Т. 1. (1) Настоящите правила определят реда, по който „Семпло Концепт“ ООД съхранява, използва или обработва лични данни за целите на своята дейност.
(2) Правилата са изготвени в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
(3) „Семпло Концепт“ ООД може да обработва данни в качеството на администратор.
Т. 2. Настоящите Правила уреждат:
(1) Процедурите и механизмите за обработка на личните данни;
(2) Процедурите за уведомяване на надзорния орган в случай на нарушения;
(3) Процедурите за администриране на искания за достъп до данни, коригиране на обработваните данни, възражения и оттегляне на съгласия, както и администриране на искания за упражняване на други права, които субектите на лични данни имат по закон;
(4) Лицата, които обработват лични данни и техните задължения;
(5) Правилата за предаване на лични данни на трети лица в България и чужбина;
(6) Необходимите технически и организационни мерки за защита на личните данни от неправомерно обработване и в случай на инциденти, като случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение.
Т. 3. За целите на настоящите Правила, използваните понятия имат следното значение:
• КЗЛД – Комисия за защита на личните данни.
• ОРЗД – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
• ЗЗЛД – Закон за защита на личните данни.
• Длъжностно лице по защита на данните – физическо лице или организация, определени съгласно изискванията на чл. 37 и сл. от ОРЗД.
• Администратор на лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. В настоящите Правила „администратор“ обозначава Дружеството.
• Обработващ лични данни – лице или организация, което въз основа на договор обработва лични данни, предоставени от Дружеството, за уговорените цели.
• Обработване на данни – всяка дейност, която е свързана с използването на лични данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на лични данни до трети лица.
• Псевдонимизиране – заместването на информация, която директно или индиректно идентифицира физическо лице, с един или повече идентификатори („псевдоними”), така че лицето да не може да бъде идентифицирано без достъп до допълнителната информация, която следва да се съхранява отделно и да е поверителна.
• Съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на лични данни, свързани с него.
Т. 4. (1) „Семпло Концепт“ ООД събира и обработва лични данни, необходими за осъществяване на своите дейност и задължения като , доставчик на продукти при съблюдаване изискванията на приложимото законодателство. Личните данни, обработвани от „Семпло Концепт“ ООД, са групирани в регистри на дейностите по обработване, съдържащи правила за обработване на лични данни, отнасящи се до:
• клиенти;
• доставчици на услуги.
(2) Относно физически лица, клиенти на дружеството, се събират лични данни, които са необходими за изпълнението на поръчки направени в онлайн магазина, както следва:
• име, постоянен и/или настоящ адрес, телефон, електронна поща, ЕГН – с цел издаване на данъчна фактура, съгласно изискванията на ЗСч и ЗДДС.
(3) Относно физически лица, доставчици на услуги на дружеството, се съхраняват лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги от външни доставчици, както следва:
• име, постоянен и/или настоящ адрес, телефон, електронна поща.
(4) Дружеството обработва чувствителни данни, само доколкото това е необходимо за изпълнение на специфичните му права и задължения.
Т. 5. Целите на обработването на лични данни са:
(1) администриране на отношенията с клиенти на дружеството и предоставяне на услуги;
(2) сключване и изпълнение на договори с доставчици.
Т. 6. Личните данни се обработват законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:
(1) Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
(2) Личните данни съответстват на целите, за които се събират;
(3) Личните данни трябва да са точни и при необходимост да се актуализират;
(4) Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
(5) Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.
Т. 7. За да е законосъобразно обработването на данните, трябва да е налице поне едно от следните условия:
(1) Субектът на данните е дал своето съгласие;
(2) Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
(3) Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
(4) Обработването е необходимо, за да се защитят жизненоважни интереси на субекта на данните или на друго физическо лице;
(5) Обработването е необходимо за изпълнение на задача от обществен интерес;
(6) Обработването е необходимо за целите на легитимните интереси на администратора, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данни. Целите, за които се обработват лични данни на това основание, трябва да са описани в приложимите известия по защита на данните.
Т. 8. (1) Субектът на данни е съгласен с обработването, ако изрази това ясно и недвусмислено – чрез изявление или друг потвърждаващ акт. Ако съгласието за обработка на лични данни се дава чрез документ, който урежда и други въпроси, то следва да бъде изискано отделно от съгласието по други въпроси.
(2) Субектите на данни трябва да могат лесно да оттеглят съгласието си за обработване по всяко време, и оттеглянето трябва да бъде уважено своевременно. Ако не съществува друго условие за законосъобразност на обработването, с оттеглянето на съгласието то следва да се прекрати.
(3) Декларациите за съгласие се съхраняват от „Семпло Концепт“ ООД, докато се извършват действия по обработване на данни на това основание, с оглед спазването на принципа на отчетност
Т. 9. (1) Личните данни, отнасящи се до клиенти, се събират при подаване на заявка за предоставяне на услуга или сключване на договор с клиент на „Семпло Концепт“ ООД.
Т. 10. (1) „Семпло Концепт“ ООД установява процедури по обработване на лични данни, регламентиране на достъпа до данните, процедури по унищожаване и срокове за съхранение, подробно разписани в тези Правила. За отделни категории данни може да се предвиди псевдонимизиране по предложение на Лицето, отговорно за личните данни.
(2) Размножаването и разпространението на документи или файлове, съдържащи лични данни, се извършва само и единствено от упълномощени служители при възникнала необходимост.
Т. 11. (1) Лицата, идентифицирали признаци на нарушение на сигурността на данните, са длъжни да докладват незабавно на Лицето, отговорно за личните данни, като му предоставят цялата налична информация.
(2) Лицето, отговорно за личните данни, извършва незабавно проверка по подадения сигнал, като се опитва да установи дали е осъществено нарушение на сигурността и кои данни са засегнати.
Т. 12. (1) В случай че нарушението на сигурността създава вероятност от риск за правата и свободите на физическите лица, чиито данни са засегнати, и след одобрение от ръководството на дружеството, Лицето, отговорно за личните данни, организира уведомяването на КЗЛД.
(2) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Лицето, отговорно за личните данни, без ненужно забавяне и при спазване на приложимото законодателство уведомява засегнатите физически лица.
Т. 13. (1) „Семпло Концепт“ ООД може при необходимост да предоставя лични данни на трети лица.
Т. 14. (1) Унищожаване на личните данни се извършва от „Семпло Концепт“ ООД или изрично упълномощено лице, без да бъдат накърнявани правата на лицата, за които се отнасят данните, обект на унищожаването, и при спазване на разпоредбите на относимите нормативни актове.
(2) Информацията в регистрите се унищожава след постигане на целите на обработката и при отпаднала необходимост за съхранение.
Т. 15. (1) Събирането, обработката, съхранението и защитата на личните данни се извършва само от лица, на които това е изрично указано и чиито служебни задължения или конкретно възложена задача налагат това.
(2) При възлагане на дейности, налагащи обработката на лични данни от регистрите на дружеството, доставчиците на услуги следва да спазват приложимите нормативни изисквания относно обработката на личните данни и процедурите на чл. 19 от тези Правила.
(3) Достъп до личните данни могат да имат и съответните държавни органи – съд, следствие, прокуратура, ревизиращи органи и др. Гореспоменатите могат да изискат данните по надлежен ред във връзка с изпълнението на техните правомощия.
Т. 16. (1) Всяко лице има право да иска достъп до своите лични данни, включително и да иска потвърждение дали данните, отнасящи се до него, се обработват, да се информира за целите на това обработване, категориите данни и за получателите на данните, както и за целите на всяко обработване на лични данни, отнасящи се до него.
(2) Правото на достъп се осъществява чрез искане на засегнатото физическо лице, получено на адреса по седалището на „Семпло Концепт“ ООД или официалната електронна поща.
(3) Всяко физическо лице има право да поиска заличаването, коригирането или блокирането на негови лични данни, обработването на които не отговаря на изискванията на закона.
(4) Всяко лице има право писмено да възрази срещу обработването на и/или предоставянето на трети лица на неговите лични данни без необходимото законово основание.
(5) Дружеството е длъжно в двуседмичен срок от получаване на искане по предходните алинеи да уведоми заявителя дали са налице законовите основания за уважаване на искането. Ако „Семпло Концепт“ ООД установи, че са налице законовите основания да уважи искането, уведомява лицето и за реда, по който може да упражни правото си.
(6) Субектите на данни имат също правото да:
– оттеглят съгласието си за обработване по всяко време;
– възразят срещу употреба на личните им данни за целите на директния маркетинг;
– изискат информация за основанието, въз основа на което личните им данни са предоставени за обработване на обработващ извън ЕС/ЕИП;
– възразят срещу решение, взето изцяло на база на автоматизирано обработване, включително профилиране;
– бъдат уведомени за нарушение на защита на данните, което е вероятно да доведе до висок риск за техните права и свободи;
– подават жалби до регулаторния орган;
– в някои случаи да получат или да поискат техните лични данни да бъдат трансферирани до трета страна в структуриран, общо използван формат, подходящ за машинно четене (право на преносимост).
Т. 17. „Семпло Концепт“ ООД може да променя тези Правила по всяко време. Всички промени следва да бъдат незабавно сведени до знанието на лицата, които засягат.
Тази правила за защита на личните данни съдържат принципите, които организацията трябва да спазва, когато обработва лични данни за целите на своята дейност, включително лични данни на клиенти, доставчици и работници или служители. Правилата са в съответствие с изискванията на Общия регламент за защита на данните (Регламент 2016/679).
* При възстановяване на суми платени посредством ВПОС сумата се възстановява по картата с която е извършена покупката.