Настоящата политика дава информация по какъв начин се обработва информацията за клиентите на сайта www.ormy.io , собственост на ОРМ Дигитални решения ЕООД.

Политиката отразява изискванията на Регламент 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Общ регламент относно защитата на данните”), във връзка с обработването на личните данни, както и други специални изисквания на приложимите нормативни актове, вкл., но не само: Закона за защита на личните данни, Закона за мерките срещу изпиране на пари и подзаконовите нормативни актове.

Раздел I - Кой обработва лични данни?

1. Освен ако не е указано друго в настоящата политика за защита на личните данни, лични данни се обработват от ОРМ Дигитални решения ЕООД, ЕИК: 205469363, седалище и адрес на управление: гр. Пловдив, ул. Околчица 32.

2. Описаното по-горе Дружество, действа като администратор на лични данни, определяйки целите и средствата на обработване.

Раздел II - Какви лични данни се обработват ?

1. При използването на www.ormy.io и другите услуги и продукти, предлагани от уеб сайта www.ormy.io се събират и обработват лични данни. В повечето случаи личните данни се изискват, за да спази законово задължение за изпълнение на договор или въз основа на законен интерес. Разбира се, при част от услугите ни, самите Вие ни предоставяте тази информация, избирайки и съгласявайки се за това. Без тези данни, предоставянето на съответните услуги е невъзможно.

2. В зависимост от услугите, които ползвате, може да събираме и обработваме следната информация за Вас:
а. адрес на електронна поща (потребителско име);
б. парола за достъп;
в. електронни идентификатори, включително: идентификационен номер на потребителя (user ID), IP адрес и „бисквитки“;
г. три имена;
д. телефонен номер;
e. Данни по писма, електронни пощи, лайв чат и телефон, които получаваме от Вас при комуникацията ни;
ж. адрес (по местоживеене) за доставка на поръчаните продукти.

Раздел III - Защо се обработват личните данни?

1. Целите и правните основания при обработването на личните данни по раздел II, са както следва:
a. адрес на електронна поща (потребителското име) и паролата за достъп са необходими за създаването и ползването на потребителски акаунт. б. Трите имена са необходими с цел установяване на самоличността на Клиента, съгласно задълженията по Закона за Електронни съобщения, Закона за защита на потребителя, Закона за мерките срещу изпиране на пари, както и при предоставяне на услуги по поддръжка на потребителски профил и при рекламации.
в. Телефонният номер и адресът на електронна поща са необходими за осъществяване на връзка с клиента по реда на Общите условия;
г. бисквитки – необходими са за разпознаване и верификация на участника при вход на създаденият профил в Сайта, управление на опциите за презентация на информация на сайта, както и след получаване на съгласие – за маркетингови цели.
д. адрес (по местоживеене) са необходими за осъществяване на връзка с участник по реда на Общите условия и Правилата, за изпращане на електронни и други съобщения и за верифициране на регистрацията от администратора на потребителя, когато е дал съгласие да получава съобщения за целите на маркетинга и рекламата. Също така е необходим и за доставка на поръчаните продукти през Сайта.
2. При регистрация в сайта www.viano.bg и направа на поръчка, както и нейната доставка до посоченият от физическото лице адрес, се събират само данните по т. 1, б. „a”, "б", "в", “г” и “д” посочените цели и причини.
3. Всяко физическо лице може да даде изрично съгласие неговите лични данни да се използват от администратора за целите на маркетинга и рекламата. В този случай личните данни, които се обработват и използват са: три имена, електронна поща, телефонен номер.
4. С изключение на случаите, когато личните данни се обработват в изпълнение на законово основание, при наличие на законен интерес или в изпълнение на договорно задължение на администратора, личните данни се обработват въз основа на изрично съгласие на субекта на данни, което може да бъде оттеглено по всяко време. Администратора осигуряват технически условия, които да гарантират, че оттеглянето на съгласието е също толкова лесно, колкото и даването му.
5. ОРМ Дигитални решения ЕООД профилира псевдоминизирани данни, както и за електронна идентификация, във връзка с предотвратяване на измами, управление на потребителски игрални опции, и след даване на съгласие - за маркетингови цели.
6. Личните данни се използват единствено за посочените по-горе цели. Дадено съгласие за събиране и обработване на личните данни обхваща всички услуги, които предоставя ОРМ Дигитални решения ЕООД.

Раздел IV - Къде се обработват лични данни?

1. Обработваните от администратора лични данни се обработват и съхраняват в централизираната им информационна система, включително комплексни бази данни, под контрола и управлението на специализиран софтуер. Информационната система се намира в специализирано помещение, което отговаря на индустриалните стандарти за сигурност на хранилища за данни, под контрола на администратора на територията на Република България, и се извършва при изпълнение на особените законови изисквания на приложимото законодателство в областта на защита на личните данни.

Раздел V - За какъв срок се обработват лични данни?

1. Събраната информация от Администратора по отношение на данните на физически лица се унищожава в законоустановените срокове, а ако няма такива в сроковете определени от администраторите и след окончателно уреждане на всички правни спорове и финансови отношения. ОРМ Дигитални решения ЕООД не пази лични данни безсрочно.
Съответните срокове са:
- 10 години по Закона за счетоводството за съхранение и обработка на счетоводни данни;
- 1 година за обработка на правените поръчки;
В случай на анонимизация на личните данни сроковете не се прилагат, тъй като не можем да Ви идентифицираме.
2. Личните данни, основанието за обработването на които е отпаднало, както и при приключване на обработването им, се унищожават или анонимизират в тридневен срок, от възникване на обстоятелството, изискващо това, или в срока, указан от компетентния орган.
3. Приключването на обработването на лични данни се извършва при наличие на някои от следните обстоятелства:
a. прекратяване на правоотношение с лицето, чиито данни се обработват и изчерпване на всички правни и фактически действия, които следва да бъдат извършени при или по повод прекратеното правоотношение;
б. основателно искане на лицето, чиито данни се обработват;
в. влязло в сила решение на Комисията за защита на личните данни или съответния компетентен съд, постановяващи приключването и/или унищожаването на личните данни;
г. изискване на нормативен акт;
д. отпаднала нужда на администратора.
4. Унищожаването на данни се извършва съгласно процедури, одобрени от администраторите.
5. В случай че за някои лични данни е предвиден законов срок за съхраняването им, не се допуска унищожаване на тези лични данни преди изтичането му. Не се допуска и унищожаване на лични данни при наличие на легитимен интерес или необходими за упражняване на права и задължения на администраторите, произтичащи от договора с участника.

Раздел VI - Как се обработват лични данни?

1. Личните данни се събират директно от лицето (когато то ги предоставя доброволно или за изпълнение на договорни задължения), от други администратори на лични данни (ако преди това те са ги събрали и субектът на данните е дал изрично съгласие да бъдат предоставени на съвместните администратори) или от компетентните органи ( когато има нормативно основание).
2. Администратора въвежда подходящи технически и организационни мерки за обезпечаване на законосъобразното обработване на лични данни и за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването.
3. Администратора взема мерки за защита на личните данни от случайна загуба и нерегламентиран достъп, употреба, промяна или оповестяване. Налице са политики и процедури, предназначени да предпазят информацията от загуба, злоупотреба и неправомерно разкриване. Освен това са взети допълнителни мерки за информационна сигурност, включително контрол на достъпа, строга физическа защита и надеждни практики за събиране, съхранение и обработка на информацията.
4. Администратора спазва правила за сигурност при обработката на лични данни като с приоритет се прилага принципа за обработка на псевдомизирани данни. Изключение от това се допуска само с оглед на конкретните цели, за които е необходима конкретната обработка, при въведени технически и организационни мерки, ограничаващи нерегламентирания достъп, копиране, промяна и заличаване на лични данни.
5. По отношение на личните данни, съхранявани на електронен носител, достъпът до компютърните устройства, съхраняващи данните, се осъществява само от оторизирани лица, които влизат в своя профил след идентификация с потребителско име и парола.
6. Обработването на личните данни в електронен вид се допуска само след като са приложени мерки за криптографска защита по отношение на операционните системи, системите за управление на бази данни и комуникационното оборудване.

Раздел VII - С кого се споделят лични данни?

Администратора не споделят с трета страна никаква лични данни на физически лица, освен ако не е налице разпореждане на Комисията за защита на лични данни.

Раздел VIII - Какви са правата на субектите на данни?

1. Субектът на данни има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до част от данните, както и информация като например: целите на обработването, съответните категории лични данни, получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни и др.
2. Администратора предоставят копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма (напр. PDF), освен ако субектът на данни не е поискал друго.
3. Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация. Субектът на данни може сам или чрез съдействието на администратора и обработващите лични данни да промени въведените при регистрацията му данни. Субектите на данни са длъжни да предоставят актуални данни на Администратора и удостоверяващите ги документи.
4. Субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администратора имат задължението да изтрият без ненужно забавяне личните данни, когато е приложимо някое от следните основания: a. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
б. субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
в. субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването за целите на директния маркетинг;
г. личните данни са били обработвани незаконосъобразно;
д. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейския съюз или правото на Република България, което се прилага спрямо администратора

Упражняването на правата по буква „а“ до „д“ по настоящата точка не е основание субектът на данните да изисква Администратора да изтрият или заличат по друг начин данни, които по закон или при легитимен интерес са длъжни да съхраняват, обработват и предоставят на компетентните органи. Изтриването на данните се извършва съгласно предвидената процедура по раздел V.
5. При прекратяване на регистрацията на субекта на данни в уеб сайта www.viano.bg, Администратора може да продължи да обработва само тези данни, които са необходими с цел изпълнение на техни задължения по закон.
6. Субектът на данните има право да изиска от администратора ограничаване на обработването, както и да възрази срещу такова при спазване на законовите изисквания.
Администраторът съобщава за всяко извършено изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
7. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, ако данните се обработват на основание съгласие, съхраняват се в машинно четим формат и това е технически осъществимо. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
8. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

Раздел IX - Ред за упражняване на правата на субектите на данни

1. Администраторът съдейства за упражняването на правата на субекта на данните и има право, при изпълнение на задълженията си по искане на субектите на данните, да извършва проверка за установяване, че искането изхожда от субекта нa данните или надлежно упълномощено от него лице.
2. Действията по упражняване правата на субекта на данните се извършват лично от лицето или от пълномощник с изрично пълномощно, с нотариална заверка на подписа ,на адреса на управление на администратора.
3. Когато упражнява правото си на преносимост на данните, субектът подава искане до Администратора, което съдържа: три имена, единен граждански номер (ако е български гражданин), описание на искането; предпочитана форма за предоставяне достъпа до лични данни; подпис, дата и адрес за кореспонденцията. Заявлението се представя по електронен път чрез електронна поща или на хартиен носител. Заявителите нямат право на достъп до личните данни на други лица.
4. Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по упражняване на правата на субекта на данните, в срок от един месец от получаване на искането. Когато субектът на данни подава искане с електронни средства, при възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на субекта се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.
5. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до Комисията за защита на личните данни и търсене на защита по съдебен ред.
6. Информацията, предоставяна на субекта, и всяка комуникация и действия по упражняване правата на субекта на данни се предоставят безплатно.
7. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или да откаже да предприеме действия по искането.
8. Когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане за упражняване на правата по т. VIII, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните

Трансфер на лични данни

Трансферът, съхранението и обработката на лични данни е обезпечен със съвременни технически средства. Съвместните администратори няма да прехвърлят събираните и обработваните лични данни извън рамките на Европейското икономическо пространство без спазване на законовите възможности, като ще въведат всички подходящи предпазни мерки, с цел спазване на поверителност информацията.
Субектите имат право и на жалба по отношение на начина, по който се обработват личните данни от страна на Администратора. Жалбата следва да бъде подадена до надзорния орган, а именно - Комисия за защита на личните данни, София п.к.1592, бул. „Проф. Цветан Лазаров” No 2 или www.cpdp.bg

Раздел X - Длъжностно лице по защита на данните

1. Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права.

Раздел XI - Промени в настоящата Политика за защита на личните данни

Тази Политика за защита на личните данни е актуализирана за последен път на 28.10.2021 г. Същата може да бъде променяна във времето. Такива промени ще влязат в сила незабавно след тяхното оповестяване.