Политика за поверителност

От 25 май 2018 година е в сила европейският Общ регламент за защита на данните (GDPR), който установява единни стандарти за защита на личната информация на гражданите в Европейския съюз. Този нормативен акт има за цел да осигури високо ниво на защита на личните данни и да хармонизира практиките за тяхната обработка в рамките на общността. Като доставчик на цифрови маркетингови решения и консултантски услуги, ние прилагаме цялостен подход за съответствие с регламента, внедрявайки подходящи административни процедури и технологични решения, които гарантират сигурността и защитата на всяка информация, която ни доверявате в рамките на нашето сътрудничество.

Раздел I - Обща информация

Чл. 1 Данни за връзка с  Администратора, който обработва личните данни

Наименование: ДЕКВИЖЪН ЕООД

ЕИК: 207850512

Седалище и адрес на управление: гр. Пловдив, р-н Западен, ул. Георги Кирков № 59, ет. 2

Адрес за кореспонденция: гр. Пловдив, р-н Западен, ул. Георги Кирков № 59, ет. 2

Телефон: +359895414977 

Имейл адрес: marketing@deqvision.com

Чл. 2  За връзка с компетентния надзорен орган за защита на личните данни, може да използвате следните данни за контакт:

Наименование: Комисия за защита на личните данни

Адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2

Адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2

Телефон: +359 2 91 53 518

Интернет страница: www.cpdp.bg

Раздел II - Често използвани термини

Чл. 3. За целите на настоящата Политика за поверителност, следните термини имат следното значение:

  1. "Лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице.
  2. "Обработване на лични данни" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  3. "Администратор на лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
  4. "Обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
  5. "Субект на данни" означава идентифицирано или подлежащо на идентифициране физическо лице, за което се отнасят личните данни
  6. "Съгласие" на субекта на данни означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
  7. "Нарушение на сигурността на лични данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
  8. "Легитимен интерес" означава интерес на администратора или на трета страна, който е достатъчно основателен, за да оправдае обработването на лични данни, при условие че този интерес не накърнява интересите или основните права и свободи на субекта на данните.
  9. "Профилиране" означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, по-специално за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движения.
  10. "Бисквитки" означава малки текстови файлове, които се съхраняват на вашето устройство (компютър, таблет, смартфон и др.) при посещение на нашия уебсайт. Бисквитките помагат на Администратора да осигури правилното функциониране на уебсайта, да подобр вашето потребителско изживяване и да ви предостави персонализирано съдържание и реклами.

Раздел III - Правни основания за обработка на лични данни

Чл. 4. Администраторът обработва Вашите лични данни въз основа на следните правни основания съгласно чл. 6, параграф 1 от Регламент (ЕС) 2016/679 (GDPR):

  1. Съгласие - за получаване на маркетингови съобщения, информационни бюлетини и персонализирани препоръки
  2. Договор - за предоставяне на заявените от Вас услуги (видео одити, консултации, достъп до материали)
  3. Законово задължение - за изпълнение на счетоводни и данъчни задължения
  4. Легитимен интерес - за анализ на ефективността на услугите и подобряване на качеството им

Чл. 5. Администраторът извършва следните операции с предоставените от Вас лични данни за следните цели:

  1. Идентификационни данни (задължителни)

Конкретни примери: Име, фамилия, електронна поща, телефонен номер;
Източник: Данни, които предоставяте директно при регистрация или заявка за услуга; Цел: Идентификация и комуникация във връзка с предоставяне на услугите;

  1. Технически данни (автоматично събирани)

Конкретни примери: IP адрес, тип браузър, операционна система, данни от бисквитки, време на посещение;
Източник: Автоматично събиране при посещение на уебсайта;
Цел: Техническо функциониране и анализ на използването;

  1. Комуникационни данни (незадължителни)

Конкретни примери: Съдържание на чат съобщения, записи от видео консултации, обратна връзка;
Източник: Комуникация в рамките на предоставяните услуги;
Цел: Осигуряване на качествено обслужване и подобрения на предоставяните услуги;

  1. Данни за плащане (обработвани от трета страна)

Конкретни примери: Номер на банкова карта, срок на валидност, CVV код, име на картодържателя
Източник: Данни, които предоставяте директно при извършване на плащане
Цел: Обработка на плащания за заявените услуги
Обработка: Тези данни се събират и обработват директно от нашия доставчик на платежни услуги Stripe Inc.

(2) Администраторът не събира и обработва специални категории лични данни по смисъла на чл. 9 GDPR.

Чл. 6 При обработването на Вашите лични данни ние спазваме следните принципи:

  1. Законосъобразност, добросъвестност и прозрачност;
  2. Ограничение на целите на обработването;
  3. Свеждане на данните до минимум в съответствие с целите;
  4. Ограничение на съхранението с оглед постигане на целите;
  5. Точност и актуалност на данните;
  6. Цялостност и поверителност на обработването и гарантиране на сигурността им;

Раздел IV - Период на съхранение на личните данни. Мерки за съхранение и обрабтока на лични данни. 

Чл. 7. (1) Администраторът съхранява Вашите лични данни единствено за времето, необходимо за изпълнение на целите, описани в тази Политика, или когато законът изисква по-продължително съхранение. При определяне на конкретните срокове за съхранение вземаме предвид множество фактори:

  1. Договорни отношения и правни претенции - времетраенето на предоставяне на маркетинговите консултации и видео одитите, необходимостта от защита при евентуални спорове или рекламации;
  2. Нормативни изисквания - задължения за архивиране на счетоводна документация и бизнес кореспонденция според българското законодателство;
  3. Качество на услугите - време, необходимо за проследяване ефективността на препоръчаните маркетингови стратегии, осигуряване на продължителна поддръжка и усъвършенстване на методологията;
  4. Технологични възможности - оценка на опциите за анонимизиране или псевдонимизиране на данните, позволяващи тяхното използване за аналитични цели без възможност за персонална идентификация.

(2) Конкретните периоди за съхранение на различните категории данни са както следва:

  1. Финансови данни и документи за услуги - 5 години от извършване на последната транзакция (съгласно изискванията на Закона за счетоводството);
  2. Маркетингови комуникации и newsletter абонаменти - до момента на изрично оттегляне на съгласието или 24 месеца при липса на взаимодействие;
  3. Данни от проследяващи технологии (cookies, пиксели) - между 6 месеца и 24 месеца в зависимост от вида и целта на технологията;
  4. Записи от консултации и чат комуникации - 12 месеца след приключване на активното обслужване за гарантиране на качеството и приемственост.

Чл. 8. Посочените времеви рамки са резултат от внимателно претегляне на правните изисквания, бизнес потребностите и Вашите основни права като субект на данни, като Администраторът винаги отдава приоритет на принципа за минимизация периода на съхранение.

Чл. 9. (1) При настъпване на съответния краен срок, Администраторът предприема незабавни действия за окончателно унищожаване или анонимизиране на Вашите лични данни.

(2) Процедурата по изтриване се осъществява чрез сертифицирани методи за сигурно унищожаване, гарантиращи невъзможност за последващо възстановяване или неоторизиран достъп до информацията.

(3) В ситуации, където пълното заличаване е технически неосъществимо или противоречи на обосновани бизнес интереси, Администраторът прилага техники за анонимизация, елиминиращи всякаква възможност за идентификация  на Вас, в качеството Ви на физическо лице.

(4) За периодите на съхранение на данните от платежния процесор Stripe се прилагат техните собствени политики за съхранение, като последните 4 цифри от картата се запазват в счетоводните системи, съгласно законовите изисквания.

Чл. 10 (1) Администраторът прилага комплексни технически и организационни защитни мерки, осигуряващи подходящо ниво на сигурност спрямо рисковете за правата и свободите на физическите лица.

(2) Технически мерки включват SSL/TLS криптиране за всички данни при предаване и AES-256 криптиране при съхранение, многофакторно удостоверяване (MFA) за достъп до системите, мрежова защита чрез конфигурирани защитни стени и други. 

(3) Организационните ни мерки обхващат ограничен достъп по принципа "need-to-know" само за необходимите служители, задължително обучение на персонала по защита на данните и информационна сигурност, документирани процедури за обработка, съхранение и изтриване на лични данни.

(4) При нарушение на сигурността с висок риск за вашите права ще ви уведомим без неоправдано забавяне, включвайки:

  1. описание на характера и обхвата на инцидента;
  2. контактни данни на нашия отговорник по защита на данните;
  3. вероятни последствия и препоръки за защитни действия;
  4. предприети мерки за ограничаване на въздействието.

(5) Компетентните органи (КЗЛД) ще бъдат уведомени в рамките на 72 часа от установяване на инцидента съгласно изискванията на GDPR.

Раздел V - Лица, които имат достъп до Вашите лични данни

Чл. 11. (1) Във връзка с изпълнение на договора от страна на Администратора и предоставяне на пълната функционалност на уебсайта, последният може да предоставя Ваши данни на следните субекти, които обработват лични данни:

  1. Служители, които отговарят за обработването на заявките, изпране на материалите или организация на консултациите
  2. Служители в счетоводен отдел и правен отдел;
  3. Доставчик на хостинг услуги; 
  4. Държавни и регулаторни органи;

Цели на обработването на лични данни: 

  1. Обработване на данните за поръчката
  2. Обработка на счетоводна документация, в изпълнение на задълженията на Администратора съгласно приложимото законодателство;
  3. Защита на легитимния и правен интерес на дружеството, във връзка с осъществяваната от него търговска дейност; 
  4. Предоставянето на услуги на информационното общество, вкл. Изпълнение на цифровата услуга;
  5. Отчетност пред държавни и регулаторни органи, както и при наличие на подадени жалби във връзка с дейността на дружеството; 

(2) Посочените лица, които обработват лични данни спазват всички изисквания за законност и сигурност при тяхното обработване и съхраняване.

Раздел VI - Права на Потребителя при събирането, обработването и съхранението на лични данни. Оттегляне на съгласието за обработване на личните данни.

Чл. 12. В качеството си на субект на лични данни, Вие разполагате с пълен набор от права, предвидени в Общия регламент относно защитата на данните (GDPR), които можете да упражните по всяко време спрямо Администратора на данни.

Чл. 13. Можете да упражните следните основни права: да получите достъп до личните си данни и свързаната информация; да поискате коригиране на неточни или непълни данни; да поискате изтриване при определени условия; да поискате ограничаване на обработването; да получите данните в преносим формат; да възразите срещу обработване и да не подлежите на автоматизирано вземане на решения.

Чл. 14. (1) Имате право да получите от нас потвърждение дали се обработват лични данни, свързани с Вас, както и достъп до личните данни и информация за целите на обработването, категориите данни, получателите и сроковете за съхранение.

(2) При упражняване на правото на достъп ще Ви предоставим копие от личните данни. За допълнителни копия можем да наложим разумна такса въз основа на административните разходи. При електронна заявка информацията ще бъде предоставена в електронна форма, освен ако не поискате друго.

Чл. 15. (1) Имате право да поискате коригиране на неточни лични данни или допълване на непълни данни чрез предоставяне на допълнително изявление.
(2) При корекция ще уведомим всички получатели, на които са били разкрити Вашите данни, освен ако това е невъзможно или изисква несъразмерни усилия.

Чл. 16. (1) Можете да поискате изтриване на личните си данни когато данните не са вече необходими за първоначалните цели, оттеглите съгласието си без друго правно основание, възразите срещу обработването, данните са обработвани незаконосъобразно или изтриването е необходимо за спазване на правно задължение.

(2) Правото на изтриване не се прилага когато обработването е необходимо за спазване на правно задължение или за установяването и защитата на правни претенции.

Чл. 17. (1) Можете да поискате ограничаване на обработването когато оспорвате точността на данните, обработването е неправомерно но не желаете изтриване, данните са нужни за правни претенции или сте възразили срещу обработването докато се провери приоритета на основанията.
(2) При ограничено обработване данните се обработват само за съхранение, с Вашето съгласие или за правни претенции.

Чл. 18. (1) За данни обработвани въз основа на съгласие или договор по автоматизиран начин имате право да ги получите в структуриран, широко използван и машинно четим формат и да ги прехвърлите на друг администратор.
(2) Можете да поискате данните да бъдат прехвърлени директно на друг администратор, когато това е технически осъществимо.

Чл. 19. (1) Имате право на възражение срещу обработване на базата на легитимен интерес, включително профилиране. В такъв случай прекратяваме обработването, освен ако не докажем убедителни законови основания с приоритет над Вашите интереси.
(2) При обработване за директен маркетинг имате абсолютно право на възражение по всяко време, след което данните не могат да се обработват за тези цели.

Чл. 20. Понастоящем не използваме системи за автоматизирано вземане на решения с правни последици. При въвеждане на такива системи ще актуализираме политиката и ще Ви уведомим.

Чл. 21. (1) За упражняване на правата си можете да подадете заявление чрез електронна поща, като ясно посочите желаното право.
(2) При подаване на заявление е необходимо да се идентифицирате по подходящ начин за предотвратяване на неправомерен достъп до данните.

Чл. 22. Можете да възразите срещу маркетингови съобщения чрез бутона "Отпиши се" във всеки имейл или чрез директна комуникация с нас.

Раздел VII - Международен трансфер на данни

Чл. 23. (1) Като общо правило Вашите лични данни се съхраняват и обработват в целия Европейски съюз и Европейското икономическо пространство (ЕИП)

(2) Ако установим, че една от тези мерки не е достатъчна, за да се осигури адекватно ниво на защита, за всеки отделен случай, Администраторът приема допълнителни технически и/или организационни мерки за сигурност в съответствие с препоръките на Европейската комисия.

Чл. 24. (1) В определени случаи е възможно личните Ви данни да бъдат обработвани извън границите на Европейското икономическо пространство („ЕИП“), когато това е необходимо за използването на външни доставчици на услуги или технологични платформи, чието местоположение е извън ЕИП.
(2) Такива трансфери се извършват само при наличие на законова основа и при гарантиране на адекватно ниво на защита, равностойно на това, което се предоставя в рамките на ЕИП.

Чл. 25. (1) Лични данни могат да бъдат прехвърляни към следните държави извън Европейското икономическо пространство (ЕИП):

  1. Съединените американски щати (САЩ) – във връзка с използването на:
    1. Аналитични инструменти като Google Analytics,
    2. рекламни и маркетингови платформи като Google Ads и Meta/Facebook Ads,

(2) В контекста на тези услуги, Администраторът предава определени технически и поведенчески данни (напр. IP адрес, идентификатори на устройства, данни за взаимодействие с уебсайта) към Google LLC, която действа в качеството на получател на данни извън ЕИП.
(3) Прехвърлянето към Google LLC се извършва при наличие на валидни правни основания, включително Стандартни договорни клаузи (SCC), както и в съответствие със сертификацията на Google по механизма EU–US Data Privacy Framework, когато е приложим.
(4) За защита на правата и интересите на субектите на данни са приложени допълнителни технически мерки, включително IP маскиране и ограничаване на свързването на поведенчески данни с други идентификатори.

Раздел VIII - Използване на бисквитки и технологии за проследяване

Чл. 26. За оптимизиране функционалността на платформата и осигуряване на персонализирано потребителско преживяване, нашият уебсайт прилага бисквитки и подобни проследяващи технологии, които се задействат при навигация в сайта. Тези инструменти ни позволяват да идентифицираме Вашето устройство и да запазваме специфична информация относно Вашите предпочитания и навиците при ползване.

Чл. 27. (1) При инициално посещение на платформата ще бъдете уведомени чрез ясно съобщение за използването на бисквитки, придружено от опции за контрол върху тяхното разрешаване.

(2) Всеки раздел от уебсайта осигурява достъп до панел за управление на поверителността, посредством който можете да модифицирате или да отмените разрешенията за определени технологии когато пожелаете.

(3) Допълнително, имате възможност да ограничите или изчистите запазените бисквитки чрез настройките на Вашия уеб браузър, според личните Ви предпочитания.

Раздел IX - Заключителни разпоредби

Чл. 28. При нарушаване на Вашите права според описаното по-горе или съгласно действащото законодателство за защита на данните, можете да подадете сигнал до Комисията за защита на личните данни по следния начин:

Адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2

Телефон:  02/91-53-518

Интернет страница: www.cpdp.bg

Чл. 29. (1) Тази Политика за поверителност може да се актуализира от нас, като всички потребители ще бъдат информирани по подходящ начин за промените.

(2) Всяка корекция или допълнение към документа влиза в сила спрямо Вас при настъпване на първото от следните обстоятелства:

  1. след директно уведомяване от наша страна, ако не заявите в предоставения 14-дневен период че отхвърляте промените, или
  2. след публикуване на промените в нашия уебсайт, ако не заявите възражение в рамките на 14 дни от публикуването, или

Чл. 30 За въпроси, които не са регламентирани в настоящия документ, се прилагат разпоредбите на приложимото право, вкл. Закона за защита на личните данни и Регламент (ЕС) 2016/679 (GDPR)