ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

1.ОБЩИ ПОЛОЖЕНИЯ
Чл. 1.(1) „ПАРМАШ“ АД (наричано по-долу за краткост „Дружеството“) е акционерно дружество, регистрирано в Търговския регистър при Агенцията по вписванията с ЕИК 040060959, със седалище и адрес на управление: Р. България, гр. Сливен, 8807, кв. Дебелата Кория, с основен предмет на дейност: Производство на стоки за бита от метал, пластмаса и дърво, и търговия със същите.
(2) Дружеството е администратор на лични данни, като обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им.
(3) Длъжностно лице по защита на личните данни е: Лиляна Захариева, имейл: l.zaharieva@parmash.com
Чл. 2. Настоящата политика за поверителност („Политиката“) предоставя информация за личните данни, които Дружеството обработва и за условията и реда, по който физическите лица, чиито лични данни се обработват, упражняват правата си.
Чл. 3. За целите на настоящата Политика:
1. „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2. „обработване” означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3. „ограничаване на обработването” означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
4. „псевдонимизация” означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
5. „регистър с лични данни” означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
6. „администратор” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
7. „обработващ лични данни” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
8. „получател” означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели”; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
9. „трета страна” означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
10. „съгласие на субекта на данните” означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
11. „нарушение на сигурността на лични данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
12. „надзорен орган” означава независим публичен орган, създаден от държава членка съгласно член 51 от Общия регламент относно защитата на данните.
Чл. 4. Принципите, свързани с обработването на личните данни са:
1. принцип на законосъобразност, добросъвестност и прозрачност на обработването на лични данни – събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;
2. принцип на свеждане на данните до минимум, както и на ограничение на целите и съхранението – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват за период не по-дълъг от необходимото за целите за които се обработват личните данни;
3. принцип на точност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се обработват;
4. принцип на цялостност и поверителност – личните данни трябва да се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобрано обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
Чл. 5. Лични данни на клиентите-физически лица на електронния магазин на Дружеството Пармаш АД се обработват в регистър „Контрагенти“ и по-специално в подрегистър „Потребители по ЗЗП“ и подрегистър „Продавачи SFP” и и регистър “Аудиозаписи”.
II. ПОДРЕГИСТЪР „ПОТРЕБИТЕЛИ ПО ЗЗП“
Чл. 6. (1) В подрегистър „Потребители по ЗЗП” се обработват следните категории лични данни:
1. IBAN на потребителя – за връщане на съответни суми при рекламации и/или отказ от договора.
2. телефон;
3. адрес;
4. име и фамилия;
5. имейл;
6. IP адрес – местоположение;
7. Номер на поръчката на потребителя
(2) Данните по ал. 1, т. 1, 2, 3, 5, 7 и 8 се обработват на основание чл. 6, ал. 1, буква б) от GDPR и с цел и изпълнение на договора от разстояние, сключен между Дружеството и потребител по смисъла на ДИРЕКТИВА 2011/83/ЕС НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 25 октомври 2011 година относно правата на потребителите, за изменение на Директива 93/13/ЕИО на Съвета и Директива 1999/44/ЕО на Европейския парламент и на Съвета и за отмяна на Директива 85/577/ЕИО на Съвета и Директива 97/7/ЕО на Европейския парламент и на Съвета, както и за целите на сключване на същия. Данните се обработват и с цел изпълнение на задълженията на Дружеството, произтичащи от българския Закон за счетоводството, който е достъпен на следния интернет сайт: https://www.minfin.bg/en/998?p=1
(3) Данните по ал. 1, т. 1, 2, 4, 5 и 6 се обработват с цел маркетингови дейности, след предоставено изрично съгласие за обработка с цел маркетингови дейности. Съгласието по преходното изречение се предоставя в електронна форма чрез отбелязване в началната страница на сайта на Дружеството или от профила на потребител в меню „Настройки“. Съгласието, предоставено по реда на тази разпоредба може да бъде оттеглено от потребител по всяко време чрез отбелязване в началната страница на сайта на Дружеството или от профила му в меню „Настройки“.
(4) При предоставено изрично съгласие в електронна форма чрез отбелязване в началната страница на сайта на Дружеството или от профила на потребител в меню „Настройки“ от потребител за обработка на личните му данни с цел маркетингови дейности, потребителят се съгласява данните, посочени в ал. 3 да се обработват с цел предлагане на стоки и услуги на потребителя по имейл, по телефон и/или чрез бюлетин, изпращан по имейл, допитване с цел проучване относно предлаганите стоки, както и за извършването на бизнес анализи, проследяване поведението на потребителите, предпочитанията на последните, както и реклама на предлагани от администратора продукти и услуги,
(5) Дружеството няма достъп до картови данни, както и до автентикационните данни при разплащане с кредитна или дебитна карта или чрез сметка в ePay.bg, и по никакъв начин не ги регистрира или съхранява.
(6) Данните по ал. 1, т. 6 се обработват с цел маркетингови дейности само след предоставено изрично съгласие за обработка с цел маркетингови дейности чрез използване на бисквитки. Съгласието по преходното изречение се предоставя в електронна форма чрез отбелязване в лентата долу в началната страница на сайта на Дружеството или от меню „Настройки на бисквитките“. Съгласието, предоставено по реда на тази разпоредба може да бъде оттеглено от потребител по всяко едно време чрез отбелязване в менюто „Настройки на бисквитките“.
(7) При предоставено изрично съгласие от потребител за обработка на личните му данни с цел маркетингови дейности чрез използване на бисквитки в електронна форма чрез отбелязване в лентата долу в началната страница на сайта на Дружеството или от меню „Настройки на бисквитките“., потребителят се съгласява данните, посочени в ал. 6 да се обработват с цел проследяване поведението му, предпочитанията на последния, както и реклама.
Чл. 7. (1) Личните данни в подрегистър „Потребители по ЗЗП“ се обработват на електронен носител.
(2) Личните данни по чл. 6, ал. 2 от Политиката се набират от самите потребители в специално разработен софтуер за поръчки и се съхраняват в електронен вариант в сървър, нает от Дружеството, находящ се в Република България, за срок от 10 години, считано от 1 януари на годината, следваща годината на възникване на съответното правоотношение, на основание чл. 12, ал. 1, т. 2 от българския Закон за счетоводството, който е достъпен на следния интернет сайт: https://www.minfin.bg/en/998?p=1 . След изтичане на срока за съхранение и при положение, че няма документи, подлежащи на предаване в Държавния архив на Република България, всички носители на данни от регистъра се унищожават чрез подходящ метод, вкл. и изтриване на резервните електронни копия.
(3) Личните данни по чл. 6, ал. 3 (с изключение нa IP адрес) от Политиката се набират от самите потребители в специално разработения софтуер за поръчки и се съхраняват за срокове, посочени по-долу в чл. 9, чл. 10, чл. 11, чл. 12 и чл. 13 от настоящата Политика.
Чл. 8. (1) Администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1 до т. 5 вкл. и т. 7 от настоящата Политика в под регистър „Потребители по ЗЗП“ на лица, назначени по трудово правоотношение. Правата и задълженията на отделните лица, обработващи данните, се посочват в съответната длъжностна характеристика.
(2) Администраторът предоставя минимален обем лични данни по чл. 6, ал. 1, т. 1, 3 и 5, за целите на куриерски услуги по изпълнение на договор за такава, на лицензирани куриерски дружества в съответната държава по местонахождение на потребителя.
(3) Достъп до лични данни на лице от под регистър „Потребители по ЗЗП“ се дава на трети лица по разпореждане на надлежен европейски правоохранителен орган, съд и/или на основание конкретен нормативен акт.
Чл. 9. (1) За целите на осигуряване на услуги по виртуална телефония или „облачна“ телефония (Cloud based VoIP telephony) и запис на всички телефонни разговори и съобщения, разменени между Дружеството и потребителите, и на основание договорно правоотношение между Дружеството и лицензиран доставчик на цитираните услуги, Администраторът е възможно да разкрие минимален обем личните данни по чл. 6, ал. 1, т. 1, 2, т. 4 и т. 5 от настоящата Политика пред доставчика на виртуалната или „облачна“ телефония (Cloud based VoIP telephony).
(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се във Федерална Република Германия и при спазване на изискванията на приложимото в ЕС и ЕИП законодателство по отношение на защитата на личните данни. Срокът за съхраняване на данните от обработващия по ал. 1 е до 6 (шест) месеца.
Чл. 10. (1) За целите на внедряване на тикетинг система при отдел „Клиентски център/Обслужване на клиенти“, вкл. запис на електронни съобщения от и до потребители и на основание сключен договор с такъв предмет, Администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1, 2, т. 4 и т. 5 от настоящата Политика на обработващ.
(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни, въз основа на стандартни договорни клаузи. Срокът за съхраняване на данните от обработващия по ал. 1 е до 6 месеца.
Чл. 11. (1) За целите на проучване на удовлетворението на Клиенти и на основание договор за предоставяне на тези услуги, Администраторът възлага обработването на минимален обем лични данни по чл. 6, ал. 1, т. 1, 2 и т. 6 от настоящата Политика на свой обработващ – Дружество със седалище в ЕС.
(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и въз основа на стандартни договорни клаузи. Срокът за съхраняване на данните от обработващия по ал. 1 е 90 (деветдесет) дни.
Чл. 12. (1) За целите на проучване на удовлетворението на Клиенти и на основание договор за предоставяне на тези услуги, Администраторът възлага обработването на минимален обем лични данни по чл. 6, ал. 1, т. 1, 2 и т. 8 от настоящата Политика на свой обработващ – Дружество със седалище в ЕС.
(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се в Дания. Обработването на лични данни се осъществява при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни, а при трансфер извън ЕС – въз основа на стандартни договорни клаузи. Срокът за съхраняване на данните по чл. 6, ал. 1, т. 2 е 30 дни, а другите данни автоматично се заличават от сървърите в срок от 6 месеца.