Политика за поверителност (06.02.2025)

Като субект на данни имате следните права:

2.1 Право на достъп (член 15 от ОРЗД): Имате право да получите потвърждение дали от нас се обработват лични данни, свързани с Вас, и ако това е така, да получите достъп до данните и следната информация:
(1) целите на обработването;
(2) съответните категории лични данни;
(3) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
(4) предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
(5) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
(6) правото на жалба до надзорен орган;
(7) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
(8) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4 ОРЗД, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
Имате право да получите информация дали личните данни, свързани с Вас, се предават на трета държава или международна организация. Във връзка с това можете да изисквате подходящи гаранции по член 46 ОРЗД във връзка с предаването. Също така обръщаме внимание на правото на преносимост на данните, член 20 ОРЗД.

2.2 Право на коригиране (член 16 от ОРЗД): Вие имате право да поискате коригиране или попълване на лични данни, отнасящи се до Вас, които са неточни или непълни.

2.3 Право на изтриване („право да бъдеш забравен“) (член 17 от ОРЗД): Имате право да поискате изтриване на свързаните с Вас лични данни, а ние като администратор имаме задължението да ги изтрием без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:

(1) личните данни повече не са необходими за целите, за които са били събрани или обработвани.
(2) Вие оттегляте своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а) ОРЗД, и няма друго правно основание за обработването.
(3) Вие възразявате срещу обработването съгласно член 21, параграф 1 ОРЗД и няма законни основания за обработването, които да имат преимущество, или възразявате срещу обработването съгласно член 21, параграф 2 ОРЗД.
(4) личните данни са били обработвани незаконосъобразно.
(5) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора.
(6) личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8, параграф 1 ОРЗД.

Моля, имайте предвид, че правото на изтриване не се прилага, доколкото обработването е необходимо в следните правноустановени случаи:

Вашите лични данни се използват за упражняване правото на свобода на изразяване на мнение и свобода на информация;

Вашите лични данни са необходими за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

Вашите лични данни са необходими по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3;

Вашите лични данни са необходими за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, доколкото съществува вероятност правото, установено в параграф 1, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;

Вашите лични данни са необходими за установяването, упражняването или защитата на правни претенции.

2.4 Право на ограничаване на обработването (член 18 от ОРЗД): При наличието на следните предпоставки имате право да изисквате ограничаване на обработването на личните данни, свързани с Вас:
(1) точността на личните данни се оспорва от Вас, за срок, който ни позволява като администратор да проверим точността на личните данни;
(2) обработването е неправомерно, но Вие не желаете личните данни да бъдат изтрити, а изисквате вместо това ограничаване на използването им;
(3) вече не се нуждаем от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на правни претенции;
(4) Вие сте възразили срещу обработването съгласно член 21, параграф 1 ОРЗД в очакване на проверка дали нашите законните основания имат преимущество пред Вашите интереси.
 
Когато обработването е ограничено за личните данни, свързани с Вас, такива данни се обработват, с изключение на тяхното съхранение, само с Ваше съгласие или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.
Когато сте изискали ограничаване на обработването при наличие на посочените по-горе предпоставки, Ви информираме преди отмяната на ограничаването на обработването.

2.5 Право на преносимост на данните (член 20 от ОРЗД): Вие имате право да получите личните данни, които Ви засягат и които сте ни предоставили, в структуриран, широко използван и пригоден за машинно четене формат. Освен това имате право да поискате Вашите лични данни да бъдат прехвърлени от нас на друг администратор, доколкото това е технически осъществимо.
Изискванията за приложимост на преносимостта на данни са:

обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б) ОРЗД;

обработването се извършва по автоматизиран начин;

вашите лични данни не са необходими за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора;

упражняването на Вашето право не накърнява правата и свободите на другите.

2.6 Право на възражение (член 21 от ОРЗД): Вие имате право по всяко време и на основания, свързани с Вашата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до Вас, което се основава на член 6, параграф 1, буква д) ОРЗД.
Прекратяваме обработването на личните данни, освен ако не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2.7 Право на подаване на жалба до надзорния орган (член 77 от ОРЗД): Без да се засягат които и да било други административни или съдебни средства за правна защита, имате право да подадете жалба до надзорен орган, ако считате, че обработването на лични данни, отнасящи се до Вас, нарушава разпоредбите на ОРЗД.
Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78 ОРЗД.
Компетентен надзорен орган:
Комисия за защита на личните данни
София 1592, бул. „Проф. Цветан Лазаров” № 2
Електронна поща: kzld@cpdp.bg
Интернет страница: :
www.cpdp.bg

2.8 Право на отказ (член 7 от ОРЗД):

Имате правото да оттеглите съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

Обработването на Вашите лични данни от нас винаги е свързано с определена, изрична и легитимна цел, която е дефинирана преди започване на дейността по обработване, в съответствие с принципа за „свеждане на данните до минимум“ съгласно член 5, параграф 1, буква в) ОРЗД. В по-нататъшния ход на тази политика за поверителност, когато се цитира дейност по обработка, се включва и описание на конкретната цел.

Ние обработваме Вашите лични данни в съответствие с ОРЗД. Съответно обработването на Вашите лични данни винаги се основава на правно основание. Член 6 ОРЗД определя правни основания за обработването на лични данни.
 
4.1. Правни основания за обработване на лични данни
 

Съгласие

Ако получим Вашето съгласие за обработването на личните Ви данни, обработването ще се извърши съгласно правно основание на член 6, параграф 1, буква a) ОРЗД. Следният пример служи за изясняване на това правно основание: Вие получавате реклама от нас по електронна поща и / или телефон и сте дали Вашето предварително съгласие
 
Договор или преддоговорни отношения
Ако обработката на личните Ви данни е необходимо за изпълнението на договор с Вас или за изпълнението на преддоговорни отношения, предприети в отговор на Вашето искане, правното основание, на което се основава обработването на Вашите лични данни, е член 6, параграф 1, буква б) ОРЗД.

Правно задължение

В случаите, когато обработването на Вашите лични данни е необходимо, за да се спази законово задължение, което се прилага спрямо администратора,  това обработване се основава на член 6, параграф 1, буква в) ОРЗД.
 

Жизненоважен интерес

Ако обработването на личните Ви данни е необходимо за защита на Вашите жизненоважни интереси или на друго лице, тази обработка се извършва в съответствие с член 6, параграф 1, буква г)  ОРЗД.
 

Обществен интерес

В случаите, когато обработваме Вашите лични данни, за да изпълним задача, която е в обществен интерес или при упражняване на делегирана на нас официална власт се извършва в съответствие с член 6, параграф 1, буква д) ОРЗД.
 

Легитимен интерес

Ако обработването на лични данни е необходимо за защита на легитимния интерес на нашата компания или трета страна и в същото време интересите, основните права и основните свободи на субекта на данните, които изискват защитата на личните данни, не отменят законния ни интерес -член 6, параграф 1, буква е) ОРЗД служи като правно основание за обработката.
 
4.2. Правни основания за обработката на специални категории лични данни
 
Ако в извънредни случаи трябва да обработваме специални категории лични данни, като:

данни за расов или етнически произход (напр. цвят на кожата или специални езици),

данни за политически възгледи (напр. членство в партии),

религиозни или философски убеждения (напр. членство в секта),

данни за членство в синдикални организации,

обработването на генетични данни,

биометрични данни (например пръстови отпечатъци или снимки),

данни за здравословното състояние (например идентификационни номера за увреждания),

или данни относно сексуалния живот или сексуалната ориентация

от Вас, тази обработка се основава на една от следните правни основания, които са дефинирани в член 9 ОРЗД.
 

Изрично съгласие

Ако сте ни дали своето изрично съгласие за обработката на горните категории лични данни, това представлява правното основание за обработката в съответствие с член 9, параграф 2,  буква а) ОРЗД.
 

Изпълнение на задължения съгласно трудовото право и правото в областта на социалната сигурност и социалната закрила

Ако обработването на специални категории лични данни, свързани с Вас, е необходимо, за да се спази законово задължение, произтичащо по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, правното основание за това обработване е член 9, параграф 2, буква б) ОРЗД.

Защита на жизненоважни интереси
 
Ако обработването на специални категории лични данни, свързани с Вас е необходимо, за да бъдат защитени жизненоважните интереси, такава обработка се извършва съгласно член 9, параграф 2, буква в) ОРЗД.
 

Явни публични данни

Доколкото се обработват специални категории лични данни, които преди това са били публично оповестени от Вас, обработването на тези данни се основава на член 9, параграф 2, буква д) ОРЗД.
 

Установяване / Упражнение / Защита на правни искове

Доколкото обработването на специалните категории лични данни, свързани с Вас, служи за установяване, упражняване или защита на правни претенции, член 9, параграф 2, буква е) ОРЗД представлява правното основание за обработката.
 

Съществен обществен интерес

В случай на обработка на специални категории лични данни, отнасящи се до Вас, за да се защити съществен обществен интерес, произтичащ от законодателството на ЕС или националното законодателство, обработването се основава на член 9, параграф 2, буква ж) ОРЗД.
 

Оценка на работоспособността на лицето или други медицински цели като здравни грижи

Ако обработването на специални категории лични данни, свързани с Вас, произтича от закон на ЕС или държава-членка или договор, сключен с член на здравна професия и е извършвано за целите на превантивното здравеопазване, трудовата медицина, оценка на трудоспособността на служителя, медицинска диагноза, грижа или лечение в здравната или социалната област или управлението на системи и услуги в здравната или социалната област, тази обработка се основава на член 9, параграф 2, буква з) ОРЗД.
 

Обществен интерес в областта на общественото здраве

Ако обработването на Вашите специални категории лични данни е необходимо поради съображения от обществен интерес в областта на общественото здраве, включително защита срещу трансгранични заплахи за здравето като пандемии, тази обработка се извършва на правното основание на член 9, параграф 2, буква и) ОРЗД.
 

Архивни цели, научни или исторически изследвания, статистически цели

Ако обработването на специални категории лични данни, свързани с Вас, произтича от право на ЕС или държава-членка, което предвижда обработка за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, тази обработка се основава на член 9, параграф 2, буква й) ОРЗД.
 

Получатели на Вашите данни
Като правило, ние нито продаваме, нито предоставяме потребителски данни. Прехвърляме данни на трети страни, излизащи от обхвата на настоящата декларация за поверителност, само ако това е необходимо за изпълнението на съответната услуга, която Вие сте поискали. За тази цел ние работим заедно с доставчици на услуги в областта на маркетинга, продажбите, ИТ, логистиката и човешките ресурси и други. Тези доставчици на услуги са внимателно подбрани от нас.  В други случаи изпращаме данни до държавните органи по тяхно искане. Това обаче се състои само в случай, ако съществува правно задължение, като например съдебно решение.

Места за обработването на Вашите лични данни
Ние винаги обработваме Вашите данни в България и европейските страни (ЕС/ЕИП). Доколкото Вашите данни се обработват в изключително много ограничени специални случаи в страни извън пределите на Европейския съюз (например  в т. нар. „Трети държави“), това ще се осъществява само при условие, че Вие сте дали своето изрично съгласие,  като то е предвидено по закон или е необходимо за нас, за да предоставяме услугата към Вас. Доколкото в тези изключителни случаи ние обработваме данните в трети страни, това се извършва при спазване на конкретни мерки (т.е. въз основа на наличието на решение от страна на Комисията на ЕС за адекватност или подходящи гаранции, Член 44 и следващите от ОРЗД).

8.1 Дейност по обработване – Google Tag Manager

На нашия уебсайт използваме Google Tag Manager на Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, САЩ (наричан по-долу: Google). С помощта на Tag Manager можем централизирано да интегрираме и управляваме различни софтуерни решения, като например Google Analytics, чрез съответни кодови секции – наричани още тагове – на нашия уебсайт. Тези кодови секции се използват и за събиране на данни, свързани с Вашия браузър, посещенията на уебсайта или за задаване на бисквитки.

Google Tag Manager сам по себе си се интегрира чрез JavaScript. Съответните файлове за интегриране на Google Tag Manager се изтеглят от сървърите на Google. След предоставено съгласие, Вашето крайно устройство установява връзка със сървърите на Google, за да направи заявка за получаване на необходимите файлове. В този процес, лични данни като Вашия IP адрес се предават на Google и се обработват от него с цел предоставяне на заявените файлове.

Поради местоположението на централата на Google, предаването на Вашите лични данни към Google може да представлява така нареченото предаване на данни към трета държава – САЩ. Google LLC е сертифицирана по рамката за защита на личните данни (DPF), което гарантира адекватно ниво на защита на данните.

Правното основание за обработването на Вашите лични данни във връзка с използването на Google Tag Manager е Вашето съгласие съгласно чл. 6, ал. 1, б. "а" от Общия регламент относно защитата на данните (GDPR). Информация относно правото Ви на оттегляне на съгласие можете да намерите в т. 2.8 „Право на оттегляне на съгласие (чл. 7 GDPR)“ от тази политика за поверителност.

Допълнителна информация относно обработката на Вашите лични данни в рамките на отделните използвани решения ще намерите по-долу в отделните текстове за всяко конкретно решение.


8.2 Дейност по обработване – Посещение на нашия уебсайт

Ако използвате нашия уебсайт само за информационни цели, т.е. ако не се регистрирате или по друг начин не ни предавате информация, ние събираме само личните данни, които Вашият браузър предава към нашия сървър. Тези данни са технически необходими, за да може уебсайтът да Ви бъде показан. Освен това тези данни са технически необходими, за да се гарантира стабилността и сигурността на нашия уебсайт. Правното основание за обработката на Вашите лични данни в този случай е чл. 6, ал. 1, б. "е" от GDPR; легитимният интерес тук е предоставянето и оптималното представяне на този уебсайт, както и защитата му срещу външни атаки и възможността те да бъдат проследени. Тези лични данни се изтриват след приключване на сесията, освен ако не са необходими за откриване или проследяване на злоупотреба; в такъв случай се съхраняват максимум до 3 дни.

При посещение на нашия уебсайт, могат да бъдат обработени следните лични данни, които автоматично се предават от Вашия браузър към нашите сървъри и се съхраняват под формата на т.нар. "лог файлове":

• IP адрес на устройството, използвано за достъп до уебсайта
• Дата, час и продължителност на заявката
• Държава на произход на заявката
• Съдържание на заявката (конкретна страница/файл)
• Статус на достъп/HTTP статус код (напр. "200 OK")
• Интернет адрес на уебсайта, от който е направена заявката за достъп
• Браузър и инсталирани добавки (напр. Flash Player)
• Операционна система и интерфейс
• Език и версия на софтуера на браузъра
• Обем на прехвърлените данни
• Разлика в часовата зона спрямо Гринуич (GMT)

Някои от услугите, предлагани на нашия уебсайт, можем да предоставим само ако можем да се свържем с Вас. В тази връзка, използването на тези услуги зависи от това дали ни предоставяте определени лични (контактни) данни. Събираме, използваме и обработваме тези лични данни само до степента, необходима за предоставянето на съответната услуга. Ако се свържете с нас по имейл или чрез контактна форма, личните данни, които предоставите (Вашият имейл адрес и всякаква допълнителна информация, като име/телефон), ще бъдат съхранени с цел обработка на Вашето запитване и, ако е необходимо, отговор.

Правното основание за обработката на Вашите лични данни тук е чл. 6, ал. 1, б. "е" от GDPR; легитимният интерес е отговарянето на Вашето запитване. След окончателен отговор на запитването, то и съпътстващата информация се изтриват след изтичане на три години от края на съответната календарна година.

8.3 Дейност по обработване – Управление на уебсайта

Нашият уебсайт се управлява от Active Elements GmbH, Heinrich-Nordhoff-Ring 5, 30826 Garbsen, Германия и се хоства от Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, САЩ, на сървъри на Amazon Web Services (AWS).

По този начин Вашите лични данни, събрани чрез нашия уебсайт, се съхраняват на сървърите на тези доставчици на услуги. Данните могат да включват, например, Вашия IP адрес, мета и комуникационни данни или данни от контактна форма.

Сървърите на AWS, върху които е хостван нашият уебсайт, се намират в Европа, но поради местоположението на Vercel и Amazon, обработването на Вашите лични данни може да представлява трансфер към трета държава. Vercel и Amazon са сертифицирани по DPF, така че е гарантирано адекватно ниво на защита на данните.

Правното основание за използването на Active Elements, Vercel и Amazon за хостинг и управление на уебсайта ни е нашият легитимен интерес съгласно чл. 6, ал. 1, б. "е" от GDPR – да гарантираме функционирането и сигурността на уебсайта и да предоставим оптимизирано преживяване за нашите клиенти и заинтересовани страни.

8.4 Дейност по обработване – Система за управление на съдържание / Contentstack

За нашия уебсайт използваме система за управление на съдържание (CMS), предоставена от Contentstack Inc., 315 Montgomery St., Suite 909, San Francisco, CA 94104, САЩ. CMS се използва за представяне и управление на уебсайтове, онлайн магазини, интранет и други корпоративни платформи. Ние използваме SaaS решението на Contentstack за създаване и поддържане на корпоративните ни уебсайтове. То ни позволява да създаваме съдържание и да го разпределяме до уебсайтовете на нашите дъщерни дружества и партньори чрез дефинирани работни процеси.

Поради местоположението на Contentstack в САЩ, обработката на Вашите лични данни може да представлява трансфер към трета държава. Contentstack е сертифициран по DPF, така че е осигурено адекватно ниво на защита на данните.

Правното основание за обработката на лични данни във връзка с използването на Contentstack е нашият легитимен интерес съгласно чл. 6, ал. 1, б. "е" от GDPR. Нашият легитимен интерес тук е да гарантираме функционирането и сигурността на уебсайта.

Допълнителна информация относно защитата на данните в Contentstack можете да намерите тук:
Privacy Policy - Legal | Contentstack

8.5 Дейност по обработване – Cloudfront

Този уебсайт използва мрежата за доставка на съдържание (CDN) Cloudfront, услуга на Amazon Web Services Inc., 410 Terry Avenue North, Seattle, WA 98109-5210 (наричана по-долу: Amazon Web Services). CDN се интегрира под формата на JavaScript код на нашия уебсайт и се зарежда по време на посещението. Cloudfront ни позволява да осигурим по-бързо зареждане, подобрена наличност и предотвратяване на загуба на данни чрез дублиране на съдържание (напр. графики или скриптове) на различни сървъри по света.

Когато посещавате този уебсайт, може автоматично да се заявят фото/видео файлове от Cloudfront, като тази автоматична заявка може да доведе до предаване на лични данни, като например Вашия IP адрес, към сървърите на Amazon Web Services.

Поради местоположението на Amazon, прехвърлянето на Вашите лични данни към Amazon може да представлява трансфер към трета държава извън ЕС и ЕИП, в частност към САЩ. Amazon Web Services, Inc. е сертифицирана по DPF, което осигурява адекватно ниво на защита на данните.

Правното основание за обработката на Вашите лични данни във връзка с използването на Cloudfront е нашият легитимен интерес съгласно чл. 6, ал. 1, б. „е“ от GDPR. Нашият легитимен интерес е да гарантираме сигурността и наличността на този уебсайт.

Допълнителна информация относно защитата на данните при Amazon Web Services можете да намерите на следните адреси:

• 
  https://aws.amazon.com/de/data-protection/
• 
  https://aws.amazon.com/de/privacy

8.6 Дейност по обработване – Платформа за управление на съгласия / Usercentrics

На нашия уебсайт използваме платформата за управление на съгласията Usercentrics. Това е инструмент за управление на съгласия, базиран на JavaScript. С негова помощ можем да предоставим на посетителите на нашия уебсайт преглед на използваните софтуерни решения, както и възможност да решат дали желаят използването на определени решения, които изискват предварително съгласие. Освен това платформата позволява на посетителите по всяко време да оттеглят дадено съгласие, без да посочват причини, и по този начин да предотвратят бъдещата обработка на лични данни от съответния софтуер.

С помощта на платформата можем да изпълним изискванията на GDPR относно управлението на съгласия, включително възможността да докажем, че е дадено съгласие или не е дадено.

В рамките на използването на платформата за управление на съгласията Usercentrics могат да бъдат обработвани следните данни:

• Данни за съгласие
• Идентификатор на съгласието (Consent ID)
• Статус на съгласието (опт-ин, опт-аут)
• Времеви отпечатък на съгласието
• Език на банера за съгласие
• Версия на шаблона на банера
• Данни за устройството (http агент, http препращач)

Използването на платформата Usercentrics и свързаната обработка на лични данни служи за изпълнение на законови задължения по смисъла на чл. 6, ал. 1, б. „в“ от GDPR. Това включва задължението за доказуемост по смисъла на чл. 5, ал. 2 от GDPR и съдебните решения „ECLI:EU:C:2019:801“ на Съда на ЕС и „I ZR 7/16“ на Федералния върховен съд на Германия, които изискват съгласие от потребителя за използване на бисквитки за маркетингови и изследователски цели.

Изтриването на Вашите лични данни, свързани с използването на платформата Usercentrics, се извършва, когато те вече не са необходими за изпълнение на целта. В случай на оттегляне на съгласието, информацията за оттеглянето се съхранява за срок от три години. Това съхранение се основава, от една страна, на отчетността по чл. 5, ал. 2 от GDPR и, от друга страна, на обичайната давност по § 195 от Германския граждански кодекс (BGB). Давностният срок започва по § 199 BGB от края на годината, в която е възникнало правото – т.е. на 31 декември – и приключва три години по-късно.