ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
„ХЪС Естейт" ООД е дружество, което осъществява дейност в сферата на недвижимите имоти и строителството, и в рамките на тази дейност обработва лични данни на физически лица, които са потенциални клиенти, партньори и посетители на уебсайта. Защитата на личните данни е въпрос, към който Администраторът подхожда отговорно и с ясното съзнание за задълженията, произтичащи от приложимото европейско и национално законодателство. Настоящата Политика за поверителност е изготвена в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г., познат като GDPR. Настоящата политика има за цел да информира субектите на данни по прозрачен и разбираем начин за това какви данни се събират, защо се обработват и какви права имат засегнатите лица. Политиката се прилага за всички операции по обработване на лични данни, извършвани чрез уебсайта на Администратора, включително чрез контактната форма и абонамента за маркетингови съобщения.
Администраторът е предприел необходимите технически и организационни мерки, за да гарантира, че личните данни се обработват законосъобразно, добросъвестно и прозрачно, при стриктно спазване на принципите, залегнали в чл. 5 от GDPR. Събират се единствено данните, които са необходими за постигане на конкретните цели на обработването - не повече и не по-различни от необходимото. Настоящата политика е документ с динамичен характер - тя отразява актуалното състояние на практиките по обработване на данни към датата на последната си актуализация и подлежи на периодичен преглед и обновяване. Препоръчваме на всички лица, чиито данни се обработват от Администратора, да се запознаят внимателно със съдържанието на този документ и да не се колебаят да се свържат с нас при въпроси или искания, свързани с упражняването на техните права.
РАЗДЕЛ I. ОБЩИ ПОЛОЖЕНИЯ, ТЕРМИНОЛОГИЯ И АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ
Чл. 1.1. Настоящата Политика за поверителност и защита на личните данни ("Политиката") е приета от ХЪС ЕСТЕЙТ ООД в качеството му на администратор на лични данни и урежда реда и условията, при които се събират, обработват, съхраняват, предават и унищожават лични данни на физическите лица, посещаващи и използващи корпоративния уебсайт на Групата ("Сайтът").
1.2. Политиката е изготвена в съответствие с изискванията на Регламент (ЕС) 2016/679 ("Регламентът"), Закона за защита на личните данни ("ЗЗЛД") и останалото приложимо законодателство на Република България и Европейския съюз.
1.3. Сайтът представлява обща корпоративна платформа на ХЪС ЕСТЕЙТ ООД и свързаните с него дружества от Групата. Администратор на лични данни за всички операции по обработване, извършвани чрез Сайта, е ХЪС ЕСТЕЙТ ООД.
1.4. Запознаването с настоящата Политика и/или продължаването на използването на Сайта не съставляват съгласие за обработване на лични данни по смисъла на Регламента и не пораждат каквито и да е правни последици в тази насока. Когато правното основание за обработване е съгласието на субекта на данни, то се получава чрез отделни, ясно разграничими механизми - изрично отбелязване на чекбокс при абониране за бюлетин или активен избор чрез банера за управление на бисквитките.
1.5. Политиката се прилага по отношение на всички физически лица, чиито данни се обработват чрез Сайта - лица, изпратили запитване чрез контактната форма, абонирали се за бюлетин (newsletter), както и посетители, чиито технически данни се събират автоматично при зареждане на Сайта.
Чл. 2.1. За целите на настоящата Политика долупосочените термини имат следното значение:
- "Лични данни" - всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице; подлежащо на идентифициране е лице, което може да бъде идентифицирано пряко или непряко - по-специално чрез идентификатор като имена, идентификационен номер, данни за местонахождение, онлайн идентификатор или по признаци, специфични за физическата, психическата, икономическата, културната или социалната идентичност на лицето.
- "Администратор" - ХЪС ЕСТЕЙТ ООД, юридическото лице, което самостоятелно определя целите и средствата за обработването на лични данни.
- "Обработващ лични данни" - физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора въз основа на сключен договор или друг правен акт.
- "Субект на данни" - идентифицирано или подлежащо на идентифициране физическо лице, чиито лични данни се обработват от Администратора.
- "Обработване" - всяка операция или съвкупност от операции с лични данни, независимо дали се извършват автоматично - събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне, комбиниране или свързване, ограничаване, изтриване или унищожаване.
- "Съгласие" - свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, с което той приема обработването на лични данни, отнасящи се до него, под формата на изявление или ясно потвърдително действие; съгласието може да бъде оттеглено по всяко време, без това да засяга законосъобразността на обработването преди оттеглянето.
- "Специални категории лични данни" - данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикат, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
- "Нарушение на сигурността на личните данни" - нарушение на сигурността, което води до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
- "Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват лични данни, независимо дали е трета страна или не.
- "Трета страна" - физическо или юридическо лице, публичен орган, агенция или друга структура, различна от субекта на данни, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват тези данни.
- "Бисквитки" (cookies) - малки текстови файлове, съхранявани на устройството на потребителя при посещение на Сайта, които позволяват разпознаване на устройството и събиране на информация за поведението на потребителя.
- "Псевдонимизация" - обработването на лични данни по такъв начин, че те не могат повече да бъдат свързвани с конкретен субект на данни без използването на допълнителна информация, при условие че тази допълнителна информация се съхранява отделно.
- "Легитимен интерес" - правно основание по чл. 6, ал. 1, б. "ж" от Регламента, позволяващо обработване на лични данни, когато то е необходимо за целите на законните интереси на Администратора или на трета страна, освен когато пред тези интереси имат преимущество интересите или основните права и свободи на субекта на данни.
- "CMP" (Consent Management Platform) - система за управление на съгласието, чрез която субектите на данни изразяват, управляват и оттеглят съгласието си за обработване на данни посредством бисквитки и технологии за проследяване; Администраторът използва платформата CookieScript.
- "Регламентът" - Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. (GDPR).
Чл. 3.1. Администратор на лични данни по смисъла на чл. 4, т. 7 от Регламента е:
ХЪС ЕСТЕЙТ ООД ЕИК: 204946740 Седалище и адрес на управление: гр. Пловдив (4016), р-н Южен, Околовръстен път, База ХЪС, България Електронна поща: sales@husestate.com Телефон: +359 895 222 444
3.2. Администраторът не е задължен да определи Длъжностно лице по защита на данните (ДЛЗД/DPO) по смисъла на чл. 37 от Регламента, тъй като обработването, осъществявано чрез Сайта, не попада в хипотезите на чл. 37, ал. 1 от Регламента - не се извършва мащабно систематично наблюдение на физически лица, нито мащабно обработване на специални категории данни. Заявки и въпроси, свързани с обработването на лични данни, се отправят на посочената по-горе електронна поща.
3.3. Компетентен надзорен орган по отношение на дейността на Администратора е Комисията за защита на личните данни (КЗЛД), с адрес: бул. "Проф. Цветан Лазаров" 2, 1592 София, тел. +359 2 915 3523, kzld@cpdp.bg, www.cpdp.bg. Субектът на данни има право да подаде жалба до КЗЛД по всяко време, без това да засяга правото му на съдебна защита пред компетентния съд.
РАЗДЕЛ II. КАТЕГОРИИ ОБРАБОТВАНИ ЛИЧНИ ДАННИ
Чл. 4.1. Администраторът обработва единствено такива лични данни, каквито субектът на данни сам предоставя доброволно или каквито се генерират автоматично при използването на Сайта. Не се събират данни от трети страни, публични регистри или социални мрежи без изричното знание и съгласие на субекта.
4.2. При използване на контактната форма на Сайта се обработват следните данни, предоставени пряко от субекта:
- три имена или предпочитано наименование - задължително поле;
- електронен адрес - задължително поле;
- телефонен номер - незадължително поле, попълвано по избор на субекта;
- съдържание на съобщението - задължително поле.
4.3. При абониране за бюлетин (newsletter) чрез Сайта се обработва единствено електронен адрес, което е задължително поле.
4.4. При посещение на Сайта автоматично се събират следните технически и поведенчески данни:
- IP адрес в анонимизиран формат;
- тип, версия и езикови настройки на браузъра;
- операционна система и тип устройство;
- дата, час, продължителност и честота на посещенията;
- посетени страници, навигационен маршрут и взаимодействия чрез сайта - посредством Google Analytics;
- данни за взаимодействие с рекламни материали и идентификатори на устройства - чрез Meta Pixel;
- идентификатори на бисквитките, съгласно описаните технологии в Политика за бисквитките;
4.5. Администраторът не обработва специални категории лични данни по смисъла на чл. 9 от Регламента. Субектите на данни не следва да предоставят данни, разкриващи расов или етнически произход, политически възгледи, религиозни убеждения, членство в синдикат, генетични, биометрични или здравни данни. При случайно получаване на такива данни те се изтриват незабавно и не се подлагат на никакво обработване.
4.6. Данните, събирани чрез инструментите Google Analytics и Meta Pixel, могат да бъдат съпоставяни от съответните платформи с данни, налични в техните собствени системи, в съответствие с политиките им за поверителност. Администраторът не получава и не обработва пряко резултатите от такова съпоставяне и не разполага с контрол върху него.
РАЗДЕЛ III. ЦЕЛИ, ПРАВНИ ОСНОВАНИЯ И ЛЕГИТИМНИ ИНТЕРЕСИ
Чл. 5.1. Личните данни се събират за конкретни, изрично посочени и легитимни цели и не се обработват по начин, несъвместим с тези цели, в съответствие с чл. 5, ал. 1, б. "б" от Регламента. При необходимост от обработване за нова цел Администраторът извършва предварителна оценка за съвместимост по чл. 6, ал. 4 от Регламента. При липса на съвместимост обработването за новата цел е допустимо единствено въз основа на изрично съгласие на субекта или при наличие на правно задължение, като субектът се уведомява предварително.
5.2. Следната таблица съдържа обобщен преглед на всички операции по обработване, извършвани чрез Сайта, включително категориите данни, целта и правното основание за всяка операция:
| Операция по обработване | Категории данни | Цел | Правно основание |
| Контактна форма | Имена, имейл, телефон (незадължително), съдържание на съобщение | Приемане и отговор на запитвания | Легитимен интерес - чл. 6(1)(ж) |
| Newsletter абонамент | Имейл адрес, имена (незадължително) | Изпращане на информационни и маркетингови съобщения | Съгласие - чл. 6(1)(а) |
| Google Analytics | Идентификатори на устройства, поведение при използване и престои на сайта, идентификатори на бисквитки | Статистически анализ на посещаемостта | Съгласие - чл. 6(1)(а) |
| Meta Pixel | Идентификатори на устройства, данни за взаимодействие | Измерване на ефективността на маркетингови кампании | Съгласие - чл. 6(1)(а) |
| Технически логове и бисквитки за сигурност | IP адрес, тип браузър, дата и час | Сигурност и техническо функциониране на Сайта | Легитимен интерес - чл. 6(1)(ж) |
| Webflow CMS | Технически данни от посещения | Осигуряване на функционалността на сайта и блога | Легитимен интерес - чл. 6(1)(ж) |
5.3. Данните, предоставени при абониране за бюлетин, се обработват с цел изпращане на информационни и маркетингови съобщения относно дейността и проектите на Групата. Правното основание е изричното съгласие на субекта на данни по чл. 6, ал. 1, б. "а" от Регламента, изразено чрез активно отбелязване на чекбокс при попълване на формуляра за абонамент. Абонаментът е изцяло доброволен и не е условие за използването на Сайта или достъпа до което и да е негово съдържание.
5.4. Автоматично събираните технически данни при посещение на Сайта се обработват за следните цели и при следните правни основания:
- осигуряване на техническото функциониране, стабилността и сигурността на Сайта (сървърни логове, технически бисквитки) - легитимен интерес по чл. 6, ал. 1, б. "ж" от Регламента;
- статистически анализ на посещаемостта и поведението на потребителите чрез Google Analytics - съгласие по чл. 6, ал. 1, б. "а" от Регламента, предоставено чрез CMP платформата CookieScript;
- измерване на ефективността на маркетингови кампании и насочена реклама чрез Meta Pixel - съгласие по чл. 6, ал. 1, б. "а" от Регламента, предоставено чрез CMP платформата CookieScript.
5.5. Данните, обработвани от Webflow, Inc. в качеството му на доставчик на CMS платформата за управление на съдържанието и публикуване на блог-публикации, се обработват с цел осигуряване на функционалността на Сайта. Правното основание е легитимен интерес на Администратора по чл. 6, ал. 1, б. "ж" от Регламента.
Чл. 6.1. При обработване въз основа на легитимен интерес по чл. 6, ал. 1, б. "ж" от Регламента Администраторът е извършил балансиращ тест, в рамките на който е установено, че конкретният интерес е законен, необходим и не е надделян от интересите, правата и свободите на субектите на данни.
6.2. По отношение на обработването на данни от контактната форма легитимният интерес се изразява в следното: лицето само и по своя инициатива отправя запитване към Администратора с очакване за получаване на отговор - обработването е пряко следствие от действието на субекта. Обемът на данните е минимален и ограничен до необходимото за комуникацията. Субектът разполага с пълен контрол - предоставя само данните, които сам е избрал да включи в съобщението. Рискът за правата и свободите на субекта е нисък. Балансирането потвърждава превес на интереса на Администратора.
6.3. По отношение на техническите логове и бисквитките за сигурност легитимният интерес се изразява в защита на Сайта и неговите потребители от злонамерен достъп, DDoS атаки и неразрешени действия. Обработваните данни са технически идентификатори с кратък срок на съхранение. Субектите не могат разумно да очакват, че посещението на публично достъпен уебсайт не поражда никаква техническа следа. Рискът за правата на субектите е нисък. Балансирането потвърждава превес на интереса на Администратора.
6.4. По отношение и на двете хипотези по-горе са приложени следните смекчаващи мерки: достъп до данните имат единствено оправомощени служители и обработващи, действащи въз основа на договор; определени са кратки срокове за съхранение; данните не се използват за цели, несъвместими с тези, за които са събрани; субектите разполагат с безусловно право на възражение по чл. 21 от Регламента, упражнимо по всяко време и безвъзмездно.
6.5. Обработването, основаващо се на съгласие, е строго разграничено от обработването въз основа на легитимен интерес или договорна необходимост. Администраторът не квалифицира като "съгласие" каквото и да е действие на субекта, различно от изричен и активен избор - използването на Сайта, запознаването с настоящата Политика или непредприемането на действие не се считат за съгласие.
РАЗДЕЛ IV. МИНИМИЗИРАНЕ НА ДАННИТЕ
Чл. 7.1. Администраторът събира и обработва единствено такива лични данни, които са подходящи, свързани с конкретната цел и ограничени до необходимия минимум за постигането й, в съответствие с принципа за свеждане на данните до минимум по чл. 5, ал. 1, б. "в" от Регламента. Данни не се събират предварително за евентуална бъдеща употреба, нито се изискват данни, чието събиране не може да бъде обосновано с конкретна и установена цел.
7.2. Контактната форма е структурирана така, че задължителните полета включват единствено три имена или предпочитано наименование, електронен адрес и съдържание на съобщението. Предоставянето на телефонен номер е незадължително и зависи изцяло от преценката на субекта. Субектите не се насърчават да предоставят данни извън необходимото за целта на запитването.
7.3. Абонаментът за бюлетин изисква единствено електронен адрес. Предоставянето на три имена е незадължително и не е условие за получаване на бюлетина. Администраторът не събира допълнителни демографски или поведенчески данни в рамките на абонаментния формуляр.
7.4. По отношение на автоматично събираните технически данни Администраторът е приложил следните мерки за минимизиране: в Google Analytics е активирана функцията за съкращаване на IP адреса ("IP anonymization"), при което пълният IP адрес не се съхранява; събирането на аналитични и маркетингови данни е поставено в зависимост от предварителното съгласие на субекта чрез CMP платформата CookieScript; при непредоставено съгласие се събират единствено технически данни, необходими за функционирането на Сайта.
7.5. Периодично вътрешно преразглеждане на категориите и обема на събираните данни се извършва с цел установяване и отстраняване на евентуално ненужно или непропорционално обработване. При установяване на данни, чието събиране не може да бъде обосновано с конкретна и актуална цел, те се изтриват или анонимизират без излишно забавяне.
РАЗДЕЛ V. ПОЛУЧАТЕЛИ И ОБРАБОТВАЩИ ЛИЧНИ ДАННИ
Чл. 8.1. Администраторът предоставя лични данни само на получатели, на които предоставянето е необходимо за постигане на конкретна и установена цел. С всеки получател, действащ в качеството на обработващ по смисъла на чл. 4, т. 8 от Регламента, е сключен договор за обработване на лични данни по чл. 28, ал. 3 от Регламента, съдържащ необходимите технически и организационни гаранции. Данните не се продават на трети страни и не се предоставят за техни собствени маркетингови цели без изричното съгласие на субекта.
8.2. Следната таблица съдържа пълен преглед на получателите на лични данни, категориите предавани данни, целта и правното основание за всяко предаване:
| Получател | Държава | Роля | Категории данни | Цел на предаването | Правно основание |
| Brevo SAS | Франция (ЕС) | Обработващ | Имейл адрес, имена (незадължително) | Изпращане на newsletter | Съгласие - чл. 6(1)(а) |
| Google LLC | САЩ | Обработващ | IP (съкратен), поведение на сайта, бисквитки | Анализ на посещаемостта | Съгласие - чл. 6(1)(а) |
| Meta Platforms, Inc. | САЩ | Обработващ | Идентификатори на устройства, данни за взаимодействие | Маркетингово измерване | Съгласие - чл. 6(1)(а) |
| Webflow, Inc. | САЩ | Обработващ | Технически данни от посещения | CMS функционалност и блог | Легитимен интерес - чл. 6(1)(ж) |
| Доставчик на хостинг (България) | България (ЕС) | Обработващ | Всички данни на сървъра | Сървърна инфраструктура | Легитимен интерес - чл. 6(1)(ж) |
8.3. Лични данни могат да бъдат разкрити на компетентни държавни органи - съдилища, прокуратура, органи на Министерството на вътрешните работи, Комисията за защита на личните данни и други публични органи - единствено при наличие на законово задължение или изрично разпореждане, издадено в предвидената от закона форма. В тези случаи Администраторът предоставя минималния обем данни, необходим за изпълнение на конкретното задължение или разпореждане.
Чл. 9.1. Предаването на лични данни на всеки от посочените обработващи се осъществява единствено при наличие на конкретно обстоятелство, обосноваващо необходимостта от него. Данните, предоставени чрез контактната форма, се предават единствено до вътрешно оправомощени служители на Администратора и не се препредават на трети страни извън хостинг инфраструктурата. Данните на newsletter абонатите се предават на Brevo SAS единствено за целта на изпращане на заявения бюлетин и не се използват от Brevo SAS за собствени маркетингови цели спрямо субектите.
9.2. Аналитичните и маркетинговите данни, предавани на Google LLC и Meta Platforms, Inc., се предават само при изрично предоставено съгласие от субекта чрез CookieScript. При непредоставено или оттеглено съгласие предаването не се осъществява и съответните бисквитки и скриптове не се зареждат. Субектът може да управлява и оттегля съгласието си по всяко време чрез иконата за управление на бисквитките, достъпна на всяка страница от Сайта.
9.3. Webflow, Inc. действа като технически доставчик на CMS платформата, използвана за публикуване на съдържание и управление на блога. В това си качество Webflow, Inc. може да обработва технически данни от посещенията на Сайта в рамките на своята инфраструктура. Администраторът е сключил договор за обработване на данни с Webflow, Inc., включващ стандартни договорни клаузи за предавания към трети държави.
9.4. Администраторът не използва съвместни администратори по смисъла на чл. 26 от Регламента. Всички дружества от Групата, посочени в чл. 1.3 от настоящата Политика, обработват лични данни независимо едно от друго и в рамките на собствената си дейност. Настоящата Политика урежда единствено обработването, осъществявано чрез Сайта, и не се прилага за обработване, извършвано от отделните дружества от Групата в рамките на техните самостоятелни дейности.
Чл. 10.1. Политиките за поверителност на посочените по-долу обработващи са публично достъпни и субектите на данни могат да се запознаят с тях, за да разберат как съответните платформи обработват данните в собствените си системи:
- Brevo SAS: https://www.brevo.com/legal/privacypolicy/
- Google LLC (Google Analytics): https://policies.google.com/privacy
- Meta Platforms, Inc. (Meta Pixel): https://www.facebook.com/privacy/policy/
- Webflow, Inc.: https://webflow.com/legal/privacy
- CookieScript: https://cookie-script.com/privacy-policy
10.2. Администраторът не носи отговорност за практиките за обработване на лични данни на посочените трети страни в рамките на техните собствени платформи и системи. Субектите на данни се насърчават да се запознаят с политиките за поверителност на съответните платформи, преди да предоставят съгласие за зареждане на аналитични или маркетингови бисквитки.
РАЗДЕЛ VI. МЕЖДУНАРОДНИ ПРЕДАВАНИЯ НА ДАННИ И МЕСТОПОЛОЖЕНИЕ НА СЪХРАНЕНИЕ
Чл. 11.1. Основното съхранение на личните данни, обработвани чрез Сайта, се осъществява на сървъри, физически разположени в Република България, предоставени от български доставчик на хостинг услуги. България е държава - членка на Европейския съюз, и за данните, съхранявани на тези сървъри, не е налице международно предаване по смисъла на Глава V от Регламента.
11.2. Данните, обработвани от Brevo SAS в качеството му на доставчик на платформата за newsletter, се съхраняват на сървъри в рамките на Европейския съюз. За тези данни не е налице предаване към трета държава и не се изискват допълнителни защитни механизми по чл. 44 и сл. от Регламента.
11.3. Данните, предавани на Google LLC, Meta Platforms, Inc. и Webflow, Inc., се обработват на сървъри в Съединените американски щати (САЩ), което представлява предаване на лични данни към трета държава по смисъла на чл. 44 от Регламента. По отношение на САЩ не е прието решение за адекватност по чл. 45 от Регламента, покриващо съответните получатели и категории данни.
11.4. Следната таблица представя обобщен преглед на международните предавания, осъществявани чрез Сайта:
| Получател | Държава | В ЕИП | Механизъм за предаване | Допълнителни мерки |
| Brevo SAS | Франция | Да | Не се изисква | Не се изискват |
| Google LLC | САЩ | Не | СДК - Решение 2021/914 | IP анонимизация, TLS криптиране |
| Meta Platforms, Inc. | САЩ | Не | СДК - Решение 2021/914 | TLS криптиране, ограничен достъп |
| Webflow, Inc. | САЩ | Не | СДК - Решение 2021/914 | TLS криптиране, договорни ограничения |
| Хостинг доставчик | България | Да | Не се изисква | Не се изискват |
Чл. 12.1. Правното основание за предаването на лични данни към Google LLC, Meta Platforms, Inc. и Webflow, Inc. са стандартни договорни клаузи (СДК), одобрени от Европейската комисия съгласно чл. 46, ал. 2, б. "в" от Регламента - Решение за изпълнение (ЕС) 2021/914 на Европейската комисия от 4 юни 2021 г. Копия от приложимите СДК са достъпни при поискване на адреса за контакт, посочен в чл. 3.1 от настоящата Политика.
12.2. Преди установяване на отношения с всеки от посочените американски доставчици Администраторът е извършил оценка на въздействието на предаването (Transfer Impact Assessment - TIA) в съответствие с Препоръки 01/2020 на Европейския комитет по защита на данните (ЕКЗД) и актуализираните насоки от октомври 2022 г. В рамките на оценката е анализирана правната рамка в САЩ, включително разпоредбите на FISA 702 и Executive Order 14086, въвел механизма за правна защита на субектите от ЕС пред американски съдилища.
12.3. Въз основа на извършените оценки и с оглед естеството и обема на предаваните данни Администраторът е приложил следните допълнителни технически, организационни и договорни мерки:
- криптиране на данните при предаване посредством протоколи TLS 1.2 и TLS 1.3;
- активирана функция за съкращаване на IP адреса в Google Analytics ("IP anonymization"), при която пълният IP адрес не напуска ЕИП;
- договорни ограничения, забраняващи на получателите да използват предадените данни за цели извън изрично договорените;
- ограничаване на достъпа до данните в рамките на организациите на получателите до служители с оперативна необходимост;
- предаването на аналитични и маркетингови данни се осъществява единствено при наличие на изрично съгласие от субекта - при непредоставено съгласие данните не напускат ЕИП.
12.4. Администраторът следи за актуалността на правната рамка в държавите получатели и при съществена промяна в нея предприема необходимите действия за осигуряване на адекватно ниво на защита - включително преразглеждане на приложимите механизми за предаване, въвеждане на допълнителни мерки или прекратяване на предаването при невъзможност за осигуряване на такова ниво.
Чл. 13.1. Субектите на данни имат право да поискат допълнителна информация относно механизмите за предаване и приложимите гаранции за всеки конкретен получател. Такова искане може да бъде отправено по реда, предвиден в Раздел IX от настоящата Политика.
13.2. Данните, обработвани от посочените американски доставчици в рамките на техните собствени платформи, може да подлежат на допълнителни защитни механизми, установени от самите платформи. Субектите на данни могат да се запознаят с тях в политиките за поверителност на съответните платформи, посочени в чл. 10.1 от настоящата Политика.
13.3. Администраторът не предава лични данни към държави извън посочените в чл. 11.3 и не предвижда такива предавания в бъдеще. При евентуална промяна в кръга на получателите в трети държави настоящата Политика ще бъде актуализирана своевременно, а субектите ще бъдат уведомени по реда, предвиден в Раздел XII.
РАЗДЕЛ VII. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ
Чл. 14.1. Администраторът съхранява личните данни в идентифицируема форма за срок, не по-дълъг от необходимия за постигане на целта, за която са събрани, в съответствие с принципа за ограничение на съхранението по чл. 5, ал. 1, б. "д" от Регламента. След изтичане на приложимия срок данните се изтриват безвъзвратно или се анонимизират по начин, при който повторната идентификация на субекта е невъзможна.
14.2. Следната таблица съдържа конкретните срокове за съхранение, приложими за всяка категория лични данни, обработвани чрез Сайта, включително началната точка на срока и действията, предприемани след неговото изтичане:
| Категория данни | Конкретен срок | Начална точка | Основание за срока | След изтичане |
| Данни от контактна форма (имена, имейл, телефон, съобщение) | 2 години | Дата на получаване на запитването | Легитимен интерес - последващи въпроси по същото запитване | Изтриване |
| Данни на newsletter абонати (имейл, имена) | 2 години от последно взаимодействие или до оттегляне на съгласието - което от двете настъпи по-рано | Дата на последно отваряне, кликване или потвърждение | Съгласие - активна абонаментна връзка | Изтриване от списъка и от платформата Brevo |
| Договорни данни (при сключен договор с клиент на Групата) | 5 години | Дата на прекратяване на договора | Законово задължение - чл. 12, ал. 1 от Закона за счетоводството; чл. 110 от ЗЗД | Изтриване или архивиране съгласно приложимото законодателство |
| Технически логове (IP адрес, тип браузър, дата и час) | 90 дни | Дата на генериране на лога | Легитимен интерес - сигурност и диагностика на Сайта | Автоматично изтриване |
| Аналитични данни - Google Analytics | 14 месеца | Дата на събиране | Съгласие - стандартен период на платформата, конфигуриран от Администратора | Автоматично агрегиране и изтриване от Google |
| Данни от Meta Pixel | 180 дни | Дата на събиране | Съгласие - стандартен период на платформата | Автоматично изтриване от Meta |
| Записи за съгласие (CookieScript) | 12 месеца | Дата на предоставяне или оттегляне на съгласието | Задължение за отчетност - чл. 5, ал. 2 от Регламента | Изтриване |
14.3. При оттегляне на съгласието за получаване на newsletter данните на субекта се изтриват от активния абонаментен списък в платформата Brevo в срок до 30 дни от получаване на искането за отписване. Записите за предоставеното и оттегленото съгласие се съхраняват за срок от 2 години с цел доказване на законосъобразността на обработването в съответствие с чл. 5, ал. 2 от Регламента.
14.4. При получаване на данни от контактна форма, по отношение на които в рамките на 12 месеца не е предприето никакво последващо действие и не е налице текуща кореспонденция, Администраторът извършва преглед и изтрива данните преди изтичането на пълния двугодишен срок, ако липсва основание за по-нататъшното им съхранение.
Чл. 15.1. Сроковете, посочени в чл. 14.2, могат да бъдат удължени в следните случаи:
- При висящо съдебно, административно или арбитражно производство, в което данните са необходими като доказателство - до приключването на производството и изтичането на срока за обжалване;
- При получено разпореждане от компетентен държавен орган за съхранение на данните - за срока, определен в разпореждането; при законово задължение за по-дълго съхранение, произтичащо от приложимото национално или европейско законодателство.
15.2. При удължаване на срока на съхранение на основание, различно от първоначалното, Администраторът документира основанието за удължаването и ограничава достъпа до данните до минималния кръг от лица, необходими за съответната цел. Данните, чийто срок е удължен по реда на предходната алинея, не се използват за първоначалната цел на събирането им.
15.3. Администраторът провежда периодични вътрешни прегледи на съхраняваните данни с цел установяване на данни, чийто срок за съхранение е изтекъл. Прегледите се осъществяват най-малко веднъж годишно. При установяване на данни с изтекъл срок се предприема незабавно изтриване или анонимизиране.
Чл. 16.1. Записите за съгласие, съхранявани от платформата CookieScript, документират кога, как и за кои категории бисквитки субектът е предоставил или оттеглил съгласието си. Тези записи включват: идентификатор на сесията, дата и час на действието, версията на политиката за бисквитки, приложима към момента на действието, и конкретния избор на субекта по категории. Съхранението на тези записи е необходимо за изпълнение на задължението за отчетност по чл. 5, ал. 2 от Регламента и за доказване на валидността на предоставеното съгласие.
16.2. Записите за съгласие по предходния член не се използват за профилиране на субектите и не се предоставят на трети страни извън случаите, предвидени в чл. 8.3 от настоящата Политика. Субектът може да поиска информация за съхраняваните записи за неговото съгласие по реда, предвиден в Раздел IX.
