ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

Последна актуализация: 21.10.2025

I. Общи положения

Настоящата Политика за поверителност урежда начина, по който „МАГАЗИН ЗА ХОРАТА“ ЕАД, ЕИК 208461955, със седалище и адрес на управление: гр. София, бул. „България“ №81Б, ет. 5, офис 11 („Дружеството“), в качеството си на администратор на лични данни по смисъла на член 4, точка 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (наричан по-долу „ОРЗД“), събира, обработва, съхранява и защитава лични данни на физически лица.

Политиката има за цел да осигури прозрачност и защита на правата на физическите лица, чиито лични данни се обработват от Дружеството, включително:

  • клиенти и потребители на услуги;
  • доставчици, контрагенти и партньори;
  • кандидати за работа;
  • служители и лица, работещи по граждански договори;
  • посетители на уебсайта на Дружеството.

Дружеството спазва изцяло принципите и изискванията на ОРЗД и на Закона за защита на личните данни (ЗЗЛД).

II. Принципи на обработването на лични данни

При обработването на лични данни Дружеството се ръководи от следните принципи:

  1. Законосъобразност, добросъвестност и прозрачност – личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.
  2. Ограничаване на целите – данните се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.
  3. Минимизиране на данните – личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
  4. Точност – личните данни са точни и при необходимост се поддържат в актуален вид; предприемат се всички разумни мерки за своевременно изтриване или коригиране на неточни лични данни.
  5. Ограничение на съхранението – личните данни се съхраняват във форма, която позволява идентифициране на субектите на данни за период, не по-дълъг от необходимото за целите на обработването.
  6. Цялостност и поверителност – личните данни се обработват по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, чрез прилагане на подходящи технически и организационни мерки.
  7. Отчетност – администраторът носи отговорност и трябва да може да докаже спазването на горепосочените принципи.

III. Правни основания за обработване и цели на обработването

Дружеството обработва лични данни само при наличие на едно или повече от правните основания, посочени в член 6, параграф 1 от ОРЗД, както следва:

1. Обработването е необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.

  • Пример: сключване и изпълнение на договори с клиенти, доставчици, партньори или служители; обработка на заплати, обезщетения и възнаграждения; изпълнение на договори за услуги.

2. Обработването е необходимо за спазване на законово задължение, което се прилага спрямо администратора.

  • Пример: спазване на счетоводни, данъчни и осигурителни изисквания; задължения по Кодекса на труда; предоставяне на информация на държавни органи по закон.

3. Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.

  • Пример: при инцидент или медицинска спешност, изискваща обработване на лични данни за осигуряване на безопасността на лица.

4. Обработването е необходимо за изпълнение на задача от обществен интерес или при упражняване на официални правомощия, предоставени на администратора.

  • Пример: случаи, при които Дружеството изпълнява законови функции или задължения, възложени му от публичен орган.

5. Обработването е необходимо за целите на законните интереси, преследвани от администратора или от трета страна, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данните.

  • Пример: видеонаблюдение за защита на собствеността и сигурността; защита срещу злоупотреби и измами; защита на права в съдебни и административни производства.

6. Субектът на данните е дал своето изрично, свободно и информирано съгласие за обработването на личните му данни за една или повече конкретни цели.

  • Пример: когато лицето доброволно предоставя данни чрез контактната форма на уебсайта, при запитвания или комуникация с Дружеството.

IV. Технически и организационни мерки за защита на личните данни

1. Дружеството прилага подходящи технически и организационни мерки, за да гарантира сигурност и поверителност на личните данни, съгласно член 32 от ОРЗД, според който „администраторът и обработващият прилагат подходящи технически и организационни мерки, за да осигурят ниво на сигурност, съответстващо на риска“.

2. При определяне на подходящото ниво на сигурност се вземат предвид съвременните технологични решения, разходите за прилагането им, естеството, обхватът, контекстът и целите на обработването, както и вероятността и тежестта на рисковете за правата и свободите на физическите лица.

3. Техническите мерки могат да включват, без да се ограничават до:

  • криптиране на мрежова връзка и хардуерни устройства (твърди дискове, сървъри и др.);
  • задължително използване на пароли при достъп до корпоративни устройства;
  • периодична смяна на паролите и контрол на достъпа;
  • защита чрез антивирусни и антиспам системи;
  • резервно копиране на данните (backups) с ограничен достъп.

4. Организационните мерки включват, без да се ограничават до:

  • вътрешни правила и политики за защита на личните данни, задължителни за всички служители;
  • сключване на споразумения за конфиденциалност и дисциплинарна отговорност при нарушаването им;
  • ясно определени отговорности и нива на достъп до лични данни;
  • провеждане на въвеждащи и периодични обучения на персонала относно обработването и защитата на лични данни;
  • физическа защита на помещенията, в които се съхраняват лични данни;
  • контрол върху използването на електронни носители и системи;
  • вътрешна процедура за реагиране при нарушения на сигурността и уведомяване на надзорния орган.

5. Техническите и организационните мерки се преразглеждат периодично, за да се гарантира тяхната актуалност и ефективност.

V. Отговорни лица във връзка с обработването на лични данни

1. В зависимост от естеството на дейността и регистрите, които поддържа, Дружеството определя конкретни лица с достъп до лични данни, прилагайки принципа „необходимост да знае“ (need to know).

2. До различните регистри имат достъп само лица, на които е възложено обработването на съответните категории данни, като:

  • управителите на Дружеството – достъп до всички категории лични данни, с оглед цялостното управление и контрол върху дейността;
  • длъжностното лице по защита на данните – достъп до регистрите, свързани с трудови, граждански и договорни отношения, както и при проверки и консултации;
  • служители, технически лица или външни консултанти – само до данни, необходими за изпълнение на техните конкретни задачи и задължения.

3. При предоставяне на достъп до лични данни на трети лица, които не са служители на Дружеството, тези лица се третират като обработващи лични данни по смисъла на член 4, точка 8 от ОРЗД и с тях се сключва писмен договор, който съдържа всички изисквания по член 28 от ОРЗД.

4. Дружеството е преценило, че попада в хипотезите, при които назначаването на длъжностно лице по защита на данните е задължително съгласно член 37, параграф 1 от ОРЗД.

5. Длъжностното лице по защита на данните:

  • информира и съветва Дружеството и неговите служители относно задълженията им по ОРЗД и ЗЗЛД;
  • наблюдава спазването на вътрешните политики и на приложимото законодателство;
  • дава становища по извършвани оценки на въздействие върху защитата на данните;
  • сътрудничи на Комисията за защита на личните данни;
  • действа като точка за контакт за субектите на данни и надзорните органи.

Контакт с длъжностното лице по защита на данните може да се осъществи на адрес:

e-mail: info@za-horata.bg

„МАГАЗИН ЗА ХОРАТА“ ЕАД, бул. „България“ №81Б, ет. 5, офис 11, гр. София.

VI. Оценка на въздействието върху защитата на данните

1. Съгласно член 35 от ОРЗД, когато е вероятно определен вид обработване, особено когато се използват нови технологии, и с оглед естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, Дружеството извършва оценка на въздействието върху защитата на личните данни преди започване на обработването.

2. Оценката на въздействието включва най-малко следната информация:

  • системно описание на предвидените операции по обработване и целите на обработването, включително, когато е приложимо, законните интереси на администратора;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • оценка на рисковете за правата и свободите на субектите на данни;
  • мерките, предвидени за справяне с рисковете, включително гаранции и механизми за осигуряване на спазването на ОРЗД.

3. При извършване на оценката Дружеството може, когато е подходящо, да поиска становище от субектите на данни или от техни представители.

4. Когато резултатите от оценката показват, че обработването би довело до висок риск, който не може да бъде намален чрез предприетите мерки, Дружеството се консултира с Комисията за защита на личните данни съгласно член 36 от ОРЗД, преди да пристъпи към обработването.

VII. Процедура по упражняване на права от субектите на данни

1. Субектите на данни имат право да упражняват правата си съгласно членове 15–22 от Регламент (ЕС) 2016/679 (ОРЗД), а именно:

  • Право на достъп до личните си данни и информация относно обработването им;
  • Право на коригиране на неточни или непълни лични данни;
  • Право на изтриване („да бъдете забравен“) – когато личните данни вече не са необходими за целите, за които са били събрани, когато лицето оттегли съгласието си или възрази срещу обработването и няма друго правно основание;
  • Право на ограничаване на обработването – при оспорване на точността на данните, при незаконно обработване или при нужда от съхранение за защита на правни претенции;
  • Право на преносимост на данните – да получат личните си данни в структуриран, широко използван и машинночетим формат и да ги предадат на друг администратор;
  • Право на възражение – срещу обработване на личните им данни, основано на законен интерес, както и срещу обработване за маркетингови цели;
  • Право да не бъдат обект на автоматизирано вземане на решения, включително профилиране, когато това поражда правни последици за тях или ги засяга значително.

2. Искания за упражняване на права се подават писмено до:

„МАГАЗИН ЗА ХОРАТА“ ЕАД гр. София, бул. „България“ №81Б, ет. 5, офис 11, e-mail: info@za-horata.bg

3. Искането може да бъде подадено лично, по електронен път или чрез упълномощено лице.

4. Дружеството разглежда всяко искане и се произнася в срок до един месец от получаването му. При сложност или множество искания, срокът може да бъде удължен с още два месеца, като Дружеството уведомява лицето за удължаването и причините за забавянето.

5. При отказ да бъдат предприети действия по искането, Дружеството уведомява субекта на данните за причините за отказа и за правото му да подаде жалба до Комисията за защита на личните данни или да търси защита по съдебен ред.

VIII. Процедура при нарушение в сигурността на личните данни

1. При нарушение на сигурността на личните данни, Дружеството следва член 33 и член 34 от ОРЗД, като предприема следните действия:

  • Незабавно уведомяване на длъжностното лице по защита на данните при съмнение или установяване на нарушение;
  • Вътрешна проверка от длъжностното лице по защита на данните, която включва анализ на характера и мащаба на нарушението, оценка на риска за засегнатите лица и мерки за ограничаване на последиците;
  • Доклад до управителите на Дружеството относно резултатите от проверката и препоръки за последващи действия.

2. Ако е налице вероятност нарушението да доведе до риск за правата и свободите на физическите лица, Дружеството без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след узнаването за него, уведомява Комисията за защита на личните данни, като посочва:

  • описание на естеството на нарушението, включително, ако е възможно, категориите и приблизителния брой на засегнатите лица;
  • името и координатите на длъжностното лице по защита на данните;
  • описание на вероятните последици от нарушението;
  • описание на предприетите или предложени мерки за справяне с нарушението и за ограничаване на неблагоприятните последици.

3. Когато е вероятно нарушението да доведе до висок риск за правата и свободите на физическите лица, Дружеството уведомява и самите засегнати лица, освен ако:

  • са предприети подходящи технически и организационни мерки, които правят данните неразбираеми за лица без разрешение (например криптиране);
  • са взети последващи мерки, които гарантират, че рискът вече не съществува;
  • уведомяването би изисквало несъразмерни усилия – в този случай се публикува официално съобщение или се предприема друга мярка, чрез която лицата се информират по ефективен начин.

4. Всички случаи на нарушения и предприетите действия се документират и съхраняват от Дружеството.

IX. Съхранение и унищожаване на носители на лични данни

1. Личните данни се съхраняват за срок, необходим за постигане на целите, за които са събрани, като се спазват сроковете, предвидени в действащото законодателство на Република България.

2. След изтичане на съответните срокове данните се унищожават по следния ред:

  • лични данни на хартиен носител – чрез шредиране на документите;
  • лични данни на електронен носител – чрез перманентно изтриване от системите и резервните копия (backups).

3. Унищожаването се извършва в присъствието на длъжностното лице по защита на данните и упълномощен представител на Дружеството, като за това се съставя протокол за унищожаване, който се съхранява за срок от 5 години.

4. При изтичане на срока за съхранение, данните се заличават по начин, който не позволява възстановяването им и повторна идентификация на субектите на данни.

X. Длъжностно лице по защита на личните данни

1. Дружеството е определило длъжностно лице по защита на личните данни (DPO) съгласно член 37 от Регламент (ЕС) 2016/679 (ОРЗД), тъй като извършва обработвания, които поради естеството, обхвата и целите си изискват редовно и систематично наблюдение на субектите на данни в значителен мащаб.

2. Длъжностното лице по защита на данните има следните основни задачи съгласно член 39 от ОРЗД:

  • да информира и съветва администратора и служителите, които извършват обработване, относно техните задължения съгласно ОРЗД и други приложими нормативни актове;
  • да наблюдава спазването на ОРЗД, Закона за защита на личните данни, вътрешните политики на Дружеството и наредбите на надзорните органи;
  • да предоставя становища относно оценки на въздействието върху защитата на данните и да наблюдава изпълнението им;
  • да сътрудничи на Комисията за защита на личните данни и да действа като точка за контакт с нея;
  • да бъде контактно лице за въпроси, свързани с обработването на лични данни, както за служителите, така и за външни лица.

3. Длъжностното лице по защита на личните данни е независимo при изпълнение на функциите си и не получава указания относно изпълнението на тези задачи. То докладва пряко на управителите на Дружеството.

4. Контакт с длъжностното лице може да се осъществи на следните координати:

Длъжностно лице по защита на личните данни – „МАГАЗИН ЗА ХОРАТА“ ЕАД
гр. София, бул. „„България“ №81Б, ет. 5, офис 11, електронна поща: info@za-horata.bg.

XI. Защита на личните данни и мерки за сигурност

1. Дружеството прилага мерки, които съответстват на член 24 и член 32 от ОРЗД, за да гарантира и може да докаже, че обработването на лични данни се извършва в съответствие с регламента.

2. Сред основните мерки са:

  • системи за контрол на достъпа до помещения и електронни устройства;
  • разделяне на правата за достъп според длъжностните функции;
  • криптиране и защита на данните при пренос и съхранение;
  • използване на защитени комуникационни канали;
  • резервно копиране на информация и съхранение при контролирани условия;
  • периодично тестване и оценка на ефективността на мерките;
  • процедури за реагиране при инциденти и за уведомяване на надзорния орган и субектите на данни в съответствие с член 33 и член 34 от ОРЗД;
  • обучения и инструкции за служителите, ангажирани с обработка на лични данни.

3. Всички служители са длъжни да пазят в тайна личните данни, до които имат достъп при изпълнение на трудовите си задължения. Това задължение продължава и след прекратяване на трудовото или гражданското им правоотношение.

XII. Политика за използване на бисквитки и свързани технологии

1. Уебсайтът на Дружеството използва бисквитки (cookies) и подобни технологии с цел подобряване на функционалността и потребителското изживяване.

2. Подробна информация относно видовете бисквитки, целите на тяхното използване, сроковете за съхранение и начините за управление от потребителя се съдържа в отделна Политика за бисквитки, публикувана на уебсайта на Дружеството.

3. Настоящата Политика за поверителност следва да се тълкува и прилага във връзка с тази Политика за бисквитки.

XIII. Актуализация и действие на политиката

  1. Настоящата Политика за поверителност е приета с решение на Съвета на директорите на „МАГАЗИН ЗА ХОРАТА“ ЕАД и влиза в сила от датата на нейното утвърждаване.
  2. Политиката може да бъде актуализирана при промени в законодателството, в организационната структура на Дружеството, в технологиите за обработване на данни или при други обстоятелства, налагащи промяна.
  3. Всички изменения се публикуват на уебсайта на Дружеството и влизат в сила от датата на публикуване, освен ако не е посочено друго.
  4. При съществени промени, които засягат начина, по който се обработват лични данни, Дружеството уведомява субектите на данни чрез подходящи средства (електронна поща, съобщение на сайта или друг канал).
  5. Дружеството съхранява предходни версии на тази Политика за целите на отчетността и проследимостта

Настоящата Политика за поверителност има за цел да осигури прозрачност, законосъобразност и защита при обработването на лични данни от „МАГАЗИН ЗА ХОРАТА“ ЕАД, в съответствие с изискванията на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните – ОРЗД) и Закона за защита на личните данни.