Login
Login
Начало Политика за защита и поверителност на личната информация

Политика за защита и поверителност на личната информация

Политика за защита и поверителност на личната информация

Този документ е разработен с намерението да осигури пълна яснота за всяко физическо лице относно процесите на събиране, употреба, защита и управление на персонална информация в рамките на дейността на нашата дигитална търговска среда. Ние възприемаме защитата на вашата лична сфера като приоритет от най-висок ред и се придържаме стриктно към изискванията на действащото законодателство, с акцент върху Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни (известен като Общ регламент за защита на данните – ОРЗД).

В последващите раздели ще намерите конкретика относно:

  1. Кои видове информация ние събираме
  2. По какви причини и на какво основание тя се обработва
  3. Колко дълго я съхраняваме
  4. С кого я споделяме
  5. Какви възможности имате да контролирате вашите данни

Всяко право, описано в Раздел VI, може да бъде реализирано незабавно чрез връзка с нас по посочените в Раздел I канали. Нашата цел е максимална откритост и разбираемост на всеки етап. Настоящият текст съставлява интегрална част от Общите условия за ползване на нашата търговска платформа.

РАЗДЕЛ I – ИДЕНТИФИКАЦИЯ НА ТЪРГОВЕЦА И НАДЗОРНИ ОРГАНИ

Чл. 1. Лицето, което събира, използва и съхранява вашата лична информация чрез дигиталната платформа за търговия, е:

Фирмено наименование: „Еър Трейд Къмпани“ ЕООД Единен идентификационен код: 205424243 Регистрация и управленски адрес: България, град София 1517, район Сухата река, булевард Владимир Вазов № 52 Пощенски адрес: град София 1517, район Сухата река, булевард Владимир Вазов № 52 Имейл адрес: sales@airtradecompany.com Уеб адрес: airtradecompany.com Телефон: +359 888 338 303

Чл. 2. Предвид характера и мащаба на обработваните лични данни, нашата организация не е задължена да назначава специализирано длъжностно лице по защита на данните (Data Protection Officer). Всички задължения и отговорности, свързани със защитата на личните данни, се изпълняват директно от управителя на дружеството.

Чл. 3. В случай на необходимост, данните за контакт на независимата институция, която наблюдава спазването на законодателството за защита на личните данни в България  , а именно: Комисия за защита на личните данни (КЗЛД) са следните: Местонахождение: град София 1592, булевард „Проф. Цветан Лазаров“ № 2 Телефонен номер: 02 915 3 518 Електронен адрес: kzld@cpdp.bg Интернет страница: www.cpdp.bg

РАЗДЕЛ II – РЕЧНИК НА ИЗПОЛЗВАНИТЕ ПОНЯТИЯ

Чл. 4. За целите на тази Политика следните понятия имат посоченото значение

  1. „Администратор на данни“ – Под администратор разбираме всяко физическо или юридическо лице, държавна институция или друга организация, която определя защо и как се обработват лични данни – самостоятелно или съвместно с други. В контекста на настоящия документ и в рамките на работата на нашата електронна търговска система (наричана по-нататък „дигитална платформа“ или „платформа“), администратор е „Еър Трейд Къмпани“ ЕООД. Като администратор носим пълна отговорност за съответствието с Регламент 2016/679 и приложимите български закони в областта на личните данни.
  2. „Персонална информация“ – Персонална информация означава всеки факт или комбинация от факти, която:
    1. Се отнася до конкретно разпознато физическо лице, или
    2. Позволява разпознаването на физическо лице чрез идентификатори като име, номер, локационни данни, онлайн идентификатор, или
    3. Установява връзка с физически, физиологични, генетични, психологични, икономически, културни или социални характеристики

Конкретни примери в рамките на нашата платформа включват: вашите три имена, адрес за доставка, мобилен номер, електронна поща, IP адрес на устройството, информация за извършените покупки.

  1. „Обработване“ – Обработването включва всяка операция или последователност от операции с персонална информация – независимо дали автоматизирана или не, като:
    1. Събиране и записване
    2. Систематизиране и структуриране
    3. Съхранение и модифициране
    4. Извличане и преглед
    5. Използване и анализиране
    6. Разкриване чрез изпращане или публикуване
    7. Ограничаване, изтриване или унищожаване
  2. „Субект на данните“ – Това е всяко физическо лице, чиято персонална информация обработваме. В рамките на настоящата политика това включва:Регистрирани потребители с активен акаунт
    1. Посетители, които поръчват без регистрация
    2. Лица, които ни пишат със запитвания
    3. Абонати на нашия новинарски бюлетин
  3. „Получател на данни“ – Получател е всяка организация или физическо лице, пред която разкриваме персонална информация – включително външни партньори и доставчици на услуги. Типични получатели в нашата дейност са:
    1. Куриерски фирми за доставка на пратки
    2. Банки и платежни процесори за обработка на транзакци
    3. Счетоводни кантори за финансова отчетност
    4. Технологични доставчици за хостинг и поддръжка
    5. Маркетингови платформи (само при ваше съгласие)
  4. „Съгласие“ – Изразява се в редс всяко доброволно, конкретно, информирано и ясно изразено желание, с което давате разрешение за обработка на свързаната с вас информация. Съгласието трябва да бъде предоставено чрез активно действие – например:
    1. Маркиране на квадратче (checkbox)
    2. Натискане на бутон под който стои текст за изрично съгласие
    3. Изпращане на електронно потвърждение
  5. „Анонимизиране“ – Анонимизирането е техническа процедура, при която информацията се трансформира по начин, че вече не може да се свърже с конкретна личност – нито директно, нито косвено. След анонимизиране данните престават да бъдат „персонална информация“ по смисъла на ОРЗД и не попадат в приложното поле на тази Политика.
  6. „Обработващ данни“ – Обработващ данни е всяка организация или лице, което обработва персонална информация от наше име и по наши документирани инструкции. Обработващият няма право да използва данните за собствени цели и трябва да прилага същото ниво на защита, както ние. Примери за обработващи в нашата дейност:
    1. Хостинг доставчици на сървърите
    2. Поддръжка на IT инфраструктурата
    3. CRM системи за управление на клиенти
    4. Платформи за изпращане на имейли
  7. „Надзорен орган“ – Надзорният орган е независима държавна институция, която следи за спазването на правилата за защита на личните данни и защитава правата на гражданите. В Република България тази роля изпълнява Комисията за защита на личните данни (КЗЛД), чиито контакти са посочени в Раздел I.
  8. „Инцидент със сигурността“ – Инцидент със сигурността на лични данни е всяко събитие, което води до:
    1. Неразрешен достъп до информация
    2. Случайна или умишлена загуба на данни
    3. Изтриване, промяна или разкриване без право
    4. Кражба или компрометиране на данни

При такъв инцидент имаме задължение да предприемем спешни мерки и, при необходимост, да уведомим КЗЛД и/или засегнатите лица в регламентираните срокове.

  1. „Профилиране” – Профилирането означава автоматизиран анализ на вашата информация с цел оценка или прогнозиране на:
    1. Личните ви предпочитания (например какви електроуреди предпочитате)
    2. Икономическо поведение
    3. Интереси и навици
    4. Надеждност като клиент

Ако се извършва профилиране, това се случва само при законово основание и с възможност от Ваша страна да възразите или да се откажете.

РАЗДЕЛ III – ОСНОВОПОЛАГАЩИ ПРИНЦИПИ

Чл.5 (1) Администраторът обработва персоналната информация законосъобразно, добросъвестно и по прозрачен начин по отношение на Субекта на данните.

(2) Обработването се извършва изключително при наличие на законово установено правно основание.

(3) Правните основания за обработване включват изпълнение на договор по който Субектът е страна, спазване на законово задължение което се прилага спрямо Администратора, изрично предоставено съгласие от Субекта за конкретна цел, или легитимен интерес на Администратора при условие че са проведени балансиращ тест и оценка на въздействието върху правата на Субекта.

(4) Прозрачността се гарантира чрез предоставянето на този изчерпателен документ който е публично достъпен, информирането на Субектите чрез ясни и разбираеми уведомления в момента на събиране на данните, както и осигуряването на лесен достъп до информация относно правата и възможностите за тяхното упражняване.

Чл. 6. (1) Администраторът събира персонална информация единствено за конкретни изрично определени и легитимни цели които са ясно съобщени на Субекта.

(2) След първоначалното събиране данните не се обработват по начин който е несъвместим с посочените цели освен в случаите когато Субектът е предоставил отделно изрично съгласие за новата цел или когато нормативен акт задължава Администратора да използва данните за друга законово установена цел.

(3) Всяка промяна в целите на обработването се съобщава предварително на Субекта с възможност за възражение или оттегляне на съгласието преди данните да бъдат използвани за новата цел.

Чл. 7 (1) Администраторът събира само персонална информация която е адекватна релевантна и ограничена до необходимото за постигане на конкретните цели на обработването.

(2) При проектирането на формуляри и процеси за събиране на данни се прилага принципът на минималност като се изискват само полета които са задължителни за изпълнение на съответната функция без излишни или опционални данни които нямат пряка връзка с целта.

(3) Администраторът провежда периодични вътрешни ревизии на събираните данни и процедурите за тяхното събиране с цел идентифициране и премахване на ненужни полета или категории информация от регистрационните формуляри и процеси.

Чл. 8. (1) Администраторът полага усилия информацията за Субекта да бъде точна и актуална. Предприемат се разумни стъпки за коригиране на грешни данни веднага след установяването им, както и за изтриване на информация, която е остаряла или неточна спрямо целите на обработването.

(2) Субектът притежава право по всяко време да поиска актуализация или корекция на своите данни, като Администраторът се задължава да отговори в срок от един месец.

Чл. 9. (1) Администраторът съхранява персоналната информация само толкова дълго, колкото е необходимо за постигане на целите, за които е събрана.

(2) Когато информацията вече не е нужна, тя се изтрива или анонимизира, освен ако законът изисква по-дълго съхранение за архивни, научни или статистически цели.

(3) За всяко получено съгласие се поддържа подробна документация, която включва уникален идентификатор на лицето (обикновено електронна поща или номер на потребителски профил), прецизна дата и час на предоставяне на съгласието, конкретния метод на получаване (например маркиране на поле при регистрация или абониране за новини), специфичната цел и обхват на разрешението, както и дата и час на евентуално оттегляне на съгласието.

(4) Записите по предходната алинея се съхраняват за минимален период от три години след оттегляне на съгласието или прекратяване на обработването, за да може Администраторът да докаже законосъобразността на обработването при проверка от Надзорния орган.

(5) Достъпът до документацията за предоставените съгласия е ограничен до оторизирани служители и е защитен чрез криптиране и многостепенен контрол на достъпа.

(6) Субектът има право да поиска копие от записите, документиращи неговото съгласие, като компонент от правото на достъп до лични данни. Специфичните периоди за съхранение на различните категории информация са описани детайлно в Раздел V от тази Политика.

Чл. 10. (1) Администраторът обработва персоналната информация по начин, който осигурява подходящо равнище на защита срещу неразрешено или незаконосъобразно обработване, както и срещу случайна загуба, унищожаване или повреда.

(2) За постигане на това се прилагат адекватни технически и организационни мерки, които са съобразени с конкретния риск за правата и свободите на физическите лица.

(3) Този принцип е в основата на всички мерки за защита, които са описани подробно в Раздел IX от настоящата Политика.

РАЗДЕЛ IV – КАТЕГОРИИ НА ОБРАБОТВАНИТЕ  ЛИЧНИ ДАННИ

Чл. 11.(1) Администраторът събира и обработва лични данни единствено във връзка с осигуряването на функционалностите на дигиталната платформа, продажбата и логистиката на стоки и управлението на взаимоотношенията с клиентите.

(2) Обемът на събираните данни е сведен до необходимия минимум, в съответствие с принципа на минимизиране на данните, описан в предходния раздел. Всяко обработване на данни се извършва въз основа на изрично посочено правно основание съгласно изискванията на Регламент (ЕС) 2016/679.

Чл. 12. Данните които се обработват и съхраняват от администратора са следните катеогрии:

  1. Информация за регистрация и управление на потребителски профил – Когато Субектът създава потребителски профил в платформата, Администраторът събира информация, необходима за създаването и поддържането на този профил.
    1. Целта на това обработване е да се улесни бъдещото пазаруване чрез запазване на предпочитания и адреси, да се осигури достъп до историята на покупките включително закупените електроуреди и други стоки, както и да се управляват потребителските настройки и предпочитания.
    2. Правното основание за това обработване е изпълнението на договор, по който Субектът е страна, в съответствие с разпоредбата на чл. 6, параграф 1, буква „б“ от ОРЗД. Договорното отношение възниква в момента на създаване на профила и приемане на Общите условия за ползване на платформата.
    3. В тази категория се включват следните конкретни данни: пълното име на потребителя състоящо се от собствено име и фамилия, електронна поща която служи като уникален идентификатор за достъп до системата, както и криптирана парола която не се съхранява в открит текст.
  2. Информация за изпълнение на поръчки и логистика – При всяка поръчка на стоки от платформата Администраторът събира информация, която е необходима за успешното изпълнение на договора за покупко-продажба.
    1. Целта на обработването включва приемането и обработката на поръчката, нейното потвърждаване и координация с куриерските услуги, организиране на логистиката и доставката до посочения от Субекта адрес, както и издаването на необходимите счетоводни и данъчни документи съгласно изискванията на българското законодателство.
    2. Правното основание за това обработване е двойно: изпълнение на договор съгласно чл. 6, параграф 1, буква „б“ от ОРЗД за самата продажба и доставка, както и спазване на законово задължение съгласно чл. 6, параграф 1, буква „в“ от ОРЗД за издаването на фактури и водене на счетоводна документация.
    3. Събираните данни в тази категория включват пълното име на получателя на пратката, точния адрес за доставка с всички компоненти като улица, номер, блок, вход, етаж, апартамент, град и пощенски код, телефонен номер за контакт с куриерската компания за координация на доставката, данни за начина на плащане като вид на картата или IBAN номер при банков превод като при това Администраторът не съхранява пълни данни за банкови карти защото те се обработват директно от сертифицирания платежен оператор, а при поискване на фактура на юридическо лице се събират и фирмени данни включващи ЕИК или БУЛСТАТ номер, ДДС номер ако е приложимо, пълно фирмено наименование и адрес на управление на дружеството.
  3. Информация за маркетингови цели и новинарски бюлетин – Администраторът може да събира и обработва персонална информация за целите на директен маркетинг, изпращане на търговски съобщения и промоционални оферти.
    1. Целта на това обработване е изпращането на периодичен информационен бюлетин съдържащ новини за нови продукти и специални оферти, комуникиране на промоции и отстъпки на електроуреди и други стоки от асортимента, както и провеждането на таргетирани маркетингови кампании към заинтересовани клиенти.
    2. Правното основание за това обработване е изричното и свободно предоставено съгласие на Субекта съгласно чл. 6, параграф 1, буква „а“ от ОРЗД. Съгласието се дава чрез ясно и недвусмислено действие като например маркиране на поле при регистрация или изрично абониране за новинарския бюлетин.
    3. За тази цел се събират следните данни: електронната поща на Субекта като основен канал за комуникация, името на Субекта единствено за персонализиране на обръщението в съобщенията, както и при отделно предоставено изрично съгласие данни за поведението и предпочитанията на потребителя в платформата включващи преглеждани категории продукти и история на покупки за целите на сегментиране и персонализиране на маркетинговото съдържание.
  4. Технически данни при използване на платформата – При всяко посещение и взаимодействие с дигиталната платформа се събират определени технически данни автоматично чрез сървърите и системите.
    1. Целта на това обработване е многопластова и включва осигуряване на сигурността на платформата чрез идентифициране на заплахи и необичайна активност, предотвратяване на измами и злоупотреби включително опити за хакерски атаки или неоторизиран достъп, гарантиране на техническата стабилност и непрекъснатост на услугата, както и подобряване на потребителското преживяване чрез анализ на функционалността.
    2. Правното основание за това обработване е легитимният интерес на Администратора съгласно чл. 6, параграф 1, буква „f“ от ОРЗД да осигури нормалното и сигурно функциониране на своята дигитална инфраструктура и да защити интересите на всички потребители.
    3. Събираните технически данни включват IP адреса на устройството от което се осъществява достъпът като този адрес служи за приблизителна географска локализация и за идентифициране на подозрителни модели на достъп, информация за използваното устройство и софтуер включително операционна система версия на браузър и тип на устройството, данни събирани автоматично чрез технологията на бисквитките които позволяват разпознаване на устройството при повторни посещения, както и сървърни логове съдържащи времеви печати дати и записи на извършените действия в платформата.
  5. Данни при осъществен контакт с Администратора – Когато Субектът влиза в пряка комуникация с Администратора чрез различни канали се събира и обработва информация свързана с тази кореспонденция.
    1. Целта на това обработване включва отговаряне на постъпили запитвания относно продукти услуги или общи въпроси за функционирането на платформата, обработване на жалби и рекламации свързани с качеството на стоките или изпълнението на поръчките, администриране на процедури по гаранционно обслужване на закупени електроуреди, както и съдействие при упражняване на правата на Субектите по тази Политика.
    2. Правното основание за това обработване зависи от контекста и може да бъде изпълнение на договор когато запитването е свързано с конкретна поръчка или рекламация съгласно чл. 6, параграф 1, буква „б“ от ОРЗД или легитимен интерес на Администратора да подобри качеството на обслужването и да отговори на общи запитвания съгласно чл. 6, параграф 1, буква „f“ от ОРЗД.
    3. Обработваните данни в тази категория включват пълното име на лицето което се свързва с нас, електронна поща или телефонен номер в зависимост от избрания от Субекта канал за комуникация дали това е имейл телефонно обаждане или контактна форма, пълното съдържание на кореспонденцията включително текста на съобщенията прикачени файлове ако има такива и всяка друга информация предоставена доброволно от Субекта, както и при запитвания свързани с конкретна поръчка номерът на тази поръчка за идентификация и проследяване.

Чл. 13. (1) Администраторът има легитимен бизнес интерес да обработва техническите данни описани в предходния член за следните конкретни и измерими цели.

(2) От гледна точка на сигурността на системата обработването е необходимо за превенция на кибератаки включително DDoS атаки опити за SQL инжекции и други форми на злонамерена дейност, за идентифициране и блокиране на измамни опити за достъп или неоторизирано проникване в системата, както и за защита на личните данни на всички останали потребители от компрометиране.

(3) От гледна точка на техническата стабилност обработването служи за осигуряване на непрекъсната достъпност на платформата и минимизиране на времето на неработоспособност, за бърза диагностика и отстраняване на технически проблеми и грешки в системата, както и за оптимизация на производителността и скоростта на зареждане на страниците.

(4) От гледна точка на защитата на други потребители обработването позволява своевременното идентифициране и неутрализиране на потребители, които извършват злоупотреби или нарушават Общите условия, предотвратяване на масово изпращане на спам или автоматизирани атаки които биха увредили останалите клиенти, както и гарантиране на честна и безопасна търговска среда за всички участници.

Чл. 14. (1) Администраторът е извършил задълбочен балансиращ тест между собствените си легитимни бизнес интереси и основните права и свободи на Субектите на данни като е взел предвид множество фактори.

(2) Относно естеството на обработваните данни анализът установява че се обработват изключително технически идентификатори като IP адрес тип на устройството и браузър които не разкриват чувствителна информация за личния живот интимната сфера религиозните или политическите убеждения на Субектите, като тези данни по своята природа са с нисък риск за правата на личността.

(3) Относно обема и метода на обработване анализът показва че събирането се извършва напълно автоматично и пасивно при всяко посещение без активно проследяване на поведението на Субекта извън границите на платформата, като не се извършва проследяване на дейността в други уебсайтове социални мрежи или приложения и данните се използват изключително в контекста на осигуряване на сигурността и стабилността на собствената система.

(4) Относно очакванията на Субектите анализът установява че всеки разумен потребител на електронна търговска платформа обективно очаква и приема че операторът прилага базови мерки за техническа сигурност и защита срещу злоупотреби, като тези очаквания са в съответствие със съвременните стандарти в дигиталната търговия.

(5) Относно въздействието върху Субекта анализът потвърждава че обработването не води до дискриминация или неравно третиране на различни потребители, не се използва за автоматизирано вземане на решения които произвеждат правни последици или значително засягат Субекта, както и че не причинява финансова вреда емоционален дистрес или увреждане на репутацията.

Чл. 15 (1) За минимизиране на всякакъв потенциален риск за правата на Субектите Администраторът прилага следните конкретни смекчаващи и предпазни мерки.

  1. Техническите данни се съхраняват за ограничен максимален период от две календарни години като след изтичането на този срок те се автоматично и необратимо изтриват от всички системи включително от резервните копия.
  2. IP адресите и логовете не се използват за профилиране на потребители за маркетингови цели за таргетиране с реклами или за каквито и да било комерциални цели извън строгия контекст на техническата сигурност и стабилност.
  3. Субектите притежават безусловно право на възражение срещу това обработване по всяко време като при получаване на възражение Администраторът незабавно прекратява обработването на техническите данни за конкретния Субект освен ако не докаже наличието на убедителни законови основания които имат преимущество.
  4. Достъпът до техническите данни и логовете е строго ограничен единствено до технически персонал при наличие на служебна необходимост

Чл. 16. (1) Администраторът категорично заявява че не събира и не обработва специални категории лични данни наричани още чувствителни данни по смисъла на чл. 9 от Регламент (ЕС) 2016/679.

(2) Под специални категории данни се разбират данни които разкриват расов или етнически произход на лицето, политически възгледи и политическа ориентация, религиозни или философски убеждения и вероизповедание, членство в синдикални организации или професионални сдружения, генетични данни свързани с наследствени характеристики, биометрични данни използвани за уникална идентификация на физическо лице като например отпечатъци скенове на лице или ирис, данни относно здравословното състояние включително минали настоящи или бъдещи здравни проблеми, както и данни отнасящи се до сексуалния живот или сексуалната ориентация на физическото лице.

(3) Бизнес моделът и дейността на платформата не изискват и не предполагат събирането на такива категории чувствителна информация поради което тя не се събира не се съхранява и не се обработва по никакъв начин.

Чл. 17. (1) Онлайн магазинът и предлаганите чрез него продукти са предназначени изключително за физически лица които са навършили пълнолетие съгласно българското законодателство

(2) Администраторът съзнателно не събира и не обработва персонална информация от лица под осемнадесет години. Във всички регистрационни формуляри и при създаване на потребителски профил се изисква изрично потвърждение че потребителят е навършил изискваната възраст.

(3) В случай че по някакъв начин бъде установено че е събрана персонална информация от лице под осемнадесет години без надлежно верифицирано родителско или настойническо съгласие Администраторът се задължава да предприеме незабавни действия за изтриване на всички такива данни от системите в срок не по-дълъг от седем работни дни.

(4) Родители или законни настойници които установят че тяхното дете е предоставило персонална информация без тяхното знание и разрешение могат да се свържат с Администратора на посочените в Раздел I контакти за незабавно изтриване на тази информация.

Чл. 18 (1) Администраторът декларира че не използва автоматизирано вземане на решения включително профилиране което произвежда правни последици за Субекта или по друг подобен начин го засяга значително по смисъла на чл. 22 от Регламент (ЕС) 2016/679.

(2) Под автоматизирано вземане на решения се разбира процес при който решение което засяга Субекта се взема изцяло автоматично от компютърна система без човешка намеса като например автоматично отхвърляне на кандидатура автоматично определяне на кредитоспособност или автоматично ограничаване на достъп до услуги.

(3) Администраторът може да извършва ограничено по обхват профилиране единствено за следните цели които не водят до правни последици и не засягат значително Субекта:

  1. Персонализиране на маркетинговото съдържание и продуктовите препоръки показвани на Субекта въз основа на неговата история на покупки и преглеждани категории електроуреди и стоки с идеята да му се покажат по-релевантни оферти.
  2. Сегментиране на клиентската база в широки групи за изпращане на таргетирани информационни бюлетини и промоционални оферти които са потенциално по-интересни за съответната група.

(4) Профилирането описано в предходната алинея се извършва единствено при наличието на изрично предоставено съгласие от Субекта и се основава на следните източници на информация: историята на извършени поръчки и закупени продукти от платформата, категориите продукти които Субектът е преглеждал без задължително да е купувал, основни демографски данни като населеното място посочено при регистрация или доставка, както и честотата на взаимодействие с платформата и активността на потребителя.

(5) Във връзка с извършваното ограничено профилиране Субектът разполага със следните права: право да получи ясна и разбираема информация за логиката алгоритмите и критериите които стоят в основата на профилирането, право да възрази срещу извършването на профилиране по всяко време без да трябва да предоставя обосновка, както и право да поиска човешка намеса и ревизия на решенията или препоръките които са базирани на профилиране ако смята че те са неточни или неподходящи.

(6) При оттегляне на предоставеното съгласие или при постъпило възражение срещу профилирането Администраторът се задължава да прекрати незабавно всички дейности по профилиране за конкретния Субект без това по какъвто и да било начин да засяга или ограничава достъпа му до основните функционалности на платформата за преглеждане на продукти и извършване на поръчки.

РАЗДЕЛ V – ПЕРИОДИ НА СЪХРАНЕНИЕ НА ПЕРСОНАЛНА ИНФОРМАЦИЯ

Чл. 19 (1) Администраторът съхранява персоналната информация за период който е необходим и пропорционален на целите за които тя е събрана и обработена като този период варира в зависимост от категорията данни и правното основание.

(2) След изтичане на приложимия период на съхранение за съответната категория данни Администраторът изтрива или анонимизира личните данни незабавно освен в случаите когато нормативен акт изрично изисква съхранението им за по-продължителен срок.

(3) Продължителността на съхранение се определя въз основа на правното основание за обработването като данни обработвани за изпълнение на договор се съхраняват за периода на договора плюс законоустановените давностни срокове, данни обработвани за спазване на законово задължение се съхраняват за срока определен в съответния закон, а данни обработвани въз основа на съгласие се съхраняват до оттеглянето му освен ако не съществува друго основание.

Чл. 20 (1) Персоналната информация която е събрана за създаването и поддържането на потребителски профил в платформата се съхранява за целия период през който този профил съществува и е активен. Този период се определя от продължителността на договорното отношение между Субекта и Администратора свързано с използването на платформата като профилът се счита за активен докато Субектът не поиска изричното му закриване.

(2) При подаване на искане за изтриване на потребителския профил по желание на Субекта данните се заличават незабавно в срок от петнадесет календарни дни освен онази информация която попада под отделно правно основание за по-дълго съхранение като например данни свързани с вече изпълнени поръчки които трябва да се съхраняват за давностни цели или данни необходими за счетоводна отчетност.

(3) Ако потребителският профил остане неактивен без никакво влизане в системата или активност за период от пет последователни години Администраторът си запазва правото да го архивира или изтрие след предварително уведомяване на Субекта на последния известен електронен адрес с предизвестие от шестдесет дни.

Чл. 21. (1) Персоналната информация която е събрана във връзка с изпълнението на конкретна поръчка и нейното транспортиране до посочен адрес се съхранява за период от пет години считано от датата на окончателното изпълнение на съответната поръчка и доставяне на стоките.

(2) Този петгодишен период е необходим за няколко законови и договорни причини включително спазване на законовите изисквания за давностни срокове на гражданскоправни претенции съгласно Закона за задълженията и договорите които са пет години за търговски сделки, изпълнение на задълженията произтичащи от предоставената гаранция за закупените електроуреди и стоки която обикновено е от една до три години но може да има удължени гаранционни срокове, както и необходимостта от доказване на изпълнението на договора при евентуален спор или рекламация.

(3) Независимо от горепосоченото правило всички счетоводни и данъчни документи свързани с поръчките включително фактури дневници складови документи и други първични счетоводни документи се съхраняват съгласно императивните изисквания на българското счетоводно и данъчно законодателство което предвижда срок от пет години за повечето документи но за определени категории като например документи свързани с дълготрайни активи срокът може да бъде до десет години.

(4) След изтичане на приложимите срокове за съхранение счетоводните документи се архивират или унищожават съгласно изискванията на Закона за счетоводството и вътрешните процедури на Администратора като личните данни в тях се анонимизират където това е технически възможно без да се наруши целостта на документа.

Чл. 22. (1) Персоналната информация която е събрана специално за целите на директен маркетинг изпращане на новинарски бюлетин и промоционални съобщения се съхранява единствено до момента в който Субектът отмени своето съгласие за получаване на такива комуникации.

(2) Администраторът се задължава незабавно след получаване на уведомление за оттегляне на съгласието да прекрати обработването на данните за маркетингови цели и да ги изтрие от всички маркетингови бази данни и системи в срок не по-дълъг от тридесет календарни дни.

(3) За целите на доказване на спазването на законовото си задължение и демонстриране на получаването на първоначално съгласие както и на неговото последващо оттегляне Администраторът може да съхранява минимална информация за факта на оттегленото съгласие включително електронен адрес дата и час на оттегляне и метод на оттегляне за период от три години след оттеглянето в случай че е необходимо доказване пред Надзорния орган при проверка.

(4) Тази минимална информация за оттегленото съгласие се съхранява в защитена отделна система с ограничен достъп и не се използва за никакви комуникации или маркетингови дейности а единствено като доказателство за спазване на изискванията на ОРЗД.

Чл. 23. (1) Техническите данни и сървърни логове които се събират автоматично въз основа на легитимния интерес на Администратора за осигуряване на сигурността и стабилността на платформата се съхраняват за максимален период от две календарни години.

(2) След изтичането на двегодишния срок техническите данни и логовете се автоматично и необратимо изтриват от всички активни системи включително от архивните сървъри и резервните копия като този процес е автоматизиран за предотвратяване на случайно задържане на остарели данни.

(3) В изключителни случаи когато е възникнал правен спор се води разследване на сериозна злоупотреба с платформата или съществува необходимост от доказване на законово действие пред съд или друг компетентен орган техническите данни могат да бъдат запазени за по-дълъг период но само до окончателното приключване на съответния казус и само в обем който е строго необходим за тази цел.

(4) Когато техническите данни се задържат за по-дълго поради правен спор или разследване Администраторът прилага принципа на ограничаване на обработването като данните се „замразяват“ и не се обработват за други цели освен за конкретното правно производство като достъпът до тях е ограничен само до лицата пряко ангажирани с казуса.

Чл. 24. (1) Персоналната информация която е събрана чрез различните канали за комуникация и клиентско обслужване включително електронни писма телефонни разговори и съобщения през контактни формуляри се съхранява за периода който е необходим за пълното разрешаване на конкретното запитване жалба или рекламация плюс допълнителен период от шест месеца след приключването.

(2) Допълнителният шестмесечен период след формалното приключване на казуса е необходим за няколко практически причини включително проследяване дали въпросът е действително окончателно разрешен към удовлетворението на Субекта, осигуряване на достъп до предходната кореспонденция в случай че Субектът се обърне отново по същия въпрос за проверка на даден факт, както и за поддържане на доказателствена база при евентуално ново запитване свързано с предходна комуникация.

(3) Когато комуникацията доведе до промяна или допълнение на договорното отношение като например приемане на рекламация стартиране на гаранционна процедура или връщане на стока данните от тази комуникация се присъединяват към документацията по основната поръчка и се съхраняват заедно с нея за петгодишния период предвиден за поръчки.

(4) След изтичане на приложимите срокове за съхранение кореспонденцията се изтрива от системите за електронна поща и CRM системите като се запазват само анонимизирани статистически данни за общия брой запитвания и категориите проблеми за целите на подобряване качеството на обслужването.

РАЗДЕЛ VI – ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Чл. 25. (1) Като субект на данни всяко физическо лице чиито персонална информация се обработва от Администратора притежава множество права гарантирани от Регламент (ЕС) 2016/679 които може да упражни във всеки момент без ограничения.

(2) Упражняването на всяко от правата описани в настоящия раздел се осъществява чрез подаване на заявление до Администратора в писмена форма или по електронен път на посочените в Раздел I координати за контакт като заявлението трябва да съдържа достатъчно информация за идентифициране на Субекта и конкретното упражнявано право.

(3) Администраторът се задължава да предостави информация относно предприетите действия по искането на Субекта в срок от един календарен месец от датата на получаване на заявлението като този срок може да бъде удължен с още два месеца когато е необходимо с оглед на сложността на искането или броя на постъпилите искания като в такъв случай Субектът ще бъде своевременно уведомен за удължаването и причините за него в рамките на първия месец.

(4) Упражняването на всички права по този раздел е напълно безплатно за Субекта като Администраторът не събира такси или административни разноски освен в изключителни случаи когато искането е явно неоснователно или прекомерно повтарящо се при което може да бъде начислена разумна административна такса съобразена с административните разходи или да бъде отказано действие по искането.

(5) Когато Администраторът има основателни съмнения относно самоличността на физическото лице което подава искането може да изиска предоставянето на допълнителна информация необходима за потвърждаване на самоличността на Субекта като тази верификация служи единствено за защита на правата на истинския субект на данните.

Чл. 26. (1) Всеки Субект притежава право да получи потвърждение от Администратора дали се обработват лични данни които го засягат като това потвърждение се предоставя ясно и еднозначно без уклончиви формулировки.

(2) Когато такова обработване действително се извършва Субектът има право да получи копие от своите лични данни в лесно четим формат обикновено в PDF или текстов документ както и да получи изчерпателна информация относно следните аспекти на обработването.

(3)  Информацията, която трябва да бъде предоставена, включва:

  1. целите на обработването – с конкретно описание защо се обработват данните и какви са очакваните ползи или последици;
  2. категориите обработвани лични данни – с примери за конкретните типове информация;
  3. получателите или категориите получатели, пред които са били или ще бъдат разкрити данните, включително получатели в трети страни;
  4. предвидения период за съхранение на данните, а когато това не е възможно – критериите за определяне на този период;
  5. съществуването на правата на коригиране, изтриване, ограничаване на обработването и възражение срещу обработването;
  6. правото да се подаде жалба до надзорен орган, когато субектът счита, че правата му са нарушени;
  7. всяка налична информация за източника на данните, когато те не са събрани директно от субекта;
  8. съществуването на автоматизирано вземане на решения, включително профилиране, с информация за използваната логика и значението на такова обработване.

(4) Когато персоналната информация се прехвърля към трета страна извън Европейското икономическо пространство Субектът има право да получи информация за подходящите гаранции които са предвидени за защита на данните при този трансфер.

(5) Правото на достъп не може да бъде упражнявано по начин който засяга неблагоприятно правата и свободите на други физически лица включително търговската тайна или правата на интелектуална собственост на Администратора или трети лица.

(6) Първото копие от личните данни се предоставя безплатно но за всяко последващо искане за копие на същите данни в рамките на разумен период Администраторът може да начисли разумна такса съобразена с административните разходи за предоставяне на информацията.

Чл. 27. (1) Всеки Субект притежава право да изисква от Администратора коригирането без неоправдано забавяне на неточни лични данни които го засягат като под неточност се разбира всяко несъответствие с обективната действителност.

(2) Субектът също така притежава право да изисква допълването на непълни лични данни включително чрез предоставяне на допълнителна декларация или документ който попълва липсващата информация необходима за конкретната цел на обработването.

(3) Типични примери за упражняване на това право включват корекция на грешно изписано име или фамилия, актуализиране на адрес за доставка, промяна на телефонен номер за контакт при смяна на номера, коригиране на данни за юридическо лице при промяна в обстоятелствата, както и допълване на липсващи детайли в адреса като номер на блок етаж или апартамент.

Чл. 28. (1) Всеки Субект притежава право да изиска от Администратора изтриването на личните данни които го засягат а Администраторът е длъжен да изтрие тези данни без неоправдано забавяне когато е налице едно от следните основания.

  1. Когато личните данни повече не са необходими за целите за които са били първоначално събрани или по друг начин обработвани като например когато поръчката е изпълнена гаранционният срок е изтекъл и давността е изтекла.
  2. Когато Субектът оттегли съгласието си на което се основава обработването и няма друго правно основание за обработването като например данни събрани само за маркетинг при оттеглено съгласие.
  3. Когато Субектът възрази срещу обработването въз основа на легитимен интерес и Администраторът не може да докаже наличието на убедителни законови основания за обработването които имат преимущество пред интересите правата и свободите на Субекта.
  4. Когато личните данни са били обработвани незаконосъобразно например без правно основание или в нарушение на принципите на ОРЗД.
  5. Когато личните данни трябва да бъдат изтрити с цел спазване на законово задължение предвидено в правото на Европейския съюз или в правото на държава членка което се прилага спрямо Администратора.
  6. Когато личните данни са били събрани във връзка с предлагане на услуги на информационното общество пряко на дете под предвидената в закона възраст.

(3) Администраторът обаче може да откаже да изтрие личните данни в случаите когато обработването им е необходимо за следните законови цели

(4) След извършване на изтриването Администраторът уведомява всички получатели на които личните данни са били разкрити за изтриването освен ако това се окаже невъзможно или изисква непропорционални усилия като по искане на Субекта Администраторът предоставя информация за тези получатели.

Чл. 29 (1) Всеки Субект притежава право да изиска от Администратора ограничаване на обработването на личните данни в определени ситуации когато е налице едно от следните обстоятелства.

  1. Kогато Субектът оспорва точността на личните данни за период който позволява на Администратора да провери тази точност като в този случай обработването се ограничава до момента на изясняване на фактите.
  2. Kогато обработването е незаконосъобразно но Субектът не желае личните данни да бъдат изтрити а вместо това изисква ограничаване на тяхната употреба.
  3. Kогато Администраторът повече не се нуждае от личните данни за целите на обработването но Субектът ги изисква за установяване упражняване или защита на правни претенции.
  4. Kогато Субектът е възразил срещу обработване въз основа на легитимен интерес до проверката дали законните основания на Администратора имат преимущество пред интересите правата и свободите на Субекта.

(3) В случай че обработването е ограничено по някое от горните основания Администраторът може само да съхранява личните данни но не може да ги обработва по друг начин освен в следните изключителни случаи:

  1. Със съгласието на Субекта за конкретна операция, за установяване упражняване или защита на правни претенции
  2. Когато данните са необходими за съдебно или друго производство, за защита на правата на друго физическо или юридическо лице
  3. Когато съществува конфликт на интереси, както и по причини от важен обществен интерес на Европейския съюз или на държава членка.

(4) Преди да бъде отменено ограничаването на обработването Администраторът информира Субекта който е поискал това ограничаване за предстоящата отмяна за да може Субектът да предприеме съответните действия ако счита това за необходимо.

Чл. 30. (1) Всеки Субект притежава право да получи личните данни които го засягат и които е предоставил на Администратора в структуриран широко използван и пригоден за машинно четене формат когато са изпълнени определени условия.

(2) При упражняване на правото си на преносимост Субектът има право данните да бъдат предадени директно от Администратора на друг администратор когато това е технически осъществимо като Администраторът полага разумни усилия да улесни такъв директен трансфер.

(3) Правото на преносимост се прилага само за лични данни които Субектът е предоставил лично на Администратора което включва данни които Субектът е активно въвел в регистрационни формуляри или формуляри за поръчка но не включва данни които са били генерирани от системата или изведени от поведението на Субекта без негово активно предоставяне.

(4) Упражняването на правото на преносимост на данните не засяга неблагоприятно правата и свободите на други лица включително търговски тайни или права на интелектуална собственост като Администраторът не е длъжен да предостави данни които биха нарушили такива права.

(5) Данните се предоставят в един от следните общоприети формати в зависимост от техническите възможности и естеството на данните: CSV формат който е широко използван за табличи данни и може лесно да се импортира в различни системи, JSON формат който е стандарт за структурирани данни и се използва широко в уеб приложенията, или XML формат който е универсален формат за обмен на структурирани данни между различни системи.

Чл. 31. (1) Всеки Субект притежава право във всеки момент и на основания свързани с неговата конкретна ситуация да възрази срещу обработване на лични данни което се основава на легитимен интерес на Администратора съгласно член 6 параграф 1 буква е или ф от ОРЗД или на изпълнение на задача от обществен интерес.

(2) При получаване на възражение Администраторът прекратява обработването на личните данни освен ако не докаже че съществуват убедителни законови основания за обработването които имат преимущество пред интересите правата и свободите на Субекта или за установяване упражняване или защита на правни претенции като тежестта на доказване е изцяло върху Администратора.

(3) Когато личните данни се обработват за целите на директен маркетинг Субектът има право да възрази по всяко време срещу обработването на свързаните с него лични данни за такъв маркетинг което включва и профилиране доколкото то е свързано с такъв директен маркетинг.

(4) При възражение срещу обработване за целите на директния маркетинг Администраторът прекратява незабавно обработването на личните данни за тези цели без да е необходимо Субектът да предоставя каквито и да било допълнителни обосновки или доказателства за своето решение като това право е абсолютно и безусловно.

(5) Субектът се информира изрично и ясно за правото на възражение най-късно при първата комуникация със Субекта като информацията за това право се представя ясно и отделно от всяка друга информация за да бъде лесно забележима и разбираема.

Чл. 32. (1) Оттеглянето на съгласието е също толкова лесно колкото и неговото предоставяне като Администраторът осигурява ясни и достъпни механизми за оттегляне без да изисква от Субекта да предоставя обосновки или да преминава през сложни процедури.

(3) Оттеглянето на съгласието не засяга законосъобразността на обработването което е било извършено въз основа на съгласието преди неговото оттегляне което означава че данните са били обработвани законно до момента на оттеглянето но след този момент обработването трябва да спре.

(4) Съгласието може да бъде оттеглено чрез използване на специална връзка за отписване която е включена във всеки получен маркетингов имейл или новинарски бюлетин, чрез достъп до потребителския профил и промяна на настройките за съгласия и предпочитания, чрез изпращане на електронно писмо на посочения в Раздел I адрес с изрично искане за оттегляне, както и чрез телефонно обаждане на посочения телефонен номер.

(5) Администраторът обработва искането за оттегляне на съгласие в срок до пет работни дни от получаването му като след това изпраща потвърдително съобщение на Субекта за предприетите действия и датата на ефективното прекратяване на обработването.

Чл. 33. (1) Всеки Субект на данни притежава право да подаде жалба до Комисията за защита на личните данни като надзорен орган ако счита че обработването на неговите лични данни нарушава разпоредбите на Регламент (ЕС) 2016/679 или приложимото българско законодателство в областта на защитата на личните данни.

(2) Субектът може да подаде жалба до КЗЛД в следните типични ситуации:

  1. Когато Администраторът не е отговорил на искането за упражняване на права в предвидения едномесечен срок или в удължения срок без основателна причина,
  2. Когато Субектът счита че личните му данни се обработват без законово основание или в противоречие с принципите на ОРЗД,
  3. Когато Администраторът е отказал да удовлетвори искането за упражняване на права без да предостави ясни и убедителни обосновки за отказа,
  4. Когато Субектът е претърпял нарушение на сигурността на личните данни и не е бил уведомен своевременно или въобще за този инцидент,
  5. Когато Субектът има основателни причини да смята че правата му по ОРЗД не се зачитат или се нарушават систематично;
  6. Когато Администраторът не е предприел адекватни мерки за защита на данните или не спазва задълженията си за прозрачност.

РАЗДЕЛ VII – ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

Чл. 34. (1) Администраторът разкрива лични данни на трети страни наричани получатели само когато това е абсолютно необходимо за реализиране на целите посочени в Раздел IV и при наличие на валидно правно основание.

(2) Всички получатели които имат достъп до лични данни действат като обработващи данни и предоставят документирани гаранции за прилагането на технически и организационни мерки за защита на информацията.

(3) Отношенията с всеки обработващ се уреждат с писмени споразумения които задължават получателите да спазват изискванията на Регламент (ЕС) 2016/679 и да обработват данните само по документирани инструкции от Администратора.

(4) Администраторът не участва в споразумения за съвместно администриране на данни по смисъла на чл. 26 от ОРЗД като при евентуално бъдещо установяване на такива отношения настоящата Политика ще бъде актуализирана с пълна информация за съвместните администратори и разпределението на отговорностите.

Чл. 35 Администратора разкрива лични данни на получатели при следните случаи:

  1. Изпълнение на договори:
    1. Доставка: Споделяне на минимални данни (име, телефон, адрес) с куриерски/логистични компании (напр.Спиди BoxNow или други) за целите на транспортирането.
    2. Плащания: Споделяне с лицензирани платежни институции/посредници. Администраторът не съхранява пълни данни за карти (обработват се от сертифицирани PCI DSS процесори).
  2. Законово задължение:
    1. Счетоводство: Предоставяне на необходима информация на лицензирани счетоводни организации за финансова и данъчна отчетност.
    2. Правни услуги: Споделяне с адвокатски кантори (обвързани с тайна) при нужда от правни консултации.
    3. Държавни институции: Предоставяне на данни по законно установена процедура на КЗЛД, НАП, съдебни и правоприлагащи органи.
  3. Легитимен интерес:
    1. Инфраструктура: Използване на външни хостинг/облачни доставчици с ограничен достъп за техническа поддръжка.
    2. Управление: Използване на доставчици на специализирани CRM/ERP системи с ограничен достъп за функционирането им
  4. Съгласие:
    1. При изрично съгласие (напр. за маркетинг) данни (като имейл) могат да се споделят с маркетингови платформи/рекламни мрежи. В тези случаи е налична възможност за оттегляне на съгласието по всяко време.

РАЗДЕЛ VIII – МЕЖДУНАРОДЕН ТРАНСФЕР НА ДАННИ

Чл. 39. (1) Администраторът се стреми да обработва лични данниизключително в рамките на Европейския съюз и Европейското икономическо пространство където се прилагат еднакви стандарти за защита на данните.

(2) Трансфер към трети страни извън ЕС и ЕИП се извършва само в изключителни случаи при стриктно спазване на изискванията на глава V от ОРЗД и с гарантиране че нивото на защита не се занижава.

Чл. 40. (1) Трансферът може да се осъществи само когато е налице едно от следните условия: решение на Европейската комисия за адекватно ниво на защита в съответната трета държава, сключени стандартни договорни клаузи одобрени от Европейската комисия които гарантират адекватни гаранции за защита, обвързващи корпоративни правила одобрени от надзорния орган, одобрен кодекс за поведение или механизъм за сертифициране, или наличие на изрично съгласие на Субекта след информиране за рисковете.

(2) При всеки трансфер въз основа на стандартни договорни клаузи Администраторът включва допълнителни договорни защити като забрана за достъп от правителствени органи без правно основание, задължение за незабавно уведомяване при искане за достъп от публични органи, както и право на Администратора да прекрати трансфера при невъзможност за осигуряване на адекватни гаранции.

Чл. 41. (1) Преди всеки трансфер към трета страна Администраторът извършва задълбочена оценка на правната рамка в страната получател като анализира законодателството относно достъпа на разузнавателни служби и правоприлагащи органи до данни, наличието на ефективни правни средства за защита за субектите, практиката на прилагане на законите и съдебната практика, както и ефективността на техническите мерки за предотвратяване на неправомерен достъп.

(2) Оценката на риска се актуализира редовно при промени в законодателството на страната получател като се извършват цялостни проверки два пъти годишно за наличие на изменения в приложимото законодателство.

Чл. 42. (1) При трансфер на данни извън ЕС и ЕИП Администраторът прилага задължително криптиране от край до край което предотвратява достъпа на публични органи до данните в открит вид, многостепенни контроли на достъпа които гарантират че само оторизирани лица могат да обработват информацията, както и строга политика за логване и мониторинг на всички операции с данните.

(2) Администраторът задължава получателите в трети страни да уведомяват незабавно при всяко искане за достъп от страна на държавни органи за да може да се оцени законосъобразността на искането и да се предприемат правни действия за защита на правата на Субектите.

Чл. 43. Администраторът се задължава да информира Субектите прозрачно относно наличието на международен трансфер включително конкретните държави или региони където се прехвърлят данните, използваните правни механизми и гаранции, както и предоставя достъп до копие от споразуменията или информация за механизмите за защита при поискване.

РАЗДЕЛ IX – МЕРКИ ЗА СИГУРНОСТ

Чл. 44 (1) Администраторът е длъжен да въведе адекватни технически и организационни защити, за да гарантира степен на сигурност, съответстваща на рисковия профил, свързан с обработването на лична информация. При определянето на тези мерки се вземат предвид естеството, обхватът, обстановката (контекстът) и целите на обработката, както и вероятността и сериозността на потенциалното въздействие върху правата и свободите на физическите лица (субектите на данни).

Чл. 45 (1) С оглед своята дейност и данните, който се събират, Администраторът е въвел следните техническите средства за защита:

  1. Използване на защитени протоколи за пренос на информация (например, HTTPS, съчетан с SSL/TLS криптиране).
  2. Кодиране (криптиране) и хеширане на чувствителна информация от специални категории, когато това е необходимо.
  3. Контрол върху достъпа до системите и данните, прилагайки индивидуални потребителски идентификатори и силни пароли.
  4. Регулярна поддръжка и обновяване (актуализация) на целия използван софтуер и платформите, за да се избегнат известни пропуски в сигурността (уязвимости).
  5. Създаване на резервни копия на данните с цел тяхното възстановяване в случай на инцидент или срив.

Чл. 46 (1) Организационните мерки, въведени от Администратора включват:

  1. Ограничаване на правото на достъп до личните данни само за изрично упълномощени служители, които се нуждаят от този достъп за изпълнение на професионалните си задължения.
  2. Сключване на договори с обработващите информация (обработващите лични данни), които гарантират, че те прилагат достатъчно надеждни мерки за сигурност.
  3. Въвеждане на вътрешни процедури и правила за действие при инциденти, свързани с нарушаване на сигурността на личната информация.
  4. Периодично оценяване на ефективността на въведените защитни мерки и, при необходимост, тяхното своевременно преразглеждане и актуализиране.

(2) Администраторът трябва да извърши оценка на риска и, поне веднъж годишно, при наличие на промени оценка на въздействието върху защитата на данните (ОВЗД), с цел дефинира подходящите мерки и да осигури съответствие с разпоредбите на Регламент (ЕС) 2016/679 (GDPR).

Чл. 47 (1) Администраторът следва да обработва и съхранява личната информация на територията на Република България, в сигурни центрове за данни, които притежават сертификация по международно признати стандарти за информационна сигурност.

(2) В случай, че възникне необходимост от обработка или съхранение на лична информация извън границите на Европейското икономическо пространство (ЕИП), Отговорният орган е задължен да предприеме всички необходими стъпки за осигуряване на еквивалентна степен на защита, съгласно изискванията, описани в Глава V от GDPR.

Чл. 48 (1) При нарушение на сигурността Администраторът уведомява Комисията за защита на личните данни не по-късно от 72 (седемдесет и два) часа  след установяването освен ако нарушението няма вероятност да породи риск за правата на Субектите.

(2) Когато нарушението може да доведе до висок риск като кражба на самоличност финансова измама или дискриминация Администраторът уведомява засегнатите Субекти без неоправдано забавяне като предоставя ясна информация за естеството на инцидента възможните последици и препоръчаните действия.

(3) Администраторът поддържа регистър на всички нарушения на сигурността включващ фактите последиците и предприетите коригиращи действия.

РАЗДЕЛ X – БИСКВИТКИ

Чл. 49. (1) Администраторът използва бисквитки и сходни технологии за проследяване с цел подобряване на потребителското преживяване анализ на използването на платформата и персонализиране на съдържанието.

(2) Бисквитките могат да включват пиксели за проследяване (tracking pixels), локално съхранение в браузъра (local storage) и други технологии, които могат да идентифицират устройството или браузъра на потребителя.

(3) Подробен и актуален списък на всички бисквитки, използвани от Платформата, включително информация за техния произход, срок на съхранение и конкретна цел, е достъпен в инструмента за управление на бисквитки на онлайн магазина или на адрес:, достъпен на адрес:https://airtrade.bg/cookies-policy

Чл. 50 (1) Преди използване на незадължителни бисквитки на Субекта се показва банер който разяснява употребата на различните категории проследяващи инструменти и предоставя възможност за предоставяне или отказ на съгласие.

(2) Субектът може да избере между приемане на всички бисквитки използване само на строго необходимите или детайлна настройка по категории като записаното съгласие запазва валидност за период от една година.

(3) Възможността за промяна на настройките е осигурена по всяко време чрез контролен панел достъпен от долната част на онлайн магазина както и чрез функциите на използвания браузър.

Чл.51 (1) Потребителите се уведомяват, че блокирането или изтриването на всички бисквитки може да доведе до ограничения във функционалността на Платформата или до невъзможност за използване на някои от нейните функции.

(2) Абсолютно необходимите бисквитки не могат да бъдат изключени чрез инструмента за управление на бисквитки, тъй като без тях Платформата не може да функционира правилно. Въпреки това потребителите могат да ги блокират или изтрият чрез настройките на своя браузър, но това може да доведе до неправилно функциониране на Платформата.

РАЗДЕЛ XI – ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Чл. 52. (1) Администраторът си запазва правото едностранно да актуализира настоящата Политика когато това е наложително поради промени в законодателството въвеждане на нови технологии или изменение в начина на обработване на данни.

(2) Всяка версия на документа съдържа ясно посочена дата на влизане в сила която е видима в края на текста. Промените влизат в сила от датата на публикуване освен ако в самата актуализация не е посочена по-късна дата като продължаващото използване на платформата след публикуването се счита за приемане на промените.

Чл. 53. (1) При съществени промени които засягат правата на Субектите или променят целите и основанията за обработване Администраторът уведомява Субектите чрез изпращане на електронно съобщение или публикуване на видно съобщение на началната страница на онлайн магазина или в социалните мрежи..

(2) Когато промените изискват ново съгласие Администраторът ще поиска изрично и отделно съгласие от Субекта преди да продължи обработването за новите цели.

Чл. 54. (1) Настоящата Политика се регулира от българското законодателство и приложимото право на Европейския съюз. При тълкуване се взема предвид целта на разпоредбите обикновеният смисъл на термините и контекстът на цялата Политика като Администраторът се ангажира непрекъснато да усъвършенства практиките си в съответствие с най-добрите стандарти.

(2) Всички спорове, възникнали във връзка с тази Политика, ще се решават чрез преговори между страните, а при невъзможност за постигане на споразумение – от компетентния български съд.

(3) В случай че някоя от разпоредбите на настоящата Политика бъде призната за недействителна или неприложима от компетентен орган, това не засяга действителността или приложимостта на останалите разпоредби. Недействителната или неприложима разпоредба ще бъде заменена с валидна и приложима разпоредба, която в най-голяма степен постига целта на първоначалната разпоредба.