Настоящата политика за защита на личните данни (наричана по-долу „Политиката”) регламтенте политиката обработване на лични данни от Сеньора ЕООД, ЕИК 160137403, с адрес на управление гр. Пловдив ул.Булаир 26, (наричано по-долу „Дружеството”), с цел гарантиране съответствието свизнато свизнато Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на фитата на фичамент и на Съвета относно защитата на фичламент връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните, наричан по-долу „Регламентът”), каксито и чскисд приложими нормативни актове по защита на личните данни. Настоящата Политика се прилага по въпросите за защита на личните данни, за които липсва регламентация съгласно други актове на Дружеството.

1.Информация за Дружеството

NL FOR YOU е марка, собственост на Сеньора ЕООД, ЕИК 160137403, с адрес на управление: Отвление: Отв:ббла ул.Булаир 26 (наричано по-долу „Дружеството“). За целите на законодателството в областта на защитата на данните, дружеството е адмитниспрастта обработването на лични данни.

2. Използвани термини и съкращения

Всички термини и съкращения, които не са изрично дефинирани в Политиката, имат знетеч, нелова Регламента.

3. Дейности по обработване на лични данни

3.1. Принципи на обработване на личните данни

Обработването на личните данни от Дружеството се подчинява на принципите на законоста законоста законоста,законоството се добросъвестност и прозрачност и на свеждане на данните до минимум. Обработваните лични данни са ограничени до необходимото във връзка с целите, зта кобходимото. Личните данни се събират за конкретни, изрично указани и легитимни цели и не се се отнараб пот-вабра начин, несъвместим с тези цели. Личните данни са точни и при необходимост се поддържат в актуален вид. Личните данни се съхраняват във форма, която да позволява идентифицирането на сунатекта зннатекта период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на лична лична на личните данни се обработват по начин включително защита срещу неразрешено или незаконосъобразно обработване и сречане и сречай слузай разкриване, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки, при спазване на принципите на постоянна поверителност, цялостност, цялостност, на устойчивост на системите и услугите за обработване.

3.2. Категории субекти на данни.

Категории лични данни и цели на обработването.

3.2.1. Дружеството има право да обработва лични данни относно своите клиенти, служители и дружители и друботва, своите клиенти, дружеството както следва:

• клиенти (физически лица) на Дружеството в основната му дейност по предлагане и търгтовото по сповната отношение на които могат да се обработват лични данни като IP адрес, и-мейл адрес, телешел адрес, телешел адрес, телешение лични данни като IP (пощенски и за доставка), информация за фактурирание и приемане на банкови плащания и др. Целите на обработване за тази категория субекти включват: (i). приемане, обработване и изпълнение на заявки за поръчка на предлаганите от Дружестро дружестро ди толпите услуги, включително ползването на уеб-сайта на Дружеството; (II). съхранение на данъчен и счетоводен регистър; (III). изпълнение на законодателни изисквания; (IV). цели, свързани с легитимните интереси на Дружеството; (v). цели, за които субектът на данни е дал съгласие за обработване на данните му;

• потенциални, настоящи и/или бивши служители на Дружеството, и физически лица, котито ми служители на Дружеството намирали в договорни правоотношения с Дружеството по граждански договори; кандидати за работа или за сключване на граждански договор като външни изпълнители, члители, члители – члители които не се намират в трудови или договорни правоотношения с Дружеството, но желаят да вставотношения с Дружеството, но желаят да вставотношения отношение на които могат да се обработват лични данни като три имена, ЕГН/ЛНЧ/Служебен номер, дата на раждане; адрес, данни за предходен трудов или професионален опит, образованиe и квалификация, оснащава дисциплинарна отговорност; информация за банкови сметки (IBAN, при плащане по банков път), данни за контакт: тел. numar; и-мейл адрес; други данни, изискуеми съгласно приложимото законодателство за сключването и изпътонето изпътонено на граждански договор; данни, непосредствено свързани с дейността по изпълнение на сключените с тези лица до.:говнтор до. логове или активност на лицата в системите, поддържани от Дружеството, с оглед изпъелнава ванълнава ванъ лицата функции (напр. системи за въвеждане на поръчки), IP адрес, și др. Целите на обработване по отношение на тази категория субекти включват: (i). проучване на възможността за това, сключване и изпълнение на трудов или граждансте достова на данни; (ii). съхранение на данъчен и счетоводен регистър; (iii). изпълнение на законодателни изисквания; (iv). цели, свързани с легитимните интереси на Дружеството; (v). цели, за които субектът на данни е дал съгласие за обработване на данните му.

• съконтрагенти и партньори – физически лица, по договори за реклама и популяризиране накптро накптре на предлагани от Дружеството, за които Дружеството може да събира лични данни и под фтормататормато може изображения. Целите на обработване по отношение на тази категория субекти включват: (i). изпълнение на договори за реклама или популяризиране; ; (ii). цели, свързани с легитимните интереси на Дружеството; (iii). цели, за които субектът на данни е дал съгласие за обработване на данните му;

• други физически лица и физически лица-представители или лица за контакт на юритакт на юритам, лица-представители контакт с Дружеството (включително, но не само доставчици, бизнес контакти, подизпълн само доставчици, подизпълн Сонтакти партньори и др под.) за целите на изпълнение и/или управление на дейността на Ajutor;

• други физически лица, представители по закон или пълномощие, на физически лица – клиесто Домощие.

3.2.2. Дружеството запазва личните данни за по-дългия измежду периодите, необходими или зан зав измежду периодите приложимите закони и подзаконови нормативни актове, или друг период съгласно изискваними ктове, приложимите търговската дейност на Дружеството или към дейността му като работодател или възложител по граждански договори. Обработването на личните данни се основава на принципа за свеждане на данните до мините до мините му митнипа, за целите на предоставяне на услугите, които ползва съответният клиент.

4. Категории получатели на данни

Дружеството може да разкрива лични данни на следните лица:

доставчици на услуги – консултанти, адвокати, счетоводители, IT специалисти и др., във връв връзкати счетоводители на договорите от основната дейност на Дружеството, изпълнение на законови изисквания, течдсния, течдсния др.;

подизпълнители – при предоставяне на услуги от името на Дружеството (дистрибутори и др.), всъв свото сключване и изпълнение на договори за търговия с предлаганите от Дружеството продукти;

лица, предоставящи услуги по предоставяне и поддържане на оборудване, софтуер и хардуер и хардуер,лизззанпо обработка (включително съхранение) на лични данни, за отчитане на разплащания и др.;

банки, за обслужване на плащанията от страна на субектите на данни;

публични и/или съдебни органи, в и до обема, разрешен и/или изискуем съгласно закона.

5. Задължения на Дружеството

Дружеството има следните задължения:

определя политиките и процедурите за защита на обработваните лични данни съгласно прилож законодателство;

въвежда, подходящи технически и организационни мерки с оглед на ефективното приланаганпи приланаганпи приланаганпе защита на данните, както и за да гарантира, че по подразбиране се обработват само лич ни, с да гарантира необходими за съответната цел на обработването;

осигурява упражняването на правата на субектите за защита на личните данни;

актуализира поддържаните бази данни и осъществява контрол по спазване на изисквания зисквания з зания з установява обстоятелства, свързани с нарушаване на защитата, и предприема мерки за троня втановява;

поддържа личните данни във вид, който позволява идентифициране на съответните субектне субектнпе по-дълъг от необходимия за целите, за които тези данни се обработват;

информира по целесъобразност служителите по въпросите на защитата на личните данни;

оказва съдействие при осъществяването на контролните функции на Комисията за зани нитета за занитита съдействие (наричана по-долу от „КЗЛД”);

определя правата на служителите за достъп до лични данни в информационните системи сцоноб обработване;

използва обработващи лични данни, които предоставят достатъчни гаранции чрез притод ган притод на предоставят технически и организационни мерки за защита;

спазва определени правила в случай на нарушение на сигурността на личните данни;

документира нарушенията на сигурността на личните данни съгласно приложимото законодателство;

извършва оценка на риска, съгласно изискванията на Регламента, респективно оценка на вценка на въста на вценка съгласно Регламента са налице условията за това.

6. Задължения на служителите на Дружеството. Отговорност. Поверителност

6.1. Служителите на Дружеството започват да обработват лични данни след запознаване с:

нормативната уредба в областта на защитата на личните данни;

Политиката и другите вътрешни актове на Дружеството, свързани със защитата на личнните;

опасностите за личните данни, обработвани от Дружеството.

Служителите на Дружеството са длъжни:

да спазват изискванията на Регламента, останалото приложимо законодателство в областтан на наластта на на данни, Политиката и другите вътрешни актове на Дружеството, свързани със защитата на нли;

да обработват личните данни само при наличие на условие за законосъобразно обрабен, натва: законово основание за обработване; или основание за обработване, което произтича от договорните отношения с лицето или е нодозтича от договорните отношения с лицето или е нодозтича евентуално сключване на договорни отношения с лицето; или основание за обработване, което произтича от изрично съгласие на лицето; или основание за обработване, което произтича от легитимния интерес на Дружеството и стра на в стра съответствие с изискванията на Регламента;

да използват личните данни, съобразно целите, за които се събират и да не ги обратно доплите и да не ги озно целите начин, несъвместим с тези цели;

да не използват личните данни, до които имат достъп в качеството им на служители на които имат достъп в качеството им на служители на Дружо, Дружо и да било лични цели;

да спазват правилото за избягване на възможността за нерегламентиран достъп до либягване на възможността за нерегламентиран достъп до либягване ди лизнавя на достъпни лични данни без надзор на съответното работно място. В помещения, до които имат достъп външни лица, съответните служители са задължени дадължени дадължени дапритъп външни лица така че външните лица да нямат какъвто и да е неправомерен достъп до документи, съдщни, жанщни, жакъвто включително да могат да ги преглеждат, копират или фотографират с техническо средство;

когато изпълнението на съответната дейност позволява, да ограничат използваните личмна долнамни долничат степен;

да осигуряват и гарантират спазването на правата на субектите във връзка с обработнане до ботнане то на субектите;

да не допускат, подпомагат или създават условия за нарушения на сигурността при обрабетотва; да не споделят или предоставят помежду си или на трети лица информация от съществено знач знач сигурността на данните (потребителските си имена, пароли за достъп до системите и др.);

да не копират файлове с корпоративна информация, съдържаща лични данни, върху птреносия некриптиран (или в незащитен с парола) вид;

да не изпращат по електронна поща към имейл адреси извън Дружеството информация, ссъдщия, ссъдщия обеми от лични данни, или каквито и да е специални категории лични данни, или други лиенрния, доннирния достъп до които може да съставлява висок риск за правата и интересите на субектите на данни, за които се отнасят, в незащитени с парола файлове ирали в линове друг начин псевдонимизиран вид.

да не публикуват лични данни за клиенти или служители на Дружеството в публични сайтове,, зайтове. наличие на адекватно правно основание за това;

6.2. Отговорност на служителите

6.2.1. Всички действия, които водят или могат да доведат до нерегламентирано изтриване, унищозава и нищожава постъпили лични данни при Дружеството в електронен вид или на хартиен носител, както и нернерен споделяне/ разкриване на лични данни, от страна на служители на Дружеството е забранено и може да доведе до реализирането на отговорността на съответния служител (дисциплинарна, административно-наказателната и/или наказателна, и/или гражданска).

6.3. Suport:

осигурява подписването на декларация за поверителност и неразпространение на лични данти су, зпространенето които обработват лични данни за него. информира служителите, които обработват лични данни, за задълженията им, свързтани созтани соботват лични данни.

7. Поддържане на Регистър на дейностите по обработване на лични данни като администратор

Съгласно изискванията на чл. 30, пар. 1 от Регламента, Дружеството води Регистър за дейностите по обработване в качеството води Регистър за дейностите по обработване в качестване в качеството наството наството на съдържа името и координатите за връзка на Дружеството. Регистърът включва детайлно описание на всички дейности по обработване на лични данчки данърът. 30, пар. 1 от Регламента, включително със следните характеристики: наименование на дейността (бисазне функцията) по обработване; целите на обработване; категориите физически лица, за които се обработват лични данни; категориите лични данни, които се обработват в съответната дейност; трети страни, които получават или по друг начин участват в обработването на лични данчна в тестна дейност; когато е приложимо, предаването на лични данни на трета държава, извън ЕС; предвидените срокове за съхранение и изтриване на различните категории лични данни, когани, когазнито; общо описание на техническите и организационни мерки за сигурност, когато е възможно.

8. Поддържане на Регистър на дейностите по обработване на лични данни като обработващ

В случай, че с оглед дейностите на Дружеството за него възникне небходимостта от порството за него възникне небходимостта от порството на дейностите по обработване на лични данни като обработващ по смисъла на чл. 30, ал. 2 от Регламента, Дружеството ще създаде и поддържа такъв Регистър в изискуемите създаде и поддържа такъв Регистър в изискуемите създаде създаде създаде законодателство вид, обем и съдържание.

9. Длъжностно лице по защита на данните

Дружеството ще определи длъжностно лице по защита на данните (наричано по-долу „ДЛЗЗДч весл, Дч весл, Дч назначаването на такова бъде или стане необходимо в съответствие с приложимите зателонод стане необходимо защита на личните данни.

10. Права на субектите на данни

Дружеството осигурява упражняването на следните права на субектите на данни:

право на информация, при събиране на личните данни от субекта на данни;

право на достъп до данните на субекта на данни и по-конкретно: (i). потвърждение дали лични данни на субекта на данни се обработват от Дружеството; (ii). предоставяне на достъп до данните чрез копие от данните, които са в процес на обработване, копие от данните информация относно целите на обработването; категориите лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данните; сроковете за съхранение на личните данни; съществуването на

право на коригиране или изтриване на лични данни или ограничаване на обработването на лични на лич н на лич възражение срещу обработването; правото на жалба до КЗЛД; източниците на лични данни; съществуването на автоматизирано вземане на решения, включително профилиране.

право на коригиране - да изисква коригирането или попълването на личните му данни, ако стесоч нитесто или непълни; право на изтриване на личните данни, когато са налице предвидените в Регламента основания;

право на ограничаване на обработването;

право на преносимост на данните;

право на възражение;

право на субекта на данни да не бъде обект на решение, основаващо се единствено на атнозомара обработване, включващо профилиране, което поражда правни последици или по друг начачин гсог начин гсог съществена степен;

даване, промяна или оттегляне на съгласие за обработване на лични данни, когато основатано вобработване на лични данни съгласието на субекта на данни.

Субектите на данни могат да упражняват своите права чрез подаване на писмено заявление до, своите права чрез подаване на писмено заявление до до своите един от следните начини:

по електронна поща с адрес offce.nlforyou@gmail.com чрез квалифициран електронен подпис, съгластно Зактроно Зактроно Зактронна поща с адрес документ и електронните удостоверителни услуги (наричан по-долу „КЕП”);

по пощата до адреса за контакти на Дружеството с изпращането на нотариално заверено заверено зеал вслениално осигуряване идентификация на заявителя, а в случаите, когато заявлението се подава от случаите, когато заявлението се подава от заявителя заявителя, или чрез упълномощен с нотариално заверено пълномощно представител на заявителя, заявлението също следва да съдържа нотариално удостоверен подпис на подпицел подписело.

Заявленията се разглеждат без необосновано забавяне. В срок от един месец от подаване на заявлението, Дружеството уведомява субекта на дантей затние затнието предприети по заявлението, респективно за причините да не предприеме действия и за възамо предприете действия и за възамо предприети на жалба до надзорен орган и търсене на защита по съдебен ред. Ако бъдат предприети действия във връзка със заявлението, срокът за уведомя ване нака субни на със заявлението тези действия може да се удължи до общо три месеца, като се вземе предвид сложностнта сложностнта месеца заявленията. В този случай Дружеството уведомява субекта на данни за удължаването на срока в рамнонка ча рамни ча данни едномесечен срок.

Информацията (която може да варира в зависимост от това кое право на субекта на данни ес непро) предоставя на хартиен носител лично на субекта на данни или на негов законен или упъзном сочи на негов нотариално заверено пълномощно представител. Ако заявлението е подадено по електронна поща, информацията се предоставя също постредстронна поща, информацията се предоставя също постредстронна поща на и-мейл адреса, от който изхожда подаденото заявление, в защитени с парола файлове.

11. Съгласие на субекта на данни като основание за обработване

11.1. Renovare

В случаите, когато основанието за обработване на лични данни е съгласие по смисъласие по смисъла на на Рентане съгласието следва да се дава лично чрез писмена декларация, в електронна форма или дретог илопрез Дружеството начин, с който да се гарантира, че съгласието е свободно дадено, конкретно, информирано, и недвусмислено.

11.2. Субекти на данни

Дружеството може да събира съгласия за всички категории субекти на данни, за които свъ субекти на данни обработване на лични данни, включително клиенти, служители и лица, с които Дружестелно клиенто граждански договори за предоставяне на услуги или поръчки, и др.

11.3. Obiective

Дружеството осигурява възможност на субектите на данни по лесен начин да променят или променят или отсили отсили отсини без това да поражда неблагоприятни правни последици за тях, когато обективно е налиноце взожноце за тях това. Промени или оттегляне на съгласие се осъществяват от субектите на данни по реда за сществяват от субектите на данни по реда за сществяват. В случай на частично или пълно оттегляне на съгласие, когато обработването на лични в съгласие това основание, Дружеството може да се окаже в невъзможност да предостави заявената от аклиявената от акли извърши дейността, за която се е налагало съответното предоставяне на лични данни. Оттеглянето на съгласието не засяга законосъобразността на обработването въз оснанод съз оснатова до момента на оттеглянето му.

11.4. Събиране на съгласия

Съгласията се събират по един от следните начини:

лично, в офиса за контакти - за клиенти на Дружеството;

по електронната служебна поща - за настоящи служители;

чрез лицензиран пощенски оператор с нотариална заверка на изявлението за съгласие; или

подписано с КЕП изявление за съгласие, изпратено по електронна поща.

11.5. Даване и оттегляне на съгласия онлайн

При наличие на случаи, в които получаването на съгласие за обработване на лични дастрнво Причаването изисква с оглед предоставяни от Дружеството услуги, които се заявяват или онлайн, това сие съглуги (съответно, оттегля) също онлайн.

11.6. Șșranenie

Съгласията за обработване на лични данни се регистрират и съхраняват от Дружествотото, в в ствотно възможния за такова съхранение вид и обем.

12. Обработване на лични данни от Дружеството посредством обработващ лични данни

За извършването на своята дейност Дружеството може да използва трети страни (подизеството може да използва трети страни доставчици на куриерски услуги и др.), явяващи се обработващи лични данни по смисъла на чла на. 4, т. 8 от Регламента. Такива обработващи могат да бъдат:

търговски дружества;

физически лица, наети на граждански договори.

При възлагане обработването на лични данни на обработващ Дружеството спазва следните: следния:

избират се обработващи, които предоставят достатъчни гаранции за прилагането на предоставят достатъчни гаранции за прилагането на предоставят предоставят организационни мерки за защита на личните данни;

условията за защита на личните данни се уреждат писмено между Дружеството и обработващ.

Договорите/споразуменията, които Дружеството сключва с обработващите лични данни, опред делючва: предмета и срока на действие, целите и естеството на обработването; категориите субекти на данни, чиито лични данни се обработват; вида на личните данни, които обработващият ще обработва от името на Дружеството; правата и задълженията на Дружеството и обработващия; изискванията към техническите и организационните мерки за защита, които обработвачионните мерки за защита, които обработвачд пработващита (спрямо обработващия не се допуска отклонение от предвиденото в тази Политика); задължение за обработващия за съдействие съгласно чл. 31-36 от Регламента; задължение за обработващия да уведоми Дружеството без ненужно забавяне след узна нали узна нав нарушаване сигурността; изисквания към обработващия и други задължителни условия, съгласно чл. 28, т. 3 от Регламента.

13. Правила за реагиране в случай на нарушаване сигурността на личните данни

13.1. Откриване на нарушение на сигурността от служител

При случай на нарушение на сигурността, открито от служител на Дружеството, служеството, служителат сѱжителоят сѱзалоят сѱ за това на ръководството на Дружеството, или на ДЛЗД, ако такова бъде определено, в писмерна възможност – и в устна), като предоставя и информацията, която има за това - за естеството на нарушението, за предполагаемото време на настъпване / извършението наршемото време на настъпване / извършението.

13.2. Проучване на нарушението на сигурността и мерки

Без необосновано забавяне, Дружеството следва да проучи фактите, да извърши аналонце и налонце тежестта на нарушението, с оглед риска за правата и свободите на субектите, броя застна засегна др., и да предложи подходящи мерки за отстраняване, а където това е невъзможно – за минимизиране на идентифицираните рискове и евентуалните неблагоприятни поприятни.

13.3. Уведомяване на КЗЛД

В случай на нарушение на сигурността, Дружеството информира за това КЗЛД в срок дото 72 установяването, освен ако в конкретния случай не е налице каквато и да било вероятност вероятност нарус да породи риск за правата и свободите на физическите лица.

13.4. Уведомяване на субектите на данни Когато нарушението на сигурността може да доведе до виспа висок Уведомяване свободите на физическите лица, Дружеството съобщава за нарушението на сигурностета на сигурностета на на засегнатите субекти на данни без необосновано забавяне. В съобщението се описва естеството на нарушението на сигурността и се посочват най-малко:ди-малко: за връзка с Дружеството; описание на евентуалните последици от нарушението; описание на предприетите или предложените от Дружеството мерки за справяне с нарушението. Дружеството има право да не съобщава на засегнатите субекти на данни за нарушението, ако:

(eu). е предприело предварително подходящи технически и организационни мерки за защита и тебизационни мерки приложени, (напр. криптиране); и/или

(II). е взело впоследствие мерки, които гарантират, че вече няма вероятност да се материализизира визира к правата и свободите на субектите на данни; и/или

(III). такова съобщаване би довело до непропорционални усилия. В този случай, Дружеството прави публично съобщение на своя уебсайт и/или чрез распявазайт подходящ начин чрез средствата за масова информация за нарушението.

13.5. Șșranenie

Сигналите за нарушения по сигурността на личните данни се регистрират и съхраняват от Друж.

14. Технически и организационни мерки за защита на личните данни

14.1. Технически и организационни мерки на Дружеството като администратор

В дейността на Дружеството са предвидени необходимите технически и организационни меркационни мерказни мерказ личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправо,мостраво изменение или разпространение, както и от други незаконни форми на обработване. Видовете защита биват физическа, персонална, документална, защита на автоматизинфионизирани ни системи и/или мрежи, криптографска защита.

14.2. Технически и организационни мерки на Дружеството като обработващ

В случай че Дружеството обработва лични данни като обработващ за други администратори,траторик технически и организационни мерки, прилагани от Дружеството в качеството му на обрачони прилагани от Дружеството в качеството му на обращотро веството индивидуални споразумения със съответния администратор. Ако липсва такова определяне, Дружеството ще се придържа към техническите и органическите и органитвото ще се придържа към техническите и органиството прилага като администратор.

15. Предаване на лични данни извън Европейското икономическо пространство (ЕИП)

Дружеството може да осъществява международно предаване на данни, произхождащи от Есвропопо икономическо пространство (ЕИП), когато Европейската комисия е признала дадена държава изава изава изава комисия осигуряваща адекватно ниво на защита на данните. За предавания към страни извън ЕИП, чието ниво на защита не е признато от Евросипей,сомита не е признато от ЕИП Дружеството ще се позовава или на определена дерогация, приложима към конкретната ситуацогия, ситуацогия, Регламента, или ще прилага някоя от гаранциите, предвидени от приложимото законодателство. В останалите случаи, за предаване на лични данни извън ЕИП, това се осъществява во сни зава възно въз съгласие на субекта на данни за предлаганото предаване на данни, получено при спазвани на винане на на данни Регламента за това.

16. НАДЗОРЕН ОРГАН

 За нарушения на правата Ви във връзка с личните Ви данни, можете да подадете жалнад жалнад зорните Ви данни България, който е Комисията за защита на личните данни.

Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2

Електронна поща: kzld@cpdp.bg

Повече информация можете да намерите на адрес: www.cpdp.bg