данните не нарушава правото на изтриване („правото да бъдеш забравен“).

Посоченото право не е приложимо в случай, когато обработването на лични данни е в обществен интерес или е необходимо за изпълнението на задача, извършвана при упражняването на официални правомощия, които публичен орган е дал на администратора.

Правото на преносимост на данните не влияе неблагоприятно върху правата и свободите на други лица.

 

6.6. Право на възражение

Субектът на данните има право по всяко време и по причини, свързани с неговата конкретна ситуация, да възрази срещу обработването на отнасящи се за него лични данни от страна на Администратора, ако основанието за обработването е обществен интерес или изпълнението на задача, извършвана при упражняването на официални правомощия, които публичен орган е дал на Администратора, или е необходимостта да бъдат упражнение законните интереси на Администратора или на трета страна - включително профилиране, основаващо се на посочените разпоредби. В този случай Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват императивни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или които са свързани с установяването, упражняването или защитата на правни претенции.

Ако личните данни се обработват за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу това отнасящи се за него лични данни да бъдат обработвани за такава цел, което включва и профилирането, доколкото то е свързано с директния маркетинг. Ако субектът възразява срещу обработването на личните данни за целите на директния маркетинг, обработването на личните данни за тази цел се прекратява.

Ако личните данни се обработват за целите на научни и исторически изследвания, или за статистически цели, субектът на данните има право по причини, свързани с неговата конкретна ситуация, да възрази срещу обработването на отнасящи се за него лични данни, освен ако обработването е необходимо за изпълнението на задача, извършвана по причини от обществен интерес.

 

6.7. Право на оттегляне на съгласието

Субектът на данни има право, доколкото обработването на личните данни от страна на Администратора се основава върху съгласието на субекта, по всяко време да оттегли съгласието си. Оттеглянето на съгласието не засяга законосъобразността на обработването въз основа на съгласие, извършено преди съгласието да бъде оттеглено.

 

6.8. Мерки за сигурност на данните

Администраторът, както и операторът на сървърната мрежа, защитава данните с помощта на най-модерния разумно достъпен хардуер и софтуер - специално срещу неразрешени достъп, промяна, предаване, разкриване, изтриване или унищожаване, както и срещу случайно унищожаване и увреждане, - като по този начин служи на сигурността на данните. Съгласно правната уредба, обработваните от Администратора лични данни могат да бъдат узнавани единствено от служителите на Администратора, които участват в осъществяването на дефинираните в настоящите Правила цели по обработването на данни, и от други негови сътрудници, които на основание на трудов договор или съответно на релевантни към длъжността им правоотношения, както и на други договорни отношения, нормативни разпоредби или заповед на Администратора, са обвързани от задължение да пазят в тайна всички узнати от тях данни.

Информационните системи на Администратора и другите негови места за съхраняване на данни се намират на сървърите на Eмарсис иМаркетинг Систем АГ (Ханс Фишер щрасе 10, D-80339 Мюнхен) [Emarsys eMarketing System AG (Hans Fischer Str. 10., D-80339 München)]. Освен това Администраторът използва дейността на оператори: по отношение на ERP-системата – Вижън Софтуер ООД (1149 Будапеща, ул. „Лайош Поша“ №51) [Vision Software Kft. (1149 Budapest, Pósa Lajos u. 51.) ], а по отношение на уебстраницата www.edigital.huРакфорест ООД (1132 Будапеща, ул. „Виктор Юго“ №18-22) [Rackforest Kft (1132 Budapest, Victor Hugo u. 18-22.)]. Администраторът съхранява лични данни също така на сървърите на Денинет ООД [Deninet Kft]  (находящи се на адрес 1132 Будапеща, ул. „Виктор Юго“ №18-22) [(1132 Budapest, Victor Hugo u. 18-22.)], и на сървърите, находящи се в седалището на Администратора - 1033 Будапеща, бул. „Сентендреи“ №89-95.

Всяка дейност по обработването на лични данни от страна на Администратора трябва да се документира точно. Администраторът трябва да води регистър на всички дейности по обработването, които извършва (напр. регистър на информационни бюлетини, уебшоп, служители). За целите на контрола върху законосъобразността на предаването на лични данни, както и на информирането на субекта на данните, Администраторът води регистър на предаването на лични данни, който съдържа датата на предаването на администрираните данни, правното основание, получателя, дефиницията за обхвата на данните и други сведения, дефинирани в нормативния акт, разпореждащ обработването на лични данни.

 

6.9. Сигурност на личните данни върху хартиен носител

С цел сигурност на личните данни върху хартиен носител Администраторът, както и ВИЖЪН-СОФТУЕР Компютърни услуги и търговия Дружество с ограничена отговорност (фирмено дело номер 01-09-673257, седалище: 1149 Будапеща, ул. „Лайош Поша“ №51) [VISION-SOFTWARE Számítástechnikai Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (Cg. 01-09-673257, 1149 Budapest, Pósa Lajos utca 51.)], прилагат следните мерки:

  • данните могат да бъдат узнавани само от правоимащите лица, не могат да бъдат предоставяни и разкривани на други;
  • документите се държат в заключвано сухо помещение, оборудвано с охранителна техника и противопожарна защита;
  • досег с документите, които са предмет на текущо активно обработване, могат да имат само оторизираните лица;
  • сътрудникът, извършващ обработването на личните данни, в течение на деня може да напуска помещението, в което се извършва обработване на лични данни, само като прибира под ключ поверените му носители на данни или заключва канцеларията;
  • ако личните данни върху хартиен носител се дигитализират, Администраторът прилага правилата за сигурност, водещи по отношение на дигитално съхранявани документи, и изисква същото и от онези, които обработват лични данни от негово име.

 

6.10. Сигурност на дигитално съхраняваните лични данни

С цел сигурност на личните данни, съхранявани на компютър или съответно в мрежа, Администраторът и също така онези, които обработват лични данни от негово име, както и операторът ВИЖЪН-СОФТУЕР Компютърни услуги и търговия Дружество с ограничена отговорност (фирмено дело номер 01-09-673257, седалище: 1149 Будапеща, ул. „Лайош Поша“ №51) [VISION-SOFTWARE Számítástechnikai Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (Cg. 01-09-673257, 1149 Budapest, Pósa Lajos utca 51.)], процедират съгласно Правилника за информационна сигурност, и по-специално:

  • данните, съхранявани в системата Octopus ERP и в системата Carbon, могат да се достъпват само с валидни, персонални, лесно идентифициращи се права – като минимум с потребителско име и парола;

  • всеки достъп до данните се записва в дневник по начин, позволяващ лесно проследяване;

  • полага се грижа за системна антивирусна защита на мрежата, обработваща личните данни;

  • с наличните компютърни устройства и с тяхното приложение се възпрепятства достъпът на неоторизирани лица до мрежата.

 

6.11. Процедура в случай на искане от страна на субект на данни във връзка с упражняване на изброените по-горе права

Администраторът без ненужно забавяне, но във всеки случай в срок един месец (30 дни), считано от датата на получаване на искането, информира субекта на данни за мерките, предприети вследствие на искането от страна на субекта във връзка с упражняването на правата, описани в настоящите Правила. При необходимост, отчитайки сложността на искането и броя на исканията, този срок може да бъде допълнително удължен с два месеца.

За удължаването на срока Администраторът уведомява субекта на данни в срок един месец, считано от датата на получаване на искането, като посочва причините за закъснението. При необходимост, отчитайки сложността на искането и броя на исканията, този срок може да бъде допълнително удължен с два месеца (60 дни). Когато субектът на данните е подал искането по електронен път, информацията му се предоставя по възможност пак по електронен път, освен ако субектът на данните не е поискал друго.

Когато Администраторът не предприема мерки по искането на субекта на данни, той без забава, но най-късно в срок един месец, считано от датата на получаване на искането, информира субекта на данни за причините да не се вземат мерки, както и за това, че субектът може да подаде жалба при някой надзорен орган, а може и да се възползва от правото си на юридическа защита, като сезира съда.

Администраторът осигурява исканата информация и уведомления безплатно, като в случаите, когато искането на субекта на данни е категорично неоснователно или – специално когато се повтаря – прекалено, Администраторът може да начисли разумна по размер такса съобразно с административните разходи, свързани с предоставянето на исканите информация или уведомление, или с предприемането на исканата мярка; или може да откаже да предприеме мярката, посочена в жалбата.

Администраторът информира за всяко извършено от него коригиране, изтриване или ограничаване на обработването на данните всеки получател, на когото или на който е съобщил лични данни, освен ако това се оказва невъзможно или изисква непропорционално големи усилия. По искане на субекта на данни Администраторът го информира за получателите.

Молим да изпращате всички въпроси и заявления във връзка с личните ви данни, съхранявани в системата, и с обработването на лични данни, на адрес за електронна поща [email protected] или в писмена форма на нашия адрес за кореспонденция: 1033 Будапеща, бул. „Сентендреи“ №89-95, вход 10-и [1033 Budapest, Szentendrei út 89-95. X. ép.]. Молим да имате предвид, че - във ваш интерес – можем да дадем разяснения или да предприемем мерки само в случай, че по задоволителен начин сте удостоверили самоличността си.

Ако желаете да упражните правата си, то молим да свалите и попълните документа „Искане за упражняване правото на защита на данните” и да ни го изпратите подписан, на посочения по-горе адрес или по електронна поща: [email protected]

За да отговорим на искането ви, ще ни бъде необходима следната информация:     

  • имейл адрес, с който сте регистрирани

  • лично, бащино и фамилно име

  • адрес за изпращане на фактура

Ако изпращате искането по електронен път, молим да имате грижата да го изпратите от имейл адреса, с който сте регистрирани.

 

7. ОБРаботка на ЛИЧНИ ДАННИ

 

За извършването на своята дейност Администраторът използва Обработващи лични данни - дружества, поименно изброени в настоящите Правила. Обработващият лични данни не взема самостоятелни решения и има правото да действа единствено според договора, сключен с Администратора, и получените нареждания. Администраторът контролира работата на Обработващия лични данни. Обработващият лични данни има право да използва друг обработващ лични данни само с предварителното писмено съгласие на Администратора.

Обработващ лични данни

До какви лични данни има достъп? По какъв начин може да използва предоставените лични данни (каква дейност извършва за Администратора)?

Колко време може да съхранява данните?

Eмарсис иМаркетинг Систем АГ (Ханс Фишер щрасе 10, D-80339 Мюнхен)

[Emarsys eMarketing System AG (Hans Fischer Str. 10., D-80339 München)]

Експлоатация на маркетингова платформа, с чиято помощ на клиентите могат да се изпращат персонализирани оферти. Във връзка с тази задача има достъп до следните данни: име, имейл адрес, адрес, телефон, рожден ден; съгласие на лицето да му бъдат отправяни въпроси с цел директен маркетинг; аналитични данни във връзка с регистриране и отписване, със съответните ІР-адреси, с изпращането, връчването и отварянето на съобщения (напр. дата и час на събитието, ІР-адрес на компютъра, причина съобщението да не бъде доставено).

Безсрочен договор за услуга – до прекратяването на договора.

ВИЖЪН-СОФТУЕР Компютърни услуги и търговия Дружество с ограничена отговорност (фирмено дело номер 01-09-673257, седалище: 1149 Будапеща, ул. „Лайош Поша“ №51)

[VISION-SOFTWARE Számítástechnikai Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (Cg. 01-09-673257, székhelye:1149 Budapest, Pósa Lajos utca 51.)]

Осигуряване на ERP-система за корпоративно управление. Чрез Администратора има достъп до всички лични данни, обработвани въз основа на настоящата информация. Задачата му е да експлоатира системата за управление на връзките с клиенти (ERP-системата) на Администратора.

 

Безсрочен договор за услуга – до прекратяването на договора.

Хунеликс Търговско Дружество с ограничена отговорност (фирмено дело номер 01-09-953404, седалище: 1135 Будапеща, ул. „Франгепан”№61, ет. ІV, ап. 13)

[Hunelix kereskedelmi Korlátolt Felelősségű Társaság (Cg.: 01-09-953404, székhelye: 1135 Budapest, Frangepán u. 61. IV.13.)]

Обслужване на клиенти, телемаркетингови услуги при целеви кампании

Срочен договор –за срока на кампанията.

Вирго Системс Информатика ООД (седалище: 1074 Будапеща, ул. „Дохан” №12)

[Virgo Systems Informatikai Kft. (székhely: 1074 Budapest, Dohány utca 12.)]

Експлоатация на уебсайта, обща ИТ експертна дейност

 

Безсрочен договор за услуга – до прекратяването на договора.

Ракфорест ООД (1132 Будапеща, ул. „Виктор Юго“ №18-22)

[Rackforest Kft (1132 Budapest, Victor Hugo u. 18-22.)]

Сървър хостинг услуги

Безсрочен договор за услуга – до прекратяването на договора.

Денинет ООД (1132 Будапеща, ул. „Виктор Юго“ №18-22)

[Deninet Kft 1132 Budapest, Victor Hugo u. 18-22.]

Сървър хостинг услуги

Безсрочен договор за услуга – до прекратяването на договора.

СТАЙЛЪРС Услуги и търговия Дружество с ограничена отговорност (1133 Будапеща, ул. „Гогол” №26)

[STYLERS Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (1133 Budapest, Gogol u. 26.)]

Експлоатация на уебсайта, обща ИТ експертна дейност

 

Безсрочен договор за услуга – до прекратяването на договора.

Би Ай Кансълтинг Консултантско ООД

(1031 Будапеща, ул. „Шуйок” №7)

[BI Consulting Tanácsadó Kft. (1031 Budapest, Sulyok u. 7.)]

 

Разработване на складове за данни, цялостни анализи

Безсрочен договор за услуга – до прекратяването на договора.

Сейлсфорс.ком ЕМЕА ООД

(седалище: EC2N 4YA Лондон, Бишъпгейт 110)

[salesforce.com EMEA Limited Company (EC2N 4YA London, 110 Bishopsgate)]

Експлоатация на система за управление на връзките с клиенти

 

Безсрочен договор за услуга – до прекратяването на договора.

ПЕНСУМ-МЕНТОР ООД (седалище: 1138 Будапеща, ул. „Медер” №8, вх. А, етаж 7, ап. 3; фирмено дело номер 01-09-724754)

[PENSUM-MENTOR Kft. (székhely: 1138 Budapest, Meder utca 8. A. ép. 7. em. 3., Cg.: 01-09-724754)]

Счетоводна дейност, книговодство

До прекратяването на договор, докато е в сила общото задължение документните следи да се съхраняват 8 години

 

8. КАК ДА ОТПРАВИТЕ ЗАБЕЛЕЖКИ, ВЪПРОСИ, ЖАЛБИ

 

Молим да изпращате всички въпроси и заявления във връзка с личните ви данни, съхранявани в системата, и с обработването на лични данни, на адрес за електронна поща [email protected]  или в писмена форма на нашия адрес за кореспонденция: 1033 Будапеща, бул. „Сентендреи“ №89-95, вход 10-и [1033 Budapest, Szentendrei út 89-95. X. ép.]. Молим да имате предвид, че - във ваш интерес – можем да дадем разяснения или да предприемем мерки само в случай, че по задоволителен начин сте удостоверили самоличността си.

Информираме ви, че по всички въпроси във връзка с обработването на личните им данни и упражняването на правата им съгласно GDPR, субектите на данни могат да се обърнат към длъжностното лице по защита на данните, назначено от Администратора, чрез посочените в точка 4.1. б) координати за връзка.

 

9. ЛИЧНИ ДАННИ, свързани С ДЕЦА И ТРЕТИ ЛИЦА

 

Лица под 16-годишна възраст не могат да дават лични данни за себе си, освен ако са поискали разррешение за това от лице, упражняващо родителски надзор. Предоставяйки личните данни на Администратора, субектът на данни заявява и гарантира, че действа съобразно с изложеното по-горе и че не е с ограничена дееспособност по отношение на предоставянето на информация.

Ако субектът на данни юридически няма право самостоятелно да предоставя информация, той е длъжен да получи съгласие за това от трети лица (напр. законен представител, настойник или друго лице – примерно потребител – от чието име действа), или да осигури друго правно основание за предоставянето на данните. В този контекст субектът е длъжен да прецени дали в контекста на предоставянето на конкретни лични данни има нужда от съгласието на някое трето лице. Може да се случи така, че Администраторът да не е в директен контакт със субекта на данни, затова предоставящият лични данни е длъжен да осигури съответствие с настоящата точка, във връзка с което Администраторът не носи отговорност. Независимо от това Администраторът винаги има право да провери дали за обработването на определени лични данни е налице съответното законово основание.  Например ако субектът на данни действа от името на трето лице – примерно потребител, - Администраторът има право да поиска пълномощно и/или съответно съгласие от засегнатото лице за обработване на личните му данни във връзка с конкретната сделка

Администраторът прави всичко, което е по силите му, за да изтрие всякакви лични данни, които са му били предоставени неправомерно. Администраторът гарантира, че ако такова нещо му стане известно, тези лични данни няма да бъдат предавани на други лица, нито ще бъдат използвани от Администратора. Молим да съобщите незабавно посредством посочените в точка 8 координати за връзка, ако ви е станало известно, че дете е предоставило на Администратора лични данни за себе си или че трето лице, без да е имало право, е предоставило на Администратора лични данни за субекта на данни.

 

10. ЮРИДИЧЕСКА ЗАЩИТА

 

По всички въпроси и с всякакви забележки във връзка с обработването на лични данни можете да се обръщате към Администратора чрез някой от координатите за връзка, посочени в настоящите Правила.

Също така можете да поискате правна защита или да подадете жалба при унгарската Национална служба по защита на данните и свобода на информацията:

Име на органа: Национална служба по защита на данните и свобода на информацията

Седалище: 1125 Будапеща, алея „Ержебет Силади” №22/C.

Адрес за кореспонденция: 1530 Будапеща, П. К. 5.

Телефон: +36-1-391-1400

Факс: +36-1-391-1410

Уебсайт: www.naih.hu

E-mail: [email protected]

При нарушаване на правата му субектът на данни може да се обърне към съда с иск срещу Администратора. Съдът процедира по делото извънредно. Администраторът е длъжен да докаже, че обработването на данни съответства на законовите разпоредби. Разглеждането на спора е от компетентността на съда. По избор на субекта на данни делото може да бъде заведено пред съда, компетентен съгласно местоживеенето му или местопребиваването му. Администраторът покрива щетите, причинени с противозаконната обработка на лични данни на субекта или с нарушаване на изискванията за безопасност на данните. В случай че е нарушено правото му на неприкосновеност на личния живот, субектът на данни може да поиска обезщетение (§2:52 от Гражданския кодекс). Администраторът се освобождава от отговорност, ако щетата е възникнала поради непреодолима причина извън обхвата на обработването на данни. Администраторът не покрива щетите и от него не може да бъде искано обезщетение, ако възникването на щетата се дължи на умишлена или груба небрежност от страна на ощетеното лице.

 

11. Приложения

Приложение

Отвори

Изтегли

Приложение №1: Информация, относно обработването на лични данни при онлайн пазаруване от сайтът

Отвори

Изтегли

Приложение №2: Информация, относно обработването на лични данни от информационния бюлетин

Отвори

Изтегли

Приложение №3: Общи условия за ползване на сайта

Отвори

Изтегли

Приложение №4: Молба за юридическа защита

Отвори

Изтегли