Политика за поверителност и защита на личните данни

Политиката за защита на личните данни на „Арос Груп“ ООД е изцяло съобразена със Закона за защита на личните данни и с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (наричан по-долу „Регламента“ или “GDPR”).

Важно е да се запознаете с Политика за поверителност и защита на лични данни на „Арос Груп“ ООД, за да получите детайлна информация защо и как обработваме вашите лични данни.

Ако не желаете да обработваме личните Ви данни по начина, описан в настоящата Политика, моля не ни ги предоставяйте.

Предоставянето на лични данни от страна на субекта на данни е доброволно и е свързано със създаване на потребителски акаунт в интернет страницата и/или продажба на стоки или предоставяне на услуги от Дружеството.

Следва да се има предвид, че в някои случаи няма да можем да предоставим стоката или услугата, която сте поръчали, ако не сте ни предоставили нужните ни за тази цел лични данни и ако не сте дали своето съгласие за тяхното обработване.

Чл. 1.

„Арос Груп“ ООД е администратор на лични данни по смисъла на Регламента, наричан по-долу „Администраторът“ или „Дружеството“.

Чл. 2.

В настоящата Политика са използвани понятията, дефинициите и терминологията, използвана в „Регламента“.

Цели на събиране, обработване и съхраняване на лични данни.

Чл. 3.

Администраторът събира, обработва и съхранява личните данни, предоставяни от физически лица (наричани по-долу „субекти на данните“), във връзка със следните цели:

  1. създаване на потребителски акаунт и използване на пълната функционалност на интернет страницата karm-krag.com и на онлайн книжарницата https://www.karm-krag.com/shop;
  2. сключването и изпълнението на договор, включително договор за продажба на стока или за предоставяне услуга от разстояние;
  3. индивидуализация на субекта на данни като страна по договор с Дружеството;
  4. обезпечаване изпълнението на договор с Дружеството;
  5. индивидуализация на субекта на данни, кандидатстващ за работа в Дружеството, както и във връзка със сключване и изпълнението на трудов или граждански договор между субекта на данни и Дружеството.
  6. счетоводни цели;
  7. статистически цели;
  8. защита на информационната сигурност.

Основания за събиране, обработване и съхраняване на лични данни

Чл. 4.

Администраторът събира и обработва лични данни в съответствие с едно или повече от алтернативните основания, посочени в чл. 6, пар. 1 от Регламента, а именно:

  1. при изрично получено съгласие от субекта на данни;
  2. когато обработването е необходимо за сключването и изпълнението на договор, по който субектът на данни е страна;
  3. при спазване на законово задължение, което се прилага спрямо Администратора;
  4. когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
  5. за целите на легитимните интереси на Администратора или на трета страна.

Чл. 5.

Администраторът може да обработва и съхранява лични данни с цел защита на следните си легитимни интереси: изпълнение на своите задължения към Националната агенция по приходите, Министерството на вътрешните работи и други държавни и общински органи.

Принципи при събиране, обработване и съхраняване на лични данни

Чл. 6.

Администраторът спазва следните принципи при обработването на лични данни, посочени в чл. 5 от Регламента, а именно:

  1. законосъобразност, добросъвестност и прозрачност;
  2. ограничение на целите на обработването (личните данни се обработват за конкретни, изрично указани и легитимни цели);
  3. свеждане до минимум на обработваните данни;
  4. точност и актуалност на данните;
  5. ограничение на съхранението на данните за период, не по-дълъг от необходимото за целите на обработване;
  6. цялостност и поверителност на данните и гарантиране на подходящо ниво на сигурност при обработването им;
  7. отчетност.

Видове лични данни, които се събират, обработват и съхраняват от Администратора

Чл. 7.

Администраторът обработва следните категории лични данни: три имена, адрес, телефон, електронна поща – за целите на създаване на потребителски акаунт на интернет страницата www.karm-krag.com и в онлайн книжарницата https://www.karm-krag.com/shop, установяване на връзка със субекта на личните данни и изпълнение на задължения на администратора по договор за покупко-продажба и доставка на закупените стоки, администриране на процеса по упражняване на правото на отказ или рекламация от потребителя за стоките, по отношение на които могат да се упражнят тези права.

Създаването на потребителски акаунт не е задължително условие за поръчка на стоки от онлайн книжарницата. Това е възможно и без регистрация, но след приемане на Условията за ползване и настоящата Политика за поверителност.

За целите на изпълнение на услуги от страна на Администратора, същият в случай на необходимост обработва лични данни, като три (или четири) имена по лична карта, дата, час и място на раждане, адрес за обратна кореспонденция.

За сключването и изпълнението на договор с търговско дружество, администраторът обработва трите имена на законния представител или упълномощеното от дружеството лице.

С приемането на Условията за ползване и с регистрацията в онлайн книжарницата или при извършване на поръчка без регистрация, или при сключването на писмен договор, между „Арос Груп“ ООД и субекта на личните данни се създава договорно отношение, на което основание „Арос Груп“ ООД обработва личните данни на съответния субект въз основа на чл. 6, пар. 1, б. „б“ от Регламента.

Чл. 8.

Администраторът не обработва лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

Горното не се прилага, ако субектът на данни е дал своето изрично съгласие за обработването на една или повече конкретни цели:

  • когато обработването е необходимо за целите на изпълнението и задълженията и упражняването на специалните права на Администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила;
  • данните са от значение за конкретната цел, за която Администраторът обработва лични данни;
  • обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
  • обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
  • обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;
  • обработването е необходимо по причини от важен обществен интерес;
  • обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение или за целите на управление на услугите и системите за здравеопазване или социални грижи.

Чл. 9.

Администраторът не обработва лични данни на лица под 16 години, освен при изрично даденото съгласие на носещия родителска отговорност за детето (родител или настойник).

Чл. 10.

Администраторът обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице във връзка с изпълнение на направена поръчка или услуга. В този случай лицето, предоставило горепосочените данни на Администратора, се задължава:

  • да предостави на субекта на данните информация за индивидуализация на Администратора – „Арос Груп“ ООД;
  • да уведоми субекта на данните за целите, за които ще се обработват данните и за категориите лични данни, които са предоставени;
  • да предостави на субекта на данните информация за правото на достъп и на коригиране на собствените си личните данни.

Предаване на лични данни за обработване

Чл. 11.

Администраторът може по собствена преценка да предоставя част или всички лични данни на трети лица, наречени в Регламента „обработващи лични данни“. Такива могат да бъдат доставчици на куриерски и пощенски услуги с цел доставката до субекта на данни на поръчаната стока или услуга; доставчици на платежни услуги или услуги по парични преводи с цел изпълнение на задължението на субекта на данни за заплащане на поръчаната стока или услуга; доставчици на компютърни и други услуги за използване на сървъри за съхраняване на събраната информация и за поддръжка на сайта и онлайн книжарницата.

Чл. 12.

Администраторът може да предоставя събраните лични данни и на други лица, „обработващи лични данни“ с оглед на изпълнението на целите за обработване (например счетоводни цели – във връзка с издаване на счетоводен документ за извършената покупка на стока или услуга), с което субектът на данни се е съгласил съгласно тази Политика, при спазване на изискванията на Регламента.

Чл. 13.

Администраторът уведомява субекта на данни, в случай че трябва да предаде част или всички негови лични данни на трети държави или международни организации.

Срок за съхраняване на личните данни

Чл. 14.

(1) „Арос Груп“ ООД съхранява личните данни на субектите толкова дълго, колкото е необходимо за постигане на целите, установена в настоящата Политика, при спазване на изискванията на действащото законодателство. След изпълнението на целите за обработване и изтичане на съответните срокове личните данни се анонимизират (привеждат се във вид, който не разкрива самоличността на субекта на данните) или се изтриват/унищожават.

(2) Когато личните данни се обработват във връзка със създаване на потребителски акаунт, „Арос Груп“ ООД съхранява лични данни за срок не по-дълъг от съществуването на този акаунт в сайта. След заличаване на  потребителския акаунт Администраторът полага необходимите грижи да изтрие и унищожи всички данни на субекта на данни без ненужно забавяне или да ги анонимизира (т.е. да ги приведе във вид, който не разкрива неговата самоличност).

(3) В случай на поръчка на стоки или услуги, чрез потребителския акаунт или без регистрация, Администраторът съхранява личните данни в разумен срок, необходим за обслужването на поръчката, за обезпечаването на правата на субекта на данни с оглед потенциално връщане или рекламация на стоката, както и във връзка със защита на правните интереси на Администратора при съдебни или административни спорове със субекти на данните. Този срок не може да бъде по-дълъг от 5 години след получаване на поръчаната стока от онлайн книжарницата.

(4) Счетоводните документи, които се издават във връзка с дадена поръчка, се съхраняват за минималния срок, установен в действащото законодателство.

(5) В случай че е налице законоустановено изискване, Администраторът има право да съхранява личните данни за предвидения в съответния нормативен акт срок, който може да надхвърля сроковете, определени в горните алинеи.

Право на достъп

Чл. 15.

(1) Всеки субект на данни има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

  • целите на обработването;
  • съответните категории лични данни;
  • получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
  • когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
  • съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
  • правото на жалба до надзорен орган; когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник; съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4 на Регламента, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

(2) Заявлението по ал. 1 се изпраща на имейла на Администратора.

(3) Администраторът предоставя обработваните лични данни на субекта на данни в електронна форма на предоставения от субекта на данни имейл адрес.

Право на коригиране или попълване на лични данни

Чл. 16.

Всеки субект на данни може да коригира или попълни личните си данни директно през потребителския си акаунт в сайта или с отправяне на заявление на имейла на Администратора.

Право на оттегляне на съгласието за обработване на лични данни

Чл. 17.

(1) Субект на данни, който не желае всички или част от неговите лични данни да продължават да бъдат обработвани от Администратора за конкретна или за всички цели на обработване, може по всяко време да оттегли съгласието си за обработка чрез подаване на заявление на имейла на Администратора.

(2) С оттегляне на съгласието за обработване на лични данни, които са задължителни за създаването и поддържането на потребителски акаунт в онлайн книжарницата, потребителският акаунт ще бъде деактивиран.

(3) Ако има постъпила поръчка на стока или услуга, която е в процес на обработване, най-ранният момент, в който субектът на данни по тази поръчка може да оттегли съгласието си за обработване, е при успешното завършване на поръчката. Това се отнася и за случаите, когато стоката или услугата е поръчана без регистрация на потребителски акаунт в сайта.

(4) Оттеглянето на съгласието не се отразява на законосъобразността на обработването на лични данни, което Администраторът е извършвал до този момент.

Право на изтриване на лични данни („право да бъдеш забравен“)

Чл. 18.

(1) Субектът на данни има право да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е налице едно от следните основания:

  1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  2. субектът на данните е оттеглил своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
  3. субектът на данните е възразил срещу обработването на неговите лични данни, включително за целите на директния маркетинг, и няма законни основания за обработването, които да имат предимство пред правото на субекта на данни да иска тяхното заличаване;
  1. личните данни са били обработвани незаконосъобразно;
  2. личните данни трябва да бъдат изтрити с цел спазването на правно задължение, предвидено в правото на Европейския съюз или в правото на държава членка, което се прилага спрямо Администратора;
  3. личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

(2) Администраторът няма задължение да изтрие личните данни, ако ги съхранява и обработва:

  1. за упражняване на правото на свобода на изразяването и правото на информация;
  1. за спазване на правно задължение, което изисква обработване, предвидено в правото на Европейския съюз или в правото на държавата членка, което се прилага спрямо Администратора, или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора;
  2. по причини от обществен интерес в областта на общественото здраве;
  3. за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
  4. за установяването, упражняването или защитата на правни претенции, права и законни интереси.

(3) В случай на упражняване на правото на изтриване на лични данни Администраторът изтрива всички лични данни на субекта, с изключение на следната информация:

  1. информация, която е необходима, за да удостовери, че искането за изтриване на лични данни е изпълнено;
  1. техническа информация за функционирането на сайта, каквато не може да се свърже по никакъв начин с личността на субекта на данните.

(4) Заявлението за изтриване на личните данни се подава в свободен текст на имейл адреса на Администратора.

(5) Ако от потребителския акаунт, за който е поискано изтриване, е направена поръчка, която е в процес на обработване, най-ранният момент, в който можете да бъде извършено изтриване на личните данни, е при успешното завършване на поръчката.

(6) С изтриване на личните данни потребителският акаунт ще бъде деактивиран. В такъв случай субектът на данните ще може да продължи да разглежда онлайн книжарницата и предлаганите продукти, да извършва поръчки без регистрация или да направи нова регистрация, при спазване на настоящата Политика.

(7) Администраторът не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу Администратора съдебни претенции или за доказване на свои права.

Право на възражение

Чл. 19.

Субектът на данните може да възрази по всяко време срещу обработването на лични данни от Администратора, които се отнасят до него. В този случай Администраторът прекратява обработването на лични данни, освен ако докаже, че съществува законово основание за продължаване на обработването.

Право на преносимост

Чл. 20.

(1) Субектът, който е дал съгласие за обработване на неговите лични данни или обработването е необходимо за изпълнението на договор с Администратора, или ако данните се обработват по автоматизиран начин, има право:

  1. да поиска от Администратора да му предостави неговите лични данни в четим формат и да ги прехвърли към друг Администратор;
  1. да поиска от Администратора пряко да прехвърли неговите лични данни към посочен от субекта администратор, когато това е технически осъществимо.

(2) Заявлението се изпраща в свободен текст на имейл адреса на Администратора, който след извършване на верификация на лицето изпраща на имейла на субекта данните, които обработва за него, във формат XML.

Верификация

Чл. 21.

(1) При подаване на заявления в свободен текст на имейла на Администратора във връзка с упражняване на правата по чл. 13-20 от настоящата Политика, лицето следва да посочи данните, чрез които да бъде идентифицирано като правоимащ субект, като докаже идентичност между лицето, подало съответното искане и лицето – субект на личните данни, по отношение на които се упражняват съответните права. Администраторът изпълнява своите задължения по Регламента във връзка с исканията едва след установяване на горепосочената идентичност, за да се избегне засягане на правата на субектите на личните данни от трети лица, които се представят с фалшива самоличност.

В съответствие с чл. 37в от Закона за защита на личните данни, заявлението трябва да съдържа: име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от Администратора, във връзка с извършваната от него дейност; описание на искането; предпочитана форма за получаване на информацията при упражняване на правата по чл. 15-22 от Регламента; подпис, дата на подаване на заявлението и адрес за кореспонденция; пълномощно – при подаване на заявлението от упълномощено лице.

(2) Предоставянето услугите по чл. 13–20 е безплатно, но Администраторът си запазва правото да наложи такса за обслужване в случай на повторяемост или прекомерност на исканията.

Сигурност на личните данни

Чл. 22.

Администраторът прилага подходящи технически и организационни мерки за осигуряване на сигурност на личните данни, включително, когато е целесъобразно:

  1. псевдонимизация и криптиране на личните данни;
  2. способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  3. способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
  4. процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед гарантиране на сигурността на обработването.

Чл. 23.

В случай на нарушение на сигурността на личните данни Администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, уведомява за нарушението на сигурността на личните данни компетентния надзорен орган, който за България е Комисията за защита на личните данни, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

Чл. 24.

(1) Ако Администраторът установи нарушение на сигурността на личните данни на субект на данни, което е от естество да породи риск за неговите права и свободи, без ненужно забавяне го уведомява чрез имейл за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети.

(2) Администраторът не е длъжен да извърши подобно уведомление, когато:

  1. предприеме подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
  1. впоследствие вземе мерки, които гарантират, че нарушението няма да доведе до висок риск за правата на засегнатия субект;
  2. уведомяването би изисквало непропорционални усилия.

Чл. 25.

Администраторът поддържа регистър на дейностите по обработване, за които отговаря, със съдържание, посочено в чл. 30 от Регламента и чл. 62 от Закона за защита на личните данни.

Чл. 26.

Администраторът приема вътрешни правила, с които се определят отделните категории личните данни, които се обработват за различни цели. Категориите лични данни се обособяват в отделни регистри с лични данни. Вътрешните правила определят и реда за достъп до тези регистри и лицата, които имат право на достъп до регистрите.

Трансфер на лични данни към трети държави

Чл. 27.

(1) Администраторът не извършва трансфер на лични данни към трети държави.

(2) Ако по искане или със съгласието на субект на данни се налага трансфер на лични данни до трета държава, Администраторът описва възможните рискове за трансфера, в случай че липсва решение за адекватна защита и подходящи средства за защита.

Компетентен надзорен орган

Чл. 28.

В случай на нарушаване на негови права съгласно настоящата Политика или приложимото законодателство за защита на личните данни, всеки субект на лични данни има право да се обърне с жалба към Комисията за защита на личните данни.

Изменения на политиката за защита на личните данни

Чл. 29.

Администраторът може да изменя своята Политика за поверителност и защита на личните данни, като публикува съобщение за това на интернет страницата си.

Администратор на лични данни

  • Арос Груп ООД
  • ЕИК 131448262
  • Седалище и адрес на управление: София, ул. „Московска“ 29
  • Лице за контакт: Андрей Тилков
  • Телефон за контакт: +359 888 774 265
  • Имейл: office@arros.bg
  • Интернет страница: www.karm-krag.com

Компетентен надзорен орган за защита на личните данни

Комисия за защита на личните данни 

  • Адрес: гр. София 1592, ул. „Проф. Цветан Лазаров“ № 2,
  • тел.: (02) 915 35 18
  • Имейл: kzld@cpdp.bg
  • Интернет страница: www.cpdp.bg

Комисия за защита на потребителите

  • Адрес: гр. София 1000, пл.“Славейков“ № 4А, ет.3, 4 и 6,
  • тел.: 02 / 933 05 65
  • факс: 02 / 988 42 18
  • телефон на потребителя: 0700 111 22
  • Интернет страница: www.kzp.bg
error: Защитено съдържание!