1. Какво са лични данни
Лични дaнни ca всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологична, генетична, психическата, умствената, икономическата, икономическата, културната или социална идентичност на това физическо лице.
2. Идентификационни данни на администратора и данни за връзка
Феръс ЕООД (или за по-кратко Дружеството) е търговско дружество, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК 205001089, със седалище и адрес на управление: гр. Пазарджик 4400, ул. „Казармена“ № 2, тел.: +359893339010, e-mail: ferrousbg@gmail.com, интернет страница: www.ferrousbg.com, с предмет на дейност производство и търговия на автомобилни части/аксесоари, както и всички други дейности, който не са забранени от закона.
При обработването на лични данни Феръс ЕООД спазва всички приложими към дейността му нормативни актове по защита на личните данни, включително Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета, наричан по-нататък за краткост Регламента, Законът за Защита на Личните Данни и Наредба 1 от 30.01.2013 г., касаеща Мерките за Защита на Личните Данни и цели защита на интересите от незаконосъобразно и недобросъвестно обработване на личните данни на субектите.
3. Субектите на лични данни и начини на събиране
Феръс ЕООД в качеството си на администратор на лични данни събира и обработва такива за следните субекти:
- Клиенти – физически лица, в т.ч. и представители на юридически лица, клиенти на Дружеството
Обработваните лични данни се получават:
- Лично от субектите
- Чрез посредник при получено съгласие
Личните данни биват събирани:
- По телефон;
- По електронен адрес/e-mail;
- Чрез интернет страница / електронен магазин;
- Чрез социалните мрежи или платформи за електронна търговия.
4. Цели на обработване
Събраната информация, съдържаща лични данни, Администраторът използва за следните цели:
(1) За изпълнение на дейности, свързани със сключване, съществуване, изменение и прекратяване на договорни правоотношения, вкл. за:
- изпълнение на възложени поръчки и/или на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по искане на лицето;
- изготвяне и изпращане на сметка/фактура за продуктите и/или услугите, които използват клиентите;
- актуализиране на лични данни или на информацията за извършени покупки и/или заявка за корекция/изменение на данни/услуги;
- установяване на аномалии, рекламации, свързани с продукти на „Феръс“ ЕООД, на основание легитимния интерес.
- изготвяне на всякакви други документи, необходими на „Ферсъс“ ЕООД, за да изпълни законните си задължения;
- за водене на счетоводна отчетност във връзка с изпълнение на договори, по които „Феръс“ ЕООД е страна;
- за обработка на плащания във връзка със сключените договори от Администратора;
- За изпращане на важна информация до ползвателите на сайта във връзка с промени в правилата, условията и политиките на Администратора и/или друга административна информация;
(2) При обработването и съхранението на личните данни, „Феръс“ ЕООД може да обработва и съхранява личните данни с цел защита следните си легитимни интереси, като изпълнение на задълженията си към:
- Национална агенция по приходите,
- Национален осигурителен институт,
- Съдилища,
- Прокуратура
- Държавни и общински органи и институции,
- Търговски регистър и регистър на юридическите лица с нестопанска цел,
- Национален статистически институт и др. държавни и общински органи.
(3) За изпълнение на дейнсоти, свързани със сключване и изпълнение на договор. Това са целите, необходими за стъпките по сключването и изпълнението на договора между Клеиента и „Феръс“ ЕООД, включително необходимото за това обработване данни при извършване на регистрация, създаване на акаунт и дейностите по предоставяне на Услугите, достъпни чрез Сайта.
В допълнение тези цели се включва комуникацията с клиента, включително по електронна поща, необходима във връзка с предоставяне на услугите и/или уведомяването за промени в предоставяните Услуги. За целта може да е необходимо обработване на част или на всички посочени по-горе категории данни.
5. Категории обработвани лични данни
В зависимост от случаите се събират следните лични данни или информация:
- При извършване на поръчка по телефон/фейсбук страница: две имена, телефонен номер, адрес за доставка;
- При извършване на запитване/поръчка по електронен адрес/e-mail: две имена, телефонен номер, адрес за доставка, електронен адрес;
- При запитване във формата за контакт на интернет страницата на дружеството: име, e-mail адрес, телефон за контакт;
- За издаване на фактура и обработването й: две имена, ЕГН, адрес за фактура, адрес на доставка,телефонен номер, електронен адрес, използвано средство за плащане, сума на плащането и продукт/и, дата на покупката;
- За удовлетворяване на рекламацията, в Протокола за приемане на рекламация се съдържат и поддържат в актуален вид следните, минимум необходими, лични данни за физически лица: две имена, телефонен номер, адрес за контакт, електронен адрес
- Дейности по управление на уеб страницата – вceĸи път, ĸoгaтo пoтpeбитeл oтвopи yeб cтpaницaта на дружеството и paзличнитe мeнютa в нeя, се получва инфopмaция пoд фopмaтa нa инфopмaциoнeн пpoтoĸoл cъc cлeднoтo cъдъpжaниe: yeбcтpaницaтa, ĸoятo ви e пpeпpaтилa ĸъм нac; ІР-aдpec; дaтa и пpoдължитeлнocт нa дocтъпa; зaпитвaнeтo нa пoтpeбитeля; ĸoличecтвoтo нa пpexвъpлeнитe дaнни; инфopмaция зa бpayзъpa и oпepaциoннaтa cиcтeмa, ĸoитo пoлзвaтe; гeo лoĸaция.
Всяко лице, предоставило личните си данни, декларира, че го прави доброволно и информирано. Администраторът не събира и не обработва лични данни, които се отнасят за следното:
- расов или етнически произход;
- разкриват политически, религиозни или философски убеждения, или членство в синдикални организации;
- генетични и биометрични данни,
- данни за сексуалния живот или сексуалната ориентация.
6. Основание за обработването на ЛД
Обработването на личните данни се извършва на основание, когато:
- е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
- физическото лице, за което се отнасят данните, е дало своето изрично съгласие;
- обработването е необходимо за целите на легитимните интереси на Дружеството или на трета страна, съгласно разпоредбите на Регламента;
- е необходимо за изпълнение на нормативно установено задължение.
- другите случаи, предвидени в Регламента или в Закона за защита на лични данни
Дружеството не събира и не обработва лични данни на физически лица, които надхвърлят неговите задължения по закон или неговите нужди за правене на бизнес.
Сключване и изпълнение на договор
Това са целите, необходими за стъпките по сключването и изпълнението на договора между Вас и Феръс ЕООД, включително необходимото за това обработване на данни при дейностите по предоставяне на Услугите, достъпни чрез Сайта. В допълнение тези цели включват комуникацията с Вас, включително по електронна поща, необходима във връзка с предоставяне на Услугите и/или уведомяването Ви за промени в предоставяните Услуги. За целта може да е необходимо обработване на част или на всички посочени по-горе категории данни.
Легитимен интерес
Това са цели, свързани със законния интереси на Феръс ЕООД. Тези цели включват:
- Осигуряване на нормалното функциониране и използване на Сайта от Ваша страна и от страна на другите потребители, поддръжка и администриране на Услугите, разрешаване на възникнали спорове, установяване и предотвратяване на злонамерени действия.
- Откриване и разрешаване на технически или проблеми с функционалността.
- Осъществяване на комуникация с Вас, включително по електронен път по важни въпроси, свързани с Услугите.
- Приемане и обработване на получени сигнали, жалби, искания и друга кореспонденция;
- Осъществяване и закрила на правата и законните интереси на Феръс ЕООД, включително и по съдебен ред, и оказване на съдействие при осъществяване и закрила на правата и законните интереси на другите ползватели на сайта и/или засегнати трети страни.
За тези цели е възможно да е необходимо обработване на част или на всички посочени по-горе категории.
Законови задължения
Целите, свързани със спазване на законови задължения на Феръс ЕООД, включват изпълнение на предвидени в закона задължения за запазване или предоставяне на информация при постъпване на съответно разпореждане от компетентни държавни или съдебни органи, при осигуряване на възможност за осъществяване на контролните правомощия на компетентните държавни органи, при изпълнение на законовите задължения на Феръс ЕООД да Ви уведомява за различни обстоятелства, свързани с Вашите права, със защитата на данните Ви и др. под. За тези цели е възможно да е необходимо обработване на част или на всички посочени по-горе категории.
Изрично съгласие
Ваши данни могат да бъдат обработвани на базата на Ваше изрично съгласие, като обработването в този случай е конкретно и в степента и обхвата, предвидени в съответното съгласие.
7. Администриране, обработване, разкриване и/или предоставяне на лични данни
Като администратор на лични данни Феръс ЕООД поддържа личните данни във вид, който позволява идентифициране на физическите лица.
(1) Обработката на личните данни на клиенти физически лица се извършва само за посочените по-горе цели и за всяка друга цел на обработка ще се иска предварително съгласието на лицата.
(2) Отговорни за задълженията по ал.1 са лицата, отговорни за взаимоотношенията с клиенти във Дружеството – Търговския директор.
Дружеството обработва личните данни както самостоятелно, така и чрез възлагане на обработващи данните, като определя целите и обемът на задълженията. Феръс ЕООД обработва и/или възлага обработването на лични данни чрез съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване и унищожаване.
Обработваните лични данни на клиенти могат да бъдат предоставяни на външни физически или юридически лица – администратори/обработващи лични данни, във връзка с изпълнение на конкретни задачи по указание и от името на Феръс ЕООД:
- Лица, предоставящи услуги по организиране, съхраняване, индексиране и унищожаване на архиви на хартиен и/или електронен носител;
- Лица, предоставящи услуги по отчитане и разплащане;
- Лица, осигуряващи транспортни услуги с оглед изпълнение на договорни задължения по доставяне на продукти;
- Лица, осигуряващи IT защита и хостинг услуги.
Освен това данните могат да бъдат разкривани и/или предоставяни на лица, обработващи данните от свое име – компетентни органи, които по силата на нормативен акт имат правомощия да изискват предоставянето на информация, сред която и лични данни.
8. Трансфер в трети страни
Дружеството не прехвърля личните данни на клиентите в трети страни извън ЕС като правило.
9. Срок на съхранение
Събраните лични данни се съхраняват за период, необходим, за да бъдат изпълнени целите, изложени в настоящата Политика за защита на личните данни, освен ако по закон не се изисква да бъде задържана за по-дълъг период. Според вида данни и целите се определят следните срокове:
- Личните данни, получени с цел поръчка на продукт по телефон и през Facebook страницата без регистрация/абонамент се съхраняват до 2г.;
- Личните данни, получени с цел запитване/поръчка по имейл се съхраняват до 2г.;
- Личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно–осигурителния контрол, като но не само – фактури, дебитни, кредитни известия, приемо-предавателни протоколи, договори за предоставяне на продукти/услуги се съхраняват поне 5 години след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство не предвижда по – дълъг срок.
- Лични данни, получени с цел рекламация,се съхраняват до удовлетворяването и
След изтичане на определения от Дружеството срок за съхранение на данни, свързани с изпълнение на поръчките, те биват изтривани, в частност при деактивиране на профил/регистрация в страницата.
След изтичане на законовият срок за съхранение на документите, свързани с рекламации, както и прилежащите към него протоколи и актове, документите се унищожават.
След изтичане на законовият срок за съхранение на документите, свързани със Закона за счетоводството се прави преглед за неактивни клиенти физически лица (не им е издавана данъчна фактура) при годишния преглед за лични данни, за които няма повече основания да бъдат обработвани и/или съхранявани и се изтриват.
10. Защита на ЛД
Администраторът се стреми да гарантира, че лицата са запознати относно обработваните от него лични данни и, че лицата изцяло и напълно разбират и са информирани във връзка с обработването в съответствие с изискванията на GDPR и Българското законодателство
Поддържат се административни, технически и физически предпазни мерки, предназначени да защитят личните данни срещу случайно, незаконно или неоторизирано унищожаване, загуба, промяна, достъп, разкриване или използване. Обработването на личните данни, които се събират във връзка с горепосочените цели, е на електронен носител, като то се извършва както на ръка и така и по автоматизиран път.
За да се осигури подходяща сигурност и поверителност на личните данни, Дружеството прилага следните мерки за сигурност:
- програмно-технически – криптографски методи и средства и защита при пренасяне на информацията, надеждна и защитена идентификация и псевдонимизация на изпращача и на получателя на информацията и осигуряване на конфиденциалност;
- физически – система от мерки по защита на сградите, помещенията и съоръженията, в които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях, включително паролизиране на устройства, заключваща система, видеонаблюдение и др;
- всички служители на Дружеството при встъпване в длъжност преминават през обучение относно организационните и технически мерки на Дружеството за защита на личните данни. Те се задължават да опазват поверителността на данни и информация, в т. ч. лични данни, станали им известни при и по повод изпълнение на служебните им задължения, както и да не ги разгласяват. Достъпът до данните е ограничен на принципа на необходимост за извършване на задълженията;
- за случаите, в които Дружеството споделя/предоставя информация на трети лица, то има механизми, с които гарантира, че те предоставят ниво на защита на данните според уговорения стандарт за това.
11. Права на субектите и ред на упражняване
Физическите лица, чиито лични данни се обработват, имат следните ПРАВА:
1. Право на информираност, относно данните, които идентифицират администратора и неговия представител, целите на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
2. Право на достъп до отнасящи се до тях данни.
Всяко лице има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:
- целите на обработването;
- съответните категории лични данни;
- получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни (вкл. в трети държави или международни организации);
- когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;
- съществуването на право да се изиска от Администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със засегнатите лицата, или да се направи възражение срещу такова обработване;
- правото на жалба до Комисията за защита на личните данни;
- когато личните данни не се събират от самите лица, всякаква налична информация за техния източник;
- съществуването на автоматизирано вземане на решения, вкл. профилирането, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицата.
В случаите, когато при предоставяне правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице;
Когато личните данни се предават на трета държава или на международна организация, лицата имат право да бъдат информирани относно подходящите гаранции във връзка с предаването.
3. Право на заличаване (право да бъдеш забравен).
Всяко физическо лице, чиито „Феръс“ ЕООД обработва има право да поиска от Администратора изтриване на личните му данни, освен в случаите, когато за тяхното обработване е налице съществено основание и/или законово задължение. Личните данни следва да бъдат заличени без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато:
- повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- лицето оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
- лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
- са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора;
- са били събрани във връзка с предлагането на услуги на информационното общество.
Когато Администраторът е направил личните данни обществено достояние и е задължен съгласно да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че засегнатото лице е поискало изтриване от тези администратори на всички връзки, копия или реплики на неговите лични данни.
4. Право на коригиране
Всяко лице, чиито лични данни се обработват от Администратора, има право да поиска последният да коригира без ненужно забавяне неточните лични данни. Като се имат предвид целите на обработването лицето има право непълните лични данни да бъдат допълнени.
5. Право на ограничаване на обработването и блокиране на лични данни
Всяко лице, чиито лични данни се обработват от Администратора, има право да изиска от него ограничаване на обработването, когато се прилага едно от следното условия:
- точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.
Когато обработването е ограничено, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.
Когато субект на данните е изискал ограничаване на обработването, Администраторът го информира преди отмяната на ограничаването на обработването.
Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
Администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
6. Право за уведомяване на трети лица.
В случай че е приложимо, ползвателят на сайта/клиентът има право да поиска от Администратор да уведоми третите лица, когато той е предоставил личните им данни, по отношение на коригиране, изтриване или ограничаване на обработването на Ваши лични данни;
7. Право на преносимост на данните.
Ползвателят на сайта има право да получи личните данни, които са предоставили и които се отнасят за тях, в структуриран, популярен формат, пригоден за машинно четене.
Когато упражнява правото си на преносимост, ползвателят на сайта/клиента има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
8. Право ползвателят на сайта/ клиента да не бъде обект на решение, основаващо се единствено на автоматизирано обработване
Това включва профилиране, което поражда правни последствия за него или по подобен начин го засяга в значителна степен, освен ако не са налице предвидените в приложимото законодателство по защита на личните данни основания за това и са предвидени подходящи гаранции за защита на права, свободи и легитимните им интереси. При предоставяне на Услугите в Сайта не се използват технологии, попадащи в тази категория.
9. Право на оттегляне на съгласие.
Всяко физическо лице, чийто данни се обработват има право, по всяко време, да оттегли съгласието си за обработването на лични данни. Такова оттегляне не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му. При услуги като абонамента за обяви по имейл, абонирането за които става на базата на Вашето желание (съгласие), е предвидена възможност за прекратяване на абонамента по всяко време (оттегляне на съгласието).
10. Право на възражение
Право на възражение пред администраторасрещу обработването на личните данни на физическото лице при наличие на законово основание за това и срещу обработването и разкриването на трети лица на личните му данни за целите на директния маркетинг. Право да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите на директния маркетинг;
Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходните параграфи, което му се представя по ясен начин и отделно от всяка друга информация.
11. Право на защита – пред Комисия за защита на лични данни и по съдебен ред.
Ред за упражняване на правата:
- Физическите лица, упражняват правата си, като подават писмено заявление до Дружеството, което е безплатно. То трябва да съдържа минимум следната информация:
- име, адрес и други данни за идентифициране на съответното физическо лице;
- описание на искането;
- предпочитана форма за предоставяне на информацията;
- подпис, дата на подаване на заявлението и адрес за кореспонденция.
- При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.
- В случай на смърт на физическото лице, правата му се упражняват от неговите наследници, като към заявлението се прилага удостоверение за наследници.
- Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаването на искането, съответно – 30-дневен, когато е необходимо повече време за събиране исканите данни, с оглед възможни затруднения в дейността на Дружеството.
- Дружеството изготвя писмен отговор и го съобщава на заявителя лично – срещу подпис или по пощата, с обратна разписка, като се съобрази с предпочитаната от заявителя форма на предоставяне на информацията.
- Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.
- В случай че Дружеството не отговори на искането за достъп до лични данни в предвидените срокове или заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, той има право да упражни правото си на защита.
В случай на нарушаване на правата Ви съгласно горепосоченото или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, както следва:
Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон: +359 (0)2 915 3 518
Интернет страница: www.cpdp.bg
12. Допълнителни разпоредби
По смисъла на настоящата Политика за поверителност:
„Администратор на лични данни“ е „ФЕРЪС“ ЕООД, ЕИК: 205001089, седалище и адрес на управление: област Пазарджик, община Пазарджик, гр. Пазарджик, п.к.4400, ул.“Казармена“ № 2, като действия от името на администратора осъществява лицето – Ива Луджева – Търговски директор.
Въпроси и искания, свързани с упражняване на правата по защита на Вашите лични данни, можете да отправяте към Лицето, обработващо лични данни на Дружеството – Ива Луджева – Търговски директор
Адрес за кореспонденция: 4400 Пазарджик, ул. Казармена №2
Имейл: ferrousbg@gmail.com
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Настоящата Политика подлежи на утвърждаване и довеждане до знанието на лицата, които ги касае, със заповед на управителя на Администратора.
Утвърдил:
Бончо Луджев – Управител
Пазарджик, 01.04.2018г