Политика за поверителност

Политика за поверителност

Настоящата Политика за поверителност има за цел да предостави информация относно принципите и начините, по които Администраторът събира, обработва, съхранява и защитава личните данни на субектите на данни. В допълнение, документът разяснява правата, които имате във връзка с обработката на Вашите данни, както и реда, по който можете да упражните тези права.

Запознаването с настоящата Политика ще Ви даде яснота относно начина, по който личните Ви данни се използват, както и гаранциите, които прилагаме за тяхната защита. Ако след преглед на документа имате въпроси или желаете допълнителна информация, можете да се свържете с нас чрез предоставените в настоящата Политика канали за контакт.

Администраторът запазва правото си да извършва промени и актуализации на този документ, когато това се налага, за да осигури съответствие с приложимото законодателство и добрите практики в сферата на защитата на личните данни. В случай на изменения, ще бъдете уведомени своевременно чрез публикуване на актуализираната версия на Политиката на официалния уебсайт на Администратора или чрез други подходящи комуникационни канали.

  1. Обща информация за администратора


Чл. 1 (1) Всички лични данни, които се събират, като част от дейността на мастоящият онлайн магазин се обработват и съхраняват от Администратора, както следва:

Наименование: „Фоникс Букс” EООД

ЕИК: 206580697

Седалище и адрес на управление: София, ул. „Майстор Павел от Кримин” 22А, ет.2, ап.5

Адрес за кореспонденция: София, ул. „Майстор Павел от Кримин” 22А, ет.2, ап.5

Телефон: +359 885 764 261

Имейл адрес: info@mellyjolly.com

Информация относно компетентния надзорен орган за защита на личните данни:

Наименование: Комисия за защита на личните данни

Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2

Адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2

Телефон: 02 915 3 518

Интернет страница: www.cpdp.bg

  1. Използвани термини

Чл. 2 За целите на настоящите общи условия, изброените термини, следва да се тълкуват и разбират, в съответствие с посочената дефиниция за всеки от тях:

  1. Лични данни” – всяка информация, свързана с идентифицирано или идентифицируемо живо физическо лице. Отделни данни, които когато се съберат заедно могат да доведат до идентифициране на конкретно лице, също представляват лични данни. Например такива са: собствено име и фамилия, домашен адрес, имейл адрес номер на картата за самоличност, данни за местоположение, адрес на интернет протокол (IP).
  2. Обработване” – всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  3. “Администратор” – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
  4. “Съгласие на субекта на данните” – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
  5. “Профилиране” – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, по-специално за анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото състояние, здравето, личните предпочитания, интересите, надеждността, поведението, местоположението или движенията на това физическо лице.
  6. “Бисквитки” – малки текстови файлове, които се запазват на крайното устройство на потребителя (компютър, таблет, смартфон) при посещение на уебсайта. Те служат за разпознаване на устройството при повторно посещение и подобряване на потребителското изживяване.
  7. “Трета страна” – физическо или юридическо лице, публичен орган, агенция или друга структура, която не е субект на данни, администратор, обработващ лични данни и лица, които под прякото ръководство на администратора или обработващия лични данни имат право да обработват личните данни.
  8. “Маркетингови съобщения” – търговски съобщения по смисъла на чл. 6 от Закона за електронната търговия, изпращани до потребителите с цел директен маркетинг.
  9. “Псевдонимизация” – обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано или подлежащо на идентифициране физическо лице.
  10. “Легитимен интерес” – законово основание за обработка на лични данни, когато обработването е необходимо за целите на легитимните интереси на администратора или трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.’
  11. “Съгласие на субекта на данните – представлява свободно, конкретно, информирано и недвусмислено съгласие на субекта на данните за обработката на неговите лични данни.
  12. “Преносимост на данните” – право на субекта на данните да получи своите лични данни в структуриран, широко използван и пригоден за машинно четене формат и да ги прехвърли към друг администратор.
  13. “Автоматизирано вземане на решения” – обработка на лични данни, извършвана чрез автоматизирани средства без човешка намеса, която може да има правни последици или значително да засяга субекта на данни.
  14. “Упълномощени лица” – служители, които действат по указания на администратора и са ангажирани в обработването на личните данни.
  1. Цели и принципи при обработка на лични данни

Чл. 3 (1) Администраторът обработва лични данни за следните цели:

  1. Изпълнение на договорни задължения по направени поръчки;
  2. Счетоводно и данъчно отчитане съгласно Закона за счетоводството и ЗДДС;
  3. Подобряване на потребителското изживяване и персонализиране на услугите;
  4. Гарантиране на информационната сигурност съгласно чл. 32 от Регламент (ЕС) 2016/679;
  5. Изпращане на търговски съобщения след предварително съгласие;
  6. Статистически анализ на потребителското поведение.

(2) Обработката на лични данни се осъществява при стриктно спазване на следните принципи:

Чл. 4 Принципът на законосъобразност, добросъвестност и прозрачност изисква обработването да се извършва в съответствие с Регламент (ЕС) 2016/679 и приложимото национално законодателство, като субектът на данни получава изчерпателна информация за целите на обработването преди предоставянето на данните.

Чл. 5 Администраторът спазва следните основни принципи при обработката на лични данни:

  1. Данните се събират за конкретни, изрично указани и легитимни цели и не се обработват по начин, несъвместим с тези цели, в съответствие с принципа на ограничение на целите;
  2. Спазвайки принципа за свеждане на данните до минимум, се обработват само лични данни, които са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
  3. Съгласно принципа на точност, Администраторът поддържа данните в актуален вид и предприема всички разумни мерки за своевременно коригиране на неточни данни;
  4. В изпълнение на принципа за цялостност и поверителност, Администраторът прилага подходящи технически и организационни мерки за защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане на данните.

Чл. 6 Администраторът не обработва специални категории лични данни по смисъла на чл. 9, параграф 1 от Регламент (ЕС) 2016/679, освен когато:

  1. Субектът на данни е дал своето изрично съгласие;
  2. Обработването е необходимо за целите на изпълнението на задължения по трудовото право;
  3. Обработването е необходимо за защита на жизненоважни интереси на субекта на данните.

Чл. 7 (1) Администраторът събира лични данни директно от субектите на данни чрез:

  1. Осъществяване на поръчки;
  2. Абониране за бюлетин;
  3. Комуникация с отдел обслужване на посетители или клиенти, вкл. Чрез използване на контактна форма или имейл

(2) За всяка конкретна цел на обработване Администраторът определя срок за съхранение на личните данни, който не надвишава необходимото за постигане на съответната цел.

  1. Видове лични данни, които се обработват и съхраняват

Чл. 8 (1) Администраторът не събира и не обработва специални категории лични данни, отнасящи се до расов или етнически произход, политически, религиозни и философски убеждения, членство в синдикални организации, генетични и биометрични данни, данни за здравословното състояние или сексуалния живот и ориентация.

(2) Администраторът получава лични данни единствено от лицата, за които се отнасят, като не събира информация от други източници.

Чл. 9 (1) Търговецът обработва следните категории лични данни и информация във връзка с посочените по-долу цели и основания:

  1. Ваши индивидуализиращи лични данни (име и фамилия, телефон, електронна поща, адрес и др.)

Цели за които се събират данните:

  • Обработка и изпълнение на поръчки по договор за покупко-продажба от разстояние
  • Осъществяване на доставка
  • Комуникация относно статуса на поръчката
  • Отговор на запитвания от клиенти

Основание за обработка на данните:

С извършването на поръчка през сайта и приемането на общите условия възниква договорно правоотношение между Администратора и клиента. На това основание Администраторът обработва личните данни съгласно чл. 6, параграф 1, буква (б) от Регламент (ЕС) 2016/679.

Срок на съхранение: До 5 години

  1. Информация от потребителско преживяване включваща данни за престой на страниците, честота на посещенията и последно посещение, локация, IP адрес, вид на браузъра и на устройството от което се извършва посещението

Цел, за която се събират данните:

Обработването на тези данни цели подобряване на съдържанието и дизайна на сайта, персонализиране на предлаганите продукти и повишаване на клиентската удовлетвореност от услугите на Администратора.

Основание за обработка на личните Ви данни:

Правното основание за обработка е изричното съгласие на потребителя, предоставено чрез приемане на Общите условия, Политиката за поверителност или съгласие за използване на бисквитки при достъп до сайта съгласно чл. 6, параграф 1, буква (а) от Регламент (ЕС) 2016/679.

Срок на съхранение: До 2 години

  1. Изпращане на информационен бюлетин (Имейл адрес/електронна поща)

Цел, за която се събират данните:

Администраторът обработва електронна поща за изпращане на информационен бюлетин, включващ актуална информация за нови продукти, текущи промоции, специални предложения и проучвания на удовлетвореността.

Основание за обработка:

Обработването се извършва единствено при наличие на предварително и изрично съгласие от субекта на данните, съгласно чл. 6, параграф 1, буква (а) от Регламент (ЕС) 2016/679. Субектът на данните има право да оттегли съгласието си за обработка по всяко време като по този начин незабавно преустановява обработката и заличава данните от базата с абонати на информационния бюлетин.

Срок на съхранение: До оттегляне на съгласие

  1. Данни за IBAN на лице, страна по договор за покупко-продажба на стоки;

Цел, за която се събират данните:

Администраторът съхранява IBAN на всички лица, които са избрали да платят чрез опцията “Банков трансфер” с оглед финансовите регулации и наличието на посочения номер в платежното нареждане, като по този начин IBAN може да бъде свързан със собственика на сметката и неговата поръчка.

Основание за обработка
Правното основание е чл. 6, параграф 1, буква (б) от Регламент (ЕС) 2016/679 – обработването е необходимо за изпълнението на договор, по който субектът на данните е страна.IBAN се обработва като част от договорното правоотношение за покупко-продажба, тъй като е необходим за верифициране на плащането, избрано от клиента.

Срок на съхранение: До 10 години

Чл. 10 (1) Администраторът съхранява личните Ви данни, които е събрал само за необходимия срок, за да постигне целите, посочени в настоящата Политика, както и когато по силата на закон има право или задължение да ги съхранява за по-дълъг период.

(2) Определящите фактори за продължителността срока на съхранение са различни обстоятелства, вкл. но не само: продължителността на предоставяне на услуги, ако е необходимо с цел установяване, упражняване или защита на наши правни претенции, или наличието на правно задължение да съхраняваме съответните данни с оглед приложимо национално или европейско законодателство.

  1. Права на субектите на данни

Чл. 11 (1) Субектът на данни има право да оттегли своето съгласие за обработване на лични данни по всяко време чрез подаване на заявление до Администратора по образец, достъпен в секция “Приложения”.

(2) Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне, както и обработването на данни, което се изисква по закон.

(3) При оттегляне на съгласие за маркетингови съобщения, субектът може да използва функцията “Отписване” във всяко съобщение или да подаде заявление до Администратора.

Чл. 12 (1) Субектът на данни има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и достъп до следната информация:

  1. Целите на обработването
  2. Съответните категории лични данни
  3. Получателите на личните данни
  4. Срока на съхранение
  5. Правата му съгласно GDPR
  6. Източника на данните, ако не са събрани от субекта

(2) Администраторът предоставя безплатно копие от обработваните лични данни в структуриран, широко използван и пригоден за машинно четене формат.

(3) При явно неоснователни или прекомерни искания, Администраторът може да nаложи разумна таксa или да откаже да предприеме действия по искането

Чл. 13 (1) Субектът на данни има правото да изтегли или поиска и получи в машинно-четим формат данните, които се съхраняват и обработват за него във връзка с използване функционалностите на уебсайта Правото се упражнява чрез искане по имейл след попълване на съответния формуляр от раздел “Приложения”

(2) Личните данни, които Администратора съхранява могат да получени чрез:

  1. Искане към Администратора да предостави Вашите лични данни в четим формат;
  2. Искане към Администратора да прехвърли Вашите лични данни които обработва към друг администратор на лични данни;

Чл. 14 (1) Право на преносимост на данните – позволява да получите вашата лична информация във формат, който ви позволява да прехвърлите тази лична информация на друга организация.

(2) За да упражните правото на преносимост, следва да изпратите списък с данните за които желаете да упражните на посочения имейл адрес за връзка с Администратора.

Чл. 15 (1) Възможността за заличаване на лични данни предоставя на потребители опцията да поискат техните лични данни да бъдат отстранени или премахнати от нашите системи и регистри. Тази възможност е приложима само при ясно определени обстоятелства и когато липсва задължение за задържане на информацията за фиксиран период съгласно действащото законодателство.

(2) Правото на регистрирания потребител да поиска заличаване на лични данни може да бъде реализирано чрез попълване на формуляр, наличен в раздел „Приложения“, в който трябва да бъдат посочени данните, които желаете да бъдат заличени.

(3) Използването на правото за отстраняване на данни няма да повлияе на законността на обработката на лични данни, която администраторът е извършвал до този момент.

Чл. 16 (1) Право на ограничаване на обработването на лична информация – Потребителите могат да искат да спрем използването на личната им информация. Това право обаче се прилага само при определени обстоятелства, както следва:

  1. Обработването е неправомерно, но Вие не желаете личните данни да бъдат изтрити, а само използването им да бъде ограничено;
  2. Администраторът не се нуждае повече от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на свои правни претенции;
  3. Възразили сте срещу обработването в очакване на проверка дали законните интереси на Администратора имат преимущество пред Вашите интереси.

Чл. 17 (1) Всеки регистриран потребител има възможност да поиска поправка на личните данни, които съхраняваме за него, ако те са неверни или непълни.

(2) Опцията на регистрирания потребител да поправи личните си данни може да се реализира чрез попълване на формуляр, достъпен в раздел „Приложения“, и изпращането му по електронна поща, като за целта е необходимо да съдържа следното минимално изисквано съдържание:

  1. Данни, които желаете да бъдат поправени;
  2. Данните, които желаете да въведете с цел исканата поправка.

Чл. 18 (1) В случай на установено от Администратора нарушение в сигурността на личните Ви данни, което застрашава правата и свободите на гражданите, Администраторът уведомява съответния/ите Потребител/и за това, както и за мерките, които са предприети или предстои да бъдат предприети.

(2) Горното не се прилага, ако Администраторът е предприел подходящи технически и организационни мерки за защита по отношение на данните;

  1. Получатели на данни

Чл. 19 (1) С оглед изпълнението или сключването на договора за покупко продажба от разстояние от страна на Администратора и осигуряване на пълноценната функционалност на уебсайта, е налице необходимост от предоставяне на Вашите лични данни на следните страни, които ги обработват и/или съхраняват:

  1. Служители, които отговарят за обработката и изпращането на отговори във връзка с получени запитвания чрез формата за контакт;
  2. Служители в счетоводния и правния отдел;
  3. Служители в техническия отдел, които предоставят услуги, свързани с поддръжката и развитието на уебсайта, включително по отношение на дигиталния маркетинг и реклама;
  4. Доставчик на услуги за хостинг;
  5. Държавни и регулаторни органи, при изрично изискване на базата на акт на държавен орган, съдебно решение или друг документ, издаден от държавен служител;
  6. Куриерски фирми, които доставят поръчки от онлайн магазина.

(2) Посочените лица, които обработват лични данни, спазват всички изисквания за законност и сигурност при тяхната обработка и съхранение.

(3) Третите страни, които имат достъп до данните, имат сключен договор за конфиденциалност с Администратора с цел осигуряване на безопасността на личните данни при тяхната обработка.

  1. Правила за съхранение и обработка на лични данни

Чл. 20 (1) Администраторът съхранява личните данни на потребителите за период, необходим за постигане на целите, за които са събрани, или за спазване на законови задължения. Срокът на съхранение се определя въз основа на приложимото законодателство, вида на данните и целите на обработката.

(2) След изтичане на срока за съхранение, личните данни се изтриват или анонимизират по начин, който не позволява идентифициране на потребителите, освен ако друго не е предвидено в закона.

(3) Администраторът предприема подходящи технически и организационни мерки за защита на личните данни от неправомерен достъп, загуба, унищожаване или увреждане. Тези мерки включват, но не се ограничават до, криптиране, контрол на достъпа, резервно копиране и редовно актуализиране на системите за сигурност.

Чл. 21 (1) Обработката на лични данни се извършва само на законово основание, като например съгласие на потребителя, изпълнение на договор, законово задължение или легитимен интерес на администратора.

(2) Администраторът обработва лични данни само за конкретни, ясни и законни цели и не ги обработва по начин, несъвместим с тези цели.

(3) Администраторът гарантира, че личните данни са точни и актуални, и предприема мерки за коригиране или изтриване на неточни данни.

Чл. 22 (1) Администраторът може да предава лични данни на трети лица, само ако това е необходимо за постигане на целите на обработката или ако е предвидено в закона. В такива случаи, администраторът гарантира, че третите лица спазват изискванията на GDPR и предприемат подходящи мерки за защита на данните.

(2) При предаване на лични данни на трети лица извън Европейското икономическо пространство, администраторът гарантира, че е налице адекватно ниво на защита или че са предприети подходящи мерки за защита на данните, като например стандартни договорни клаузи или правила за корпоративна обвързаност.

(3) Администраторът води регистър на дейностите по обработка на лични данни, който съдържа информация за целите на обработката, категориите данни, получателите на данни и сроковете за съхранение.

Чл. 23 (1) В случай на нарушение на сигурността на личните данни, администраторът уведомява компетентния надзорен орган и засегнатите потребители в съответствие с изискванията на GDPR.

(2) Администраторът съдейства на потребителите при упражняване на техните права съгласно GDPR, като например право на достъп, коригиране, изтриване, ограничаване на обработката, преносимост на данни и възражение.

  1. Заключителни разпоредби

Чл. 24 В случай на установяване на нарушение на правата Ви, произтичащи от настоящата политика или действащото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, съгласно установените процедури.

Чл. 25 (1) Настоящата Политика за поверителност подлежи на периодична актуализация от страна на Администратора, като за всяка промяна ползвателите на уебсайта ще бъдат уведомени по подходящ начин, включително чрез публикуване на съобщение на уебсайта или изпращане на електронно съобщение.

(2) Страните се съгласяват, че всяко допълнение и изменение на този документ ще има обвързваща сила за субекта на данните в един от следните случаи, според това кое от събитията настъпи първо:

  1. след изричното уведомяване от Администратора и ако субектът на данните не изрази несъгласие в рамките на 14-дневен срок от уведомяването;
  2. след публикуване на промените на уебсайта на Администратора и ако потребителят не изрази несъгласие в рамките на 14-дневен срок от публикуването;
  3. при изрично приемане на промените от субекта на данните.

(3) Всички спорове, възникнали във връзка с прилагането на настоящата Политика за поверителност, ще се разрешават по взаимно съгласие, а в случай на невъзможност за постигане на споразумение, споровете ще се отнасят за разглеждане пред компетентния съд в Република България.

Чл. 26 Настоящата Политика за поверителност влиза в сила от 01.04.2025 г. и е достъпна на уебсайта на Администратора.

Чл. 25 За всички неуредени от настоящата политика въпроси се прилагат разпоредбите на действащото законодателство на Република България и приложимото европейско законодателство.

  1. Приложения

Приложение №1 – Линк за сваляне
Приложение №2 – Линк за сваляне
Приложение №3 – Линк за сваляне
Приложение №4 – Линк за сваляне