Политика за защита на личните данни

ПОЛИТИКА

ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

на

 

"МАКРОСТЕП" ЕООД с ЕИК 205623366

Приета на 16.11.2020г.

  1. Въведение

 

Настоящата Политика за защита на личните данни  има за цел да Ви информира какви лични данни се обработват от "МАКРОСТЕП" ЕООД /наричано по-долу за краткост само Администратор/а/ът/, защо и как се обработват, кога е необходимо да се разкриват на трети лица. Също така, с нея се предоставя информация за правата, които субектите на данните имат във връзка с обработването на личните им данни от Администратора съгласно Регламент (ЕС) 2016/679 (ОРЗД) и Закона за защита на личните данни.

Настоящата политика се отнася до всички дейности по обработването на лични данни, включително тези, които се извършват относно лични данни на потребители, клиенти, работници/служители, доставчици, партньори и всякакви други лични данни, които организацията на Администратора обработва от различни източници.

Трети страни, които работят с или за Администратора, в т.ч. партньори, външни доставчици, клиенти, куриери и др., както и които имат или могат да имат достъп до личните данни на Администратора, са длъжни да се запознаят и съобразят с тази политика.

 

  1. Обхват, очертан от Общия регламент за защита на данните

 

Регламент (ЕС) 2016/679 (Общ регламент за защита на данните - ОРЗД) замества Директивата 95/46 / ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните - членки в областта на защитата на личните данни. Неговата цел е да защитава "правата и свободите" на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.

 

  1. Принципи за защита на данните

 

Администраторът извършва обработването на личните данни в съответствие с принципите за защита на данните, посочени в ОРЗД. Политиките и процедурите на Администратора имат за цел да гарантират спазването на тези принципи.

В тази връзка личните данни се обработват законосъобразно, добросъвестно и прозрачно.

 

  1. Видове лични данни, които се обработват от Администратора

Личните данни, събирани и обработвани от Администратора, са:

 

- Данни за Вашата самоличност, геолокация, адрес, електронен адрес: име, презиме, фамилия, град, държава, адрес за контакт, имейл адрес;

- Данни за връзка, геолокация, и/или разглеждане в интернет: телефонен номер – мобилен или стационарен; мястото, от което се обаждате; електронно мястото, от което правите Вашата поръчка; IP адрес; уебстраницата, която Ви е препратила към нас; информация за браузъра и операционната система, която ползвате; дата и продължителност на достъпа;

- Икономически данни – при връщане на продукт от Ваша страна или при извршване на плащане по банков път,  ще обработваме данни за Вашата банкова сметка (IBAN) и имената на обслужващата Ви банка;

- Информация за кредитната Ви карта (вид и номер на картата, номер на сметката, име на картодържателя, дата на валидност и код за сигурност) – ако извършвате плащания посредством кредитна карта;

- Данни, които ни предоставяте относно Вашите маркетингови предпочитания или в процеса на Вашето участие в проучвания, конкурси, промоционални оферти, както и при абониране за електронния ни бюлетин;

 

  1. Цел на обработването

Личните данни на субектите се обработват в съответствие с ОРЗД и Закона за защита на личните данни, както и подзаконовите нормативни актове в областта на защитата на лични данни. Администраторът обработва личните Ви данни за следните цели:

 

  • установяване самоличността на субектите на данните;

  • осъществяване на обратна връзка с потребителите с цел подобряване на предлаганите услуги и изпращане на информация към тях;

  • регистриране като потребител на сайта;

  • осчетоводяване, изготвяне и изпращане на сметки/фактури за услугите, които използвате при нас;

  • дейности, свързани с разработването и въвеждането на мерки за борба с тероризма;

  • осигуряване на сигурност и защита на субектите на данните;

  • получаване на плащания и възстановяване на погрешно заплатени суми;

  • упражняване и защита на законните права и интереси на Администратора (като отправяне на съобщения, нотариални покани, подаване на искови молби, заявления, жалби, сигнали и др.);

  • изпращане на маркетингови и рекламни съобщения, свързани с предлаганите от Администратора услуги – след получаване на изрично съгласие;

  • осигуряване на индивидуален подход при предоставяне на услугите, съобразен със заявените от потребителите ни предпочитания;

  • обработване на поръчки;

  • сключване и изпълнение на договор за дистанционна покупко-продажба на стоки, условията на който са подробно уредени в Общите условия на сайта;

  • изпълнение на задълженията на Администратора;

  • осъществяване на ефективна комуникация;

  • актуализиране на личните данни на субектите на данните;

  • изпълнение на други законови задължения на Администратора;

  • други цели, за които изрично е предоставено съгласие от субекта на данните.

 

  1.  Правно основание за обработване на личните данни

Администраторът събира и обработва Вашите лични данни на едно от долупосочените основания:

  • изрично предоставено съгласие всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. апр. за целите на директния маркетинг/. С приемането на Общите условия на сайта - при регистрация и създаване на профил в електронния магазин и извършването на поръчка, или извършването на поръчка без регистрация в електронния магазин, между нас, като администратор и Вас, като потребител, се създава договорно правоотношение, на което основание обработваме Вашите лични данни – чл. 6 ал. 1 буква (б) от ОРЗД. Данните Ви, предоставени при регистрация и създаване на профил, както и при абониране за  информационен бюлетин, се обработват на базата на изрично даденото Ви съгласие – чл. 6 ал.1 буква (а) от ОРЗД. То може да бъде оттеглено по всяко време, което не засяга законността на обработването, основано на дадено съгласие преди неговото оттегляне.;

  • изпълнение на договорни задължениядоколкото основният предмет и цел на договора обективно не могат да бъдат постигнати без предоставяне на определен обем лични данни, в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения и съответно не е нужно даване на отделно съгласие за обработване на лични данни. Това не изключва възможността съгласието да се използва като правно основание за обработване на лична информация (данни за контакт и др.) за допълнителни цели, като например маркетинг и реклама, освен ако в нормативен акт не е предвидено основание за това. /напр. за заплащане на парично задължение по договорно правоотношение/;

  • изпълнение на законово задължение на Администратора в случаите, когато личните данни се предават от един администратор на друг в резултат на прехвърляне на вземания (цесия), правното основание за обработване на личните данни е изпълнение на законовото задължение по чл. 99, ал. 3 от Закона за задълженията и договорите. Законът задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането. Това обстоятелство обуславя и предаването на личните данни, доколкото същите се съдържат в съответните документи;

  • защита на жизненоважни интереситакава хипотеза би била налице при спешен случай и когато субектът на данните е неспособен да даде съгласие;

  • за защита на легитимни интереси на администратора това са случаите, в които се предприемат мерки за сигурност и охрана, включително чрез действия за гарантиране на информационната и мрежовата сигурност и др. Легитимен интерес е налице и при обработване на лични данни за защита на правата на администратора по съдебен или несъдебен ред, например за подаване на иск за неизпълнение на договор или за търсене на отговорност за причинени вреди.

 

  1. Лични данни на деца

Обработването на лични данни на дете под 14-годишна възраст се осъществява въз основа на изрично съгласие, дадено от упражняващия родителски права родител или от настойника.

  1. Последици при отказ за предоставяне на лични данни

Изричното съгласие на субекта на данните невинаги е необходимо, ако Администраторът разполага с друго правно основание за обработката на личните данни – напр. нормативно установено задължение.

Част от обработваните лични данни, са необходими и задължителни за завършване на Вашата поръчка – в случай, че решите да не ги предоставите, е възможно да не сте в състояние да завършите поръчката си. За да се регистрирате в сайта и да създадете профил, трябва да предоставите следните лични данни: име, презиме, фамилия, телефон, имейл, парола, държава, град, адрес, адрес за доставка. В случай, че извършвате поръчка без регистрация в сайта, то следва да предоставите телефон, имена и имейл, а при свързване с Вас по телефона, ще поискаме информация относно адрес за доставка. В случай, че желаете да се абонирате за получаване на информационен бюлетин по имейл, ние ще обработим вашите лични данни, необходими за тази операция,  при дадено от Ваша страна изрично съгласие.

 

Отказът за предоставяне на изискваните от Администратора лични данни, както и предоставянето на неверни такива, може да доведе до невъзможност за: сключване на договор; изпълнение на договорни и законови задължения, предоставяне на услуги и други, което освобождава Администратора от отговорност за неизпълнение. 

  1. Получатели на лични данни, пред които са или може да бъдат разкрити личните Ви данни

Администраторът предоставя личните данни на субектите на компетентните държавни, общински, финансови и съдебни органи и институции, когато това се изисква от законодателството на страната и в съответствие с определеното в него (напр. НАП, НОИ, МВР, Комисия за защита на потребителите, Комисия за защита на личните данни, Комисия за защита на конкуренцията и др.). Администраторът предоставя данни и на: търговски партньори; обработващи лични данни по възлагане от администратора; банки; доставчици на пощенски и куриерски услуги; доставчици на технологични услуги; партньори и доставчици на услуги, свързани с маркетинг и реклама; съдебни изпълнители; счетоводители; адвокати; нотариуси и други органи, когато това е необходимо за изпълнение на законово задължение на Администратора.

Администраторът не предоставя лични данни в страни извън Европейския съюз по правило. В случай, че се наложи да се извърши такова предаване, се задължаваме да Ви уведомим, чрез промяна в настоящата политика за поверителност и публикуването ѝ на сайта.

  1. Период на съхранение на личните данни

Продължителността на съхранение на личните Ви данни, зависи от целите на обработването, за които са събирани:

  • Личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно-осигурителния контрол, като фактури, дебитни, кредитни известия, приемо-предавателни протоколи, договори и други се съхраняват 10 години след изтичане на давностния срок за погасяване на вземанията или прекратяване на договора, с изключение на случаите, в които законодателството предвижда друг срок;

  • Личните данни, за които законодателството не предвижда изричен срок, се съхраняват до изтичане на давностните срокове за предявяване на искове.

 

Когато личните данни, които се събират, вече не са необходими за упоменатите цели, те ще бъдат заличени или унищожени.

 

  1. Права на субектите на данни

Съгласно ОРЗД субектът на данни има следните права по отношение на обработването на личните му данни:

- право на достъп до данните и информация за целите на обработването - Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация: целите на обработването; съответните категории лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации); когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок; съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със засегнатите лицата, или да се направи възражение срещу такова обработване; правото на жалба до Комисията за защита на личните данни; когато личните данни не се събират от самите лица, всякаква налична информация за техния източник; съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата.

Когато личните данни се предават на трета държава или на международна организация, лицата имат право да бъдат информирани относно подходящите гаранции във връзка с предаването.

Администраторът предоставя на лицето копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от лицата, Администраторът може да наложи разумна такса въз основа на административните разходи. Когато лицето подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако лицето не е поискало друго;

- право на коригиране на личните данни - Всяко лице, чиито данни се обработват от Администратора, има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, лицето има право непълните лични данни да бъдат допълнени;

- право на изтриване (правото „да бъдеш забравен“) - Всяко лице, чиито данни се обработват от Администратора, има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да ги изтрие без ненужно забавяне, когато: личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; лицето оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването; лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора; личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

- право на ограничаване обработването на лични данни - всяко лице, чиито данни се обработват от Администратора, има право да изиска от Администратора ограничаване на обработването, когато се прилага едно от следните: точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни; Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.

Когато обработването е ограничено съгласно горния параграф, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.

- право на преносимост на лични данни - субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, когато обработването е основано на съгласие във връзка с определени цели или на договорно задължение на субекта или предприемане на стъпки преди сключване на договор и когато обработването се извършва по автоматизиран начин.

Когато упражнява правото си на преносимост, субектът на данните може да получи пряко прехвърляне на личните данни от един администратор към друг, в случаите, в които това е технически осъществимо;

- право на възражение срещу обработването - Субектът на данните има право на възражение срещу обработване на лични данни, отнасящи се до него (когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия на Администратора, или обработването е за целите на легитимните интереси на Администратора или на трета страна), включително профилиране. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява;

- право на жалба до надзорен орган за защита на личните данниСъгласно българското законодателство надзорен орган по смисъла на ОРЗД е Комисията за защита на личните данни /КЗЛД/ с адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg, тел.: 02/91-53-555. 

  1. Права на Администратора на лични данни

- да откаже да изтрие личните данни при условията и основанията, предвидени в Общия регламент относно защитата на данните, ЗЗЛД и другите нормативни актове в тази област, като се мотивира за отказа;

- да откаже предоставяне на достъп до данните на субекта на данни, ако искането за предоставяне право на достъп е неясно, неконкретно, или по друга причина, като във всеки конкретен случай администраторът е длъжен да се мотивира;

- да откаже коригиране на личните данни или ограничаване на обработването на личните данни, свързани със субекта на данни, като обясни причините за това.

  1. Защита на личните данни

За осигуряване на адекватна защита на данните Администраторът прилага всички необходими организационни и технически мерки, предвидени в ОРЗД, Закона за защита на личните данни, подзаконовите нормативни актове в областта на защитата на лични данни, както и най-добрите практики от международните стандарти. С цел максимална сигурност при обработване, пренос и съхранение на лични данни, Администраторът използва допълнителни механизми за защита, като защитни стени, процедури за контрол на достъпа, пароли за сигурност и заключващи устройства.

 

  1.  Нарушения. Уведомяване за нарушения

Нарушение на сигурността на данни възниква, когато личните данни, за които Администраторът отговаря, са засегнати от нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

След като съответният служител получи информация за извършено нарушение, той трябва да определи дали конкретното събитие представлява нарушение на лични данни и да уведоми ръководството на организацията за събитието (в случай, че то не е запознато).

В случай на нарушение на сигурността на личните данните, което съществува вероятност да породи риск за правата и свободите на физическите лица, Администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.

Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Администраторът без ненужно забавяне, съобщава на субекта за нарушението.

Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.

 

  1. Използване на „Бисквитки“ и права на потребителите

Събирането на информация и данни от потребители чрез системата на „бисквитките“ се използва с цел подобряване на услугата на Администратора по отношение използваемостта на уебсайта и показване на най-подходящата информация на този уебсайт.

„Бисквитките” са малки текстови файлове, които се запазват на вашия компютър или мобилно устройство, когато посещавате даден уебсайт. Те позволяват на уебсайта да запаметява вашите действия и предпочитания (като например потребителско име, език, размер на шрифта и други настройки за показване) за определен период от време, за да не се налага да ги въвеждате всеки път, когато посещавате сайта или преминавате от една страница към друга.

Функцията на „бисквитките“ е да Ви разграничат от останалите потребители на същия уеб сайт или да запазят определена информация, свързана с Вашите предпочитания.

Всяка „бисквитка“ е уникална за Вашия браузър и съдържа анонимна информация.

Администраторът използва следните видове бисквитки:

Задължителни „бисквитки” - Тези „бисквитки” са необходими, за да може уебсайтът да изпълнява своите функции. Например: за изпълняване на Общи условия, предложени от Администратора, за показване на уебсайта на правилния език и др.

„Бисквитки” за ефективност и функционалност - Тези бисквитки позволяват да се персонализира посещаемостта на уеб сайта от конкретния потребител, за да се запомнят неговите предпочитания; по този начин Администраторът извършва пазарни проучвания (например: събира се информация за предпочитани страници, брой на споделянията, посещенията на дадена страница и др.).

Потребителят може сам да избере дали да приеме „бисквитките” или не. Браузърът може да бъде настроен така, че да уведомява потребителя всеки път, когато се получава „бисквитка” на неговия компютър - така потребителят има възможност да приеме или откаже дадена „бисквитка”.

Някои от „бисквитките” могат да бъдат изключени с помощта на общите настройки на браузъра или браузърът може да бъде настроен така, че да отхвърля автоматично всички „бисквитки”.

Следва да се има предвид, че промените в браузъра, с които се отхвърля използването на „бисквитки”, могат да попречат на правилната работа на уебсайтовете.

Нашият Уебсайт съдържа препратки към други сайтове или вградено съдържание от други сайтове. Възможно е при посещаването на тези сайтове или отварянето на съдържанието от тях, на Вашето устройство да се складират „бисквитки“ от тези уебсайтове. Тъй като Администраторът няма контрол върху генерирането и управлението на тези „бисквитки“, ние Ви насърчаваме да потърсите информация за тези „бисквитки“ и за начина им на управление на уебсайтовете на съответните трети страни.

  1. Актуализиране на политиката

Настоящата Политика за защита на личните данни може да бъде променяна или допълвана. Всяка промяна ще бъда отразена на нашия интернет сайт.

  1. Информация за контакт

"МАКРОСТЕП" ЕООД с ЕИК 205623366 

лице за контакт: Светла Павлова Павлова

адрес: гр. Габрово, ул. „Спортна“ № 5 

тел.:  088 505 2855

e-mail: macrostep.ltd@gmail.com

Утвърдил: ..................................................................

/Светла Павлова - управител/