Политика за поверителност

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗА БИСКВИТКИТЕ

I. ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. (1) „ЛУДА СТИЛ“ ЕООД (наричано по-долу за кратко „Дружество“) е регистрирано в Търговския регистър при Агенцията по описания с ЕИК 203944786, със седалище и адрес на управление: Р. България, гр. София, бул. Витоша 170
(2) Дружеството е администратор на лични данни, като обработка на лични данни във връзка със собствена дейност и само определяне на целите и средствата за обработка на им.
(3) Длъжностно лице при защита на личните данни е: Венелин Петков, имейл: privacy@ludastyle.test.

Чл. 2. Настоящата политика за поверителност и за бисквитки („Политиката“) предоставя информация за личните данни, които Дружеството обработва и за условията и реда, по които физическите лица, чиито лични данни се обработват, управлява правата си.

Чл. 3. За целите на настоящата политика:
1. „лични данни” означава всяка информация, използвана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данните”); физическо лице, което може да бъде идентифицирано, лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психичната, умствената, икономическата, културната или социалната идентичност на това физическо лице;
2. „обработване” означава всяка операция или съвкупност от операции, изпълнени с лични данни или набор от лични данни чрез автоматични или други средства като събитие, записване, организиране, структуриране, съхранение, адаптиране или промяна, подобряване, консултиране, използване, разкриване чрез предаване, разпространение или друг начин, по който данните дават достъп, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3. „ограничаване на обработката“ маркира маркиране на съхранявани лични данни с цел ограничаване на обработката им в бъдеще;
4. „псевдонимизация” означава обработка на лични данни по такъв начин, че личните данни не могат да бъдат повече свързани с конкретни субекти на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не могат да се свържат с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
5. „регистър с лични данни” означава всеки структуриран набор от лични данни, достъп до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен в съответствие с функционален или географски принцип;
6. „администратор” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определящи целите и средствата за обработка на лични данни; когато целите и средствата за обработка на стоки се определят от правото на Съюза или правото на държава членка, администратор или специални критерии за неговото определяне може да се определи в правото на Съюза или в правото на държава членка;
7. „обработка на лични данни” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
8. „получавател” означава физическо или юридическо лице, публичен орган, агенция или друга структура, което трябва да разкрие лични данни, независимо дали е трета страна или не. Временно публикувайте органи, които могат да получат лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, което не се счита за „получатели”; обработка на тези данни от представените публични органи отговарят за прилагане на правила за защита на данните на съобразно целите при обработката;
9. „трета страна” означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващите лични данни и лицата, които под пряко ръководство на администратора или при обработката на настоящите лични данни имат право да обработват личните данни;
10. „съгласие за субекта на данните” обозначава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, чрез изявление или ясно потвърждаващо действие, което изразява съгласието му да бъде въведено с него, а личните данни да бъдат обработени;
11. „нарушение на сигурността на личните данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
12. „надзорен орган” означава независим публичен орган, създаден от държава членка съгласно член 51 от Общия регламент относно защитата на данните.

Чл. 4. Принципите, свържете се с обработката на личните данни:

1. Принцип на законосъобразност, добросъвестност и прозрачност при обработване на лични данни – събитие, което се съдържа в личните данни, трябва да бъде в обхвата при необходимост. Информацията се събира по законен и обективен начин;
2. Принцип за свежест на данните до минимум, както и при ограничаване на целите и съхранението – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен при съгласие за лице или в случай, изрично предвидени в закона. Личните данни трябва да се съхраняват за период не по-дълъг от необходимостта от целите за които се обработват личните данни;
3. Принцип на точност – личните данни трябва да бъдат прецизни, точни, пълни и актуални, за да се постигне това е необходимо за целите, които се обработват;
4. Принцип на цялостност и поверителност – личните данни трябва да се обработват по начин, който осигурява подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случай на загуба, унищожаване или повреждане, като се прилага подходящи технически или организационни мерки.

Чл. 5. Лични данни за клиенти-физически лица в електронен магазин на Дружеството www.ludaconcept.bg се обработват в регистър „Контрагенти“ и специално за подрегистър „Потребители по ЗЗП“.

II. ПОДРЕГИСТЪР „ПОТРЕБИТЕЛИ ПО ЗЗП“

Чл. 6. (1) В подрегистър „Потребители по ЗЗП” се обработват следните категории лични данни:

1. име и фамилия;
2. имейл;
3. адрес;
4. пол;
5. телефон;
6. IP адрес – местоположение;
7. IBAN на потребителя – за връщане на съответните суми при рекламиране и / или отказ от договора.

(2) Данните по ал. 1, т.т. 1, 2, 3, 5 и 7 се обработва с цел и на основата на изпълнение на договори от разстояние, включени между Дружеството и потребителите и на основание Закона за счетоводство, Закона за защита на потребителите, както и за целите на включване на същите.
(3) Данните по ал. 1, т.т. 1, 2, 4, 5 и 6 се обработва с цел маркетинг дейности, на основата на законен интерес върху Дружеството и само след предоставяне на изрично съгласие за обработка с цел маркетингови дейности. Съгласието по предходното изречение се предлага в електронна форма чрез използване на началната страница на сайта на Дружеството или чрез профила на потребителя в меню „Настройки“. Съгласието, предвидено в редакцията на тази уредба, може да бъде изтеглено от потребителя по всяко време чрез представяне в началната страница на сайта на Дружеството или от профила му в меню „Настройки“.
(4) При предоставено съгласие от потребителя за обработка на личните данни с цел маркетингови дейности, потребителят се съгласява с данните, посочени в ал. 3 да се обработи с цел предлагане на стоки и услуги на потребителя по имейл, по телефон и / или чрез бюлетин, изпращане по имейл, допитване с цел проучване относно предлагането на стоки, както и за стартиране на бизнес анализи, последващо представяне на потребителите, предпочитат на последно място, както и реклама.
(5) Дружеството няма достъп до картови данни, както и до автентични данни при разплащане с кредитна или дебитна карта или чрез сметка в друга външна платформа за разплащане и по никакъв начин не ги регистрира или съхранява.
(6) Данните по ал. 1, т. 6 се обработва с цел маркетинг на дейности, на основата на законен интерес към Дружеството и само след това се предоставя изрично съгласие за обработка на клетъчни маркетингови дейности чрез използване на бисквитки. Съгласието по предходното изречение се предлага в електронна форма чрез представяне в лентата отдолу на началната страница на сайта на Дружеството. Можете да изключите да използвате бисквитки чрез настройките на вашия браузър. Помощните функции на вашия браузър могат да ви покажат, като изключите и / или извлечете бисквитки в него. Моля да имате представяне, че изключването / изнасянето на бисквитки може да подготви нормалното функциониране на отделните функции на нашия сайт.
(7) При предоставено съгласие от потребителя за обработка на личните данни с цел маркетинг на дейности чрез бисквитки, потребителят се съгласява с данните, посочени в ал. 6 да се обработи с цел последващо представяне му, като се предпочитат последни, както и реклама.

Чл. 7. (1) Личните данни в подрегистър „Потребители по ЗЗП“ се обработват на електронен носител.
(2) Лични данни по чл. 6, ал. 2 от Политиката се набират от самите потребители в специално разработен софтуер за поръчки и се запазват в електронен вариант в сървър, нает от Дружеството, който се намира в Република България, за срок от 10 години, считано от 1 януари на годината, следващата година на излизане на съответното правоотношение, на основание чл. 12, ал. 1, т. 2 от Закона за счетоводството. След изтичане на срока за съхранение и при положение, че няма документи, подлежащи на предаване в Държавен архив, всички носители на данни от регистъра се събират чрез подходящ метод, вкл. и извличане на резервните електронни копия.
(3) Лични данни по чл. 6, ал. 3 (с изключение на IP адрес) от Политиката се набира от събиращите потребители в специално разработения софтуер за поръчки и се съхранява за срокове, посочени по-долу в чл. 9, чл. 10 и чл. 11 от настоящата Политика.

Чл. 8. (1) Администраторът възлага обработка на личните данни по чл. 6, ал. 1, т. 1 до т. 5 вкл. и т. 7 от настоящата Политика в подрегистър „Потребители по ЗЗП“ на лица, посочени по трудово правоотношение. Правата и задълженията на отделни лица, обработващи данните, се препоръчват в съответната длъжностна характеристика.
(2) Администраторът възлага обработка на личните данни по чл. 6, ал. 1, т. 1, 3 и 5 на основание изпълнение на договор за следващи дружества, за обработка на поръчки от потребители, по силата на Договори, включени между тях и Дружество:
• – „ЛУДА СТИЛ“ ЕООД с ЕИК 203944786.

(3) Администраторът възлага обработка на личните данни по чл. 6, ал. 1, т. 1, 3 и 5 на основание изпълнение на договор за следващи дружества, предоставяне на куриерски услуги за доставка на поръчки от потребители, по силата на Договори, включени между тях и Дружеството:
• – За пратки на територията на Република България – „ЕКОНТ ЕКСПРЕС “ООД с ЕИК 117047646.

(4) При търсене на информация, осъществяване на изпълнение на конкретен договор от разстояние, достъп до подрегистър „Потребители по ZZP“ се предоставя на управителя на Дружеството.
(5) Достъп до лични данни за лице от подрегистър „Потребители по ЗЗП“ се дава на юрисконсулт или адвокат, когато се защити защитата на правата на Дружеството при спор между страните и / или е необходимо от консултация.

Чл. 9. (1) При предоставено съгласие от потребителя по чл. 6, ал. 4 от настоящата Политика потребителите получават съобщения за промоции, кампании или продажби на определени стоки чрез бюлетин, получени чрез имейл или получаване на такава информация по телефона, проучване се представя в уебсайта и предпочитанията.
(2) Лицата, обработващи данните с цел изпълнение на действията по ал. 1, извън посочените в чл. 9, 10, 11 и 12 са и лица, посочени по трудово правоотношение с Дружеството. Правата и задълженията при обработка на данните по предходното изречение се уреждат в длъжностните характеристики на лицата.

Чл. 10. (1) Маркетинговите дейности, свържете се с анализ на посочването на потребителите и рекламата, предоставена съгласно съгласието по чл. 6, ал. 6 от настоящата Политика се извършва и чрез обработка на данни, които не позволяват идентификация на физическо лице (напр. Име, фамилия, телефонен номер, адрес и т.н.), чрез активност на потребителя чрез съответния браузър чрез т.нар. бисквитки (бисквитки) или рекламни банери, които съдържат следните данни:

1. събития, свържете се с дейността на уебсайта на Дружеството (брой видяни страници на уебсайта, прегледайте продуктите на уебсайта, търсенията на уебсайта на Дружеството);
2. информация, използвана с устройство на потребителя (тип на устройството, операционна система и версия);
3. приблизително местоположение, извлечено от IP адрес.

(2) Действия по ал. 1 се осъществява чрез т. нар. „Бисквитки“, които се използват от Дружеството или от трети страни партньори в Дружеството. Бисквитките с малки пакети информация, изпратени от страници на уебсайта към браузъра на потребителя и се запазват на неговото устройство.
(3) Дружеството използва два вида бисквитки: необходими и функционални.
(4) За обработка на данните по ал. 1 чрез бисквитки и рекламни банери потребителят трябва да предостави изричното съгласие за използване на бисквитки по реда на чл. 6, ал. 6 от настоящата Политика. Предварително, респективно отглеждане на съгласието не се използва за необходимите бисквитки, тъй като без техния сайт в Дружеството не може да се оперира.

Чл. 11.. Необходимо е бисквитките да осигурят фуксиниране на уебсайта, като осигурят възможност за достъп до профил на съответен потребител в сайта и за обработка на изработени поръчки.

Чл. 12. (1) Функционалните бисквитки позволяват да се запазят предпочитанията на потребителите и да се изведат на потребителите на сайта. Тези бисквитки спестяват време и усилия при пазаруване на уебсайта на Дружеството и се запазват временно на устройството на потребителя. Фунционалните бисквитки се използват от Дружеството и за да се анализира извеждането на потребителите на уебсайта и потребителите, които използват. Това може да помогне на Дружеството да персонализира предлаганото съдържание и бързо да идентифицира и отстрани различни проблеми.
(2) Функционални бисквитки, които Дружеството използва – негови и на трети страни партньори.

III. ПРАВА НА СУБЕКТИТЕ НА ДАННИ И РЕД ЗА УПРАЖНЯВАНЕТО ИМ

Чл. 14. Субектите на личните данни имат следните права относно техните лични данни:

1. право на достъп;
2. право на ползване;
3. право на преносимост на данните;
4. право на изтриване (право „да бъдеш забравен“);
5. право да се иска ограничаване на обработката;
6. право на възражение срещу обратното публикуване на лични данни;
7. правото на субекта да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране.

Чл. 15. (1) Всяко физическо лице, субект на лични данни, има право да получи информация за администратора на лични данни, както и за обработка на личните данни. Тази информация включва:

1. данни, идентифициращи администратора, както и негови координати за връзка, включително координати за връзка с длъжностното лице при защита на данните;
2. целите и правното основание за обработка на данни;
3. получателите или категориите получатели на личните данни, ако има такива;
4. намерение на администратора за предаване на лични данни за трета страна (когато се прилага);
5. срока на съхранение на личните данни;
6. постигане на автоматизирано вземане на решения, включително профилиране (ако има такова);
7. информация за всички права, които субектът има;
8. правото на жалба до надзорния орган.
(2) Информацията по ал. 1 не се предлага, ако субектът на данните вече се предлага с нея.

(3) При изпращане на искане за информация от субект на данни по реда на ал. 1, Дружеството заедно с длъжностното лице при защита на данните по чл. 23 от Политиката се изисква необходима проверка и се дава отговор с изискана информация в срок до 14 (четиридесет) дни, но не след 30 (тридесет) дни от датата на получаване на искането. При необходимост този срок може да бъде продължен с още два месеца, след като се изведе сложност и броя на исканията от определено лице. Дружеството на информираното лице за всяко такова удължаване в срока от един месец от получаване на искането, като посочва и причинява забавлението. Искането съдържа идентификация на лицето (три имена и EGN за български граждани, а за всички останали лица – граждани в други държави в ЕС – име и данни при раждане), описание на искането, предпочитана форма за предоставяне на достъп до лични данни, подпис , дата, имейл, адрес за кореспонденция и пълномощно, когато заявлението се подава от пълно лице. Дружеството не е задължено да отговори на исканията, в случай че не е в състояние да идентифицира субекта на данните. Искането се въвежда в следващия регистър на Дружеството и може да бъде предоставено по един от следните начини: а) по електронен път на следното име: privacy@ludastyle.test, б) на място в офиса на Дружеството, намиращо се в гр. София, бул. Витоша 170 или в) по тази адрес на управление на Дружеството: 1408 гр. София, бул. Витоша 170.
(4) Информацията по ал. 1 се предлага в едно копие на субекта на данните безплатно. За допълнително копие, търсене от субекта на данни или при прекомерни търсения на събекта, особено при тяхното повторение, Дружеството може да предложи разумна такса в размер на направените административни разходи.
(5) При предоставяне на копие от лични данни Дружеството не може да разкрие следните категории данни:

1. лични данни за трети лица, освен ако същите не са изразени от изричното си съгласие за това;
2. данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация;
3. друга информация, която е защитена, в съответствие с приложимото законодателство.

(6) Основателността и прекомерността на дадено търсене се преценява отделно за всеки случай от Дружеството.
(7) При отказ за предоставяне на достъп до лични данни Дружеството на аргументацията отказва си и ифнормира субекта на данни за правото му да подаде жалба до надзорния орган.

Чл. 16.. (1) Субектирайте данните, които можете да търсите в личните им данни, обработвани от Дружеството, да бъдат използвани в случай, че последни са неточни или непълни.
(2) При задоволително искане за използване на лични данни Дружеството уведомява получателите на данни, които са били разкрити.
(3) Правото по ал. 1 се упражнява чрез изпращане на искане по реда на чл. 15, ал. 3 от Политиката.

Чл. 17. (1) Всяко едно физическо лице, субект на лични данни, има право да търси изтриване на данните си, т.нар. „Право да бъде забранено“, ако е налице едно от следните условия:

1. личните данни за лицето повече не са необходими за целите, които са били събрани или обработени по друг начин;
2. субектът на данните оттегля своето съгласие, върху което се основава обработката на данните и няам друго правно основание за обработка;
3. субектът на данните възразява срещу обработката и няма законни основания за обработка, които да имат предимство;
4. личните данни са били обработени незаконосъобразно;
5. личните данни трябва да бъдат извлечени с цел спазване на правно задължение по правото на ЕС или правото на държавата-членка, което се прилага от администратора;
6. личните данни са събрани във връзка с предлагането на услуги за информационно общество за деца и съгласието е предоставено от новата родителска отговорност за дететето.

(2) Правото по ал.1 се управлява чрез изпращане на искане по реда на чл. 15, ал. 3.

Чл. 18.. (1) Всяко физическо лице, субект на лични данни, има право да ограничи обработката на личните данни на администратора, но за целта има необходими конкретни условия, сред които:

1. точността на личните данни се съхранява от субекта на данните;
2. обработката на неправомерно, но субектът на данните не желае лични данни да се добавят, а вместо това да се ограничи използването им;
3. администраторът не се нуждае от повече данни за лични данни за целите на обработката, но субектът на данните трябва да бъде установен, управляващ или защитен от правни претенции;
4. субектът на данните е възразил срещу обработването в очакване при проверка, дадени законни основания на администратора, дават предимство пред интересите на субекта на данните.

(2) В случаите по ал. 1, т. 1 ограничение на обработката е за срок, който позволява на администратора да провери точността на личните данни.
(3) Правото по ал.1 се управлява чрез изпращане на искане по реда на чл. 15, ал. 3.

Чл. 19.. (1) Всяко физическо лице, субект на лични данни, има право да получи лични данни, които го засягат и които се предоставят на администратор, в структуриран, широко разпространен и готов за машинно четен формат и има право да прехвърли тези данни на друг администратор без възпрепятстване на администратора, за изготвяне на лични данни, предоставени, когато обработката е основана на съгласие или по договорено задължение и обработка се извършва по автоматизиран начин.
(2) Когато упражнява правото на пренос на данните, субектът на данниците има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически потвърдено.
(3) Правото по ал.1 се управлява чрез изпращане на искане по реда на чл. 15, ал. 3.

Чл. 20.. (1) Субектът на данните има право да възрази срещу обработка на негови лични данни от Дружеството, ако данните се обработват на едно от следните основания:

1. обработката е необходимо за изпълнение на задача от обществен интерес или при управление на официалния правомощен, който е предоставен на администратора;
2. обработването е необходимо за цели, свържете се с легитимните интереси на Дружеството или на трета страна;
3. обработка на данните включва профилиране.

(2) Административното прекратяване на обработката на личните данни, освен ако не е необходимо, че може да се въведат законопроекти за неговото продължаване, които дават предимство пред интересите, правата и свободите на субекта на данните или за установяване, управление или защита на правни претенции.

Чл. 21.. (1) Всяко физическо лице, субект на лични данни, има право да бъде задължително, а Дружеството е задължено да уведоми субекта в случай на нарушение на сигурността на личните данни и когато има вероятност това нарушение да породи риск от правата и свободата на субекта на данни.
(2) Уведомяването по ал. 1 следва да бъде изпълнено без ненужно забавление след откриването му и да съдържа описание на естеството на нарушението на сигурността на личните данни, като се предостави естество на нарушението, име и координат за връзка с длъжностното лице при защита на данните, последващи от нарушението и предприемането мерки от Дружеството за справяне с нарушението и за намаляване на евентуалните неблагоприятни последствия.