Политика за обработка и защита на лични данни


ПОЛИТИКА 
за обработка и защита на личните данни ( Privacy policy )
1. Обща информация 
Като администратор на лични данни при покупки онлайн или на място на адреса на извършване на дейността, ИНФОБОКС ООД, наричано по-нататък за краткост Дружеството, отговаря на всички изисквания на влязлата в сила от 25 май 2018г. нова регулация за защита на личните данни (General Data Protection Regulation) , като събира единствено данни на лицата дотолкова, доколкото са необходими за предоставянето на услугата, и ги пази отговорно и законосъобразно.
Дружеството осъществява дейността си в съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
 
2. Информация относно Администратора на лични данни
2.1. Име: ИНФОБОКС ООД
2.2. ЕИК/БУЛСТАТ :206516189
2.3. Седалище, адрес на управление, адрес на извършване на дейността и адрес за кореспонденция: гр. Сливен, 8800 , площад Васил Левски №14
2.4. E-mail: gdpr@infobox.bg Телефон: 0700 133 53 
2.5. Номер на удостоверение за администратор на личните данни № 163281/14.07.2014г. от Комисия за Защита на личните данни
 
3. Информация за компетентния надзорен орган 
3.1. Име: Комисия за защита на личните данни
3.2. Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
3.3. Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
3.4. Телефон:02 915 3 518
3.5. E-mail: kzld@cpdp.bg, kzld@government.bg, Уеб сайт: www.cpdp.bg
4. Основание за събиране, обработване и съхраняване на Вашите лични данни 
4.1. Дружеството събира и обработва Вашите лични данни за целите на обработване на заявка и доставка при покупки на стоки и услуги онлайн или на място и сключване на договори на основание чл. 6, ал. 1, Регламент (ЕС) 2016/679 въз основа на следното:
4.1.1. Изпълнение на задълженията на Дружеството по Договор с Вас;
4.1.2. Изрично получено съгласие от Вас като клиент;
4.1.3. Спазване на законово задължение, което се прилага спрямо Дружеството;
4.1.4. За целите на легитимния интерес на Дружеството.
4.2. Дружеството е администратор на лични данни по отношение на Вашите данни като ползватели на нашите продукти и услуги. 
5. Принципи и цели при събирането, обработването и съхраняването на Вашите лични данни 
5.1. Дружеството събира и обработва личните данни, които Вие ни предоставяте във връзка с използването на нашите продукти и  услуги и за сключване на договор с дружеството, както и за записване за участие в нашите събития или маркетингови кампании, включително за следните цели: 
5.1.1. Създаване на профил в електронния магазин и осигуряване на пълна функционалност при покупка онлайн или на място;
5.1.2. Индивидуализация на страна по договора;
5.1.3. Регистрация на участник в кампания или събитие, организирани от Дружеството;
5.1.4. Счетоводни и статистически цели;
5.1.5. Осигуряване на изпълнението на договор за предоставяне на наша услуга;
5.1.6. Изпращане на техническа и търговска информация и др.
5.1.7. Предоставяне на техническо обслужване чрез организационната ни система;
5.1.8. Охрана на физическите ни магазини;
 
5.2. Дружеството спазва следните принципи при обработката на Вашите лични данни: 
5.2.1. Законосъобразност, прозрачност и добросъвестност;
5.2.2. Ограничение на целите на обработване;
5.2.3. Съобразяване с целите на обработката и свеждане до минимум на събираните данни;
5.2.4. Точност и актуалност на данните;
5.2.5. Ограничение на съхранението с оглед постигане на целите;
5.2.6. Пълнота и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.
5.2.7. При обработването и съхранението на личните данни, Дружеството може да обработва и съхранява личните данни с цел защита на легитимни интереси като изпълнение на задълженията си към НАП, АЗ, МВР и други държавни и общински органи.
 
6. Какви видове лични данни събира, обработва и съхранява Дружеството? 
6.1. Дружеството извършва следните операции с личните данни за следните цели: 
6.1.1. Регистрация на потребител в електронния магазин: eCenter.bg и изпълнение на договор за покупка на продукти и/или услуги – целта на тази операция е създаване на профил, който да бъде свързан с покупката и в който Вие да имате възможност да следите историята на своите покупки. Въз основа на горепосоченото, длъжностното лице за защита на личните данни, счита че операцията „Сключване на договор за покупка“ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.
6.1.2. Сключване и изпълнение на търговска сделка с клиент или партньор – целта на тази операция е сключване и изпълнение на договор с търговски партньор или клиент и неговото администриране;
6.1.3. Изпращане на информационни съобщения – целта на тази дейност е администриране на процеса по изпращане на съобщения до клиентите съдържащи търговска, техническа информация, както и оферти за предлаганите продукти и услуги;
6.1.4. Изпращане на информационен  бюлетин – цел:  администриране на процеса по изпращане на бюлетини с технологични новости, търговска или техническа информация до клиентите, които са заявили, че желаят да получават такава;
6.2. Дружеството обработва следните категории лични данни и информация за следните цели и на следните основания: 
6.2.1. Данни: Ваши индивидуализиращи данни (име и фамилия, електронна поща, държава, телефон); Цел: 1) Регистрация на потребител в платформата за електронна търговия; 2) Осъществяване на връзка с потребителя и изпращане на информация към него, включително при изразено желание – за изпращане на бюлетини и рекламни съобщения; Основание за обработка на личните Ви данни – С приемането на общите условия и регистрация в уебсайта и закупуване на продукт или услуга, между Дружеството и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.
6.2.2. Допълнителни данни, предоставяни от Вас – Ако желаете да допълните Вашия профил ( незадължително поле ), може да попълните в него данни за обръщение: Г-н, Г-жа, Г-ца.  Цел: Допълване на информация с цел персонализирано отношение към потребителя.. Основание за обработка на данните: С приемането на общите условия и регистрация в уебсайта и закупуване на продукт или услуга, между Нас и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR. 
6.2.3. При влизане в нашия уебсайт или във Вашия профил, Дружеството събира данни за използвания IP адрес. Цел: Подобряване на сигурността на услугата и локализация на интерфейса, статистически и маркетингови проучвания. Основание за обработка на данните: Обработването е необходимо за изпълнение на договор, по който субектът на данните е страна - чл. 6, ал. 1, б. (б) на GDPR. До създаването на профил на потребителя, IP адресът се събира на основание осъществяване на легитимните интереси на администратора – чл. 6, ал. 1, б. (е) от GDPR; 
6.3. Дружеството не събира и не обработва лични данни, които се отнасят за следното:
6.3.1. Генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.
6.3.2. Разкриват политически, религиозни или философски убеждения, или членство в синдикални организации;
6.3.3. Разкриват расов или етнически произход;
6.4. Личните данни са събрани от Дружеството от лицата, за които се отнасят. 
6.5. Дружеството не извършва автоматизирано генериране на решение с данни. 
 
7. Срок на съхранение на личните Ви данни 
7.1. Дружеството съхранява Вашите лични данни за срок не по-дълъг от съществуването на профила ви в уебсайта. След изтичането на този срок, Дружеството взима всички необходими мерки да изтрие и унищожи всички Ваши данни, без ненужно забавяне, освен ако е необходимо да ги пази по силата на приложимото законодателство за съответния предвиден срок, който може да надхвърля срока на съществуване на Вашата регистрация.
7.2. Дружеството Ви уведомява, в случай, че срокът за съхранение на данните е необходимо да бъде удължен с оглед изпълнение на целите, изпълнение на договора, с оглед легитимни интереси на Дружеството или друго. 
 
8. Предаване на вашите лични данни за обработване 
8.1. Дружеството може по собствена преценка да предава част или всички Ваши лични данни на обработващи лични данни за изпълнението на целите за обработване при спазване на изискванията на Регламент (ЕС) 2016/679. Щ
 
9. Право на Оттегляне на съгласието за обработване на личните Ви данни 
9.1. Ако не желаете всички или част от Вашите лични данни да продължат да бъдат обработвани от Дружеството за конкретна или за всички цели на обработване, Вие можете по всяко време да оттеглите съгласието си за обработка чрез искане в свободен текст изпратено на sales@infobox.bg . 
9.2. Дружеството може да поиска да удостоверите своята самоличност и идентичност с лицето, за което се отнасят данните. 
9.3. С оттегляне на съгласието за обработване на лични данни, които са задължителни за създаването и поддържане на регистрацията Ви за използване на услугите ни, Вашият акаунт ще стане неактивен. 
 
10. Право на достъп 
10.1. Вие имате право да изискате и получите от Дружеството потвърждение дали се обработват лични данни, свързани с Вас. 
10.2. Вие имате право да получите достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните Ви данни. 
10.3. Дружеството Ви предоставя при поискване, копие от обработваните лични данни, свързани с Вас, в електронна или друга подходяща форма. 
10.4. Предоставянето на достъп до данните е безплатно, но Дружеството си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията. 
 
11. Право на коригиране или попълване
11.1. Вие можете да коригирате или попълните неточните или непълните лични данни, свързани с Вас директно през Вашия профил в уебсайта или с отправяне на искане до Дружеството.
 
12. Право на изтриване („да бъдеш забравен“) 
12.1. Вие имате правото да поискате от Дружеството изтриване на свързаните с Вас лични данни, а Дружеството има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания: 
12.1.1. Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
12.1.2. Вие оттеглите своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
12.1.3. Вие възразите срещу обработването на свързаните с Вас лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
12.1.4. Личните данни са били обработвани незаконосъобразно;
12.1.5. Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Дружеството;
12.1.6. Личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
12.2. Дружеството не е длъжно да изтрие личните данни, ако ги съхранява и обработва: 
12.2.1. За спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
12.2.2. За целите на архивирането в обществен интерес за статистически цели;
12.2.3. За установяването, упражняването или защитата на правни претенции.
12.3. За да упражните правото си на „забравяне“, Вие следва да подадете искане през опцията във Вашия профил или писмено искане, изпратено до Дружеството, както и да удостоверите своята самоличност и идентичност с лицето, за което се отнасят данните преди Дружеството, като представите на място своята лична карта за целите на идентификация и при необходимост въведете своите данни за вход в профила на лицето, за което се отнасят данните, пред служител на Дружеството. 
12.4. Дружествотоне изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права. 
 
13. Право на ограничаване 
13.1. Вие имате право да изискате от Дружеството да ограничи обработването на свързаните с Вас данни, когато: 
13.1.1. Оспорите точността на личните данни, за срок, който позволява на Дружеството да провери точността на личните данни;
13.1.2. Обработването е неправомерно, но Вие не желаете личните Ви данни да бъдат изтрити, а само използването им да бъде ограничено;
13.1.3. Дружеството не се нуждае повече от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на свои правни претенции;
13.1.4. Възразили сте срещу обработването в очакване на проверка дали законните основания на Дружеството имат преимущество пред Вашите интереси.
 
14. Право на преносимост 
14.1. Вие можете по всяко време да изтеглите данните, които се съхраняват и обработват за Вас във връзка с използване на услугите на Дружеството, директно през Вашия профил или с искане по имейл;
14.2. Вие можете да поискате от Дружеството директно да прехвърли Вашите лични данни към посочен от Вас администратор, когато това е технически осъществимо. 
 
15. Право на получаване на информация 
15.1. Вие можете да поискате от Дружеството да Ви информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити. Дружеството може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия. 
16. Право на възражение 
16.1. Вие можете да възразите по всяко време срещу обработването на лични данни от Дружеството, които се отнасят до Вас, включително ако се обработват за целите на профилиране или директен маркетинг. 
17. Вашите права при нарушение на сигурността на личните ви данни 
17.1. Ако Дружеството установи нарушение на сигурността на личните Ви данни, което може да породи висок риск за Вашите права и свободи, ние Ви уведомяваме без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. 
17.2. Дружеството не е длъжно да Ви уведомява, ако: 
17.2.1. е предприело подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
17.2.2. е взело впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата Ви;
17.2.3. уведомяването би изисквало непропорционални усилия.
 
18. Лица, на които се предоставят личните ви данни 
По отношение на личните данни на физически лица, които предоставяме на посочените по-долу трети лица, Дружеството изисква и следи те да прилагат всички необходими технически и организационни мерки за защита на предоставените им от нас данни, според изискванията на Регламент (ЕС) 2016/679 на ЕС и на Съвета и на българското законодателство.
18.1. Куриерски и пощенски фирми, осъществяващи доставката на потвърдени поръчки чрез Сайта;
18.2. Доставчици на платежни услуги за осъществяване на плащане или възстановяване на суми при упражняване на право на връщане на продукт, както и за счетоводни цели, съгласно законови изисквания;
18.3. Доставчици на финансови услуги за финансиране на покупката чрез лизинг или потребителски кредит;
18.4. Доставчици на SMS и Viber съобщения за уведомяване за статус на поръчка, доставка или заявка за сервиз.
18.5. Трети лица за целите на защита на легитимни интереси на Дружеството по поддържане и подобряване качеството на услугата, отговаряне на законовите изисквания, защита за законни права и интереси в съдебни и административни производства;
18.6. Държавни органи и институции във връзка с извършвани от тях проверки в съответствие със законовите изисквания и ограничения;
18.7. Свързани с Дружеството лица във връзка с ползване на споделен технически и човешки ресурси, преобразувания и други;
18.8. Външни сервизи за извършване на гаранционни и извънгаранционни ремонти, когато е необходимо те да се извършат от тесни специалисти или със специализирана техника, с които Дружеството не разполага, както и в случаите, в които производителят изисква гаранционното обслужване да се извършва от конкретен сервиз на територията на Република България;
18.9. Търговски партньори – онлайн платформи за пазаруване и реклама за целите на популяризиране на продуктите и услугите предлагани от Дружеството
18.10. Дружеството не извършва трансфер на вашите данни към трети държави. 
18.11. Удовлетвореност на клиента (pazaruvaj.com) - в рамките на програмата Коректен магазин на www.eCenter.BG за клиентите, които са достъпили онлайн платформата на Дружеството, e-mail адресът на купувача и видовете закупени стоки поименно се изпращат на Online Comparison Shopping Kft. като администратор за обработка на данните, с цел измерване нивото на удовлетвореност на клиентите. Информация за защита на личните данни може да видите тук.
 
19. Други разпоредби 
19.1. В случай на нарушаване на правата Ви съгласно горепосоченото или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни ( за връзка вижте т.3 от този документ );
19.2. Можете да упражните всичките си права относно защита на Вашите лични данни във всякаква форма, която съдържа изявление за това и ви идентифицира като притежател на данните;
19.3. Можете да възлагате на Дружеството да обработва лични данни на трето лице за целите на получаването или използването на продукта или услугата, като Дружеството действа в качеството на обработващ личните данни. 
 
20. Политика за използване на бисквитки (Cookie Policy) 
"Бисквитките" (cookies) са малки файлове, които се съхраняват временно на Вашия твърд (hard) диск и позволяват на сайта ни да разпознае компютъра ви следващия път, когато посетите Интернет страницата на електронният магазин. еCcenter.bg използва „бисквитки“ Основанието е: да събираме информация относно ползването на нашия сайт, с цел по-бързото Ви иденфициране и предоставяне на качествени услуги
„Бисквитките“, са важни за коректната работа на магазина. Посещавайки нашия магазин, Вие приемате използването на бисквитки.  
 
21. Мерки за сигурност, които сме предприели в Дружеството по отношение сигурността на личните данни, които съхраняваме на нашата онлайн платформа и в организационните ни софтуерни системи.
Сигурността на всеки тип информация, включително и лични данни, намиращи се на наша инфраструктура е основен приоритет за нас като Дружество. За да защити Вашата информация по време на предаването й, eCenter.bg използва Secure Sockets Layer (SSL) протокол, който криптира информацията, която въвеждате. Платформата не съхранява информация за Вашите дебитни и кредитни карти. Задължение на ползвателя е да опазва конфиденциалността на своите потребителско име и парола. Всяка направена чрез онлайн магазина поръчка се счита от страна на eCenter.bg за редовна, ако при направата ѝ са използвани потребителско име и парола, които платформата е приела за валидни, независимо от това дали същите са използвани от лице различно от титуляра или от неоторизирано лице. С цел защита от неправомерен достъп и разпространение на личните данни на клиенти и контрагенти Дружеството съхранява тези данни на специализирани сървъри с ограничен физически достъп, като допълнително се използват различни методи за криптиране на данните и ограничаване на дистанционния достъп до базата данни с тях, а служителите, имащи достъп и обработващи лични данни се свързват с нея посредством уникални идентификатори. С цел повишаване нивото на сигурност и премахване на риска от неправомерен достъп Дружеството използва и други специални методи за защита.