ВЪТРЕШНИ ПРАВИЛА
на „Хийт Нутришън” ЕООД
за поверителност и защита на личните данни съгласно Регламент 2016/679
I. Обща информация
От 25 май 2018г. влизат в сила изискванията описани в Регламент за защита на личните данни 2016/679, приет от Европейския съюз. Регламентът има за цел да гарантира защитата на данните на физическите лица от всички държави членки на ЕС и да уеднакви регулациите за тяхната обработка.
В качеството си на администратор на лични данни по администриране, управление и поддръжка на Интернет сайт www. heatfood.bg (наричан по – долу Сайта), Хийт Нутришън ЕООД отговаря на всички международни изисквания свързани с новата регулация. Дружеството събира данни на лицата, използващи Сайта, единствено за предоставяне на предлаганата услуга. В допълнение Хийт Нутришън ЕООД пази отговорно и законосъобразно събраните лични данни на своите клиенти.
II. Въведение
Настоящите Вътрешни правила за поверителност и защита на лични данни, наричани по – долу „Вътрешни правила“ регулират обработването на лични данни на физически лица или представители на юридически лица, които са клиенти на Дружеството или потенциални такива, както и потребители на www.heatfood.bg, във връзка с услугите, предоставяни от „Хийт Нутришън“ ЕООД, включително предоставяни чрез и достъпни на Сайта. Настоящите вътрешни правила, заедно с Общите условия за ползване на www.heatfood.bg, и всякакви други документи, които са упоменати на Сайта, определят правилата, които „Хийт Нутришън“ ЕООД ще спазва при обработването на лични данни, които събира от своите клиенти, или които те ни предоставят. Настоящите Вътрешни правила не засягат, не ограничават и не отменят правата, произтичащи от Закона за защита на личните данни („ЗЗЛД”) или друго относимо законодателство.
Всяко лице е необходимо предварително да се запознае с настоящите вътрешни правила преди да използва Сайта или да предоставя личните си данни, независимо дали по електронен път на Сайта или на хартиен носител. Предоставянето на лични данни от страна на клиентите е доброволно, с оглед използването на определени, предоставяни от нас услуги и използването на Сайта и/или достъп до него, както и с оглед онлайн пазаруване на Сайта. То автоматично води до съгласие с Общите условия на Дружеството. В определени случаи, Дружеството няма да може да предостави услугата и/или да продаде стоката, която е поискана от страна на клиент, ако необходимата информация не бъде предоставена. Предоставянето на съгласие за обработване на лични данни може да не е необходимо в конкретни случаи, ако „Хийт Нутришън“ ЕООД разполага с друго правно основание, например изпълнение на нормативно установени задължения.
III. Общи положения
1. (1) „Хийт Нутришън“ ЕООД, наричан по-долу само „Дружеството“, е юридическо лице, регистрирано в Търговски регистър на Република България с БУЛСТАТ 205009820.
(2) Хийт Нутришън ЕООД е със седалище в гр. София и адрес на управление: гр. София, бул. Цар Борис III, бл. 210А.
(3) Като юридическо лице, възникнало по силата на закона, Дружеството осъществява дейностите, предвидени в Търговския закон, Закона за задълженията и договорите и други нормативни актове, регламентиращи дейността на търговските дружества.
(4) „Хийт Нутришън” ЕООД като администратор на лични данни спазва принципите за защита на личните данни на своите клиенти, предвидени в Общия регламент относно защитата на данните (ЕС) 2016/679 и законодателството на Европейския съюз и Република България. Настоящите вътрешни правила уреждат организацията на обработване и защита на лични данни на работниците/служителите, включително и на кандидатите за работа в Дружеството, на контрагентите и партньорите на Дружеството, както и на всички други групи физически лица, с които Дружеството влиза в отношения при осъществяване на своята дейност.
2. (1) „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на
данни“). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име,
идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната,
психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
(2) „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или
други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
(3) „Регистър с лични данни“ представлява всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
3. (1) Принципи за защита на личните данни са:
▪ Законосъобразност, добросъвестност и прозрачност – обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
▪ Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели;
Свеждане на данните до минимум – данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
▪ Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
▪ Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
▪ Цялостност и поверителност – обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
▪ Отчетност – администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.
(2) Ако конкретната цел или цели, за които се обработват лични данни от „Хийт Нутришън“ ЕООД, не изискват или вече не изискват идентифициране на субекта на данните, Дружеството не е задължено да поддържа, да се сдобие или да обработи допълнителна информация, за да идентифицира субекта на данните, с единствена цел да докаже изпълнението на изискванията на Регламент 2016/679.
4. „Хийт Нутришън“ ЕООД организира и предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване на лични данни.
5. Личните данни се събират за конкретни, точно определени от закона цели, обработват се законосъобразно и добросъвестно и не могат да се обработват допълнително по начин, несъвместим с тези цели. По-нататъшното обработване на личните данни за целите на архивирането в обществен интерес, за научни, исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.
IV. Обработка на лични данни
1. „Хийт Нутришън“ ЕООД може да обработва публично достъпните лични данни и/или лични данни, предоставени от страна на своите клиенти. Основните видове лични данни, които се обработват са:
◦ Информация за лична идентификация (вкл. име, имейл адрес, език за комуникация и други);
◦ Данни за контакт (вкл. пощенски и електронен адрес, телефонен номер или посочено лице за контакт, и други);
◦ Финансова информация (банкова сметка и други);
◦ Информация за представител (законен представител или пълномощник на такъв) на юридическо лице – клиент на Дружеството;
◦ Данни от профил в Сайта (вкл. име, пощенски и електронен адрес, телефонен номер, дата на раждане и др.);
◦ Данни за сключване на договори за продажба, дилърство, продажби на едро, отложено плащане и др. с физически или юридически лица (като имена, ЕГН и др.).
2. „Хийт Нутришън“ ЕООД може да обработва данни, изготвени и генерирани от www.heatfood.bg в процеса на предоставяне на предлаганите от Дружеството услуги:
◦ Данни за използваното крайно електронно съобщително устройство, вида на устройството, използваната операционна система, IP адрес, местоположение;
◦ Данни за предпочитаните от клиентите стоки и услуги;
◦ Данни от комуникацията между Дружеството и неговите клиенти, преференциите, удовлетвореността на клиентите от предлаганите услуги (активност при използване на услугите, оплаквания, заявки и др.);
◦ Информация относно посещения на Сайта и използването на Сайта, включително операции и история за използване на Сайта;
◦ Данните, получени при изпълнението на задълженията, произтичащи от нормативните актове (т.е. данни, произтичащи от запитвания, регулации, разследващи органи, нотариус, данъчни служби, съд, съдия изпълнител);
3. „Хийт Нутришън“ ЕООД не събира съзнателно лична информация от деца на възраст под 16 години. В случай, че се установи събиране на лична информация на дете на възраст под 16 години, ще бъдат предприети необходими мерки за незабавното й изтриване или за получаване на съгласие на лицето, носещо родителска отговорност за детето.
4. С цел осигуряване на доброто изпълнение на услугите и на задълженията произтичащи от договорите сключени с клиенти на Дружеството, „Нийт Нутришън“ ЕООД има право да обработва всяка информация, която е налична в публични регистри (вкл. публична база данни и данни, оповестени в Интернет пространството) както и информация, получена от трети страни по повод изпълнение на законни разпоредби, относно клиенти.
5. „Хийт Нутришън“ ЕООД има право и задължение да провери верността на личните данни, записани в базата данни, като за целта изисква от своите клиенти да верифицират данните и при необходимост, да ги коригират или потвърдят верността на данните си.
6. Различните видове лични данни могат да се обработват самостоятелно или в комбинация помежду им.
V. Цели и правни основания за обработване на лични данни
1. „Хийт Нутришън“ ООД обработва лични данни, необходими за сключване или изпълнение на договори или във връзка с подготовка за сключване на договори с Дружеството, свързани със следните цели:
◦ Идентифициране на клиент при: сключване на нов или изменение на съществуващ договор с нас; разяснения за ползваните услуги; изпълнение на сключен договор.
◦ Изготвяне на предложения за сключване на договори, изпращане на преддоговорна информация и проект на договор; управление на пред продажбени дейности;
◦ Данни, получени от клиенти при изпълнение на задължения, които произтичат от договори, сключени с физическо или юридическо лице, упражняване на права и осигуряване изпълнението на договори от страна на клиенти на Дружеството;
◦ Администриране и отговор на клиентски оплаквания/запитвания/жалби/рекламации; връщане на суми и стоки; замяна на продукт;
◦ Техническо съдействие за създаване на акаунт/и и възстановяване на забравена парола за достъп до Интернет сайт www.heatfood.bg, поддържан от „Хийт Нутришън“ ЕООД, за електронно обслужване на електронни фактури.
◦ Идентификация и валидация на предвидената от закона възраст при онлайн пазаруване;
◦ Плащане на задължения, разсрочване на дължими суми; управление на събиранията на вземанията;
◦ Гаранционно и сервизно обслужване;
◦ Обновяване на предложения към дилъри; споделяне на важна информация във връзка с промени в нашата политика и друга административна информация;
◦ Управление и администриране на дейности при онлайн пазаруване; управление на плащанията.
2. В изпълнение на своите законови задължения, „Хийт Нутришън“ ЕООД обработва личните данни на своите клиенти за следните цели:
◦ Издаване на фактури;
◦ За извършване на данъчно – осигурителен контрол от съответните компетентни органи;
◦ Изпълнение на задължения във връзка с продажбата на предлагани стоки от разстояние, продажбата извън търговския обект, предвидени в Закона за защита на потребителите;
◦ Предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 от 27 април 2016 година и др.;
◦ Задължения, предвидени в Закона за счетоводството и Данъчно – осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство.
3. „Хийт Нутришън“ ЕООД обработва съответните данни, предоставени с изрично писмено съгласие на клиента за тяхното обработване за следните цели:
◦ Създаване и управление на личен профил в Сайта;
◦ Tехническо съдействие за създаване на профил/и и възстановяване на забравена парола за достъп до Сайта, който Дружеството поддържа;
◦ Директен маркетинг на продукти и услуги;
◦ Участие и управление на анкети, игри с подаръци, промоционални кампании и др.;
4. Обработването е необходимо за целите на легитимните интереси на „Хийт Нутришън“ ЕООД, описани както следва
◦ Оценка и установяване на удовлетвореността на потребителите, както и ефективността на рекламата, която Дружеството предлага към своите клиенти, както и да отговори на очаквания им, като представи адекватна реклама;
◦ Aнализ на данните за история на покупките, предпочитанията и поведението на клиентите;
◦ Гарантиране качеството на обслужване на своите клиенти.
5. Категории трети лица, които получават достъп и обработват личните Ви данни:
◦ Транспортни/куриерски фирми, пощенски оператори с оглед изпълнение на задълженията на „Хийт Нутришън“ ЕООД, изпращане на кореспонденции и комуникации, във връзка с договора между Дружеството и клиентите му, сключен с цел изпращане на закупени стоки;
◦ Лица, които по възлагане на „Хийт Нутришън“ ЕООД поддържат оборудване и софтуер, използвани за обработване на личните Ви данни;
◦ Доставчици на услугата за събиране на дългове, нотариус, адвокат, съдебен изпълнител или друго трето лице, ако клиентът е нарушил задължението, произтичащо от договор, който е сключен с Дружеството;
◦ Банките, обслужващи плащанията, извършени от и към клиенти на Дружеството;
◦ Лица, на които „Хийт Нутришън“ ЕООД е предоставил изпълнението на част от дейностите или задълженията, свързани с конкретна услуга, която дължи към клиентите си; лица обработващи лични данни, които въз основа на договор, сключен с „Хийт Нутришън“ ЕООД;
◦ Лица, извършващи консултантски услуги в различни сфери – адвокати, счетоводители, маркетингови агенции др.;
◦ Органи, институции и лица, на които Дружеството е длъжно да предоставя лични данни по силата на действащото законодателство.
VI. Съхраняване на лични данни
Продължителността на съхранение на личните данни на клиентите на Дружеството зависи от целите на обработването, за които са събрани:
1. Личните данни, обработвани с цел сключване/изменение и изпълнение на договори между “Хийт Нутришън“ ЕООД и физическо лице/юридическо лице се съхраняват за срока на действие на съответния договор и до окончателното уреждане на всички финансови отношения между страните. „Хийт Нутришън“ ЕООД може да съхранява някои от личните данни на своите клиенти/контрагенти и за по-дълъг срок до изтичане на съответната погасителна давност с цел защита при евентуални претенции от тяхна страна във връзка с изпълнение/прекратяване на сключени договори, както и за по-дълъг срок в случай на възникнал правен спор до окончателното му решаване с влязло в сила съдебно /арбитражно решение;
2. Личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно–осигурителния контрол, като но не само – фактури, дебитни, кредитни известия, приемо-предавателни протоколи, договори за предоставяне на услуги/стоки се съхраняват поне 5 години след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство не предвижда по – дълъг срок.
3. Личните данни, обработвани с цел директен маркетинг – до изричното оттегляне на даденото съгласие за директен маркетинг или получаване на възражение за обработване на лични данни за директен маркетинг.
VII. Права на клиентите, във връзка с обработването на техните лични данни
1. Общи права
Във връзка с обработване на лични данни, всеки клиент на Дружеството има следните права, които може да упражни във всеки един момент, докато Дружеството съхранява или обработва личните му данни, като изпрати заявление на адреса на управление на „Хийт Нутришън“ ЕООД, посочен по-горе, или по електронен път на и-мейл адрес: www.heat.healthyfood@gmail.com. В тази връзка всеки клиент има право да поиска от “Хийт Нутришън“ ЕООД:
◦ Копие от личните си данни и достъп по всяко време до тях;
◦ Коригиране, без ненужно забавяне, неточности в данните, както и данните, които не са вече актуални;
◦ Личните си данни във вид удобен за прехвърляне на друг администратор на лични данни, или Дружеството да го направи, без да бъдете възпрепятствани от страна „Хийт Нутришън“ ЕООД (право на преносимост);
◦ Личните му данни да бъдат изтрити без ненужно забавяне при наличието на някое от законовите основания за това;
◦ Да ограничи обработването на личните му данни, като в този случай данните му ще бъдат само съхранявани, но не и обработвани. Отказ от страна на „Хийт Нутришън“ ЕООД за ограничаване ще е изрично упоменат само в писмен вид, като Дружеството е длъжно да мотивира своето решение със законосъобразна причина.
2. Допълнителни права на всеки клиент на Дружеството:
◦ Да оттегли своето съгласие за обработка на личните им данни по всяко време с отделно искане, отправено до „Хийт Нутришън“ ООД, при наличие на предварително предоставено съгласие за обработка;
◦ Да възрази срещу обработването на личните му данни и автоматизирана обработка, включително профилиране;
◦ Да не бъда обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.
◦ Да подаде жалба до надзорния орган, като компетентният за това орган е Комисия за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” №2 (www.cpdp.bg).
◦ Да възрази срещу обработването на личните му данни за целите на директния маркетинг и реклама, както и срещу разкриването им на трети лица и използването им от тяхно име за целите на директния маркетинг и реклама, като оттегли даденото съгласие по всяко време. За целта е необходимо да се изпрати електронно съобщение със съответното искане за преустановяване на използване на данните на съответния клиент за целите на директния маркетинг на адрес: www.heat.healthyfood@gmail.com
VIII. Защита на личните данни
„Хийт Нутришън“ ЕООД прилага организационни, физически, информационно технологични и други необходими мерки, за да гарантира сигурността и защитата на личните данни на своите клиенти, както и извършване на мониторинг на обработване на наличните лични данни.
„Хийт Нутришън“ ЕООД предприема следните мерки за сигурност:
• Изискванията за обработка, регистрация и съхранение на лични данни са установени с вътрешните процедури, спазването на които се наблюдава постоянно;
• Достъпът на служителите на „Хийт Нутришън“ ЕООД до лични данни и разрешението за обработка на лични данни в базата данни на Дружеството е ограничен, в зависимост от задълженията им;
• „Хийт Нутришън“ ЕООД е установило задължения за поверителност за своите служители;
• Достъпът до офис оборудването на „Хийт Нутришън“ ЕООД и компютрите на всеки служител е ограничено.
• Дружеството прилага всички необходими организационни и технически мерки, предвидени в Закона за защита на личните данни, както и най-добрите практики от международни стандарти;
• С цел максимална сигурност при обработка, пренос и съхранение на личните данни на своите клиенти, Дружеството може да използва допълнителни механизми за защита като криптиране, псевдонимизация и др. Мерките за сигурност, които се прилагат, са обект на постоянно подобряване и адаптация към най-съвременните технологии.
IX. Права и задължения на лицата, обработващи личните данни
1. Длъжностно лице по защита на данните се определя от Управителя на Дружеството.
2.Длъжностно лице по защита на данните има следните правомощия и длъжностни задължения:
• Осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;
• Следи за спазването на конкретните мерки за защита и контрол на достъпа, съобразно спецификата на водените регистри с лични данни;
• Осъществява контрол по спазване на изискванията за защита на регистрите съобразно действащото законодателство и настоящите вътрешни правила;
• Поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;
• Контролира спазването на правата на потребителите, във връзка с регистрите и програмно-техническите ресурси за тяхната обработка;
• Специфицира техническите ресурси, прилагани за обработка на личните данни;
• Следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, чрез регистрация на всички извършени действия с регистрите в компютърната среда;
• Определя ред за съхраняване и унищожаване на информационни носители;
• Определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
• Определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.
• Провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване;
• Води регистър на дейностите по обработване на лични данни в „Хийт Нутришън” ЕООД.
X. Политика за употреба на „Бисквитки“
За да се запознаете с Политиката за употреба на „Бисквитки“, моля посетете следния линк: https://www.heatfood.bg/cookies/
XI. Изменения на Политиката за поверителност
„Хийт Нутришън” ЕООД си запазва правото да извършва периодична актуализация на Вътрешните правила за поверителност и защита на личните данни. При промяна в Настоящите правила, на Интернет сайта на Дружеството ще бъде публикувано съответно уведомление, свързано с промените, както и актуализиране на Вътрешните правила. Всички изменения и допълнения във Вътрешните правила за поверителност и защита на лични данни на Дружеството ще бъдат прилагани само след публикуване на актуалното им съдържание, достъпно на www. heatfood.bg.
XII. Допълнителни разпоредби
1. Всички служители на „Хийт Нутришън” ЕООД са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват ежедневно при изпълняване на заемната от тях длъжност и възложената им работа.
2. За всички неуредени в настоящите Вътрешни правила въпроси, са
приложими разпоредбите на Общия регламент относно защитата на данните (ЕС)
2016/679, приложимото право на Европейския съюз и законодателството на Република
България относно защитата на личните данни.
XIII. Вътрешните правила на „Хийт Нутришън” ЕООД за поверителност и защита на личните данни съгласно Регламент 2016/679 са одобрени от Управителя на Дружеството на 17.06.2019г.