ДЕКЛАРАЦИЯ ЗА ПОВЕРИТЕЛНОСТ

Политика за поверителност

Настоящата политика урежда принципите и правилата, съгласно които се обработват личните данни на физически лица при използването на онлайн магазина Артоаза, в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. („Общ регламент относно защитата на данните“ или GDPR), както и приложимото национално законодателство. Целта на настоящия документ е да предостави разбираема и точна информация относно:

1. категориите лични данни, които се събират при ползване на онлайн магазина;

2. правните основания за обработването им;

3. целите, за които се извършва обработка;

4. сроковете за съхранение на данните;

5. условията, при които информацията може да бъде разкрита на трети лица;

6. правата, с които разполагат лицата, чиито данни се обработват, и начина за упражняването им.

Администраторът на личните данни е търговецът, осъществяващ дейност чрез онлайн магазина Артоаза. При необходимост от допълнителна информация относно обработването на лични данни или при желание за упражняване на права, предвидени в нормативната уредба, потребителите могат да се свържат с администратора чрез обявените в онлайн магазина контактни канали.

 

Раздел I - Информация за администратора

Чл. 1 (1) Личните данни, които се споделят при използване на онлайн магазин се съхраняват, обработват и споделят от:
Наименование: „Артоаза“ ООД

ЕИК:205945285;

Седалище и адрес на управление: гр. Пловдив, п.к. 4003, ул. „Лебед“ № 2

Адрес за кореспонденция: гр. Пловдив, п.к. 4003, ул. „Лебед“ № 2

Телефон:+359 878 899 755

Имейл адрес: [email protected]

(2)Регулаторен орган по отношение защитата на личните данни, към който може да се обърнете, в случай че вашите права съгласно настоящата Политика са нарушени, е:
Наименование: Комисията за защита на личните данни (КЗЛД)

Адрес: гр. София 1592, бул. "Проф. Цветан Лазаров" № 2

Електронна поща: [email protected] 

Интернет страница: www.cpdp.bg
Телефон: 02/ 91-53-555

 

Раздел II - Често използвани термини

Чл. 2. В контекста на настоящата Политика за поверителност, изброените по-долу термини следва да се тълкуват както следва: 

1. "Лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице.

2. "Обработване на лични данни" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

3. "Администратор на лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

4. "Обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

5. "Субект на данни" означава идентифицирано или подлежащо на идентифициране физическо лице, за което се отнасят личните данни.

6. "Съгласие" на субекта на данни означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.

7. "Нарушение на сигурността на лични данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

8. "Легитимен интерес" означава интерес на администратора или на трета страна, който е достатъчно основателен, за да оправдае обработването на лични данни, при условие че този интерес не накърнява интересите или основните права и свободи на субекта на данните.

9. "Профилиране" означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, по-специално за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движения.

10. "Бисквитки" означава малки текстови файлове, които се съхраняват на вашето устройство (компютър, таблет, смартфон и др.) при посещение на нашия уебсайт. Бисквитките ни помагат да осигурим правилното функциониране на уебсайта, да подобрим вашето потребителско изживяване и да ви предоставим персонализирано съдържание и реклами.

Раздел III - Основание за събиране, обработване и съхраняване на Вашите лични данни

Чл. 3. (1) Обработването на лични данни от страна на администратора се извършва във връзка с ползването на онлайн магазина и сключването или изпълнението на договори за продажба от разстояние. Данните се събират, съхраняват и използват въз основа на приложимите разпоредби на чл. 6, пар. 1 от Регламент (ЕС) 2016/679 (GDPR), при наличие на поне едно от следните условия:

1. Съгласие на субекта на данни – когато обработването се извършва въз основа на свободно изразено, конкретно, информирано и недвусмислено съгласие, дадено от потребителя за конкретни цели, ясно обозначени в рамките на онлайн магазина.

2. Изпълнение на договор – когато обработването е необходимо във връзка с действия по сключване, изпълнение или прекратяване на договор за покупко-продажба от разстояние, включително действия, свързани с обработване на поръчки, доставка на продукти и предоставяне на обслужване.

3. Спазване на нормативни изисквания – когато обработването е необходимо за изпълнение на задължения, произтичащи от приложимото законодателство, включително задължения, свързани с водене на отчетност, издаване на документи с данъчно значение, съхраняване на информация за контрол от държавни органи и др.

4. Защита на легитимни интереси – когато обработването се налага с оглед на легитимни интереси на администратора или на трета страна, доколкото тези интереси не са надделени от основните права и свободи на потребителя. Такива интереси могат да включват, например, предотвратяване на злоупотреби, упражняване на правни претенции, оптимизиране на услугата или взаимодействие с доставчици (включително куриерски оператори, доставчици на ИТ поддръжка и др.).

Чл. 4 Когато се разчита на легитимни интереси като правно основание за обработка на вашите лични данни, Администраторът внимателно преценява дали тези интереси са законни, ясно формулирани и не накърняват вашите интереси, основни права и свободи. За всяка обработка, основана на легитимен интерес, се извършва балансов тест, който взема предвид естеството на данните, вашите разумни очаквания, възможното въздействие върху вас и допълнителните гаранции, които се прилагат.

 

Раздел IV - Цели и принципи при събирането, обработването и съхраняването на Вашите лични данни

 

Чл. 5. (1) Обработването на лични данни от страна на администратора се осъществява при спазване на установените принципи, съгласно чл. 5 от Регламент (ЕС) 2016/679. Данните се събират и използват единствено при наличие на релевантно правно основание и за ясно определени цели, свързани с функционирането на онлайн магазина и предлагането на продуктите на Търговеца – включително, но не само: 3D тапети, самозалепващи декоративни стикери, PVC панели и други интериорни решения.

(2) Обработването на данни се извършва при следните цели:

1. Управление на потребителски профили – създаване, поддържане и администриране на акаунти на регистрирани потребители, включително възстановяване на достъп и извършване на промени по заявка на субекта на данни.

2. Кореспонденция по потребителски запитвания – обработване на съобщения и въпроси, отправени чрез контактните форми в онлайн магазина или чрез предоставените канали за комуникация.

3. Изпълнение на сключени договори – обработка на информация, необходима за приемане, потвърждаване, комплектоване, изпращане и обслужване на поръчки, както и за осъществяване на последваща комуникация относно изпълнението на договора.

4. Изпращане на информационни съобщения – при предварително дадено съгласие, Администраторът може да използва предоставения имейл адрес за изпращане на известия относно нови продукти, специални предложения, промоционални кодове или друга релевантна информация относно предлаганите стоки.

5. Анализ и оптимизация на функционалностите – събиране на обобщена информация за целите на вътрешен анализ, подобряване на навигацията и адаптиране на съдържанието спрямо нуждите на потребителите.

6. Спазване на нормативни задължения – събиране и съхранение на информация, необходима за счетоводно и данъчно отчитане, в съответствие с изискванията на действащото законодателство.

Чл. 6. (1) При осъществяване на дейности, свързани със събиране, обработване и съхраняване на лични данни, Администраторът прилага следните основополагащи принципи, гарантиращи законосъобразност и добросъвестност на обработката:

1. Принцип на законосъобразност, добросъвестност и прозрачност – обработването се извършва в съответствие със законовите изисквания, по начин, който зачита правата и законните интереси на субектите на данни, и при предоставяне на ясна, разбираема и достъпна информация относно целите, основанията и обхвата на обработката;

2. Принцип на ограничение на целите – личните данни се събират само за конкретни, предварително определени и легитимни цели и не се подлагат на по-нататъшно обработване, несъвместимо с тези цели;

3. Принцип на минимизация на данните – обработват се единствено данни, които са съществено необходими за постигане на съответните цели, като се избягва събирането на излишна или нерелевантна информация;

4. Принцип на ограничение на съхранението – данните се съхраняват за период, който не надвишава необходимото време за реализиране на целите на обработване, освен ако не съществува правно задължение за по-дълго съхранение;

5. Принцип на точност и актуалност – полагат се разумни усилия за гарантиране на точността на обработваните данни, включително възможност за своевременно коригиране или актуализиране при установена неточност;

6. Принцип на цялостност и поверителност – обработването се осъществява по начин, който осигурява адекватна сигурност на личните данни, включително защита срещу неразрешен достъп, загуба, унищожаване или неправомерно разкриване, чрез прилагане на технически и организационни мерки, съответстващи на рисковете, свързани с обработката;

7. Принцип на отчетност – Администраторът носи отговорност и е в състояние да докаже спазването на всички гореописани принципи при всяка конкретна обработка на лични данни.

Раздел V - Видове лични данни, които  Администратора събира, обработва и съхранява.

Чл. 7. Администраторът обработва следните категории лични данни и информация във връзка с посочените по-долу цели и основания:

1. Ваши индивидуализиращи лични данни (име и фамилия, телефон, електронна поща, адрес и др.)

Цели, за която се събират данните: 

1. Осъществяване на обратна връзка с Потребителя във връзка с отговор по отправени от него запитвания; 

2. Регистрация на профил в уебсайта;

3. Изпращане на информационен бюлетин, имейли със специални предложения, промоции, промо кодове и нови функционалности на онлайн магазина, при изричното съгласие на субекта на данни; 

4. Изпълнение на договор за покупко-продажба от разстояние;

 

Основание за обработка на личните Ви данни:

С приемането на общите условия и регистрация в електронния магазин или извършване на поръчка чрез опцията “Поръчай като гост”, между Администратора и субекта на данни се създава договорно отношение, на което основание обработват лични данни – чл. 6, ал. 1, б. (б) GDPR. Данните за изпращане на информационен бюлетин, както и за изпращане на съобщение чрез контактната форма и се обработват на дадено от Вас изрично съгласие - чл. 6, ал. 1, б. (а) GDPR.

2. Данни за извършване на доставка (имена, телефон, адрес и др.)

Цел, за която се събират данните: 

Изпълнение на задължението на Администратора по договора за покупко-продажба от разстояние 

Основание за обработка на личните Ви данни:

При приемането на Общите условия и Политиката за поверителност, към момента на сключване на договора чрез регистрация в електронния магазин или извършване на поръчка чрез опцията “Поръчай като гост” се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

3. Данни от потребителско преживяване (брой поръчки, поръчани стоки, честота на посещения, последно посещение, прекарано време на сайта, разглеждани продукти)

Цел, за която се събират данните: 

Оптимизация на съдържанието и дизайна на отделни страници, като целта е да се персонализират на условията за продажба на стоки от разстояние, да се повиши на клиентска удовлетвореност от Търговеца, както и цялостно подобряване на предоставяните услуги.  Информацията е анонимизирана и криптирана и на тази база не може да се достигне до конкретния потребител и индивидуализиращи негови данни, освен ако не е регистриран потребител.

Основание за обработка на личните Ви данни:

При приемането на Общите условия, Политиката за поверителност или Политиката за бисквитки към момента на влизане в сайта, съответно последващо съгласие при изпълнение на определено действие, вкл и чрез регистрация в електронния магазин или извършване на поръчка чрез опцията “Поръчай като гост” на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (а) GDPR.

Чл. 8. В някои случаи Администраторът може да използва вашите лични данни за създаване на потребителски профили с цел анализиране или прогнозиране на вашите предпочитания, интереси или поведение. Това помага за персонализиране на вашето изживяване и предоставяне на по-релевантни продукти и организация на промоционални кампании.

Чл. 9. Администраторът не използва автоматизирано вземане на решения, включително профилиране, което да поражда правни последици за вас или по подобен начин да ви засяга в значителна степен. Всички значими решения, които биха могли да повлияят на вашите права или законни интереси, се вземат с човешка намеса и преценка.

(2) Ако в бъдеще бъде взето решение за въвеждане на такива автоматизирани процеси, ще бъдете информирани предварително и ще ви бъде предоставена възможност да изразите вашето мнение и да оспорите решението, когато това е подходящо.

Чл.10. (1) Администраторът не събира и не обработва специални категории лични данни (чувствителни данни) по смисъла на чл. 9 от GDPR, като данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние, сексуалния живот или сексуалната ориентация.

(2) Онлайн магазинът не е предназначен за лица под 18-годишна възраст, с оглед на което съзнателно не се събират лични данни от такива лица. В случай че бъде установено събиране на лични данни от лице под 18-годишна възраст без проверимо родителско съгласие, ще  бъдат предприети стъпки за незабавно изтриване на тези данни.

Раздел VI -  Срок на съхранение на личните ви данни

 

Чл. 11. (1) Администраторът се задължава да съхранява личните данни, които е събрал само за необходимия срок, за да постигне целите, посочени в настоящата Политика, както и когато по силата на закон има право или задължение да ги съхранява за по-дълъг период. Определящи за продължителността срока на съхранение са  различни фактори, като например:

1. Продължителността на предоставяне на услуги, ако е необходимо с цел установяване, упражняване или защита на правни претенции,

2. Правно задължение за съхраняване данни съгласно националното законодателство.

3. Оперативни нужди – Администраторът преценява колко дълго данните са необходими за предоставяне на услугите, подобряване на потребителското изживяване и осигуряване на адекватна клиентска поддръжка.

4. Техническа реализация – Администраторът преценява и технически аспекти като възможности за анонимизация или псевдонимизация, които могат да позволят обработването на данни за по-дълги периоди по начин, който не позволява идентифицирането на субектите на данни.

(2) Срокове за съхранение на лични данни, съгласно настоящата политика за следните:

1. Относно данните, свързани с вашия потребителски акаунт - Периодът за който вашият потребителски профил е активен и не е изтрит; 

2. Относно данни свързани с покупки и транзакции - За период от 5 години след извършване на транзакцията; 

3. Относно данни, събрани чрез маркетингови дейности (например, абонаменти за бюлетини) -  До момента в който, субектът на данни, изрично не оттегли съгласието си;

4. Относно данни, събрани от "бисквитки" и подобни технологии -  Периодът на съхранение варира в зависимост от вида на "бисквитката", но не по-дълъг от 2 години; 

5. Относно данни от комуникация с екипа за обслужване на клиенти - Период е не по-дълъг от 2 години след последната ви комуникация.

 

Чл. 12. Конкретните срокове на съхранение за различните категории данни са определени въз основа на баланс между тези критерии, като се отдава приоритет на законовите изисквания и фундаменталните права на субектите на данни.

Чл. 13. (1) След изтичане на приложимия период на съхранение, Администраторът предприема мерки за изтриване или анонимизиране на вашите лични данни.

(2) Изтриването се извършва по сигурен начин, използвайки одобрени методи, които гарантират, че данните не могат да бъдат възстановени или достъпни след процеса на изтриване.

(3) В случаите, когато пълното изтриване не е технически възможно или не е желателно поради легитимни бизнес интереси, Администраторът може да анонимизира данните, за да премахне възможността те да бъдат свързани с вас.

(4) Администраторът извършва периодичен преглед на съхраняваните лични данни най-малко веднъж годишно, с цел идентифициране и изтриване на данни, чийто срок на съхранение е изтекъл, освен ако не съществува друго валидно основание за продължаване на съхранението.

Раздел VII  - Споделяне на данни с трети страни

Чл. 14. (1) Администраторът не продава, отдава под наем, разпространява или прави търговски достъпни по друг начин личните данни на потребителите на трети страни, освен в случаите, изрично описани в настоящата Политика.

(2) Администраторът гарантира, че всеки получател на лични данни се задължава да обработва тези данни само за целите, за които са предоставени, и в съответствие с приложимото законодателство за защита на личните данни. Въпреки това, ние можем да споделяме вашите лични данни със следните категории получатели:

Доставчици на услуги:

1. Доставчици на хостинг услуги и облачни услуги - ***

2. Платежни процесори - Stipe Inc 

3. Доставчици на логистични и транспортни услуги - Еконт Експрес АД, 

4. Аналитични доставчици (например, Google Analytics, Facebook Pixel и др.).

5. Счетоводни кантори с цел обработка на данните от поръчките и изготвяне на отчети към приходна агенция. 

6. Уеб поддръжка и развитие - Стеник Груп ООД.

Правоприлагащи органи - регулаторни органи, съдилища или други публични органи, когато това се изисква от закона;

(3) Към момента на влизане в сила на тази Политика за поверителност, Администраторът не действа като съвместен администратор по отношение на личните данни, които обработва.

(4) В случай че в бъдеще Администраторът започне да определя целите и средствата на обработването съвместно с друг администратор, той ще сключи споразумение, което урежда по прозрачен начин съответните роли и отношения на съвместните администратори спрямо субектите на данни.

Чл. 15. (1) Администратора полага усилия да гарантира, че  горепосочените получатели на Вашите лични данни спазват приложимите закони за защита на данните и осигуряват адекватно ниво на защита.

(2) Когато се ангажират трети страни с цел обработка лични данни от наше име или предоставяне на достъп до лични данни, се те подписват писмени споразумения, със задължение за поверителност. Чрез тях, посочените субекти са задължени да прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните.

Раздел VIII - Международен трансфер на данни

Чл. 16. (1) В определени случаи, Администраторът може да прехвърля, съхранява и обработва Вашите лични данни  когато съответните доставчици на услуги са базирани извън ЕИП.

(2) При подобно обстоятелство, Администраторът гарантира, че се осигурява сходно ниво на защита, като е внедрена поне една от следните мерки:

1. Прехвърля ваши лични данни само към държави, за които Европейската комисия е решила, че осигуряват адекватно ниво на защита на личните данни;

2. Използва специфични договори, одобрени от Европейската комисия, които предоставят на личните данни същата защита, която имат в Европа (така наречените стандартни договорни клаузи);

3. Прехвърля данни към трети лица, само ако те са част от сертификационна схема, която изисква от тях да осигурят подобна защита на личните данни, каквато се изисква в Европа.

(3) Вашите лични данни може да бъдат прехвърлени към следните държави извън ЕИП:

1. Съединените американски щати (САЩ) - за аналитични услуги (Google Analytics), маркетингови платформи (Facebook) и други доставчици на облачни услуги;

(4) В съответствие с решението на Съда на Европейския съюз по дело "Schrems II", Администраторът извършва оценка на въздействието на трансфера (TIA) за всеки трансфер на данни извън ЕИП, за да оцени правната рамка в държавата на местоназначение и да бъдат внедрени допълнителни мерки, когато е необходимо.

(5) Допълнителните мерки, които се прилагат при международни трансфери, включват:

1. Криптиране на данните в покой и по време на трансфер;

2. Псевдонимизация или анонимизация, когато е възможно;

3. Строги договорни задължения за доставчиците на услуги.

Раздел IX – Мерки за защита на личните данни

Чл. 17. (1) Администраторът прилага съвкупност от технически и организационни механизми за защита на личните данни срещу неразрешен достъп, неумишлено разкриване, подмяна или загуба.

(2) Сред техническите решения за сигурност са:

1. Шифроване на данни при съхранение и пренос чрез утвърдени протоколи (напр. SSL/TLS);

2. Използване на защитни стени и системи за контрол на прониквания;

3. Инсталиране на антивирусен и антималуерен софтуер;

4. Поддържане на системите в актуално състояние;

5. Прилагане на двуфакторна идентификация при достъп до средите за обработка;

6. Мрежова защита чрез мониторинг и ограничаване на неоторизиран трафик;

7. Наблюдение за аномалии и рискови събития в инфраструктурата.

(3) Организационният подход обхваща:

1. Вътрешни политики за управление на достъпа и защита на данни;

2. Определяне на права за достъп само до служители, за които това е необходимо с оглед на задълженията им;

3. Регулярен преглед и контрол върху потребителските нива на достъп;

4. Оценка и тестване на надеждността на прилаганите защитни мерки.

Чл. 18 (1) При установяване на пробив в сигурността, който може да изложи на сериозен риск правата на субектите на данни, Администраторът предприема незабавни действия, включително информиране на засегнатите лица, без неоправдано забавяне и в срок не по-дълъг от 72 часа от момента на узнаване.

(2) Съобщението съдържа най-малко следната информация:

1. Кратко описание на настъпилото събитие;
   Данни за контакт с длъжностното лице по защита на данните (ако има такова);

2. Потенциалните последици от нарушението;

3. Принципни действия, предприети за ограничаване на щетите и възстановяване на сигурността.

Ще преработя текста отново с новите изисквания. Ето коригирания Раздел XI:

Раздел X - Вашите права за поверителност

Чл. 19. (1) Като потребител имате конкретни права относно личните Ви данни според европейското и българското законодателство за защита на данните.

(2) Администраторът се ангажира да подпомага упражняването на тези права и да отговаря на Вашите запитвания своевременно, обикновено в рамките на 30 дни от получаването им.

(3) При по-сложни случаи или множество заявления, периодът за отговор може да се удължи допълнително с максимум 60 дни. В такива ситуации Администраторът ще Ви уведоми навреме и ще обясни причините за забавянето.

(4) За Вашата защита Администраторът може да поиска да потвърдите самоличността си преди да обработи заявлението Ви. Това предпазва личните Ви данни от неправомерен достъп.

(5) Обработката на заявленията е безплатна. При явно необосновани или повтарящи се искания Администраторът може да начисли минимална административна такса или да откаже изпълнението им.

Чл. 20. (1) Имате право да получите потвърждение дали Администраторът обработва Ваши лични данни и ако е така, да получите достъп до тях.

(2) При упражняване на това право, Администраторът ще Ви предостави копие от личните Ви данни заедно със следната информация: целите и правното основание за обработката, включително категориите обработвани данни, получателите или групите получатели, на които се предоставят данните, особено ако са в други държави или международни организации, планирания период на съхранение или критериите за определянето му, информация за останалите Ви права като корекция, изтриване, ограничаване и възражение, правото да подадете жалба до надзорния орган, източника на данните, ако не са събрани директно от Вас.

Чл. 21. (1) Имате право да поискате от Администратора да коригира неточни лични данни за Вас своевременно.

(2) Можете също да поискате допълване на непълни лични данни, включително чрез предоставяне на допълнителна информация.

(3) Администраторът ще уведоми всички получатели на Вашите лични данни за извършените корекции, освен ако това е практически невъзможно или изисква прекомерни усилия.

Чл. 22. (1) Имате право да поискате от Администратора да изтрие личните Ви данни своевременно при наличие на следните условия: данните вече не са необходими за първоначалните цели, оттеглили сте съгласието си и няма друго правно основание за обработка, възразили сте срещу обработката и няма приоритетни законови основания, данните са обработени незаконно, изтриването е необходимо за изпълнение на правно задължение.

(2) Администраторът ще уведоми всички получатели на Вашите лични данни за извършеното изтриване, освен ако това е практически невъзможно или изисква прекомерни усилия.

(3) Правото на изтриване не се прилага когато обработката е необходима за упражняване на свободата на изразяване и информация, за изпълнение на правно задължение, за задачи в обществен интерес, за архивни цели в обществен интерес или за установяване и защита на правни претенции.

Чл. 23. (1) Имате право да поискате от Администратора ограничаване на обработката на личните Ви данни когато: оспорвате точността на данните за периода на проверка, обработката е незаконна, но не желаете изтриване, Администраторът вече не се нуждае от данните, но Вие ги изисквате за правни цели, възразили сте срещу обработката до приключване на проверката.

(2) При ограничена обработка данните се съхраняват, но се обработват само с Ваше съгласие или за правни цели и защита на права.

(3) Администраторът ще Ви информира преди премахване на ограничението и ще уведоми съответните получатели за наложените ограничения.

Чл. 24. (1) Имате право да получите личните си данни, които сте предоставили на Администратора, в структуриран, общоприет и машинночетим формат.

(2) Можете да прехвърлите тези данни на друг администратор без препятствия, когато обработката е основана на съгласие или договор и се извършва автоматизирано.

(3) При техническа възможност имате право на директен трансфер на данните между администратори.

(4) Администраторът предоставя данните във формати като CSV, JSON или XML според техническите възможности.

(5) Упражняването на това право не засяга правото на изтриване и не трябва да накърнява правата на други лица.

Чл. 25. (1) Имате право да възразите срещу обработка на личните Ви данни, основана на легитимен интерес, по всяко време и поради причини, свързани с Вашата ситуация.

(2) При възражение Администраторът ще прекрати обработката, освен ако не докаже наличието на убедителни законови основания с приоритет над Вашите интереси и права.

(3) При обработка за директен маркетинг имате безусловно право на възражение по всяко време, включително срещу свързано профилиране.

(4) При възражение срещу директен маркетинг обработката се прекратява незабавно. Администраторът осигурява лесен начин за възражение във всяко маркетингово съобщение.

(5) Администраторът ще Ви информира за правото на възражение ясно и отделно от друга информация най-късно при първата комуникация.

Чл. 26. (1) Имате право да не бъдете обект на решение, базирано изцяло на автоматизирана обработка, включително профилиране, което има правни или значителни последици за Вас.

(2) Това не се прилага когато решението е необходимо за договор между Вас и Администратора, е разрешено от закона с подходящи защитни мерки или се основава на Вашето изрично съгласие.

(3) В посочените случаи Администраторът осигурява подходящи защитни мерки, включително право на човешка намеса, изразяване на позиция и оспорване на решението.

(4) Към момента Администраторът не извършва автоматизирано вземане на решения със значителни последици за Вас.

Чл. 27. (1) За упражняване на горните права можете да се свържете с Администратора по следните начини: електронна поща [email protected] като най-бърз и удобен метод, писмо до адреса в чл. 1 с ясно посочване на желаното право и идентификационна информация, формата за контакт на уебсайта с посочване на темата "Защита на личните данни".

(2) Администраторът може да поиска допълнителна информация за потвърждаване на самоличността Ви като защитна мярка.

(3) Администраторът ще отговори на искането Ви своевременно, най-късно до 30 дни от получаването. При необходимост срокът може да се удължи с още 60 дни според сложността и броя на исканията.

Чл. 28. (1) Освен други административни или съдебни средства, имате право да подадете жалба до надзорен орган, особено в държавата на пребиваване, работа или място на предполагаемо нарушение, ако считате че обработката нарушава правилата за защита на данните.

(2) В България надзорният орган е Комисията за защита на личните данни (КЗЛД), адрес: София 1592, бул. "Проф. Цветан Лазаров" № 2, електронна поща: [email protected], уебсайт: www.cpdp.bg.

(3) Администраторът Ви насърчава първо да се свържете директно за разрешаване на въпроса преди обръщане към КЗЛД.

(4) Имате право на ефективна съдебна защита срещу обвързващо решение на надзорен орган. Независимо от административните средства, включително жалба до надзорен орган, имате право на ефективна съдебна защита при нарушаване на правата Ви за защита на данните.

Раздел XII – Използване на бисквитки и технологии за проследяване

Чл. 29. Онлайн магазинът използва файлове тип „бисквитки“ (cookies) и сродни технически средства, чрез които се събират определени данни с цел улесняване на навигацията, адаптиране на представеното съдържание спрямо предпочитанията на потребителите, както и за извършване на статистически и функционални анализи относно използването на уебсайта. Бисквитките се съхраняват на крайното устройство на посетителя при достъп до сайта и подпомагат разпознаването му при следващи посещения.

Чл. 30. (1) При първоначално зареждане на сайта, посетителите получават уведомление за използването на бисквитки, като могат да предоставят съгласие по категории, съобразно своите предпочитания.

(2) Посетителите могат във всеки момент да изменят или оттеглят съгласието си чрез специално създаден интерфейс – “Управление на бисквитки“, който е достъпен от този линк: https://artoaza.com/customer/account/create/# 

(3) Освен това, потребителят разполага с възможност да контролира използването на бисквитки и посредством конфигурацията на своя уеб браузър, като може да активира блокиране или изтриване на съществуващи бисквитки.

Чл. 31. (1) Подробна информация относно конкретните бисквитки, тяхната функционалност, срокове за съхранение и съответните страни, които получават достъп до събраните данни, е предоставена в специална Политика относно бисквитките, публикувана на следния адрес: https://artoaza.com/cookies 

(2) Цитираната политика се поддържа в актуално състояние и включва описание както на вътрешно използваните бисквитки, така и на тези, интегрирани чрез външни доставчици на услуги.

Раздел XI - Преходни и заключителни разпоредби

Чл. 32. (1) Настоящата Политика за поверителност се управлява, тълкува и прилага в съответствие с действащото българско законодателство и правото на Европейския съюз, по-специално Регламент (ЕС) 2016/679 (Общ регламент за защита на данните - GDPR), както и всички последващи изменения и свързани нормативни актове.

(2) При възникване на противоречие между разпоредбите на настоящата Политика и императивните норми на приложимото законодателство, предимство имат законовите разпоредби. Администраторът се ангажира незабавно да актуализира Политиката при установяване на такова несъответствие.

(3) В случай че компетентен съд или регулаторен орган обяви някоя клауза от настоящата Политика за недействителна, неприложима или незаконосъобразна, това няма да повлияе на валидността и приложимостта на останалите разпоредби. Засегнатата клауза ще бъде заменена с валидна разпоредба, която най-близко съответства на първоначалното намерение и правния ефект.

(4) Заглавията и подзаглавията в настоящата Политика служат единствено за организационни цели и улесняване на навигацията. Те не представляват част от нормативното съдържание и не следва да се използват при правното тълкуване на разпоредбите.

Чл. 33. (1) Администраторът си запазва правото периодично да преразглежда, актуализира и модифицира настоящата Политика за поверителност. Такива промени могат да бъдат необходими поради развитие на технологиите, промени в бизнес практиките, еволюция на правната рамка или препоръки на надзорните органи.

(2) Всички изменения влизат в сила от момента на официалното им публикуване на интернет страницата на Администратора, освен ако изрично не е указана по-късна дата на влизане в сила. За съществени промени, засягащи основни права на субектите на данни, Администраторът ще предостави минимум 30-дневен преходен период.

(3) При съществени изменения в Политиката, Администраторът се задължава да уведоми засегнатите субекти на данни чрез един или повече от следните канали: видимо известие на началната страница на уебсайта за период не по-кратък от 30 дни, електронно съобщение до имейл адреса на регистрираните потребители (ако е приложимо), push нотификации в мобилните приложения или известие при следващо влизане в потребителския профил.

(4) Продължаването на ползването на услугите след датата на влизане в сила на актуализираната Политика се счита за изрично приемане на промените. Субектите на данни, които не приемат новите условия, следва да преустановят използването на услугите и могат да упражнят правото си на изтриване на личните данни съгласно раздел XI от настоящата Политика.

(5) Администраторът поддържа публичен архив с всички версии на Политиката за поверителност, включително датите на валидност. Актуалната версия е постоянно достъпна на адрес https://artoaza.com/privacypolicy , като в най-долната част ясно се посочва датата на последна актуализация.

Чл. 34. (1) Администраторът полага дължимата грижа за защита на личните данни, но не може да носи отговорност за последици, произтичащи от предоставянето на неверни, непълни или неактуални данни от страна на субектите на данни.

(2) Субектите на данни имат задължението да предоставят точни и актуални лични данни, както и да информират Администратора за всякакви промени в предоставената информация в разумен срок. Неизпълнението на това задължение може да доведе до невъзможност за предоставяне на услуги или неправилно упражняване на права.

(3) Администраторът не поема отговорност за практиките за поверителност или сигурността на данните при трети страни, включително когато личните данни са споделени с тяхно съгласие или на друго законово основание. Субектите на данни се насърчават да се запознаят с политиките за поверителност на съответните трети страни.

(4) Администраторът прилага подходящи технически и организационни мерки за защита, но не може да гарантира абсолютна сигурност при предаване на данни през интернет. Субектите на данни приемат този остатъчен риск при използване на услугите.

Чл. 35. (1) Настоящата Политика за поверителност е одобрена и приета с решение на управителя на „Артоаза“ ООД и влиза в сила считано от 01.07.2025 г., заменяйки всички предходни версии.

(2) Неразделна част от цялостната рамка за защита на данните на Администратора представляват следните документи: Политика за бисквитки, достъпна на https://artoaza.com/cookies .

(3) Настоящата Политика е изготвена и се предоставя на български език като официална и правно обвързваща версия. При предоставяне на преводи на други езици с цел улеснение на чуждестранни потребители, в случай на разминавания или неясноти, българската версия има безусловно предимство.

(4) За всички въпроси, неуредени изрично в настоящата Политика, се прилагат съответните разпоредби на GDPR, Закона за защита на личните данни, както и релевантната съдебна практика и насоки на Европейския комитет по защита на данните и Комисията за защита на личните данни.

(5) При въпроси относно тълкуването или прилагането на настоящата Политика, субектите на данни могат да се обърнат към Администратора на адрес: [email protected].