Политика за защита на личните данни

1.       Предназначение, обхват и ползватели

БАРБЕЛ ПРЕЦИЖАН ЕООД, наричана по-долу „Организацията“ или “Дружеството” e администратор на лични данни и като такъв  се стреми да спазва приложимите закони и разпоредби, свързани със защитата на личните данни в държавите, в които Дружеството оперира. Дружеството обработва личните данни самостоятелно или чрез възлагане на обработващ данните. Тази политика определя основните принципи и правила, чрез които организацията обработва личните данни на служители, клиенти, доставчици, бизнес партньори, посетители на обектите на дружеството и други лица, посочва правата на субектите на данни, задълженията и отговорността на БАРБЕЛ ПРЕЦИЖАН ЕООД в качеството на администратор на данни и на служителите под контрола на Дружеството. Всички лични данни се събират и обработват в съответствие с действащото европейско и българско законодателство в областта на защитата на личните данни.

Във физическия магазини на БАРБЕЛ ПРЕЦИЖАН ЕООД (находящи се в гр. Ботевград), в офисите на БАРБЕЛ ПРЕЦИЖАН ЕООД и на електронния магазин “Diabetico” (www.diabetico.bg) се обработват лични данни на посетители и регистрирани потребители за целите на рекламата, продажбата и доставката на продукти, както и за спомагателните дейности, свързани с тях.

Принципът за защитата и сигурността на личните данни е основен принцип при изпълнение на бизнес процесите на Дружеството. Неговото спазване е задължение и отговорност на всеки служител. Настоящата политика развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.

Настоящата Политика за защита на личните данни е неразривно свързана с Общите условия на www.diabetico.bg, но не е част от тях. Тя не регламентира права и задължения, а има за цел да обясни на потребителите какви лични данни обработваме във връзка с предоставянето на електронни продукти и услуги, защо и как ги обработваме, в това число кога е необходимо да разкриваме лични данни на трети лица. Също така, с нея се предоставя информация за правата, които потребителите имат във връзка с обработването на лични данни от “БАРБЕЛ ПРЕЦИЖАН ЕООД “.

2.       Референтни Документи

  • EU GDPR 2016/679 (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО)
  • Закон за защита на личните данни
  • Инструкция за мерките и средствата за защита
  • Политика за видеонаблюдение
  • Процедура за обработване на исканията по чл.15-22 от ОРЗД
  • Процедура в случай на нарушение на сигурността
  • Инструкция за правата и задълженията на потребителите на компютърната и информационната среда
  • Общи условия на diabetico.bg

3.       Дефиниции

Следните определения на термините, използвани в този документ, са дефинирани в Общия регламент относно защита на данните на Европейския съюз:

Лични данни: всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“);

Субект на данните: физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице

Чувствителни лични данни: Личните данни, които по своята същност са особено чувствителни по отношение на основните права и свободи, заслужават специфична защита, тъй като контекстът на тяхната обработка може да създаде значителни рискове за основните права и свободи. Тези лични данни включват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикати, генетични данни, биометрични данни, с цел еднозначно идентифициране на физическо лице, данни относно здравето или данни, отнасящи се до пола на физическо лице, живот или сексуална ориентация

Администратор на данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка

Обработващият данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора

Обработване: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване

Регистър на лични данни: всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

Трета страна: физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

Трансгранично обработване: a)  обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или б)  обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка

Надзорен орган: независим публичен орган, създаден от държава членка съгласно член 51 на Регламента

4.       Основни принципи, отнасящи се до обработката на лични данни

Принципите за защита на данните очертават основните отговорности за организацията, обработваща лични данни.

Законосъобразност, добросъвестност и прозрачност – личните данни се обработват в съответствие със закона, при наличие на правно основание за обработка на данните; честно и открито, а информацията относно обработваните данни е ясна, недвусмислена и откриваема.

Ограничение на целите – данните се събират и обработват за конкретни цели и не се обработват допълнително по начин, несъвместим с тези цели.

Свеждане на данните до минимум – обработваме минимум лични данни, само тези, необходими за постигане на целите на обработването.

Точност – обработваме актуални и точни данни и при необходимост ги поддържаме в актуален вид. Доколкото тези данни в повечето случай се предоставят директно от субекта на данни, молим  при настъпили промени относно Вашите лични данни да ни уведомете своевременно за това.

Ограничение на съхранението във времето на личните данни;

Цялостност и поверителност – обработваме личните данни като гарантираме подходящо ниво на сигурност срещу неразрешено или незаконосъобразно обработване.

5.       За какви цели и на какво основание използваме личната ви информация

5.1. Цели на обработката

БАРБЕЛ ПРЕЦИЖАН ЕООД събира чрез уебсайта и използва Вашите лични данни за следните цели:

5.1.1.       Предоставяне на поискани от Вас услуги

Почти всички лични данни, които попълвате в регистрационните форми или Вашия профил, са необходими, за да отговорим на Ваша нужда или поискана от Вас услуга, която БАРБЕЛ ПРЕЦИЖАН предоставя. За да предоставяме качествено услугите си онлайн и офлайн, ние се нуждаем от Ваши идентификационни данни, като техният обхват варира в зависимост от вида на исканата услуга и приложимите към нея законови изисквания.

В много случаи Вие използвате изготвените от нас регистрационни форми, за да зададете уточняващ въпрос във връзка с предоставяните от услуги, да изразите недоволство или удовлетвореност, да подадете жалба, оплакване или рекламация.

5.1.2.       Маркетингова дейност

Личните данни, предоставяни от Вас за целите на създаване на профил за използване на електронния магазин, например, както и в други регистрационни форми, може да бъде използвана, за да Ви информираме за нови услуги, предоставяни от БАРБЕЛ ПРЕЦИЖАН, налични отстъпки на съществуващи услуги или някои улеснения в обслужването, които сме създали за Вас. Изпращаните от нас съобщения ще бъдат съобразени с приложимото българско и ЕС законодателство. Ние може да изпращаме търговски съобщения чрез бюлетин, SMS, или други медии (VIBER) във връзка с новини от нашата компания, продукти, промоции и оферти.

Използваме Вашите лични данни, за да анализираме Вашето поведение и да открием Вашите нужди или за да разберем и анализираме резултатите от нашите реклами и промоции.

Вие можете да заявите желанието си на нашия уебсайт да се абонирате за нашия бюлетин, като ни предоставите имейл адреса си.

Вие можете да възразите по лесен и удобен начин на използването на Вашите данни за маркетинг, когато основанието за обработка е законен интерес, и ние ще го прекратим незабавно; информацията как да оттеглите веднъж дадено съгласие или да възразите при получаване на нежелано маркетингово съобщение ще бъде поставена винаги на видно място в съобщението.

За целите на маркетинговата дейност извършваме анализ на посещаемостта и проследяване на потребителското поведение на уебсайта чрез кодове от домейни на трети страни, при което обработваме Ваши лични данни като използваме „бисквитки“. Повече за тях можете в нашата Политика за „бисквитки“.

5.3.  Основания за обработката

Когато обработваме лични данни за целите на предоставяне на услуги, които сте заявили чрез нашия уебсайт, ние най-често обработваме личните Ви данни на договорно основание съгласно чл. 6, параграф 1, буква „б“ от GDPR. Когато се свързвате с нас чрез контактната ни форма, основанието, на което обрабтоваме данните Ви, е съгласието, което ни предоставяте –  чл. 6, параграф 1, буква „а“ от GDPR.

За целите на маркетинговите дейности ние обработваме личните Ви данни, защото имаме законен интерес по смисъла на чл. 6, параграф 1, буква „е“ от GDPR или защото Вие сте ни предоставили съгласието си за това на основание чл. 6, параграф 1, буква „а“ от GDPR.

6.       КАКВИ ВИДОВЕ ЛИЧНИ ДАННИ ОБРАБОТВАМЕ

6.1.  При предоставяне на поискани от Вас услуги

  • За закупуване на продукти от наши я електронен магазин– име, фамилия, телефонен номер, град, пощенски код, адрес и e-mail адрес;
  • В случай, че изберете опцията за онлайн заплащане на продукта, ние не обработваме данните за извършваната транзакция, а само Ви препращаме към сигурната среда на платежната система.
  • За да се свържете с нас – формата за контакт изисква да ни предоставите име и e-mail адрес, за да Ви идентифицираме и да можем да отговорим на Вашето запитване, молба или др.

6.2. При осъществяване на маркетингова дейност

  • За да се абонирате за нашия бюлетин, Вие доброволно ни предоставяте Вашия e-mail адрес, на който Ви изпращаме новини.
  • За целите на маркетинговата дейност използваме и бисквитки, като повече за личните Ви данни обработвани чрез тях можете да научите в Политика за „бисквитки“.

6.3.  Данни за комуникацията с потребителите

Това са данни, които се обработват във връзка с комуникацията между БАРБЕЛ ПРЕЦИЖАН ЕООД  респективно оторизираните за това служители и нейните потребителите под формата на запитвания, заявления, молби или рекламации на потребителите, при извършване на проучвания на удовлетвореността, при обаждания/съобщения във връзка с поръчаните/ползваните продукти и др. Такива са и данните, които се генерират автоматично, когато потребителите извършват справки, отнасящи се за продуктите и услугите на БАРБЕЛ ПРЕЦИЖАН ЕООД.

Такива данни са:

  • Данни за Потребителя (вкл. име, имейл адрес, език за комуникация и други);
    • Информация за контакт с потребителя (вкл. пощенски и електронен адреси, телефонни и факс номера на Вас или посочено от Вас лице за контакт и други);
    • Вид на комуникацията (писмено запитване, заявление, жалба, писмо, запитване през онлайн форма, имейл, телефонно обаждане, кратко текстово съобщение или др.);
    • Дата на изпращане или получаване на комуникация (например дата на входящо или изходящо обаждане, дата на получаване на запитване или съобщение, дата на изпращане на съобщение, писмо или др.);
  • Информация, съдържаща се в съответната комуникация (например съдържание на запитване/жалба на потребител, приложени документи, съдържание на отговора или справката) и др.
  • Финансова информация (банкова сметка и други);
  • Запис на глас – обаждания, направени към контактния център на БАРБЕЛ ПРЕЦИЖАН ЕООД.

7.       Събиране

Компанията се стреми да събере възможно най-малко количество лични данни. Ако личните данни се събират от трета страна, дружеството следва да се увери, че личните данни се събират законно.

Личните данни, получени чрез формите на уебсайта се съхраняват в нашата информационна система, за функционирането на която са взети технически и организационни мерки за сигурност, в т. ч. ползване на отделен сървър от висок клас и с лимитиран достъп; използване на криптирана връзка за достъп до сървъра; използване на SSL и  DDoS защита, HTTP/2, „умен“ Firewall и др.

8.       Използване, Съхранение и Премахване

Дружеството поддържа точността, целостта, поверителността и уместността на личните данни въз основа на целта на обработката. За целта се използват адекватни механизми за защита, предназначени за защита на личните данни, за да се предотврати открадването или злоупотребата с личните данни, и да се предотврати нарушаването на личните данни.

9.       Оповестяване на Трети Страни

Когато компанията използва услугите на доставчик или бизнес партньор (трета страна), за да обработва лични данни от негово име, администраторът извършва проверка, че този доставчик ще предостави мерки за сигурност, за да защити личните данни, които са адекватни на свързаните с тях рискове.

Дружеството изисква по договор от доставчика или бизнес партньора да осигури същото ниво на защита на данните. Доставчикът или бизнес партньорът трябва да обработва само лични данни, необходими му, за да изпълнява своите договорни задължения към Дружеството или по нареждане на Дружеството, а не за други цели. Когато Дружеството обработва лични данни съвместно с независима трета страна, Дружеството изрично уточнява своите съответни отговорности и третата страна в съответния договор или друг правно обвързващ документ, като например Споразумение за обработка на данни от доставчиците.

Категории трети лица, които получават достъп и обработ личните ви данни:

  • Транспортни/куриерски фирмис оглед изпълнение на договорните ни задължения, изпращане на кореспонденции и комуникации, във връзка с договора между нас, изпращане на закупени стоки;
  • Лица, които по възлагане на „ БАРБЕЛ ПРЕЦИЖАН ЕООД поддържат оборудване и софтуер, използвани за обработване на личните Ви данни;
  • Банките, обслужващи плащанията, извършени от и към Вас;
  • Лица, на които „ БАРБЕЛ ПРЕЦИЖАН ЕООД е предоставила изпълнението на част от дейностите или задълженията, свързани с конкретна услуга, която дължим към вас;
  • лица обработващи лични данни, които въз основа на договор с „ БАРБЕЛ ПРЕЦИЖАН ЕООД  обработват личните Ви данни от името на www.diabetico.bg;
  • Органи, институции и лица, на които сме длъжни да предоставим лични данни по силата на действащото законодателство;

10.   Права на Субектите на Данни

По силата на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (“Общия регламент за защита на данните“), субектите на данни имат следните права:

  • право на достъп до данни – Дружеството предоставя на субектите на данни механизъм, който им позволява да имат разумен достъп до личните си данни и да им позволява да актуализират, коригират, изтриват или предават своите лични данни, ако е приложимо или се изисква по закон.
  • право на коригиране на неточни или непълни лични данни
  • право на изтриване на данни (право “да бъдеш забравен“). При поискване, когато основанието за обработването почива на предварително дадено съгласие, субектите на данни имат правото да поискат от дружеството изтриването на личните им данни. С оглед това искане дружеството предприема необходимите действия (включително технически мерки), за да информира третите лица, които използват или обработват тези данни (Обработващия данни), да се съобразят с искането.
  • право на ограничаване на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции.
  • право на преносимост на данните – Субектите на данни имат право да получат при поискване копие от данните, които са предоставили в структуриран формат, и да предадат тези данни на друг администратор безплатно. Служителят по защита на личните данни е отговорен да гарантира, че тези искания се обработват в рамките на един месец, не са прекомерни и не засягат правата на лични данни на други лица.
  • право на информираност за нарушения на сигурността – субектът на данни има право своевременно да бъде информиран за всяко нарушение на сигурността на данните

11.   Насоки за Добросъвестна Обработка

Дружеството преценява дали е необходимо да извършва оценката на въздействието върху защитата на данните за всяка дейност по обработка на данни.

11.1.         Известия към Субектите на Данни

По време на събирането или преди събирането на лични данни за всякакъв вид обработка, включително, но не само, продажба на продукти, услуги или маркетингови дейности, дружеството информира надлежно субектите на данни за следното: видовете лични данни събраните данни, целите на обработката, методите за обработка, правата на субектите на данни по отношение на техните лични данни, периода на запазване, потенциалните международни трансфери на данни, когато данните се споделят с трети страни и мерките за сигурност на дружеството за защита на личните данни. Тази информация се предоставя чрез Известие за поверителност или чрез препращане към настоящата Политика, с която субектът на данни да се запознае.

11.2.         Получаване на Съгласие

Когато обработването на лични данни се основава на съгласието на субекта на данните или на други законови основания, дружеството и отговорните служители следят за запазването на такова съгласие. Компетентните служители отговарят за предоставянето на съгласието на субектите на данни, които трябва да дадат съгласието си, и информират и гарантират, че тяхното съгласие (когато съгласието се използва като законно основание за обработка) може да бъде оттеглено по всяко време.

Когато се изисква да се коригират, изменят или унищожат записите с лични данни, тези изисквания се обработват в разумен срок. Отговорният служител записва заявките и води дневник за тях.

Личните данни се обработват само за целите, за които първоначално са били събрани. В случай, че Дружеството реши да обработва събраните лични данни за друга цел, Дружеството ще потърси съгласието на субектите на данни в ясен и кратък срок. Всяко такова искане трябва да включва първоначалната цел, за която са събрани данните, както и новата или допълнителната (ите) цел (и). Искането трябва да включва и причината за промяната на целта / целите.

12.   Обработка на лични данни на служителите и кандидатите за работа

12.1.         Условия за допустимост на обработването на лични данни на служителите

Организацията може да обработва лични данни на служителите си за законни цели, които включват, но не се ограничават до:

Управление на човешките ресурси. Включва дейности по управление на човешките ресурси, извършени по време на наемане на работа или изпълнение на трудов договор, като например интервюта, срещи, прекратяване на трудовото правоотношение, оценка на работата, възнаграждения, обезщетения, обучение, услуги за служителите, здравеопазване и безопасност на труда, застраховки и други дейности, с цел управление на човешките ресурси или защита на жизненоважните интереси на служителите.

Бизнес процеси. Включва бизнес дейности като управление на пътувания и разходи, управление на активи на компанията, предоставяне на ИТ услуги, информационна сигурност, провеждане на вътрешни одити и разследвания, изпълнение на задълженията по бизнес договори, правни или бизнес консултации, подготовка за съдебни спорове и др.

Съответствие със закона. Обработката на лични данни на служителите, за да се изпълнят правни задължения, например: разкриване на лични данни на служителите на данъчен орган, за да се спазят приложимите данъчни закони.

12.2.         Изисквания за Обработка на Лични Данни на Персонала

Всяка обработка на лични данни на служителите от отделите и физическите лица на компанията трябва да бъде със законова цел и трябва да отговаря на следните изисквания:

12.2.1.   Условия за допустимост на обработването на лични данни на служителите

Организацията може да обработва лични данни на служителите си за законни цели, които включват, но не се ограничават до:

Управление на човешките ресурси. Включва дейности по управление на човешките ресурси, извършени по време на наемане на работа или изпълнение на трудов договор, като например интервюта, срещи, прекратяване на трудовото правоотношение, оценка на работата, възнаграждения, обезщетения, обучение, услуги за служителите, здравеопазване и безопасност на труда, застраховки и други дейности, с цел управление на човешките ресурси или защита на жизненоважните интереси на служителите.

Бизнес процеси. Включва бизнес дейности като управление на пътувания и разходи, управление на активи на компанията, предоставяне на ИТ услуги, информационна сигурност, провеждане на вътрешни одити и разследвания, изпълнение на задълженията по бизнес договори, правни или бизнес консултации, подготовка за съдебни спорове и др.

Съответствие със закона. Обработката на лични данни на служителите, за да се изпълнят правни задължения, например: разкриване на лични данни на служителите на данъчен орган, за да се спазят приложимите данъчни закони.

12.2.2.   Уведомяване на Служителите

За целите на прозрачността на обработката на лични данни на служителите, когато дружеството  събира личните данни на служител, служителят бива уведомяван за типовете данни, които се събират, целта и видовете обработка, правата на служителя и мерките за сигурност, предприети за защита на личните данни.

12.2.3.   Избор и Съгласие на Служителите

По принцип Дружеството обработва личните данни на служителите със законова цел като работодател и прави това без да е необходимо съгласието на служителя, за да подобри ефективността на вътрешната работа.

Дейностите по управление на човешките ресурси, като например интервюта, назначаване, прекратяване на трудовото правоотношение, присъствие, компенсация и обезщетения, услуги за служителите, здраве и безопасност на труда могат да включват обработката на чувствителни лични данни.

12.2.4.   Събиране

При събиране на лични данни  на служителите за законови цели се спазва принципа за минимизиране на данните. Когато личните данни на кандидат за работа или служителя са събрани от трета страна (напр. Агенции за набиране на персонал), Дружеството  полага всички усилия, за да гарантира, че третата страна е получила личните данни с легитимни средства.

12.2.5.   Разкриване на Информация на Трети Страни

Когато дружеството трябва да разкрие лични данни на служители на доставчик, бизнес партньор или друга трета страна, отговорните служители се стремят да гарантират, че доставчикът, бизнес партньорът или друга трета страна ще предостави мерки за сигурност, за да защити лични данни на служителите към свързаните рискове и ще предостави същото ниво на защита на данните като Дружеството, чрез договор или друго споразумение.

13.    Надзорен Орган По Защита На Данните

Надзорният орган по защита на данните на национално ниво е Комисия за защита на личните данни. Тя следи за правилното прилагане на Регламент (ЕС) 2016/679, като всяко физическо лице, което счете, че са нарушени неговите права във връзка с обработването на личните му данни, може да подаде жалба до

Комисията на следния адрес:

Гр. София, ул. “Проф. Цветан Лазаров” № 2
телефон: 02/91-53-555
електронна поща: kzld@cpdp.bg
Интернет страница: www.cpdp.bg

0
    0
    Твоята количка
    Твоята количка е празнаВърни се към магазина
    Продължи пазаруването