Политика за поверителност

Политика за поверителност
на Тилтит ДС ООД

За Тилтит ДС ООД защитата на личните данни и осигуряването на прозрачност относно обработването им са приоритетни аспекти от дейността, поради което стриктно прилагаме настоящата Политика за поверителност.

1. Обща информация

Като администратор на лични данни, Тилтит ДС ООД, наричано по-нататък за краткост Администратор, отговаря на изискванията на влязлата в сила от 25 май 2018г. регулация за защита на личните данни (GDPR) .
Администраторът осъществява дейността си в съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

2. Информация относно Администратора на лични данни

Име: Тилтит ДС ООД
Вписване в публични регистри: ЕИК 205793240
Седалище, адрес на управление и извършване на дейността и адрес за кореспонденция:
София 1404 ул. "Шарл Шампо", №111 Б
Данни за контакт: [email protected], телефон +359 899 952 959

3. Информация за компетентния надзорен орган

Име: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон: 02 915 35 15, 02 915 35 18, 02 915 35 19
E-mail: [email protected], Уеб сайт: www.cpdp.bg

4. Основания и цели за събиране, обработване и съхраняване на Вашите лични данни

Администраторът събира и обработва лични данни на физическите лица, които са предоставени от тях пряко, или събрани автоматично, на основание чл. 6, ал. 1, Регламент (ЕС) 2016/679 въз основа на следното и само за посочените цели, а именно:

4.1. Изпълнение на задълженията на Администратор по договор, по който физическото лице, за което се отнасят данните, е страна, както и за изпълнението на пред-договорни задължения;
4.2. За предоставяне на услугите, предлагани в платформата MyCafé.bg и идентификация на физическите лица, като страна по договора и в качеството им на настоящи или бъдещи клиенти;
4.3. Създаване на профил в онлайн магазин MyCafé.bg и осигуряване на пълна функционалност при покупка онлайн на mycafe.bg
4.4. Въз основа изрично получено съгласие от физическото лице като ползвател на платформата MyCafé.bg;
4.5. Изпълнение на нормативно установено задължение на Администраторa, в съответствие с приложимото законодателство;
4.6. За целите на легитимния интерес на Администратора;
4.7. За осъществяване на контакт с физическото лице в отговор на запитване, чрез имейл или телефон, контактната форма на сайта или чрез приложението Messenger;
4.8. За доставка на закупените от физическото лице стоки;
4.9. За изпращане на информационен бюлетин, в който се съдържа информация за нови продукти, промоционални предложения, томболи, събития и др.;
4.10. Статистически цели за подобряване ефективността и функционалността на уеб сайта и
изготвяне на анонимизирани данни за начина, по който е бил използван;
4.11. За счетоводни цели;
4.12. Изпращане на техническа информация и предоставяне на техническо обслужване;

Администраторът няма право да обработва лични данни на физически лица за цели, различни от посочените.

5. Принципи при събирането, обработването и съхраняването на лични данни

Администраторът следва следните принципи при обработка на личните данни на физическите лица:

5.1. Законосъобразност, прозрачност и добросъвестност;
5.2. Ограничение на целите на обработване;
5.3. Съобразяване с целите и свеждане до минимум на събираните данни;
5.4. Точност и актуалност на данните;
5.5. Ограничаване на съхранението за период, не по-дълъг от необходимото за постигане на целите, за които се обработват личните данни;
5.6. Пълнота и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни, включително защита срещу неправомерно обработване и срещу случайна загуба, унищожаване или повреждане;

6. Видове лични данни, които Администраторът събира, обработва и съхранява

6.1. Администраторът не събира и не обработва „чувствителни“ лични данни, които се отнасят до следното: генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация; разкриват политически, религиозни или философски убеждения, или членство в синдикални организации; разкриват расов или етнически произход;

6.2. Физическите лица не трябва да предоставят такива чувствителни данни на Администратора, а в случаите, когато физическото лице умишлено предоставя такива данни, Администраторът се задължава да ги изтрие незабавно.

6.3. Администраторът обработва следните категории лични данни и информация за съответните цели и на следните основания:

6.3.1. При влизане в сайт mycafe.bg или в потребителския профил, Администраторът събира данни за използвания IP адрес, вид на устройството, от което физическото лице осъществява достъп до платформата (компютър, мобилен телефон, таблет и др.), операционната система, вид на браузъра, действията които физическото лице предприема, включително посетените страници, честотата и продължителността на посещенията на сайта, дата и час на посещенията. Това се прави с цел подобряване на сигурността на услугата и локализация на интерфейса, статистически и маркетингови проучвания. Обработването е необходимо за изпълнение на пред-договорни задължения или за изпълнение на договор, по който субектът на данните е страна - чл. 6, ал. 1, б. (б) от GDPR (ОРЗД). До създаването на профил на потребителя, основание е осъществяването на легитимните интереси на администратора – чл. 6, ал. 1, б. (е) от GDPR;

6.3.2. Физическите лица предоставят лични данни на Администратора, когато се свържат с Администратора по телефон, чрез контактната форма на сайта или чрез имейл. Администраторът събира и обработва името, телефония номер и адреса на електронната поща както и останалата информация, която лицето предоставя (ако се съдържа в изпратеното съобщение, напр. адрес на физическото лице). Тези данни се обработват с цел  комуникация с физическото лице. Обработването на тези лични данни е необходимо за реализирането на легитимните интереси на Администратора - изпълнение на пред-договорни задължения или за изпълнение на договор, отговаряне на получени обаждания и изпращане на имейли във връзка със запитвания, запазване на получените съобщения и др., на основание  чл. 6, ал. 1, б. (б), (е) от GDPR (ОРЗД).
Администраторът използва услугите на базирани в България доставчици на телефонни услуги и услугата електронна поща.

6.3.3. Физическите лица предоставят лични данни на Администратора когато извършат регистрация на уеб сайта с цел създаване на нов потребителски профил и когато закупуват продукти и услуги. Администраторът събира и обработва имената на физическото лице и адреса на електронната поща, а в случай на покупка и телефон и адрес. Целта е реализиране на легитимните интереси на Администратора, а именно: предоставяне на възможност да се поддържа регистриран профил, за да се запазват предпочитанията на физическото лице, като предпочитани стоки и с оглед сключване или изпълнение на договор за покупка на стоки; Изпълнение на законови задължения на Администратора – издаване на фактури.
Данните се съхраняват на облачна структура на доставчик на хостинг услуги (или негов поддоставчик), базиран в България.

6.3.4. Физическите лица предоставят лични данни на Администратора когато се абонират за получаването на информационен бюлетин. Администраторът събира и обработва адреса на електронната поща и името на физическото лице. Тези данни се обработват за целите на изпращане на лицето на актуални предложения за нови продукти, промоционални оферти и др. Основанието за обработване на данни е изричното съгласие на физическото лице. За изпращане на информационен бюлетини и управление на списъка с имейл адреси и абонати, администраторът използва доставчика Sendinblue  (https://www.sendinblue.com/) и/или доставчика MailChimp (https://mailchimp.com/), базиран в САЩ. Предаването на лични данни извън ЕИП следва да бъде в съответствие с чл.46 от Регламент (ЕС) 2016/679. MailChimp (The Rocket Science Group LLC) удостоверява, че е сертифициран според принципите на „Щита за личните данни в отношенията между ЕС и САЩ“ - https://www.privacyshield.gov/list. Политиката за поверителност на MailChimp е публикувана на адрес: https://mailchimp.com/legal/privacy/. Между администратора и MailChimp има сключен договор.
Политиката за поверителност на Sendinblue е публикувана на адрес: https://www.sendinblue.com/legal/privacypolicy/. Между администратора и Sendinblue има сключен договор.

6.3.5. Физическите лица предоставят лични данни на Администратора когато сe свързват с него чрез приложението са съобщения на Facebook – Messenger.  Тази функционалност е достъпна за ползвателите от всяка страница на уеб сайт mycafe.bg, както и от Facebook страницата на платформата с адрес www.facebook.com/MyCafe.bg/. Администраторът събира и обработва името на физическото лице, както и информацията, предоставена в съдържанието на съобщението. Целта е реализиране на легитимните интереси на Администратора за изпращане на отговор на получени съобщения, а също така и запазване на тези съобщения. Доставчикът на услугата е базиран в САЩ, което означава, че предоставените лични данни могат да бъдат съхранявани на сървъри на Facebook в САЩ. Предаването на лични данни извън ЕИП следва да бъде в съответствие с чл.46 от Регламент (ЕС) 2016/679. Facebook Inc. удостоверява, че е сертифициран според принципите на „Щита за личните данни в отношенията между ЕС и САЩ“ - https://www.privacyshield.gov/list. Политиката за поверителност на Facebоok е публикувана на адрес: https://www.facebook.com/policy.php .

6.4. Физическите лица могат да получат информация относно това как Администраторът използва бисквитки, като се запознаят с Политиката относно използването на “Бисквитки” (https://mycafe.bg/pages/cookie-policy)

7. Срок на съхранение на личните данни

7.1. Администраторът съхранява лични данни за срок не по-дълъг от съществуването на потребителския профил на ползвателя в платформата MyCafé.bg. След изтичането на този срок, Администраторът предприема необходимите мерки за изтриване и унищожаване на данните, своевременно и без ненужно забавяне, освен когато е необходимо да ги пази по силата на приложимото законодателство за съответния предвиден срок, който може да надхвърля срока на съществуване на потребителската регистрация в сайта mycafe.bg.

7.2. При осъществена кореспонденция чрез електронна поща, Facebook/Massenger, Viber: Администраторът съхранява личните данни и получените съобщения за периода, необходим за отговор или решаване на клиентски казус, и за период от една година, след последния отговор на Администратора на полученото съобщение.

7.3. При покупка на стока/услуга: Администраторът съхранява личните данни за срок от десет години, който е законово установеният срок за съхранение на документи според Закона за счетоводството.

7.4. При абонамент за информационен бюлетин: данни се съхраняват до отписването на лицето от опцията да получава бюлетин.

7.5. При добавяне на продукт в потребителската кошница и незавършена поръчка – Администратрът съхранява лични данни за период от 30 календарни дни.

8. Обработване на личните данни

8.1. Администраторът обработва личните данни посредством съвкупност от действия, които могат да бъдат извършвани и автоматично.

8.2. Администраторът обработва личните данни на физическите лица самостоятелно или чрез възлагане на обработващ данните от името на Администратора, за когото изисква и следи да прилага всички необходими технически и организационни мерки за защита на предоставените от Администратора данни, според изискванията на Регламент (ЕС) 2016/679 на ЕС и на Съвета и на националното законодателство. Обработващ данните на Администратора е КлаудКарт АД (ЕИК 206004146). 

8.3. Възможно е субектите на данни да са обект на профилиране, с цел предоставяните от Администратора услуги да бъдат адаптирани към нуждите на физическите лица, а също така и с цел подобряване на услугите. Такова профилиране ще се извършва на базата на специални правила, например целящи да изяснят към каква група стоки има интерес потребителят, и които да гарантират защита на интересите на субектите. Администраторът няма да взима автоматизирани решения с правни последици за субектите на данни въз основа на такова профилиране.

9. Мерки за сигурност

9.1. Администраторът създава необходимите предпоставки и условия и въвежда технически и организационни мерки, за да защити личните данни на физическите лица от случайни или незаконни действия като: унищожаване, загуба, достъп на трети лица, изменение, разпространение и други неправомерни форми на обработване.

9.2. Задължение на ползвателя е да опазва конфиденциалността на своите потребителско име и парола. Всяка трансакция се счита от страна на Администратора за редовна, ако при направата ѝ са използвани потребителско име и парола, които платформата е приела за валидни, независимо от това, дали същите са използвани от лице различно от физическото лице собствник на личните данни или от неоторизирано лице. 

10. Трети страни, на които могат да бъдат предоставяни лични данни 

Администраторът може да разкрива личните данни на физически лица на следните трети страни, като изисква и следи те да прилагат всички необходими технически и организационни мерки за защита на предоставените данни, според изискванията на Регламент (ЕС) 2016/679 на ЕС и на Съвета и на българското законодателство:

10.1. Куриерски и пощенски фирми, осъществяващи доставка на закупени стоки;

10.2. Доставчици на платежни услуги за осъществяване на плащане или възстановяване на суми;

10.3. Доставчици на SMS и Viber съобщения за уведомяване за статус на поръчка, доставка и др.;

10.4. Трети лица за целите на защита на легитимни интереси на Администратора по поддържане и подобряване качеството на услугата, отговаряне на законовите изисквания, защита на законни права и интереси в съдебни и административни производства;

10.5. Държавни органи и институции във връзка с извършвани от тях проверки в съответствие със законовите изисквания и ограничения;

10.6. Свързани с Администратора лица във връзка с ползване на споделени технически и човешки ресурси, преобразувания и други;

10.7. Външни сервизи за извършване на гаранционни ремонти на територията на Република България;

10.8. Търговски партньори – онлайн платформи за пазаруване и реклама за целите на популяризиране на продуктите и услугите предлагани от Администратора (напр. pazaruvaj.com);

10.9. Други лица, обработващи личните данни, които предоставят услуги в полза на бизнес дейностите на Доставчика, например счетоводител на Администратора;

10.10. Администраторът не извършва трансфер на вашите данни към трети държави или юридически лица извън Европейското икономическо пространство (ЕИП), нито на международни организации.
Изключение правят доставчиците на услуги на Администратора The Rocket Science Group LLC (MailChimp) и Facebook Inc. (виж т. 6.3.4. и т. 6.3.5. от настоящата Политика).

10.11. Администраторът не продава предоставени от физическото лице лични данни на трети страни.

11. Права на субекта на данните 

Право на оттегляне на съгласието за обработване на лични данни

11.1 Физическото лице има право по всяко време да оттегли даденото от него съгласие, ако не желае всички или част от неговите лични данни да продължат да бъдат обработвани от Администратора за конкретна или за всички цели на обработване.

11.2. Оттеглянето на съгласието няма ефект върху законосъобразността на обработването на лични данни, основано на дадено съгласие преди неговото оттегляне. Физическото лице може по всяко време да оттегли съгласието си за обработка чрез искане в свободен текст изпратено на [email protected] .

11.3. Субектът на данни може да оттегли съгласието си чрез искане в свободен текст изпратено на [email protected], по реда посочен в точка 12.2. от настоящата Политика или като избере опция „Отпиши ме” при получаването на информационен бюлетин.

11.4. Администраторът може да поиска от лицето да удостовери своята самоличност и идентичност с лицето, за което се отнасят данните.

11.5. С оттегляне на съгласието за обработване на лични данни, които са задължителни за създаването и поддържането на регистрация за използване на услугите в платформа MyCafé.bg, потребителският профил (акаунт) на физическото лице ще стане неактивен.

Право на достъп

11.6. Физическото лице има право да изиска и получи от Администратора потвърждение дали се обработват лични данни, свързани с него.

11.7. Лицето има право да получи достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на тези данни.

11.8. Администраторът предоставя при поискване, копие от обработваните лични данни, в електронна или друга подходяща форма.

11.9. Предоставянето на достъп до данните е безплатно. Администраторът си запазва правото да налага административна такса, в случай на прекомерна повторяемост на исканията.

Право на коригиране или допълване

11.10. Физическото лице има право да коригира или попълни неточните или непълните лични данни, свързани с него, директно чрез профила си в уебсайта или с отправяне на искане до Администратора.

Право на изтриване („да бъдеш забравен“)

11.11. Физическото лице има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие без ненужно забавяне тези данни, когато е приложимо някое от посочените в чл.17 от Регламент 2016/679 основания, а именно:

(а) Личните данни повече не са необходими за целите, за които са били събрани или обработвани;
(б) Лицето е оттеглило своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването им;
(в) Лицето е възразило срещу обработването на свързаните с него лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
(г) Личните данни са били обработвани незаконосъобразно;
(д) Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Администратора;
(е) Личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

11.12. Администраторът не е длъжен да изтрие личните данни, ако ги съхранява и обработва:

(а) За спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
(б) За целите на архивирането в обществен интерес за статистически цели;
(в) За установяването, упражняването или защитата на правни претенции;

11.13. За да упражни правото си на „забравяне“, физическото лице следва да подаде искане през опцията "Упражни правата си!" или писмено искане, изпратено до Администратора, както и да удостовери своята самоличност и идентичност с лицето, за което се отнасят данните , а при необходимост, да въведе своите данни за вход в профила на лицето, за което се отнасят данните, пред служител на Администратора.

11.14. Администраторът не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

Право на ограничаване

11.15. Физическото лице имат право да изиска от Администратора да ограничи обработването на свързаните с него лични данни, когато:

(а) Оспори точността на личните данни, за срок, който позволява на Администратора да провери точността на личните данни;
(б) Обработването е неправомерно, но лицето не желае личните му данни да бъдат изтрити, а само използването им да бъде ограничено;
(в)  Администраторът не се нуждае повече от личните данни за целите на обработването, но лицето ги изисква за установяването, упражняването или защитата на свои правни претенции;
(г) Лицето е възразило срещу обработването на личните му данни в очакване на проверка дали законните основания на Администратора имат преимущество пред неговите интереси.

Право на преносимост на данните

11.16. Физическото лице има право по всяко време да изтегли данните, свързани с него, които се съхраняват и обработват във връзка с използване на услугите на Администратора.

11.17.  Физическото лице може да поиска от Администратора директно да прехвърли неговите лични данни към посочен от лицето администратор, когато това е технически осъществимо.

Право на получаване на информация

11.18. Физическото лице може да поиска от Администратора да го информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити. Администраторът може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.

Право на възражение

11.19. Субектът на данни има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на данни, свързани с него, в случаите, когато обработването е необходимо за изпълнението на задача от обществен интерес, при упражняването на официални правомощия, предоставени на Администратора, когато обработването е необходимо за целите на легитимните интереси на Администратора или трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на физическото лице, които изискват защита на личните данни. Администраторът се задължава да прекрати обработването на лични данни, освен ако не докаже, че съществуват убедителни правни основания за него, които имат преимущество пред интересите, правата и свободите на физическото лице, или за установяването, упражняването или защитата на правни претенции.

11.20. Когато лични данни се обработват за целите на директен маркетинг или профилиране, физическото лице има право по всяко време да направи възражение срещу обработването на лични данни, отнасящо се до него за тези цели. Когато физическото лице възрази срещу обработване за целите на директен маркетинг, Администраторът прекратява обработването на личните данни за тези цел.

Права при нарушение на сигурността на личните данни на физически лица

11.21. Ако Администраторът установи нарушение на сигурността на личните данни, което може да породи висок риск за правата и свободите на физическите лица, той ги уведомявам без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети.

11.22. Администраторът не е длъжен да уведомява за нарушението, ако:

(а) Е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
(б) Е взел впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата и свободите на физическите лица;
(в) Уведомяването би изисквало непропорционални усилия.

Упражняване на правата

11.23. Физическите лица упражняват правото си на достъп, правото на изтриване, коригиране, правото на ограничаване на обработването, правото на преносимост на данните, правото на възражение и правата при профилиране, правото на оттегляне на съгласие, чрез писмено искане до Администратора, което се отправя лично от лицето.

11.24. Администраторът завежда исканията, получени от физическите лица в нарочен регистър.

11.25. Администраторът разглежда искането и предоставя на физическото лице информация относно предприетите действията във връзка с искането в срок от един месец от получаване му.

11.26. При необходимост, срокът по т. 11.25 може да бъде удължен с още два месеца, като Администраторът информира физическото лице за удължаването в срок от един месец от получаване на искането, както и за причините за забавянето.

11.27. Когато Администраторът не предприеме действия по искането, Администраторът уведомява лицето най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността лицето да подаде жалба до надзорния орган или потърси защита по съдебен ред.

12. Други разпоредби 

12.1. В случай на нарушени права според горепосоченото или приложимото законодателство за защита на личните данни, лицето има право да подаде жалба до компетентния орган - Комисията за защита на личните данни;

12.2. Лицето може да упражни всичките си права относно защита на лични данни във всякаква писмена форма, която съдържа изявление за това и го идентифицира като притежател на данните, като се свърже с Администратора на посочените данни за контакт или чрез секция Упражни правата си! в сайта.

12.3. Лицето може да възложи на Администратора да обработва лични данни на трето лице за целите на получаването или използването на продукта или услугата, като Администраторът действа в качеството на обработващ личните данни.

12.4. Политиката за поверителност може да бъде изменяна, допълвана и актуализирана по всяко време в бъдеще едностранно от Администратора. Изменената Политика ще бъде публикувана на сайта mycafe.bg като нова версия и влиза в сила от датата на публикуване. Използването на уеб сайта след публикуването на измененията в Политиката се счита за съгласие с извършените промени.

V02.20.11
V01.20.08