ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ
I. Общи положения
- Цел на Политиката
- Принципите, от които се ръководи ЛексАрт при обработката на лични данни са:
- Законосъобразност, добросъвестност и прозрачност;
- Сигурност и конфиденциалност;
- Ограничаване на целите на обработване до минимум;
- Ограничаване до минимум на събираните данни;
- Ограничаване на съхранението;
- Цялостност;
- Точност;
- Отчетност.
- Понятия
- „Регламент“ или „GDPR” – Общ регламент за защита на данните 2016/679 от 27 април 2016 година;
- „ЗЗЛД” – Закон за защита на личните данни;
- „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
- „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
- „Обработващ лични данни” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
- „Субект на данните“ – всяко физическо лице, което е идентифицирано или може да бъде идентифицирано чрез лични данни, обработвани от Администратора.
- „Обработване” означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
- „Ограничаване на обработването” означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
- „Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
- „Регистър с лични данни” означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
- „Получател” означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели”; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
- „Трета страна” означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
- „Съгласие на субекта на данните” означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
- „Нарушение на сигурността на лични данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
- „Надзорен орган” означава независим публичен орган, създаден от държава членка съгласно член 51 от Общия регламент относно защитата на данните.
II. Обработвани данни
- Субекти на данни
- ползватели на сайта без регистрация, които не са предоставили никакви данни или които са предоставили ограничен брой лични данни доброволно (напр. имена и/или електронен адрес и телефонен номер);
- физически лица, с които Дружеството сключва договори или физически лица, представляващи дружества и организации, с които Администраторът сключва договори;
- регистрирани потребители – данни за потребителя, които същият е въвел при регистрацията си – регистрация за конкретен продукт или регистрация на профил на сайта;
- физически лица, отправили запитвания, искания или друга кореспонденция към ЛексАрт, чрез сайта, социална мрежа, телефон, електронна поща или по друг начин;
- физически лица, чиито данни Дружеството е получило чрез предоставянето им от трети лица (например при поръчка, направена за няколко лица от един потребител).
- Какви лични данни обработва ЛексАрт при предлагане и предоставяне на стоки и услуги?
- Имена – при регистрация за събития, при регистрация за Е-обучения, други поръчки, изискващи създаване на профил на сайта на ЛексАрт, при отправяне на запитвания, искания, жалби или друга кореспонденция с потребители, при участие в томболи, игри, промоции или награждавания, организирани от ЛексАрт или провеждани с участието на Администратора;
- Имейл адрес – при регистрация за събития, при регистрация за Е-обучения, други поръчки, изискващи създаване на профил на сайта на ЛексАрт, при отправяне на запитвания, искания, жалби или друга кореспонденция с потребители, при регистрация за информационния бюлетин на ЛексАрт;
- Телефонен номер – при регистрация за събития, при регистрация за Е-обучения, други поръчки, изискващи създаване на профил на сайта на ЛексАрт, при отправяне на запитвания, искания, жалби или друга кореспонденция с потребители;
- При извършване на обучение на запис, ако е приложимо – имена, изображения, гласови съобщения на участници и лектори в събитието.
- Адрес за доставка (ако е необходимо) – при сключване на договор за продажба от разстояние;
- Данни за фактуриране – имена на представляващи дружества или на физически лица, адрес, банкови данни, ЕГН, в случай че фактура се издава на физическо лице, ДДС номер, ако е приложимо;
- Данни за извършени плащания – вид и дата на плащане, размер на платената сума, начин на плащане, банкови данни
- Информация за предпочитания и интереси, свързани с предлаганите от Дружеството стоки и услуги – такива данни могат да се постъпват при Дружеството анонимно, а свързването им с определено лице би зависело изцяло от неговата воля;
- Мнение и впечатления от предоставяните от Дружеството стоки и услуги – такива данни могат да постъпват при Дружеството анонимно, а свързването им с определено лице би зависело изцяло от неговата воля;
- Лични данни на служители и контрагенти на Дружеството – имена, адрес, ЕГН, банкови данни, данни за осигурителен доход и статус;
- Технически данни – информация за устройството, което субектът на данни използва при посещение на сайта – идентификатор на устройството, типа на това устройство и уникален знак за това устройство, “данни от дневника” или “log data” – адреса на интернет протокола, адреса и активността на посещаваните от вас уебсайтове, търсения, тип и настройки на браузъра, дата и час на заявката, как се използва сайта, данните за “бисквитките”; информация за местоположението, предадена от устройството, настройката за местоположение е активирана; информация за компютър и връзка, като например статистически данни за показванията на страници, IP адрес, история на сърфиране в сайта, настройки за език, дата и час – при регистрация за събития, Е-обучения и поръчки от сайта на ЛексАрт;
- Цели на обработване на лични данни:
- За изпълнение на задълженията на Дружеството по сключени договори с потребителите/клиентите на Дружеството и и обработка на потребителски поръчки;
- За предоставяне на информация за предстоящи събития, новини и промоции, при изрично предварително съгласие от физическите лица за това;
- За отговор на запитвания, искания и друга кореспонденция със субекти на данни;
- За подобряване на услугите и сайта на Дружеството въз основа на получена обратна връзка;
- При необходимост – За защита на законните интереси на Дружеството и оказване на съдействие при осъществяване и закрила на правата и законните интереси на ползватели на сайта и/или засегнати трети страни;
- Администрирането на сайта и поддържането на необходимите мерки за техническа сигурност;
- За реклама, измерване и анализ на ефективността на рекламите на Дружеството;
- В случай че има такива – администриране на игри, състезания, томболи, организирани или провеждани с участието на Дружеството;
- За изпълнението на нормативни задължения на ЛексАрт (напр. Счетоводни и данъчни задължения по ЗДДФЛ, ДОПК, ЗКПО, ЗДДС и др., задължения по Закона за защита на потребителите, Регламента за защита на личните данни, Кодекса на труда и др. ), както и при изпълнение на разпореждане на държавни и съдебни органи или при необходимост от защита законните интереси на Дружеството пред държавни и съдебни органи).
- За изготвяне на подходящи предложения към потребителите.
- Срок на обработване на личните данни
- Регистрационни данни – имена, имейли, телефонни номера, адреси и информация за извършената регистрация, вкл. IP адреса, датата и часа на съгласието с Общите условия – За целия период на поддържане на акаунта в Сайта и до 5 /пет/ години от прекратяване на регистрацията на потребителя – на основание защита на легитимен интерес и изпълнение на законови и договорни задължения на Дружеството, както и за разрешаване на потенциални спорове във връзка с предоставяните стоки и услуги, възникнали след прекратяване на регистрацията на субекта на данни на сайта.
- Лични данни за фактуриране, направени плащания, завършени поръчки и издадени във връзка със същите платежни и счетоводни документи, както и лични данни от трудови досиета – за периода на правоотношението и до 5 години след това, освен ако нормативен акт не изисква изрично този срок да бъде по- дълъг. В тази връзка – съгласно задълженията по чл. 38 от ДОПК, в зависимост от вида данни, съхранението от страна на администратора може да продължи до 50 години. Съхранението е на основание защита на защита на легитимен интерес и изпълнение на законови задължения на Администратора.
- Лични данни от запитвания, жалби, искания и друг вид кореспондения – до 5 години на основание Закона за задълженията и договорите и защита на легитимния интерес на Дружеството при евентуално възникване на спорове.
- Данни, свързани с коментар, запитване, обратна връзка или друго волеизявление, а именно подател, получател, дата и час на получаване/изпращане – срок до 5 години – с цел защита на легитимния интерес на Дружеството.
- Технически данни за системни логове и управление на настройките – за срока на регистрацията на потребителя или до изтриването им от същия, а при съхранение от активни бисквитки – за срока на съхранение зададен от съответните бисквитки (виж Политика за бисквитките) – на основание съгласието на субектите, защита на легитимен интерес и изпълнение на законови задължения.
- Данни, съхранявани от бисквитки – за срока на съхранение зададен от съответните бисквитки (виж Политика за бисквитките) – на основание съгласието на субектите, защита на легитимен интерес и изпълнение на законови задължения.
- Споделяне на данни на трети страни
- Дружеството не предоставя лични данни на трети страни без да е налице основание за това, съобразно Регламента.
- ЛексАрт може да разкрие лични данни на субекти, когато е задължено от искане на публичен, полицейски или съдебен орган, след като се увери в основателността на искането или при необходимост, във връзка с образувани производства, по които Дружеството е страна или участник.
- Дружеството може да предоставя данни на свои клиенти/контрагенти на счетоводните дружества, с които работи, във връзка с изпълнение на законоустановените си данъчни и счетоводни задължения.
- Дружеството може да предоставя данни на свои клиенти на платформи за имейл маркетинг, чрез които организира изпращането на информационен бюлетин до субектите, които са се абонирали за такъв, чрез изрично съгласие на сайта на Дружеството.
- Дружеството може да предоставя данни на свои клиенти/контрагенти на други дружества или свои служители, ангажирани със сигурността на данните и конфиденциалната информация в компанията.
- Дружеството може да предоставя данни на свои клиенти/контрагенти на куриерските дружества, с които работи, за да изпълни договор, сключен от разстояние.
- Дружеството може да предоставя данни на свои клиенти/контрагенти на доставчици на платежни услуги, на които потребителите лично споделят данните си или възлагат това на ЛексАрт.
- Дружеството се стреми неговите потребители да бъдат добре осведомени за предлаганите от него стоки и услуги и най-добрите предложения за тях. В тази връзка, Дружеството може да предостави определени данни на субекти – само с тяхното изрично съгласие, на доставчици на маркетингови или сходни услуги.
- В сайта на Дружеството може да се съдържат линкове към сайтове на други дружества. Дружеството не носи отговорност за практиките и правилата, свързани с поверителността на тези сайтове. Субектите следва да проверят същите преди да изпратят своите данни на тези сайтове.
- На Сайта са интегрирани видеоклипове, които са качени в YouTube. Гледането им може да доведе до изпращане на IP адреса на субекта от YouTube, както и до инсталиране на бисквитки на YouTube на устройството на субекта. Ако субектът кликне върху видеоклипа, неговият IP адрес ще бъде изпратен в YouTube и YouTube ще разбере, че е гледал видеоклипа. Ако субектът е влязъл в YouTube през своя потребителски профил, тази информация ще бъде свързана и с потребителския му профил . ЛексАрт няма информация за възможното събиране и използване на данните на субектите на данни от YouTube. За повече информация потребителите следва да се запознаят с Декларацията за използването на личните данни на YouTube на адрес www.google.com/intl/bg/policies/privacy/ .
- На Сайта, в информационните бюлетини на Дружеството и друг тип кореспонденция с Дружеството могат да бъдат интегрирани хиперлинкове и икони, водещи към социалните мрежи на Дружеството. Натискането им може да доведе до споделяне на IP адреса или други данни на субектите, както и до инсталиране на бисквитки на съответните платформи на устройствата им.
- На Сайта, в информационните бюлетини и друг тип кореспонденция с Дружеството, могат да бъдат интегрирани хиперлинкове към платформата ZOOM или друга платформа за онлайн събития, която Дружеството използва към този момент, за да изпълни задълженията към своите потребители за провеждане на организираните от него обучения. Натискането на тези хиперлинкове може да доведе до споделяне на имена, имейл, IP адрес или други данни на субектите, както и до инсталиране на бисквитки на съответните платформи на устройствата им.
- ЛексАрт съхранява и обработва личните данни в България. Възможно е, в хода на извършване на дейността на Дружеството и нейното развитие, някои от личните данни да бъдат предадени на субекти, намиращи се в Европейския съюз или извън него. В тези случаи, Дружеството ще изпълнява необходимите законоустановени задължения, свързани с предаването на данни в други държави и държави извън ЕС.
- Субектите на данни следва да имат предвид, че когато публикуват във форуми, социални мрежи и подобни онлайн платформи, личната информация, която споделят, е видима за други лица. Субектите на данни сами носят отговорност за личната информация, която споделят в тези случаи.
III. Мерки за сигурност и права на субектите
- Технически и организационни мерки за сигурност
- Права като субекти на данни
- данни и координати на администратора;
- информация за всички права, които субектът има във връзка със защитата на личните данни, включително за правото на жалба до надзорен орган;
- целите и правното основание за обработването, срока на съхранение на личните данни;
- ако е приложимо, получателите или категориите получатели на личните данни, ако има такива;
- ако е приложимо, информация за предаване на данните на субектите на трети страни, ако има такива;
- ако е приложимо, съществуването на автоматизирано вземане на решения, както и за профилирането;
- личните данни на лицето повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
- субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава-членка, което се прилага спрямо администратора;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.
- точността на личните данни се оспорва от субекта на данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
- обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
- обработването е необходимо за цели, свързани с легитимните интереси на Дружеството или на трета страна;
- обработването на данни включва профилиране.
– е необходимо за сключването или изпълнението на договор между субект на данни и администратор; – е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или – се основава на изричното съгласие на субекта на данни. |
- Бисквитки
- Промени в политиката за защита на личните данни