Политика за защита на личните данни - Up Tombou

Политика на ТОМБОУ БЪЛГАРИЯ ЕООД за защита на личните данни

 

 

ДАННИ ЗА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ И КООРДИНАТИ ЗА КОНТАКТ

„ТОМБОУ-БЪЛГАРИЯ“ ЕООД, ЕИК: 040336507

Местоположение: София 1000, бул. „Княз Ал. Дондуков“ 11, ет.7 и 8
Tел.: +3592 491 26 76 / +3592 492 00 00
E-mail: info@tombou.bg
Интернет страници: https://uptombou.bg и https://uponline.bg

 

ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ И КООРДИНАТИ ЗА КОНТАКТ:

Весела Петкова
Адрес гр. София, п.к. 1000, бул. Княз Ал. Дондуков № 11, ет. 7, 8
Телефон: +3592 491 26 62
Ел. поща: dpo@tombou.bg

 

От 2004 година ТОМБОУ-БЪЛГАРИЯ ЕООД осъществява дейност като Оператор на ваучери за храна. За този период стотици компании ни се довериха и повериха своите лични данни.

 

Ние сме администратор на лични данни съгласно Закона за защита на личните данни (ЗЗЛД) и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (ОРЗД) и обработваме лични данни, самостоятелно или чрез възлагане на обработващ данните, в съответствие с приетите вътрешни правила за работа и защита на лични данни.

 

Една от основните грижи на ТОМБОУ-БЪЛГАРИЯ ЕООД е защитата на поверителността и гарантиране на сигурността на личните данни на физическите лица – картодържателите на ваучери за храна на електронен носител UpDejeuner и на предплатени карти UpCadhoc, заредени с електронни пари, на нашите клиенти, служители, доставчици и партньори. Предприели сме необходимите мерки, за да съблюдаваме за пълното спазване на изискванията на приложимото национално и европейско законодателство в сферата на защита на личните данни и приложимата за дейността ни нормативна уредба и поддържаме дейността си в съответствие с най-добрите практики и законови изисквания в тази връзка.

 

Когато събираме лични данни следваме принципите за свеждане на обработваните данни до минимум, законосъобразност, прозрачност и сигурност. Стремим се да обработваме само лични данни, които са от съществено значение и са подходящи за целите на предмета ни на дейност.

 

Настоящата Политика за защита на личните данни („Политиката“) определя основните принципи и правила, свързани с обработването на лични данни, правата на субектите на тези данни, задълженията и отговорността на ТОМБОУ-БЪЛГАРИЯ като администратор или обработващ лични данни, съответно на служителите ни и на обработващите лични данни от наше име.

 

Политиката подлежи на актуализация и може да бъде променяна и допълвана периодично.

 

Настоящата политика се отнася както за нашите онлайн дейности по събирането на данни – включително личните данни, постъпили при нас по различни канали като, например, уеб сайтове, платформи и приложения, социални мрежи и др., така и за данни, получени по телефон, лично, по ел. поща, чрез изпращане и получаване на данни от клиенти, доставчици и партньори на Томбоу.

 

В случай, че откажете да ни предоставите личните Ви данни, които са необходими за извършване да дадена услуга, възможно е да се окажем в невъзможност да Ви предоставим заявените услуги.

 

Когато споделяте лични данни с нас, ние ги обработваме съгласно условията на тази политика. Моля, запознайте се подробно с настоящата Политика и ако имате някакви въпроси или нужда от информация, свържете се с нас на посочените по-горе контакти. Продължавайки да ползвате този уебсайт, уеб платформа Up Online (Платформата), мобилно приложение Up Томбоу (Приложениетои услугите на ТОМБОУ-БЪЛГАРИЯ, Вие потвърждавате, че приемате правилата и условията за обработка и защита на лични данни, залегнали в Политиката.

 

Съгласявайки се с Общите условия на Платформата и Приложението и използвайки ги, Вие удостоверявате, че сте запознат и приемате настоящата Политика, условията за ползване, правилата за обработка и политиките за поверителност и сигурност на ТОМБОУ-БЪЛГАРИЯ ЕООД, както и на нашия партньор, свързан с Услугите: UpAganea (https://www.up-aganea.com/).

I. Категории лични данни, които обработваме

В зависимост от взаимоотношенията Ви с Томбоу и начина на комуникация с нас, събираме и обработваме различни по тип лични данни.

 

Лични данни в зависимост от източника:

 

Лични данни, които са предоставени от субектите на данните

 

Ние обработваме лични данни, които са предоставени от субекта на данните чрез договор, по инициатива на лицето, с цел изпълнение от наша страна на услуга или дейност, поискана от субекта на данни или във връзка с упражняване на негови права.

 

Лични данни, които не са предоставени от субектите на данни

 

Когато изпълняваме договорните си задължения, при издаване и обслужване на ваучери за храна на електронен носител и/или за издаване на предплатени карти, заредени с електронни пари, обработваме лични данни на картодържатели, които са ни предоставени от нашите Клиенти.

 

Лични данни в зависимост от субекта на данните:

 

При спазване на нормативната уредба и договорните си задължения обработваме данни на:

 

  • картодържатели на ваучери за храна на електронен носител и/или на предплатени карти, заредени с електронни пари;
  • лицата, представители и контактни лица на клиентите на Томбоу с договорни отношения за издаване и обслужване на ваучери за храна на електронен носител UpDejeuner и/или за издаване на предплатени картиUp Cadhoc, заредени с електронни пари;
  • лицата, представители и контактни лица на доставчиците на UpТомбоу с договорни отношения за обслужване на ползватели на ваучери за храна на електронен носител „Up Dejeuner” и предплатени карти за подарък „Up Cadhoc“;
  • лицата, представители или контактни лица на юридическите лица-наши Контрагенти, с които встъпваме в делови взаимоотношения;
  • лицата, работещи за UpТомбоу по извънтрудови правоотношения;
  • лицата, кандидатстващи за работа в UpТомбоу;
  • нашите служители;
  • лица, отправили запитване, заявили услуга или абонамент за бюлетин през наши уеб-страници, платформи и приложения;
  • лица, отправили запитвания, жалби, заявления, искания, молби, сигнали и друга кореспонденция към нас.

Лични данни в зависимост от вида на данните

 

Подробно описание на вида обработвани от нас лични данни е предоставено за отделните субекти в съответната информация по чл. 13 и чл. 14 от ОРЗД, публикувана на нашите уебсайтове и мобилно приложение Up Tombou (Уведомления за поверителност).

 

За лицата, отправили запитвания, жалби, заявления, искания, молби, сигнали, абонамент за бюлетини и друга кореспонденция към нас, включително и през наши уебстраници, платформи и приложения – обработваме имена, позиция, телефон, ел. адрес; за юридически лица – фирмени данни брой служители в организацията, пощенски адрес, населено място и всички други данни, които доброволно изпращат.

 

За лицата, отправили искания към нас за упражняване на правата им в качеството им на субекти на данни – обработваме имена, телефон, ел. адрес и допълнителни данни за целите на идентифицирането (например дата на раждане за картодържатели или други данни, посочени в Уведомленията за поверителност).

 

За посетителите на нашите интернет страници, приложения и платформи – ползвайки ги определени данни се разпознават и събират автоматично (чрез т.н. „бисквитки“). Повече информация в тази връзка е публикувана в „Политиката относно бисквитките“ на отделните ни уебсайтове.

 

Когато препоръчвате клиент през форми на интернет страниците Ни, ние събираме и обработваме: име и адрес на препоръчаната организация; данни на лица за контакт с нея – име, позиция, телефон, имейл; данни на лицето, което препоръчва: име, позиция, организация в която работи, телефон, имейл и всички други данни, които доброволно въвеждате.

 

Нашият партньор UP AGANEA, S.A., в качеството си на администратор на лични данни, събира и обработва информация относно установяване на идентичността на Клиенти и Картодържатели, във връзка с издаването на Карти и зареждането им с електронни пари, като се съобразява с регулаторните и законови изисквания. За да научите повече за данните, които събира UP AGANEA, S.A., включително информация във връзка с мерките срещу изпирането на пари и финансирането на тероризма, както и за начините да контролирате това, натиснете тук https://www.up-aganea.com/politica-privacidad/ .

 

Ние обработваме данни за здравословно състояние за следните цели: във връзка с изпълнение на законови изисквания към своите служители и лица по извънтрудови правоотношения, включително при назначаване на служители, за целите на трудова медицина и здравословни и безопасни условия на труд, във връзка с упражняване на правата им при временна или трайно намалена неработоспособност.

 

Обработваме данни за съдимост на служители и лица по извънтрудови правоотношения, когато с нормативен акт се изисква удостоверяване на съдебно минало.

 

Обработваме за легитимни цели данни от видеонаблюдение, които могат да включват физическа идентификация на работещите в ТОМБОУ-БЪЛГАРИЯ и посещаващите нашия офис, чрез образ от видеозапис и тяхното движение и пребиваване в офиса. Записите не се използват за наблюдение на поведение на служителите и посетителите.

 

За целите на директен маркетинг (на основание съгласие), ТОМБОУ използва Ваши данни за контакт (от форми за контакт, анкети и допитвания), за да Ви информира за услуги и продукти, предлагани от Нас и наши партньори. В отделни случаи тези данни са придобити от публични профили и регистри.

 

Препоръчваме при контакт с нас да не ни изпращате повече от необходимите ни данни, посочени по-горе и в Уведомленията за поверителност, включително информация, която съдържа чувствителни лични данни (информация за расов и етнически произход, религиозни и политически убеждения, членство в профсъюзи и политически организации, сексуална ориентация, здравословно състояние и други). Когато – по каквато и да е причина – се налага да обработим Ваши чувствителни лични данни, ще разчитаме на Вашето изрично предварително съгласие за всяка такава обработка, която се извършва на доброволен принцип. Ако се наложи да обработим Ваши чувствителни лични данни за други цели, тази обработка ще се извърши на следните правни основания: за разкриване и предотвратяване на престъпление (включително предотвратяване на измами) или когато закон или друг приложим акт го изисква.

 

II. Принципи при обработването на лични данни

 

Ние обработваме лични данни при спазване на следните принципи:

 

Законосъобразност, добросъвестност и прозрачност

 

Обработваме лични данни законосъобразно, добросъвестно и по прозрачен и ясен за субектите начин.

 

Законосъобразност

 

Всяко обработване на лични данни от нас (от наши служители и други обработващи от наше име) се основава на валидно правно основание и се осъществява при спазване на нормативната уредба и вътрешните правила. Спрямо правните основания се прилага принципът на алтернативност, т.е. законосъобразно е обработването на данните, ако:

 

  • е необходимо за спазването на законово задължение, което се прилага спрямо дейността ни или спрямо дейността на нашия партньор UP AGANEA (включително обработване, свързано с предоставяне на информация, изискана от орган на власт);
  • е необходимо за изпълнението на договор, по който субектът на данните е страна или за предприемане на стъпки, по искане на субекта на данните, преди сключването на такъв договор (например договори за издаване и обслужване на ваучери за храна на електронен носител и/или за издаване на предплатени карти, заредени с електронни пари, трудови договори, договори с лица по извънтрудови правоотношения и други);
  • е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните – например за целите на идентифициране на субекта;
  • е необходимо за целите на наши легитимни интереси или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни;
  • субектът на данните е дал своето съгласие за обработване на личните му данни за една или повече конкретни цели, чрез предоставяне на съответни писмени документи и/или чрез други действия и технически способи (включително по електронен път и през приложения и платформи);

 

Подробно описание на законосъобразността на обработването по отношение на данните на картодържателите, представителите и контактните лица на нашите клиенти, доставчици и контрагенти, лицата по извънтрудови отношения и кандидатстващите за работа, е предоставено за отделните субекти в съответната информация по чл. 13 и чл. 14 от ОРЗД, публикувана на нашите уебсайтове (Уведомления за поверителност).

 

Законосъобразност на обработването по отношение на лицата, посещаващи нашия офис и подлежащи на видеонаблюдение

 

Зоните пред асансьорите и коридорите на двата етажа в нашия офис са обект на видеонаблюдение и видеозаписване. При влизане, излизане и пребиваване в тези зони субектите на данни могат да бъдат обект на видеонаблюдение. Не се извършва видеонаблюдение в санитарно-хигиенни помещения. Освен с настоящата Политика, субектите на данни са информирани за извършваното видеонаблюдение и чрез нарочни информационни табели, разположени на входа на офиса.

 

Видеонаблюдение се извършва за легитимни цели – опазване здравето и живота на служители и на посетители в офиса, опазване и съхраняване на имуществото на нашата организация, както и наблюдение на процеси със специален режим. Информацията, която се събира чрез видеонаблюдение, в случаите на извършено престъпление, може да се използва в рамките на наказателно производство (досъдебно и/или съдебно) от компетентните разследващи органи (МВР и др.), прокуратурата, следствието и съда.

 

Законосъобразност на обработването по отношение на лицата, посещаващи наши уебсайтове, платформи и приложения

 

Ние обработваме лични данни на лицата, посетили уебсайтовете ни и ползващи услугите (форма за запитване и абонамент за бюлетин) за легитимни цели – предоставяне на исканите от субектите услуги и/или информация, предоставяне на качествено обслужване на клиентите и набиране на нови клиенти.

 

Добросъвестност и прозрачност

 

В изпълнение на принципа на прозрачност при обработването на лични данни, ние информираме служителите си, клиентите си и другите субекти, чиито данни обработваме, по подходящ, ясен и разбираем начин, за дейността по събиране и обработване на личните им данни от наша страна и за техните права във връзка със защитата на личните им данни, включително чрез информация на интернет страницата ни (Уведомления за поверителност) и в нашите приложения и платформи.

 

Ние оказваме съдействие на субектите на данни при упражняване на техните права. Служителите, като наши представители и работещите за ТОМБОУ-БЪЛГАРИЯ, в качеството им на обработващи лични данни, са информирани за правата на лица, като субекти на лични данни и са задължени да им предоставят информация и да им оказват съдействие по реда на настоящата Политика.

 

Ограничаване на целите

 

Обработваме лични данни за конкретни, изрично указани в съответните нормативни актове, и/или договори и/или други документи, легитимни цели и не ги обработваме по-нататък по начин, несъвместим с тези цели.

 

Свеждане на данните до минимум

 

Обработваме лични данни, които са подходящи, свързани със и ограничени до необходимото, с оглед целите, за които се обработват.

 

Точност и актуалност

 

Събираме и обработваме точни лични данни и предприемаме всички разумни мерки, за да се гарантира своевременното коригиране или изтриване на неточни такива, като се имат предвид целите, за които те се обработват.

 

Полагаме усилия да поддържаме личните данни в актуален вид. В изпълнение на принципа за точност и актуалност на събраните данни и с цел да изпълним коректно задълженията си към картодържателите и останалите субекти на данни, ги насърчаваме да ни информират за промяна на техни лични данни и им оказваме съдействие за актуализирането на данните им.

 

Ограничение на съхранението

 

Ние съхраняваме Вашите лични данни само доколкото това се налага, за да отговорим на Вашите нужди, за целите за които ги съхраняваме или съгласно нашите законови, корпоративни (на ниво група Up) и договорни задължения.

 

Съхраняваме личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от определения с нормативен акт, договор или вътрешно нормативен документ, а ако такъв няма, за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.

 

След постигане целта на обработване на личните данни или след изтичане на определения срок на съхранение, в качеството си на администратор или обработващ, сме длъжни да ги унищожим.

 

Не унищожаваме лични данни и документи, ако те са необходими за съдебно, административно производство или производство по разглеждане на жалба пред нас.

 

Конкретните срокове за съхранение на данните на субектите са посочени в информацията за отделните категории субекти по чл.13 и чл.14 от ОРЗД, публикувана на нашите уебсайтове (Уведомления за поверителност).

 

Съхраняваме аудио-записи от телефонни разговори за срок от 1 (една) година след изтичане на годината, през която са проведени разговорите , след което автоматично се заличават, освен ако не се изисква да ги запазим за по-дълъг срок, за да спазим законово изискване или наш легитимен интерес.

 

Данните от видеонаблюдението в офиса на ТОМБОУ се съхраняват до 30 дни, освен ако за защита на наши правни претенции не се налага по-дълъг срок на обработване – например за целите на допълнително разследване на инциденти.

 

Данните, отпечатани на карти за гориво Shell, се съхраняват за срок от 5 години.

 

Когато обработването на Ваши данни се основава на съгласие, ние съхраняваме Вашите лични данни докато не се откажете и преустановяваме обработката на данните Ви за тези цели, когато подадете отказа.

 

Когато подадете запитване през интернет страниците ни от момента на постъпването му запазваме Вашите данни за срок от 5 години.

 

Когато устройството, чрез което достъпвате наши уебстраници, платформи и приложения, запази „бисквитки“, ги пазим докато е необходимо за изпълнение на целите им (виж Политика относно бисквитките).

 

Съхраняваме документи и данни, за които не е предвиден специален срок за съхранение за срок от пет години от преустановяване на използването им.

 

В случай на възникнал правен спор или производство, налагащо запазване на данни и/или искане от компетентен държавен орган, е възможно запазване на данни за по-дълъг от посочените срокове до окончателно приключване на възникналия спор или производство пред всички инстанции, както и за период до 5 (пет) години от приключването му.

 

Поверителност, цялостност и наличност

 

Обработваме личните данни по начин, който гарантира подходящо ниво на тяхната поверителност, цялостност и наличност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки и при спазване на добрите практики, залегнали в стандарти за информационна сигурност.

 

Отчетност

 

Ние носим отговорност за спазването на принципите, изложени в тази Политика и изискваме тяхното спазване от своите служители и всички физически и юридически лица, които обработват лични данни от наше име и по наше възлагане.

 

За целите на отчетността като администратор водим в електронен формат изискуемия от чл.30 на ОРЗД регистър на дейностите по обработване.

 

III. Цели за обработване на лични данни

 

Ние обработваме лични данни със следните цели:

 

  • да изпълним задълженията ни по договор и да предоставим договорените услуги; за извършване на плащания въз основа на договора;
  • да осигурим достъпа на регистрирани потребители до Платформата UpOnline и Приложението UpTombou и да поддържаме индивидуализирания или корпоративен профил, за да предоставим нашите услуги и изпълним задълженията ни по договор;
  • за целите на анализ и проследимост на транзакции и осигуряване сигурност на плащанията;
  • да идентифицираме лицата за целите на предоставяне на справки, информация и съдействие, както и да могат да упражнят правата си на субекти на лични данни;
  • да изпълняваме нашите нормативни и договорни изисквания (например данъчни, осигурителни, статистически, отчетни и др. задължения);
  • да обработим препоръките за нов клиент, постъпили през интернет страницата ни;
  • да обработим запитвания, постъпили по телефон, на място или през интернет страниците ни и да комуникираме с лицето;
  • за издаване на карти за гориво Shell – когато ни се предоставят по възлагане от нашите клиенти по силата на сключен договор;
  • за пазарни проучвания и анализи – в съответствие с приложимите закони използваме лични данни за провеждане на пазарни проучвания и измерване на ефективността на нашите рекламни кампании;
  • да проучим удовлетвореността на субектите от предоставяните от нас услуги, за да поддържаме и развиваме функционалността на нашите уебстраници, Платформата UpOnline и Приложението UpTombou, тяхната сигурност и да подобрим цялостното клиентско обслужване;
  • с цел установяване, упражняване или защита на право по време на производство пред съд, административно производство или други правни процедури, в които участваме, както и за уреждане на искания, претенции и оплаквания от страна на субекти;
  • за сключване и контрол по изпълнение на договор с лица по извънтрудови отношения, както и за целите на изплащане на възнаграждения;
  • за извършване на подбор на кандидатстващи за работа при нас лица, вкл. установяване наличието на изискванията за заемане на позицията, сключване и изпълнение на договор;
  • за маркетингови цели, ако е предоставено съгласие или не е постъпил отказ, в отговор на проведен разговор или получено от нас маркетингово съобщение – да Ви уведомяваме чрез одобрените от Вас канали относно транзакции по Вашите карти; за изпращане на маркетингови съобщения чрез одобрените от Вас канали за популяризиране на продуктите и услугите на Томбоу и наши партньори, за участие в томболи и за други маркетингови активности и търговски комуникации.

 

Можете да отмените/оттеглите съгласието си за обработката на данните Ви за маркетингови цели по всяко време, както е посочено в раздел „Права на физическите лица“. Ако откажете обработването на данните Ви за маркетингови цели, няма да използваме данните Ви за посочените цели. Оттеглянето не засяга законосъобразността на обработването преди постъпването на отказа.

 

  • за анализ на получената информация за посетителите на наши уебсайтове, Платформата и Приложението чрез инструменти за измерване на аудиторията („бисквитки“), за да измерим как нашите клиенти и посетители използват уеб-страниците и Приложението и да подобрим Нашите услуги, обслужване и функционалностите на Платформата и Приложението
  • за други цели, определени в договор или в Общи условия на Томбоу;

 

IV. Информация, предоставяна от страна на ТОМБОУ-БЪЛГАРИЯ при обработване на лични данни

 

Предоставяме информацията по чл. 13 и 14 от ОРЗД на субектите на данни и осигуряваме достъп до актуалната й версия по следните начини:

 

  • на уебстраницата ни, раздел „Уведомления за поверителност“ – за всички субекти, чиито данни обработваме;
  • на страницата на Платформата UpOnline и чрез мобилното Приложение UpTombou – за картодържателите, клиентите и доставчиците от търговската мрежа;
  • на вътрешна споделена директория за ползване от служителите;
  • предоставяме я на хартиен носител за запознаване в офиса ни при изрично поискване от страна на субектите.

 

Когато личните данни не са получени от физическото лице, за което се отнасят, в допълнение му предоставяме и информация за съответните категории лични данни, които обработваме и за техния източник, освен ако субектът вече разполага с тази информация.

 

Горните условия не се прилагат в случаите, когато личните данни не идват от субекта на данните, но получаването или разкриването им е изрично разрешено от правото на ЕС или българското законодателство и в което се предвиждат подходящи мерки за защита на легитимните интереси на субекта на данните.

 

V. Разкриване на данни на външни страни

 

Ние поемаме ангажимент да защитим и пазим Вашите данни, като работим единствено с доверени партньори. Ние зачитаме Вашите права и винаги се стремим да се съобразим с Вашите искания доколкото е възможно съгласно нашите законови и оперативни отговорности. Ние се задължаваме да не продаваме, разменяме, отдаваме, разгласяваме, предоставяме, публикуваме, използваме или разпространяваме по друг начин факти и обстоятелства, представляващи лични данни за ползване от трети страни под каквато и да е форма. Събраните лични данни се използват единствено за обявените по-горе цели, на обявените по-горе основания.

 

Като изключение и при спазване на приложимите законови изисквания, можем да предоставим достъп до лични данни на субекти или да ги споделим със строго определени трети страни, като:

 

  • държавни и регулаторни органи в република България (като например НАП, НОИ, КЗЛД, МВР, прокуратура, съд и др.) по тяхно изрично искане или когато сме нормативно задължени;
  • с нашите партньори, включително, но не само от групата Up, във връзка с предоставянето на дигитални ваучери/предплатени карти и поддържането на Платформата и Приложението;
  • в оправдани случаи и при искане на упълномощени органи, по-специално местните органи, нашият партньор Up Aganea или на техния надзорен орган, да се предоставят данни на Картодържател на предплатена карта по искане на упълномощени институции, нашият Клиент е длъжен да съдейства в рамките на 3 работни дни от получаване на искането от наша страна;
  • специализирани компании, с които работим като например:
    • специализирани компании за подбор на кадри;
    • търговски банки и финансови компании (за целите на изплащане на възнаграждения, плащания по договори или възстановяване на служебни разходи);
    • застрахователни компании и пенсионноосигурителни дружества, когато предоставяме на служителите ни допълнителни социални придобивки като застраховки и допълнително здравно осигуряване;
    • туристически агенции, хотели и други организации, организиращи настанявания, пътувания и дейности във връзка с командировки, фирмени събития и тийм билдинги, в които участват наши служители;
    • оператори, предоставящи пощенски и куриерски услуги при обмен на кореспонденция със субекти;
    • компании, осигуряващи и съдействащи за нашата техническа и оперативна поддръжка на услугите ни, уебстраници и приложения, например за извършване на административни услуги, обработване на транзакции, маркетинг комуникация, печат и персонализиране на карти (пластики), доставяне на платежни услуги, извършване на пазарни проучвания, куриерски услуги, поддръжка на ИТ системи и ресурси, центрове за данни, хостинг компании, рекламни, маркетингови, дигитални и социални медийни агенции; доставчици, извършващи консултантска или други дейности (напр. одит), доставчици на счетоводни, юридически услуги, услуги за осигуряване на здравословни и безопасни условия на труд, медицински и специализирани застраховки, доставчици за управление на архиви и други, при които е възможно, по изключение да имат достъп до Ваши данни.

 

В някои случаи тези страни действат като обработващи лични данни от наше име, а в други – като самостоятелни или съвместни с нас администратори.

 

Следвайки принципите за гарантиране на законосъобразност, прозрачност и сигурност, ние подписваме с обработващи лични данни и със съвместни администратори съответните договори или споразумения.

 

Когато защитаваме правата и легитимните си интереси и ако използваме услугите на външни консултанти, адвокати, одитори, и др., им разкриваме онзи обем от лични данни, който е необходим, за да ни съдействат и предоставят услугите, за които сме ги наели.

 

Можем да предоставяме Ваши лични данни на трети страни и в случай, че:

 

  • имаме задължение да разкрием или споделим Ваши лични данни, с цел спазване на законово задължение, за защита на правата, собствеността или безопасността на ТОМБОУ, нашите клиенти и служители или във връзка с договорни и легитимни интереси;
  • ако сте дали своето съгласие за това;
  • при други обстоятелства, ако имаме право да правим това по закон.

VI. Права на субектите на лични данни

 

Съгласно Регламент 2016/679 и приложимото българско законодателство, субектите на лични данни имат следните права:

 

Право на достъп и информация

 

Субектът на данните има право да получи от нас информация дали обработваме негови лични данни и ако ги обработваме, той има право да получи достъп до тях и информация за:

 

  • целите на обработването;
  • съответните категории лични данни, които се обработват;
  • получателите или категориите получатели, пред които са или могат да бъдат разкрити неговите лични данни, по-специално получателите в трети държави или международни организации, ако има осъществявани такива трансфери на данни;
  • предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
  • съществуването на право да се изиска от нас коригиране или изтриване на негови лични данни или ограничаване на обработването им, или да се направи възражение срещу такова обработване, освен ако обработването не е в изпълнение на законово или договорно задължение;
  • правото на жалба до КЗЛД;
  • източника на личните данни, обработвани от нас, когато те не са събрани от субекта на данните;
  • съществуването на автоматизирано вземане на решения, включително профилиране, както и значението и предвидените последствия от това обработване за субекта на данните, ако се осъществява такова.

 

Право на коригиране

 

Субектът на данни има право да поиска от нас да коригираме, без ненужно забавяне, негови лични данни, които са неточни или вече не са актуални, както и да ги допълним, когато данните са непълни.

 

Право на изтриване (право да „бъдеш забравен“)

 

Субектът на данни има правото да поиска от нас изтриване на негови лични данни, а ние имаме задължението да ги изтрием без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:

 

  1. личните данни повече не са необходими за целите, за които са били събрани или обработвани;
  2. субектът на данните оттегля своето съгласие, въз основа на което се обработват неговите данни и няма друго правно основание за обработването им;
  3. субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регламент 2016/679 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2 от Регламент 2016/679;
  4. личните данни са били обработвани незаконосъобразно.

 

Ние сме задължени да прекратим обработването на личните данни в случаите на т. c) :

  • винаги, когато получим възражение за целите на директния маркетинг;
  • при получено възражение по т.a), освен ако не докажем, че съществуват законови основания за обработването, които имат преимущество пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

 

Оттегляне на съгласие за обработване

 

Субектът има право да оттегли съгласието си за обработване на лични данни за маркетингови цели:

 

  • чрез подаване на писмено искане/отказ по ел. поща (в свободен текст);
  • с подписване на място в офиса на Дружеството на декларация за оттегляне на съгласие за обработване на лични данни за маркетингови цели;
  • ако лицето е получило от Нас маркетингово съобщение по ел. поща – с отговор с изписано в полето Subject „Unsubscribe” и празно съобщение;
  • ако сме се свързали с лицето по телефон – с устен отказ за обработка на данните за маркетингови цели.

 

Право на ограничаване на обработването

 

Субектът на данните има право да изиска от нас ограничаване на обработването на своите лични данни, ако:

 

  • обработването е неправомерно, но субектът не желае личните му данни да бъдат изцяло изтрити, а вместо това изисква ограничаване на използването им;
  • не се нуждаем повече от неговите лични данни за целите, за които същите са били обработвани, но субектът ги изисква за установяването, упражняването или защитата на правни претенции.

 

Данните, чието обработване е ограничено, се обработват само със съгласието на техния субект, с изключение на съхранението им или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо лице, или поради важни основания от обществен интерес.

 

Когато субект на данните е изискал ограничаване на обработването, ние го информираме преди отмяната на ограничаването на обработването.

 

При извършване на коригиране, изтриване или ограничаване на обработването на лични данни ние съобщаваме за всяко извършено действие на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Информираме субекта на данните относно тези получатели, ако субектът на данните поиска това.

 

Право на преносимост на данните

 

Субектът на данните има право да получи личните данни, които го засягат и които той ни е предоставил, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от нас, когато обработването:

 

  • е основано на съгласие или на договорно задължение и
  • се извършва по автоматизиран начин.

 

Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи пряко прехвърляне на личните му данни от нас към друг администратор, когато това е технически осъществимо.

 

Упражняването на правото на преносимост на данните не засяга правото на изтриване и не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия.

 

Правото на преносимост на данните не следва да засяга неблагоприятно правата и свободите на други лица.

 

Право на възражение

 

Субектът на лични данни има право на възражение срещу обработването на лични данни, отнасящи се до него, ако обработването се извършва на основание изпълнение на задача от обществен интерес или на основание упражняване на официални правомощия, които са ни предоставени, или обработването е било необходимо за целите на наши или трета страна легитимни интереси. Ние сме задължени да прекратим обработването на личните данни, освен ако не докажем, че съществуват законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

 

Когато обработваме лични данни, за целите на директния маркетинг, техният субект има право по всяко време да направи възражение срещу обработването им за такъв вид маркетинг, включително срещу профилиране, доколкото то е свързано с директния маркетинг. В случай на постъпило възражение, ние сме задължени да прекратим обработването на личните данни за целите на директния маркетинг, насочен към този субект на лични данни.

 

В момента на първото осъществяване на контакт със субекта на данните изрично го уведомяваме за правото му на възражение, като уведомлението му се представя по ясен начин и отделно от всяка друга информация.

 

ТОМБОУ-БЪЛГАРИЯ прилага вътрешни правила и процедури, които регламентират реда и условията за приемане, разглеждане и отговор на искания от физически лица – субекти на лични данни, свързани с упражняване на правата им по този раздел на Политиката. Ние сме длъжни да предоставим на субектите, чиито лични данни обработваме, информация за правата им по прозрачен и достъпен начин, в писмена или устна форма, или по друг начин, при поискване от тяхна страна и след като се идентифицират.

 

Съдействаме за упражняване правата на субектите, чиито лични данни обработваме, и не може да откажем да предприемем действия, освен ако не сме в състояние да идентифицираме самоличността на субекта, отправил искането.

 

Предоставяме на субекта на данни информация относно действията, предприети по негово искане, във връзка с упражняване на правата му, в срок от 1 (един) месец от получаване на искането. При необходимост този срок може да бъде удължен с още 2 (два) месеца, като се вземе предвид сложността и/или броя на получените искания. В тези случаи информираме субекта на данните за всяко такова удължаване в срок от 1 (един) месец от получаване на искането, като посочваме причините за забавянето и възможността за подаване на жалба до КЗЛД и търсене на защита по съдебен ред.

 

Ако субект на лични данни счита, че правата му са нарушени от Томбоу или е налице нарушение със сигурността на данните му от страна на Томбоу, има право да подаде жалба до Комисия за защита на личните данни на посочените на техния сайт https://cpdp.bg контакти.

 

Ако субект на данни счита, че правата му са нарушени от страна на нашия партньор UpAganea следва да се свърже с наздорния му орган – Испанска агенция за защита на данните (AEPD): C. de Jorge Juan, 628001 Мадрид, Испания, тел. 900 293 183 и/или друг надзорен/регулаторен орган. (Отнася се само за лица, които използват уеб платформа Up Online (Платформата) и/или, мобилно приложение Up Томбоу(Приложението)

 

За да упражните някое от изброените по-горе права или да получите допълнителна информация относно обработването на личните Ви данни от ТОМБОУ-БЪЛГАРИЯ ЕООД, може да го направите по следните начини:

 

  • да посетите нашия офис и да подаде заявка на място;
  • да заявите това на електронна поща dpo@tombou.bg

 

За да Ви идентифицираме и да сме сигурни, че предоставяме информация на Вас, както и за да защитим Вашите интереси, запитвания и заявки по телефона няма да се приемаме за валидни.

 

Когато субектът на данни подава искане чрез заявление по ел. поща (и то е валидно), информацията му се предоставя по идентичен начин, освен ако субектът на данни е поискал друго. С цел ясното идентифициране на субекта и защитата на неговите данни и права, за валидно се приема заявление по електронна поща, когато:

 

  • за картодържатели – заявлението е подписано с квалифициран електронен подпис (КЕП) или в него са описани пълния набор от данни на субекта (имена, дата на раждане, ел. адрес и телефон, с които е регистриран в Платформата/Приложението);
  • за лица по извънтрудови отношения – заявлението е подписано с КЕП или в него са описани пълния набор от данни на субекта (имена, ЕГН, адрес, ел. адрес и телефон);
  • за всички останали субекти на данни – заявлението е подписано с квалифициран електронен подпис (КЕП);

 

Ако субект желае да упражни правата си относно обработването на личните му данни от страна на нашия партньор UpAganea, който действа като самостоятелен администратор, може да изпрати директно запитване към него на посочените по-горе данни за контакт с него.

 

Информацията, предоставяна на субектите на данни по тяхно искане, както и всички наши действия, свързани с упражняване на правата на субектите, са безплатни за тях. Когато исканията на субект на данни са явно неоснователни, прекомерни, или се повтарят твърде често, ние може:

 

  • да наложим разумна такса, като вземем предвид административните разходи за предоставяне на информацията или комуникацията, или предприемането на исканите действия, или
  • да откажем да предприемем действия по искането.

 

Когато имаме основателни съмнения във връзка със самоличността на физическото лице, което подава искане с цел упражняване на правата си, може да поискаме предоставянето на допълнителна информация и/или документи, необходими за потвърждаване на самоличността на субекта на данните.

 

VII. Защита и сигурност на личните данни

 

Ние винаги правим най-доброто, за да защитим Вашите лични данни и след като получим Вашите лични данни, прилагаме строги процедури и мерки за сигурност, за да предотвратим неупълномощен достъп, поверителност и сигурност на данните.

 

Ние въвеждаме подходящи технически и организационни мерки за осигуряване ниво на сигурност, съобразено с рисковете с различна вероятност и тежест за правата и свободите на физическите лица и изискваме това да се прилага и от обработващите от наше име. Предприемаме действия, които да гарантират, че всяко физическо лице, действащо под наше ръководство, обработва тези данни, само по наше указание, освен ако от това лице се изисква да прави това по силата на правото на ЕС или правото на държава членка.

 

Когато има вероятност определен вид обработване, по-специално при което се използват нови технологии и/или предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на субектите на данни, преди да бъде извършено обработването, ние извършваме оценка на въздействието върху защитата на личните данни на предвидените операции по обработване.

 

В Томбоу има внедрена и сертифицирана Система за управление на информационната сигурност (ISMS) съгласно изискванията на ISO/IEC 27001, с която се гарантира поддържането на адекватни мерки за сигурност за защита на информацията и в частност на личните данни. В случай на нарушение на сигурността на личните данни, прилагаме утвърдена вътрешна процедура за действие при нарушение на сигурността на личните данни и за уведомление за нарушението по силата на Регламент 2016/679.

 

Всички потребители трябва да са наясно с многобройните рискове, свързани със сигурността на информацията, и да предприемат подходящи стъпки, за да защитят собствената си информация и устройства за обработка на информацията. Ние не поемаме отговорност за нарушения, които настъпват вследствие на действия или бездействия, извън нашата сфера на контрол.

 

VIII. Администратор и обработващ лични данни

 

Ние действаме в качеството на администратор или обработващ лични данни, както и можем да възложим определени дейности по обработка на други организации (наши обработващи).

 

Обработващи лични данни от наше име са лицата по извънтрудови правоотношения, когато обработват лични данни при или по повод изпълнение на договорните си задължения. По смисъла на тази Политика обработващи лични данни са и всички юридически лица, които въз основа на сключени с нас договори за възлагане на услуги извършват някоя от дейностите, посочени в дефиницията за обработване на лични данни.

 

Когато възлагаме обработване на лични данни, ние използваме само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент 2016/679, приложимото национално законодателство и да осигурява защита на правата на субектите на данни.

 

Обработването, извършвано от страна на обработващия лични данни, се урежда с договор или с друг правен акт, съгласно правото на ЕС или приложимото законодателство, в който се регламентират естеството и целта на обработването, срока на обработването, вида лични данни и категориите субекти на данни, както и нашите задължения и права и задълженията и правата на обработващия, като за обработващия лични данни се включват задълженията, предвидени в Регламент 2016/679.

 

Обработващите лични данни от наше име носят по презумпция солидарна отговорност за свързаните с това обработване процеси.

 

Ние си запазваме правото да извършваме одити на място на прилаганите от обработващите лични данни методи за защита на личните данни, които им предоставяме за обработка. Обработващите лични данни са задължени да не възпрепятстват осъществяването на такива одити и да ни съдействат за провеждането им без неоправдано забавяне.

 

Съвместни администратори

 

Ние може да обработваме лични данни съвместно с друг/и администратор/и, като заедно определяме целите и средствата за обработването. В този случай ние и другият администратор уведомяваме субектите на данни за съвместното обработване и уреждаме по прозрачен начин отговорностите и задълженията си в споразумение, в което се включват задълженията на страните, предвидени в Регламент 2016/679.

 

Прехвърляне на данни

 

Прехвърляне на данни е всяко предаване на лични данни от нас на друг администратор или обработващ или на която и да е трета страна. При всеки подобен случай ние спазваме приложимите изисквания на националното и европейско законодателство, както и вътрешната си нормативна уредба.

 

Сътрудничество с надзорния орган

 

По искане на КЗЛД наши представители и представители на обработващите от наше име организации си сътрудничат с КЗЛД при изпълнението на нейните правомощия.

 

Когато ние действаме в качеството на обработващ лични данни, дейностите се извършват по възлагане от нашия администратор и в съответствие с неговите указания.

 

IX. ДЪЛЖИМА ГРИЖА

 

За съжаление, както на всички нас е известно, предаването на информация през интернет не е напълно сигурно. Ние правим всичко възможно, за да защитим лични данни на субектите, но ние не можем да гарантираме сигурността им на етапа на прехвърлянето им през Интернет към наши сайтове, платформи и приложения. Веднъж получена при нас, личната информация на субектите ще бъде защитена чрез стриктни политики, процедури и мерки за сигурност, за да се опитаме да предотвратим неоторизиран достъп, модификация или неправомерно заличаване.

 

При използване на пароли за достъп до акаунти, създадени за използване на услуги, предоставени чрез нашите уебсайтове, Платформата или Приложението, субектът на данните е отговорен за опазването на тази парола и акаунт в тайна. Субектът на данните се ангажира да не я споделя с други лица. Ако паролата и акаунта на субект бъдат компрометирани с умишлени или неволни действия или бездействия от негова страна, незабавно субектът трябва да да предприеме стъпки за смяна на паролата и/или потребителското име. Ако паролата се използва от други лица, субектът носи пълната отговорност за всяко действие, предприето чрез неговия акаунт.

 

В настоящата Политика се използват всички определения по смисъла на ОРЗД.

 

Промени в настоящата политика

 

Настоящата Политика може да се актуализира периодично, в зависимост от измененията в нормативната уредба и/или дейността на компанията. Актуалната й версия се оповестява на https://uptombou.bg

 

Дата на последна актуализация: 06/2024