I. Въведение
1. Общ регламент за защита на личните данни.
Регламент (ЕС) 2016/679 (по-долу Общ регламент за защита на данните или ОРЗД) отменя и замества Директива 95/46/ ЕО за защита на данните. С ОРЗД се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Основната цел на ОРЗД е да бъдат защитени основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.
2. Обхват очертан на Общия регламент за защита на данните.
Материален обхват (член 2 от Регламент (ЕС) 2016/679) – Регламент (ЕС) 2016/679 се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни (например ръчно и на хартия), които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.
Териториален обхват (член 3 от Регламент (ЕС) 2016/679) – правилата на Регламент (ЕС) 2016/679 важат за всички администратори на лични данни, които са установени в ЕС, които обработват лични данни на физически лица, в контекста на своята дейност. Ще се прилага и за администратори извън ЕС, които обработват лични данни с цел да предлагат стоки и услуги или ако наблюдават поведението на субектите на данни, които пребивават в ЕС.
3. Определения.
Определения на основните понятия използвани от ОРЗД са дадени в чл. 4 от същият. За целите на настоящата политика ще се разгледат следните понятия:
3.1. „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
3.2. “специални категории лични данни” означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и генетични данни, биометрични данни обработвани за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
3.3. „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3.4. „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
3.5. „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
3.6. „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
3.7. „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
3.8. „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
3.9. „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
3.10. „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
3.11. „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
3.12. „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
3.13. „генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;
3.14. „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;
3.15. „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
3.16. „основно място на установяване“ означава:
a) по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;
б) по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;
3.17. „дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;
3.18. „задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;
3.19. „надзорен орган“ означава независим публичен орган, създаден от държава членка. В Република България надзорен орган е Комисия по защита на личните данни;
3.20. „трансгранично обработване“ означава или:
a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или
б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;
3.21. „относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;
3.22. „услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);
3.23. „международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.
II. Осигуряване на защита на личните данни.
1. „ВИКТОРИЯ ГОЛД 97“ ЕООД, ЕИК 206017325, със седалище и адрес на управление: БЪЛГАРИЯ, област Пловдив, община Раковски, град Раковски, Пощенски код: 4150, ул. „Михаил Добромиров“ № 43 е администратор на данни съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни.
2. „ВИКТОРИЯ ГОЛД 97“ ЕООД събира лични данни от клиентските профили на своята Интернет страница, но само с доброволното съгласие на Потребителя или Клиента за следните цели:
– Потвърждение, доставка и фактуриране на направена поръчка;
– Отказване на поръчки и други проблеми от всякакъв характер, свързани с поръчка или договор за закупени продукти или услуги;
– Осигуряване на достъп до услуги;
– Изпращане на Брошури и/или Известия само по електронен път;
– Контактуване с Потребител или Клиент с неговото доброволно съгласие;
– Контактуване, свързано с oбслужване на клиенти;
– Статистически цели.
Основанията за събиране и обработване на тези данни са:
- Член 6, параграф 1, буква „б“ от Регламент 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), а именно: обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.
- Член 6, параграф 1, буква „в“ от Регламент 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), а именно: обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.
- Член 6, параграф 1, буква „е“ от Регламент 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), а именно: обработването е необходимо за целите на легитимните интереси на администратора.
3. ВИКТОРИЯ ГОЛД 97“ ЕООД може без съгласието на Клиента или Потребителя да събира други данни (IP адрес, време на посещение, място, от което е достъпна Интернет страницата, име и версия на уеб-браузъра, операционна система, включително и други параметри), предоставени от уеб-браузъра, чрез който е осъществен достъпът на Интернет страницата и могат да бъдат използвани от ВИКТОРИЯ ГОЛД 97“ ЕООД за подобряване на Услугите, предоставяни на Клиентите или със статистически цели.
Основанията за събиране и обработване на тези данни са:
- Член 6, параграф 1, буква „е“ от Регламент 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), а именно: обработването е необходимо за целите на легитимните интереси на администратора.
4. „ВИКТОРИЯ ГОЛД 97“ ЕООД осигурява съответствие, на всички свои дейности по събиране, обработване и съхранение на лични данни, с изискванията законодателството на ЕС и Р България. Ръководство, всички членове на управителните органи, ръководителите на отдели и служителите обработващи лични данни на „ВИКТОРИЯ ГОЛД 97“ ЕООД са отговорни за изграждане и насърчаване на добри практики в областта на обработване на информацията.
III. Права на субектите на данни.
1. Субектите на данни имат следните права по отношение на обработването на данни, както и на данните, които се записват за тях:
- Да отправя искания за потвърждаване дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните, както и информация кои са получателите на тези данни.
- Да поиска копие от своите лични данни от администратора;
- Да иска от „ВИКТОРИЯ ГОЛД 97“ ЕООД коригиране на лични данни когато те са неточни, както и когато не са вече актуални;
- Да изиска от „ВИКТОРИЯ ГОЛД 97“ ЕООД изтриване на лични данни (право „да бъдеш забравен"<