РЕГУЛАТОРНА РАМКА И НОРМАТИВНИ ОСНОВАНИЯ
Настоящата Политика за поверителност определя принципите, методите и процедурите за обработка на лични данни от страна на търговското дружество, което администрира интернет платформата prahosmukachka.bg.
Администраторът декларира пълна приверженост към спазването на всички изисквания на Общия регламент за защита на данните (GDPR), Закона за защита на личните данни на Република България и другите приложими нормативни актове в областта на защитата на данните.
Под лични данни се разбира всяка информация, отнасяща се до идентифицирано или идентифицируемо физическо лице, което може да бъде определено пряко или непряко чрез различни идентификатори.
Правното основание за обработка се базира първостепенно на законния интерес съгласно чл. 6, пар. 1, буква ф от GDPR, който се изразява в необходимостта от осигуряване на нормалното функциониране на платформата и защита срещу нерегламентирано използване.
Терминологията следва стриктно определенията в GDPR, като всички процедури се документират съгласно изискванията на надзорните органи.
Администраторът поддържа актуална документация за всички дейности по обработка на данни и редовно преразглежда приложените мерки за защита с оглед постигане на най-високите стандарти за сигурност.
КАТЕГОРИИ ОБРАБОТВАНИ ЛИЧНИ ДАННИ И МЕТОДИ НА СЪБИРАНЕ
В процеса на функциониране на интернет платформата се осъществява обработка на различни категории лични данни в зависимост от начина на взаимодействие на потребителя с функционалностите на сайта.
Автоматичното събиране на технически данни се извършва чрез имплементирани скриптове и инструменти за уеб аналитика, които регистрират IP адреси, тип и версия на браузъра, операционна система, резолюция на екрана, езикови настройки и географско местоположение на приблизително ниво.
Времето на достъп, продължителността на сесията, посетените страници, последователността на навигация и източникът на трафик се записват автоматично при всяко взаимодействие с уеб ресурса за целите на техническата оптимизация и анализ на потребителското поведение.
Събирането на функционални данни се осъществява чрез HTTP бисквитки, локално съхранение в браузъра, уеб маяци, пиксели за проследяване и други технологии, които осигуряват персонализирано потребителско изживяване и запаметяване на предпочитания.
Тези технологии могат да се активират както от Администратора, така и от трети страни, които предоставят услуги по уеб аналитика, рекламно таргетиране или интеграция със социални мрежи.
Обемът и характерът на обработваните данни е пропорционален на степента на взаимодействие и използваните функционалности от страна на конкретния потребител.
Всички събирани данни се категоризират според тяхното предназначение и се прилагат различни нива на защита в зависимост от чувствителността на информацията.
ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТКА И ЛЕГИТИМНИ ИНТЕРЕСИ
Обработката на лични данни се извършва в строго съответствие с установените в чл. 6 от GDPR правни основания, като в зависимост от конкретния вид обработка могат да се прилагат едно или повече основания едновременно.
Законният интерес като правно основание се прилага когато обработката е необходима за целите на легитимните интереси на Администратора, освен в случаите когато преобладават интересите или основните права и свободи на субекта на данни.
Конкретизацията на легитимните интереси включва осигуряването на техническата функционалност и оперативната стабилност на платформата чрез непрекъснато мониториране на системните параметри и производителността на сървърната инфраструктура.
Провеждането на статистически анализи на трафика и потребителското поведение служи за оптимизиране на съдържанието и подобряване на потребителския интерфейс, като тези дейности са пряко свързани с основната цел на платформата.
Детектирането и предотвратяването на кибернетични заплахи, включително DDoS атаки, опити за неоторизиран достъп и автоматизирано извличане на данни, представлява основен легитимен интерес за защита на ресурсите и данните на платформата.
Съгласието като правно основание се прилага когато субектът на данни е дал ясно и недвусмислено съгласие за обработка на неговите лични данни за конкретно определени цели, като такова съгласие може да бъде оттеглено по всяко време.
Администраторът прилага принципа на активно и информирано съгласие, което изисква положително действие от страна на субекта, като простото продължаване на използването на платформата не се тълкува като валидно съгласие.
ЦЕЛИ И ПРОДЪЛЖИТЕЛНОСТ НА ОБРАБОТКАТА
Обработката на лични данни се осъществява за постигането на строго определени, изрично формулирани и законни цели, които са в съответствие с естества на информационните услуги, предоставяни чрез платформата.
Основните цели включват осигуряването на техническата функционалност чрез поддържане на стабилни връзки с потребителските устройства, оптимизиране на времето за зареждане на съдържанието и адаптиране на интерфейса към различните типове крайни устройства и браузъри.
Аналитичните цели обхващат провеждането на задълбочени изследвания на потребителското поведение с оглед идентифициране на предпочитания относно типа и формата на информационното съдържание и анализиране на ефективността на различните раздели на платформата.
Установяването на демографските характеристики на аудиторията служи за по-добро съответствие между предлаганото съдържание и интересите на потребителите, а проследяването на тенденциите в използването подпомага стратегическото планиране и развитие.
Продължителността на съхранение се определя въз основа на принципа на пропорционалност и необходимост, като различните категории данни се съхраняват за различни периоди в зависимост от конкретната цел и приложимите законови изисквания.
Техническите данни за трафика и сесиите се съхраняват за период от двадесет и шест месеца, след което се подлагат на автоматизирана процедура за анонимизиране или окончателно изтриване от всички системи.
Данните от бисквитки се съхраняват за периоди от един месец до две години в зависимост от типа и предназначението, като строго необходимите функционални бисквитки се съхраняват до приключване на сесията, докато аналитичните могат да се съхраняват до двадесет и четири месеца.
ПРЕДАВАНЕ НА ДАННИ И ИЗПОЛЗВАНЕ НА УСЛУГИ ОТ ТРЕТИ СТРАНИ
За осигуряването на пълнофункционална и технически оптимизирана платформа Администраторът използва услугите на специализирани трети страни, които действат като обработващи данни или независими администратори според терминологията на GDPR.
Най-често използваните услуги включват системи за уеб аналитика, които предоставят детайлни статистически данни относно посещенията и поведението на потребителите, услуги за съхранение и доставка на съдържание чрез глобални мрежи за разпределение, системи за управление на бисквитките и инструменти за мониториране на производителността и сигурността.
Предаването на лични данни до трети страни се осъществява при спазване на строгите изисквания на GDPR, като в случаите когато третата страна действа като обработващ данни се сключват договори, съдържащи всички задължителни клаузули съгласно чл. 28 от GDPR.
Тези договори включват детайлни разпоредби относно предмета и продължителността на обработката, естеството и целта, вида лични данни и категориите субекти на данни, както и задълженията и правата на администратора.
При предаване на данни до държави извън ЕС се осигурява подходящо ниво на защита чрез прилагане на стандартни договорни клаузули, одобрени от Европейската комисия, или други законосъобразни инструменти за трансфер.
Администраторът редовно мониторира развитието в международните споразумения за взаимно признаване на стандартите за защита на данните и съобразява практиките си с актуалните препоръки на европейските надзорни органи.
Всички трети страни, които получават достъп до лични данни, са задължени да прилагат подходящи технически и организационни мерки за защита и да спазват принципите на GDPR относно законосъобразността, пропорционалността и минимизирането на данните.
ПРАВА НА СУБЕКТИТЕ НА ДАННИ И ПРОЦЕДУРИ ЗА УПРАЖНЯВАНЕТО ИМ
Субектите на данни притежават широк обхват от права относно обработката на техните лични данни, гарантирани от GDPR и упражнявани при спазване на установените процедурни изисквания и срокове.
Правото на информираност включва възможността субектът да получи изчерпателна информация относно обработката, включително самоличността на администратора, целите, правните основания, категориите получатели, периодите на съхранение и начините за упражняване на правата.
Правото на достъп предоставя възможност за получаване на потвърждение дали се обработват лични данни и ако това е така, да се получи достъп до данните и допълнителна информация относно целите, категориите данни, получателите, предвидения период на съхранение и съществуването на други права.
Правото на поправка дава възможност да се иска поправка на неточните лични данни без неоснователно забавяне, като субектът има право да иска допълването на непълните данни, включително чрез предоставяне на допълнително заявление.
Правото на изтриване или “правото да бъдеш забравен” позволява да се иска изтриване на личните данни когато са налице определени обстоятелства като ненужност за първоначалните цели, оттегляне на съгласието или противозаконна обработка.
Правото на ограничаване на обработката може да се упражни когато субектът оспорва точността на данните, обработката е незаконна, но субектът се противопоставя на изтриването, или когато данните вече не са необходими за целите на администратора, но са необходими на субекта за установяване, упражняване или защита на правни претенции.
Правото на преносимост позволява на субекта да получи личните данни в структуриран, широко използван и машинно четим формат и да ги предаде на друг администратор, когато обработката се основава на съгласие или договор и се извършва с автоматизирани средства.
МЕРКИ ЗА СИГУРНОСТ И ЗАЩИТА НА ДАННИТЕ
Администраторът прилага всеобхватна система от технически и организационни мерки за защита на личните данни срещу случайно или незаконно унищожаване, загубване, изменение, неразрешено разкриване или достъп.
Тези мерки се преразглеждат и актуализират редовно за постигане на ниво на сигурност, подходящо за риска, като се вземат предвид най-новите технологии, разходите за прилагане и естеството на обработката.
Техническите мерки включват прилагането на съвременни криптографски алгоритми за кодиране на данните при предаване и съхранение, използването на сигурни протоколи за комуникация между компонентите на системата и имплементирането на многофакторна автентикация за достъп до административните интерфейси.
Редовното обновяване на операционните системи и приложенията със специално внимание към критичните сигурностни корекции, конфигурирането на защитни стени и системи за детекция на проникване, както и създаването на резервни копия с възможност за бързо възстановяване са задължителни елементи от техническата защита.
Организационните мерки включват разработването на вътрешни политики и процедури за защита на данните, провеждането на редовни обучения на персонала относно изискванията за защита и добрите практики в информационната сигурност.
Ограничаването на достъпа до лични данни само до служители с обоснована служебна необходимост, въвеждането на принципа на минималните необходими права при предоставяне на системни достъпи и документирането на всички операции с лични данни са основни организационни принципи.
Редовните оценки на ефективността на приложените мерки и провеждането на тестове за уязвимост осигуряват непрекъснато подобряване на нивото на защита и своевременно реагиране при появата на нови заплахи за сигурността.
НАРУШЕНИЯ НА СИГУРНОСТТА И ПРОЦЕДУРИ ЗА УВЕДОМЯВАНЕ
При констатиране на нарушение на сигурността на личните данни Администраторът прилага незабавни процедури за оценка на мащаба и последствията от инцидента, ограничаване на допълнителните щети и възстановяване на нормалната функционалност на засегнатите системи.
Нарушението се дефинира като нарушение на сигурността, което води до случайно или незаконно унищожаване, загубване, изменение, неразрешено разкриване или достъп до лични данни, предадени, съхранявани или обработвани по друг начин.
При установяване на нарушение Администраторът документира фактите относно инцидента, включително причините и последствията, както и предприетите коригиращи мерки, като тази документация дава възможност на надзорния орган да провери спазването на разпоредбите за уведомяване.
Уведомяването на надзорния орган се извършва в срок от седемдесет и два часа от момента на узнаване за нарушението, освен ако то вероятно няма да доведе до риск за правата и свободите на физическите лица.
Когато нарушението вероятно ще доведе до висок риск за правата и свободите на физическите лица, Администраторът уведомява субекта на данни без неоснователно забавяне, като уведомлението описва на ясен и обикновен език естеството на нарушението.
Съдържанието на уведомлението включва информация за характера на нарушените данни, вероятните последствия от нарушението, мерките, предприети или планирани от администратора за справяне с нарушението, включително мерките за смекчаване на неговите възможни вредни последствия.
Контактните данни на длъжностното лице по защита на данните или друга контактна точка, от която може да се получи повече информация, също се предоставят в уведомлението заедно с препоръки за мерки, които засегнатото физическо лице може да предприеме за защита срещу възможните вредни последствия.
АВТОМАТИЗИРАНО ВЗЕМАНЕ НА РЕШЕНИЯ И ПРОФИЛИРАНЕ
Администраторът може да прилага технологии за автоматизирано вземане на решения и профилиране с цел подобряване на потребителското изживяване чрез персонализиране на съдържанието и препоръките, оптимизиране на техническите параметри въз основа на анализ на потребителското поведение и детектиране на аномални или потенциално вредни активности.
Профилирането представлява автоматизирана обработка на лични данни за оценяване на определени лични аспекти, отнасящи се до физическо лице, включително анализиране или прогнозиране на аспекти относно предпочитанията, интересите, поведението или движенията.
Автоматизираното вземане на решения може да включва алгоритми за динамично адаптиране на съдържанието въз основа на предходни взаимодействия, системи за автоматично групиране на потребителите в категории според интересите и поведенчески модели, както и инструменти за автоматично детектиране и блокиране на заплахи като подозрителни IP адреси или аномални модели на трафик.
Субектите на данни имат правото да не бъдат предмет на решение, основано единствено на автоматизирана обработка, което поражда правни последици или което по подобен начин ги засяга значително, освен в определени случаи.
Изключенията включват случаи когато решението е необходимо за сключването или изпълнението на договор между субекта и администратора, е разрешено от приложимо право, което предвижда подходящи мерки за защита, или се основава на изричното съгласие на субекта.
В случаите когато се прилага автоматизирано вземане на решения Администраторът осигурява подходящи мерки за защита на правата и свободите на субектите, включително правото да получат човешка намеса от страна на администратора, да изразят своята гледна точка и да оспорят решението.
МЕЖДУНАРОДНИ ТРАНСФЕРИ И ТРАНСГРАНИЧНИ ОБРАБОТКИ
Предаването на лични данни към трети държави или международни организации се осъществява единствено при наличието на подходящо ниво на защита или при прилагането на подходящи гаранции съгласно разпоредбите на GDPR.
Подходящото ниво може да бъде осигурено чрез решение на Европейската комисия за адекватност, което установява че третата държава, територия или конкретни сектори, или международната организация осигуряват подходящо ниво на защита на данните.
При липса на решение за адекватност Администраторът може да предава лични данни единствено ако е осигурил подходящи гаранции и при условие че субектите разполагат с приложими права и ефективни правни средства за защита.
Подходящите гаранции могат да бъдат осигурени чрез прилагането на стандартни клаузули за защита на данните, приети от Комисията, одобрени кодекси за поведение със задължителни гаранции, или одобрени механизми за сертифициране със задължителни и приложими гаранции.
В отсъствието на решение за адекватност или подходящи гаранции предаването може да се извърши единствено при наличието на специфични изключения за конкретни ситуации, включително изричното съгласие на субекта след информиране за възможните рискове поради липсата на адекватно решение и подходящи гаранции.
Други изключения включват необходимостта от трансфера за изпълнението на договор между субекта и администратора или за прилагането на предварителни мерки, предприети по искане на субекта, както и случаите когато трансферът е необходим от важни причини от обществен интерес.
Администраторът поддържа подробна документация относно всички международни трансфери, включително правното основание, категориите предавани данни, получателите в третите държави, приложените гаранции и извършените оценки на рисковете, като тази документация се предоставя на надзорните органи при поискване в рамките на тяхната контролна дейност.