Политика за защита на личните данни
на уебсайта gdprbg.com
Настоящата Политика за защита на личните данни (по-долу „Политиката") е изготвена в изпълнение на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (по-долу „GDPR" или „Регламентът"), както и на Закона за защита на личните данни (ЗЗЛД).
Политиката има за цел да Ви информира по прозрачен, ясен и достъпен начин какви лични данни събираме чрез уебсайта gdprbg.com (по-долу „Сайта"), с каква цел, на какво правно основание и за какъв срок ги обработваме, на кого ги разкриваме, какви мерки за защита прилагаме и какви права имате като субекти на данни.
Съдържание
- Информация за администратора
- Длъжностно лице по защита на данните (DPO)
- Принципи на обработване
- Категории субекти на данни
- Събирани лични данни, цели и правни основания
- Правни основания — подробно разяснение
- Срокове за съхранение
- Получатели и обработващи лични данни
- Прехвърляне на данни извън ЕС/ЕИП
- Автоматизирано вземане на решения и профилиране
- Технически и организационни мерки за сигурност
- Уведомяване при нарушение на сигурността
- Вашите права като субект на данни
- Процедура за упражняване на правата
- Право на жалба до надзорен орган
- Защита на данните на деца
- Бисквитки (Cookies)
- Връзки към уебсайтове на трети лица
- Изменения на Политиката
- Данни за контакт
1. Информация за администратора на лични данни
Администратор на личните данни, събирани и обработвани чрез Сайта, е:
Наименование: „Димитрова, Чолаков и партньори" ООД
ЕИК: 204566706
Правна форма: Адвокатско дружество, вписано в регистъра на адвокатските дружества при Софийска адвокатска колегия
Търговска марка: Innovires
Седалище и адрес на управление: гр. София 1000, бул. „Витоша" № 25, ет. 2, офис 4
Имейл: office@gdprbg.com / office@innovires.com
Телефон: +359 888 787 414
Уебсайт: gdprbg.com
В настоящата Политика „Дружеството", „Ние" или „GDPR BG" се отнасят до горепосочения администратор.
2. Длъжностно лице по защита на данните (DPO)
В съответствие с чл. 37–39 от GDPR, Дружеството е определило Длъжностно лице по защита на данните (ДЛЗД/DPO), към което можете да се обръщате по всички въпроси, свързани с обработването на Вашите лични данни и упражняването на правата Ви по Регламента:
Име: Адв. Йордан Чолаков
Имейл: dpo@gdprbg.com
Адрес за кореспонденция: гр. София 1000, бул. „Витоша" № 25, ет. 2, офис 4
3. Принципи на обработване
При обработването на лични данни Дружеството стриктно спазва принципите, залегнали в чл. 5 от GDPR:
- Законосъобразност, добросъвестност и прозрачност: Обработваме данните Ви само при наличие на валидно правно основание и Ви информираме ясно за начина, по който го правим.
- Ограничение на целите: Събираме данни само за конкретни, изрично указани и легитимни цели и не ги обработваме по начин, несъвместим с тези цели.
- Свеждане на данните до минимум: Обработваме единствено данните, които са необходими и достатъчни за постигане на конкретната цел.
- Точност: Предприемаме разумни мерки за поддържане на актуалността и точността на данните.
- Ограничение на съхранението: Съхраняваме данните само за периода, необходим за изпълнение на целите на обработването, или за по-дълъг период, когато това е предвидено в закон.
- Цялостност и поверителност: Осигуряваме подходяща защита на данните, включително срещу неразрешено или незаконосъобразно обработване, случайна загуба, унищожаване или повреждане.
- Отчетност: Можем да докажем спазването на горните принципи чрез документация, политики и процедури.
4. Категории субекти на данни
Чрез Сайта и свързаните с него функционалности обработваме лични данни на следните категории физически лица:
- Посетители на Сайта — лица, които посещават gdprbg.com (чрез технически данни и бисквитки)
- Лица, отправящи запитвания — физически лица или представители на юридически лица, които попълват контактната форма на Сайта
- Абонати на бюлетина — лица, предоставили имейл адреса си за получаване на информационен бюлетин (newsletter)
- Клиенти — физически лица или представители на юридически лица, с които Дружеството встъпва в договорни отношения за предоставяне на правни услуги
5. Събирани лични данни, цели и правни основания
По-долу е представена подробна информация за категориите лични данни, които обработваме, целите и приложимите правни основания за всяка дейност по обработване:
| Категории данни | Цел на обработването | Правно основание | Източник |
|---|---|---|---|
| Име, имейл адрес, телефонен номер, наименование на фирма, избрана услуга, свободен текст на съобщение | Обработване на запитвания, подадени чрез контактната форма на Сайта; осъществяване на обратна връзка; оценка на приложимите правни услуги | Легитимен интерес на администратора (чл. 6, §1, б. „е" от GDPR) — отговор на запитване, инициирано от субекта на данни | Директно от субекта — чрез контактната форма |
| Имейл адрес | Изпращане на периодичен информационен бюлетин с експертни анализи, новини и практически съвети в областта на GDPR и киберсигурността | Съгласие на субекта на данни (чл. 6, §1, б. „а" от GDPR) | Директно от субекта — чрез формата за абониране на Сайта или в pop-up прозорец |
| IP адрес, тип и версия на браузъра, операционна система, дата, час и продължителност на посещението, посетени страници, източник на трафик (referrer) | Осигуряване на техническата функционалност и сигурност на Сайта; анализ на посещаемостта и потребителското поведение с цел подобряване на услугите | Необходими бисквитки — легитимен интерес (чл. 6, §1, б. „е"); аналитични бисквитки — съгласие (чл. 6, §1, б. „а") | Автоматично — чрез бисквитки и сървърни логове |
| Предпочитание за бисквитки (приемане/отхвърляне), статус на абонамент за бюлетин | Запомняне на избора на потребителя; предотвратяване на повторно показване на pop-up прозореца за абониране | Легитимен интерес (чл. 6, §1, б. „е") — изпълнение на волята на потребителя | Автоматично — чрез бисквитки (localStorage) |
| Име, ЕГН/ЛНЧ, адрес, имейл, телефон, банкова сметка (при възникнало правоотношение) | Сключване и изпълнение на договор за предоставяне на правни услуги; издаване на счетоводни и данъчни документи; водене на счетоводство; изпълнение на законови задължения | Изпълнение на договор (чл. 6, §1, б. „б" от GDPR); законово задължение (чл. 6, §1, б. „в" от GDPR) — Закон за счетоводството, ДОПК, Закон за адвокатурата | Директно от субекта — при сключване на договор |
Важно: Не събираме и не обработваме специални категории лични данни по смисъла на чл. 9 от GDPR (расов или етнически произход, политически възгледи, религиозни убеждения, здравни данни и др.) чрез Сайта, освен ако субектът на данни не ги предостави доброволно в свободния текст на контактната форма. В такъв случай правното основание е изричното съгласие на субекта (чл. 9, §2, б. „а" от GDPR).
6. Правни основания — подробно разяснение
Съгласно чл. 6 от GDPR, всяко обработване на лични данни трябва да се основава на поне едно от шестте правни основания. При дейността на Сайта приложимите основания са:
6.1. Съгласие (чл. 6, §1, б. „а")
Прилагаме при: абониране за бюлетин; активиране на аналитични бисквитки. Съгласието е свободно дадено, конкретно, информирано и недвусмислено. Може да бъде оттеглено по всяко време — чрез линка за отписване във всяко съобщение от бюлетина или чрез промяна на настройките за бисквитки (линк „Бисквитки" в долния колонтитул на Сайта). Оттеглянето на съгласието не засяга законосъобразността на обработването, извършено преди оттеглянето.
6.2. Изпълнение на договор (чл. 6, §1, б. „б")
Прилагаме при: предоставяне на правни услуги, когато субектът на данни е страна по договор с Дружеството или е предприел стъпки за сключване на такъв.
6.3. Законово задължение (чл. 6, §1, б. „в")
Прилагаме при: съхранение на счетоводни документи (Закон за счетоводството); предоставяне на информация на държавни органи (НАП, КЗЛД, съд); спазване на изискванията на Закона за адвокатурата и Данъчно-осигурителния процесуален кодекс (ДОПК).
6.4. Легитимен интерес (чл. 6, §1, б. „е")
Прилагаме при: обработване на запитвания чрез контактната форма; осигуряване на техническата функционалност на Сайта; защита на Сайта от злоупотреби. Извършваме балансиращ тест (Legitimate Interest Assessment — LIA) за всеки случай на обработване, основано на легитимен интерес, за да гарантираме, че интересите на Дружеството не надделяват над правата и свободите на субектите на данни.
7. Срокове за съхранение
Съхраняваме личните Ви данни само за периода, необходим за изпълнение на целите, за които са събрани, или за по-дълъг срок, когато това е предвидено от закон:
| Категория данни | Срок на съхранение | Основание за срока |
|---|---|---|
| Данни от контактната форма | До 12 месеца след последния контакт | Легитимен интерес — срок за оценка и последваща комуникация. При възникване на правоотношение — съгласно договорните срокове. |
| Имейл за бюлетин | До оттегляне на съгласието (отписване) | Чл. 7, §3 от GDPR — право на оттегляне по всяко време |
| Бисквитки — необходими | gdpr_consent: 1 година; nl_popup_seen: 7 дни; nl_subscribed: 1 година | Технически необходим срок за изпълнение на функционалността |
| Бисквитки — аналитични (Google Analytics) | _ga: 2 години; _ga_*: 2 години | Стандартен срок на доставчика; деактивират се при липса на съгласие |
| Данни по договорни правоотношения | 10 години след прекратяване на договора (счетоводни документи); 5 години (общ давностен срок по ЗЗД); 50 години (за трудови договори, ако е приложимо) | Закон за счетоводството (чл. 12); Закон за задълженията и договорите (чл. 110–120); Кодекс на труда |
| Данни при правен спор | До окончателното приключване на спора и изтичането на давностните срокове | Легитимен интерес — защита на правата на Дружеството |
След изтичане на приложимите срокове данните се изтриват необратимо или анонимизират. При анонимизация данните губят качеството на лични данни и сроковете не се прилагат.
8. Получатели и обработващи лични данни
Дружеството не продава, не отдава под наем и не предоставя Вашите лични данни на трети лица за техни собствени маркетингови или търговски цели.
Данните могат да бъдат споделени със следните категории получатели, при наличие на подходящи правни, технически и организационни гаранции:
8.1. Обработващи лични данни (по чл. 28 от GDPR)
С всеки обработващ лични данни Дружеството е сключило или ще сключи Споразумение за обработване на лични данни (Data Processing Agreement — DPA), съгласно изискванията на чл. 28 от GDPR.
| Обработващ | Роля | Местоположение | Гаранции |
|---|---|---|---|
| Formspree Inc. | Техническо обработване на данни от контактната форма и бюлетина | САЩ | EU-US Data Privacy Framework; DPA |
| Hostinger International Ltd. | Хостинг на уебсайта; съхранение на файлове | Литва / ЕС | Обработващ в рамките на ЕИП; DPA |
| Google LLC (Google Analytics) | Аналитична обработка на данни за посещения (само при съгласие) | САЩ / Ирландия | EU-US Data Privacy Framework; DPA; IP анонимизация |
8.2. Други получатели
- Публични и регулаторни органи — при наличие на законово задължение (КЗЛД, НАП, съдилища, прокуратура, полиция)
- Адвокати, одитори, счетоводители — при необходимост от правна защита или изпълнение на законови задължения
9. Прехвърляне на данни извън ЕС/ЕИП
Някои от обработващите лични данни (Formspree Inc., Google LLC) са установени в Съединените американски щати. Прехвърлянето на данни към тези обработващи се извършва въз основа на:
- Рамката за защита на данните ЕС-САЩ (EU-US Data Privacy Framework) — решение за адекватност на Европейската комисия от 10 юли 2023 г.
- Стандартни договорни клаузи (SCCs) — одобрени от Европейската комисия с Решение за изпълнение (ЕС) 2021/914, като допълнителна гаранция
Дружеството следи за валидността на горните механизми и ще предприеме незабавни мерки при промяна в правната рамка.
10. Автоматизирано вземане на решения и профилиране
Дружеството не извършва автоматизирано вземане на решения, включително профилиране, по смисъла на чл. 22 от GDPR, което да поражда правни последици за Вас или да Ви засяга по подобен значим начин.
11. Технически и организационни мерки за сигурност
В съответствие с чл. 32 от GDPR, Дружеството прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на рисковете. Тези мерки включват, без да се ограничават до:
Технически мерки
- SSL/TLS криптиране на всички комуникации чрез Сайта (HTTPS протокол)
- Криптиране на данни при пренос и при съхранение (encryption at rest и in transit)
- Защитна стена (firewall) и системи за откриване на проникване
- Редовно обновяване на софтуера и прилагане на корекции за сигурност (security patches)
- Архивиране на данните (backup) с тестване на възстановяването
- Използване на силни и уникални пароли с двуфакторна автентикация (2FA)
Организационни мерки
- Политика за контрол на достъпа — принцип на минимално необходимия достъп (least privilege)
- Вътрешни правила за обработване на лични данни, задължителни за всички служители
- Споразумения за поверителност (NDA) с всички лица, имащи достъп до лични данни
- Регулярни обучения на персонала по въпросите на защитата на данните
- Процедура за управление на инциденти с лични данни (Data Breach Response Plan)
- Периодичен преглед и тестване на ефективността на мерките за сигурност
- Договори за обработка на лични данни (DPA) с всички обработващи
12. Уведомяване при нарушение на сигурността на данните
В случай на нарушение на сигурността на личните данни (data breach), Дружеството:
- Ще уведоми КЗЛД без ненужно забавяне и, когато е осъществимо, не по-късно от 72 часа след узнаването на нарушението, освен ако е малко вероятно то да породи риск за правата и свободите на физическите лица (чл. 33 от GDPR)
- Ще уведоми засегнатите субекти на данни без ненужно забавяне, когато нарушението е вероятно да доведе до висок риск за техните права и свободи (чл. 34 от GDPR)
- Ще документира всяко нарушение, включително фактите, последиците и предприетите коригиращи мерки, в съответствие с чл. 33, §5 от GDPR
13. Вашите права като субект на данни
Като субект на данни, Вие разполагате със следните права съгласно Глава III от GDPR:
| Право | Описание | Основание |
|---|---|---|
| Достъп | Да получите потвърждение дали обработваме Ваши лични данни, информация за обработването и копие от данните | Чл. 15 от GDPR |
| Коригиране | Да поискате поправяне на неточни лични данни или допълване на непълни данни | Чл. 16 от GDPR |
| Изтриване | Да поискате изтриване на данните, когато е отпаднало правното основание, оттеглено е съгласието или данните са обработени незаконосъобразно | Чл. 17 от GDPR |
| Ограничаване | Да поискате временно ограничаване на обработването — напр. при оспорване на точността на данните | Чл. 18 от GDPR |
| Преносимост | Да получите данните, които сте ни предоставили, в структуриран, широко използван и машинно четим формат и да ги прехвърлите на друг администратор | Чл. 20 от GDPR |
| Възражение | Да възразите срещу обработване, основано на легитимен интерес, включително за целите на директен маркетинг | Чл. 21 от GDPR |
| Оттегляне на съгласие | Да оттеглите даденото съгласие по всяко време, без това да засяга законосъобразността на обработването преди оттеглянето | Чл. 7, §3 от GDPR |
| Жалба | Да подадете жалба до надзорния орган (КЗЛД), ако считате, че обработването нарушава GDPR | Чл. 77 от GDPR |
Ограничения: Горните права не са абсолютни. Упражняването им може да бъде ограничено в определени случаи — напр. когато съществува законово задължение за съхранение на данните (счетоводна документация), когато данните са необходими за установяването, упражняването или защитата на правни претенции, или когато преобладава легитимен интерес на администратора.
14. Процедура за упражняване на правата
Искане за упражняване на което и да е от горните права може да бъде подадено:
- По електронен път: на имейл адрес dpo@gdprbg.com
- На хартиен носител: на адрес гр. София 1000, бул. „Витоша" № 25, ет. 2, офис 4, на вниманието на Длъжностното лице по защита на данните
Съдържание на искането: имена на субекта на данни; данни за контакт (адрес, телефон или електронна поща); описание на искането и конкретното право, което желаете да упражните.
Идентификация: С оглед защита на Вашите данни от неоторизиран достъп, може да бъде поискано потвърждение на самоличността Ви. При подаване на искане чрез пълномощник — прилага се нотариално заверено пълномощно.
Срок за отговор: Предоставяме информация относно предприетите действия в срок до един месец от получаване на искането. При необходимост, с оглед сложността или броя на исканията, срокът може да бъде удължен с допълнителни два месеца, за което ще бъдете уведомени в рамките на първия месец, с посочване на причините за забавянето.
Такси: Упражняването на правата е безплатно. При явно неоснователни или повторни искания Дружеството може да наложи разумна такса, основана на административните разходи, или да откаже да изпълни искането.
15. Право на жалба до надзорен орган
Ако считате, че обработването на Вашите лични данни нарушава Регламента, имате право да подадете жалба до компетентния надзорен орган:
Комисия за защита на личните данни (КЗЛД)
Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2
Телефон: +359 2 915 3518
Имейл: kzld@cpdp.bg
Уебсайт: www.cpdp.bg
Без да се засяга правото Ви на жалба до КЗЛД, имате право и на ефективна съдебна защита срещу администратор или обработващ лични данни (чл. 79 от GDPR), както и право на обезщетение за претърпени вреди (чл. 82 от GDPR).
16. Защита на данните на деца
Сайтът и услугите на Дружеството не са насочени към лица под 16-годишна възраст. Не събираме съзнателно лични данни на деца. Ако установим, че сме обработили данни на лице под 16 години без съгласието на носителя на родителската отговорност, ще предприемем незабавни мерки за тяхното изтриване.
17. Бисквитки (Cookies)
Уебсайтът gdprbg.com използва бисквитки. Подробна информация за видовете бисквитки, техните цели, срокове на съхранение, начините за управление и правните основания за използването им е предоставена в нашата Политика за бисквитки, която е неразделна част от настоящата Политика.
18. Връзки към уебсайтове на трети лица
Сайтът може да съдържа хипервръзки към уебсайтове, управлявани от трети лица. Дружеството не носи отговорност за политиките и практиките за защита на личните данни на тези сайтове. Препоръчваме Ви да се запознаете с политиките за поверителност на всеки посещаван от Вас уебсайт.
19. Изменения на Политиката
Дружеството може да актуализира настоящата Политика периодично с оглед промени в законодателството, техническите стандарти или бизнес практиките. При съществени промени ще публикуваме ясно уведомление на Сайта.
Датата на последна актуализация и номерът на версията са посочени в началото на документа. Препоръчваме Ви да проверявате периодично тази страница за актуална информация.
20. Данни за контакт
За всички въпроси, свързани с обработването на лични данни и настоящата Политика, можете да се свържете с нас:
Администратор: „Димитрова, Чолаков и партньори" ООД
Имейл (общ): office@gdprbg.com
Имейл (DPO): dpo@gdprbg.com
Телефон: +359 888 787 414
Адрес: гр. София 1000, бул. „Витоша" № 25, ет. 2, офис 4
Уебсайт: gdprbg.com