ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗА БИСКВИТКИТЕ

 

I. ОБЩИ ПОЛОЖЕНИЯ

Чл. 1.(1) „РЕМИКС ГЛОБЪЛ“ АД (наричано по-долу за краткост „Дружеството“) е акционерно дружество, регистрирано в Търговския регистър при Агенцията по вписванията с ЕИК 204052021, със седалище и адрес на управление: Р. България, гр. София, ул. „Ст. Л. Костов“ № 3,  с основен предмет на дейност: търговия в интернет с дрехи и аксесоари втора употреба

(2) Дружеството е администратор на лични данни, като обработва лични данни във връзка със своята дейност и само определя целите и средствата за обработването им.

(3) Длъжностно лице по защита на личните данни е: Деница Петкова, имейл: privacy@remixshop.com.

Чл. 2. Настоящата политика за поверителност и за бисквитките („Политиката“) предоставя информация за  личните данни, които Дружеството обработва и за условията и реда, по който физическите лица, чиито лични данни се обработват, упражняват правата си.

Чл. 3. За целите на настоящата Политика:

1. „лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2. „обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3. „ограничаване на обработването" означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

4. „псевдонимизация" означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

5. „регистър с лични данни" означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

6. „администратор" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

7. „обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

8. „получател" означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

9. „трета страна" означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

10. „съгласие на субекта на данните" означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

11. „нарушение на сигурността на лични данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

12. „надзорен орган" означава независим публичен орган, създаден от държава членка съгласно член 51 от Общия регламент относно защитата на данните.

Чл. 4. Принципите, свързани с обработването на личните данни са:

1. принцип на законосъобразност, добросъвестност и прозрачност на обработването на лични данни - събирането на лични данни трябва да бъде в рамките на необходимото. Информацията се събира по законен и обективен начин;

2. принцип на свеждане на данните до минимум, както и на ограничение на целите и съхранението – личните данни не трябва да се използват за цели, различни от тези, за които са били събирани, освен със съгласието на лицето или в случаите, изрично предвидени в закона. Личните данни трябва да се съхраняват за период не по-дълъг от необходимото за целите за които се обработват личните данни;

3. принцип на точност – личните данни трябва да са прецизни, точни, пълни и актуални, доколкото това е необходимо за целите, за които се обработват;

4. принцип на цялостност и поверителност – личните данни трябва да се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобрано обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

Чл. 5. Лични данни на клиентите-физически лица на електронния магазин на Дружеството www.remixshop.com се обработват в регистър „Контрагенти“ и по-специално в подрегистър „Потребители по ЗЗП“ и подрегистър „Продавачи SFP”.

II. ПОДРЕГИСТЪР „ПОТРЕБИТЕЛИ ПО ЗЗП“

Чл. 6. (1) В подрегистър „Потребители по ЗЗП” се обработват следните категории лични данни:

1. име и фамилия;
2. имейл;
3.адрес;
4. пол;
5. телефон;
6. IP адрес – местоположение;
7. IBAN на потребителя – за връщане на съответни суми при рекламации и/или отказ от договора.

(2) Данните по ал. 1, т.т. 1, 2, 3, 5 и 7 се обработват с цел и на основание изпълнение на договора от разстояние, сключен между Дружеството и потребител и на основание Закона за счетоводството, Закона за защита на потребителите, както и за целите на сключването на същия.

(3) Данните по ал. 1, т.т. 1, 2, 4, 5 и 6 се обработват с цел маркетингови дейности, на основание законен интерес на Дружеството и само след предоставено изрично съгласие за обработка с цел маркетингови дейности. Съгласието по преходното изречение се предоставя в електронна форма чрез отбелязване в началната страница на сайта на Дружеството или от профила на потребител в меню „Настройки“. Съгласието, предоставено по реда на тази разпоредба може да бъде оттеглено от потребител по всяко едно време чрез отбелязване в началната странциа сайта на Дружеството или от профила му в меню „Настройки“.

(4) При предоставено съгласие от потребител за обработка на личните му данни с цел маркетингови дейности, потребителят се съгласява данните, посочени в ал. 3 да се обработват с цел предлагане на стоки и услуги на потребителя по имейл, по телефон и/или чрез бюлетин, изпращан по имейл, допитване с цел проучване относно предлаганите стоки, както и за извършването на бизнес анализи, проследяване поведението на потребителите, предпочитанията на последните, както и реклама.

(5) Дружеството няма достъп до картови данни, както и до автентикационните данни при разплащане с кредитна или дебитна карта или чрез сметка в ePay.bg, и по никакъв начин не ги регистрира или съхранява.

(6) Данните по ал. 1, т. 6 се обработват с цел маркетингови дейности, на основание законен интерес на Дружеството и само след предоставено изрично съгласие за обработка с цел маркетингови дейности чрез използване на бисквитки. Съгласието по преходното изречение се предоставя в електронна форма чрез отбелязване в лентата долу в началната страница на сайта на Дружеството или от меню „Настройки на бисквитките“. Съгласието, предоставено по реда на тази разпоредба може да бъде оттеглено от потребител по всяко едно време чрез отбелязване в менюто „Настройки на бисквитките“.

(7) При предоставено съгласие от потребител за обработка на личните му данни с цел маркетингови дейности чрез използване на бисквитки, потребителят се съгласява данните, посочени в ал. 6 да се обработват с цел проследяване поведението му, предпочитанията на последния, както и реклама.

Чл. 7. (1) Личните данни в подрегистър „Потребители по ЗЗП“ се обработват на електронен носител.

(2) Личните данни по чл. 6, ал. 2 от Политиката се набират от самите потребители в специално разработен софтуер за поръчки и се съхраняват в електронен вариант в сървър, нает от  Дружеството, находящ се в Република България, за срок от 10 години, считано от 1 януари на годината, следваща годината на възникване на съответното правоотношение, на основание чл. 12, ал. 1, т. 2 от Закона за счетоводството. След изтичане на срока за съхранение и при положение, че няма документи, подлежащи на предаване в Държавния архив, всички носители на данни от регистъра се унищожават чрез подходящ метод, вкл. и изтриване на резервните електронни копия.

(3) Личните данни по чл. 6, ал. 3 (с изключение нa IP адрес) от Политиката се набират от самите потребители в специално разработения софтуер за поръчки и се съхраняват за срокове, посочени по-долу в чл. 9, чл. 10 и чл. 11 от настоящата Политика. 

Чл. 8. (1) Администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1 до т. 5 вкл. и т. 7 от настоящата Политика в подрегистър „Потребители по ЗЗП“ на лица, назначени по трудово правоотношение. Правата и задълженията на отделните лица, обработващи данните, се посочват в съответната длъжностна характеристика.

(2) Администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1, 3 и 5 на основание изпълнение на договор на следните дружества, предоставящи куриерски услгуги  за доставка на поръчани от потребители, по силата на Договори, сключен между тях и Дружеството:

- За пратки на територията на Република България – „Спиди“ АД с ЕИК 131371780
- За пратки на територията на Гърция – „Куриер Тудей“ ООД с ЕИК 131393307
- За пратки на територията на Полша – DHL Express Sp. Z.o.o., рег. Под № 527-00-22-391 с адрес: Варшава, ул. Osmanska № 2
- За пратки на територията на Румъния – S. C. Fan Courier Express SRL, рег. Под № J40/4014/2001 с адрес: гр. Букурещ, ул. Fabrica de Glucosa 11C
- За пратки на територията на Чехия – In Time Spedice spol. S.r.o., рег. под № 64309 с адрес: гр. Прага, ул. Pobrezni 18/16
- За пратки на територията на Словакия – Slovak Parcel Service s.r.o., рег. под № 3215/В
- За пратки на територията на Унгария – Sprinter Futarszalgabat Korlatolt feleloessegn Tarsasag, с рег. № 01-09-660447, с адрес: Будапеща, ул. Tablas № 39.
- За пратки на територията на Австрия и Германия – DHL Paket GmbH, Brunner Strasse 65, 1230 Vienna, Austria.

(3) Администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1, 3 и 5 за субекти на данни, находящи се в Германия и Австрия, на основание изпълнение на договор, на следната компания, която предоставя услуги по складиране на рекламации на потребители от посочените държави, съгласно договор между последната и Дружеството:

Logwin Solutions GmbH, Siezenheimerstrasse 39a, 5020 Salzburg, Austria.

(4) При поискване на информация, свързана с изпълнението на конкретен договор от разстояние, достъп до подрегистър „Потребители по ЗЗП“ се предоставя на изпълнителен директор и/или член на СД на Дружеството.

(5) Достъп до лични данни на лице от подрегистър „Потребители по ЗЗП“ се дава на юрисконсулт или адвокат, във връзка със защитата на правата на Дружеството при спор между страните и/или необходимост от консултация.

(6) Достъп до лични данни на лице от подрегистър „Потребители по ЗЗП“ се дава на трети лица по разпореждане на съд и/или на основание конкретен нормативен акт.

Чл. 9. (1) Администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1, 2, т. 4 и т. 5 от настоящата Политика на Babelforce GmbH,  Str. der Pariser Kommune 12-16, 10243 Berlin, Germany  по силата на договорно правоотношение между последното и Дружеството с предмет: предоставяне на услуги по виртуална телефония или „облачна“ телефония (Cloud based VoIP telephony) и запис на всички телефонни разговори и съобщения, разменени между Дружеството и потребителите.

(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се във Федерална Република Германия и при спазване на изискванията на приложимото в ЕС и ЕИП законодателство по отношение на защитата на личните данни. Срокът за съхраняване на данните от обработващия по ал. 1 е 1 (една) година.

Чл. 10. (1) Администраторът възлага обработването на личните данни по чл. 6, ал. 1,                  т. 1, 2, т. 4 и т. 5 от настоящата Политика  на Zendesk, Inc. 1019 Market St San Francisco, CA 94103 по силата на договорно правоотношение между последното и Дружеството с предмет: внедряване на тикетинг система, свързана със служебните мейли на лицата, назначени на длъжност Специалист Клиентски център и Мениджър Клиентски център с цел обслужване на потребители на Дружеството и запис на всички получени от потребители имейли.

(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”. Срокът за съхраняване на данните от обработващия по ал. 1 е 2 (две) години.

Чл. 11. (1) При предоставено съгласие от потребител по чл. 6, ал. 4 от настоящата Политика администраторът възлага обработването на личните данни по чл. 6, ал. 1,                  т. 1, 2, т. 4 и т. 5  на Emarsys eMarketing Systems AG, Märzstrasse 1, 1150 Vienna, Austria по силата на договорно правоотношение между последното и Дружеството с предмет: предоставяне на маркетингови услуги, свързани с директен маркетинг (изпращане на съобщения за промоции, кампании или продажби на определени стоки чрез бюлетин, получен по имейл или получават такава информация по телефон), извършването на бизнес анализи и изследване на поведението на потребителите в сайта на Дружеството.

(2) Данните по ал. 1 се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”. Срокът за съхраняване на данните за потребителите (имейл, пол, телефон) от обработващия по ал. 1  съвпада със срока за съхранение по чл. 7, ал. 2 от Политиката, а именно: 10 години, считано от 1 януари на годината, следваща годината на възникване на съответното правоотношение между Дружеството и потребител, и доколкото е налице действащ договор между Дружеството и обработващия. Срокът за съхранение на данните за поведението на потребител е 13 (тринадесет месеца).

Чл. 12. (1) При предоставено съгласие от потребител по чл. 6, ал. 4 от настоящата Политика администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1, 2, т. 4 и т. 5 на Segment.io,Inc., 100 California Street, Suite 700, San Francisco, CA 94111 USA, по силата на договорно правоотношение между последното и Дружеството с предмет: предоставяне на маркетингови услуги, свързани с извършването на бизнес анализи и изследване на поведението на потребителите в сайта на Дружеството. Данните се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”. Срокът за съхранение на данните за поведението на потребител е 13 (тринадесет месеца). Посочените данни се псевдонимизират и техни получатели са Google LLC, Facebook и Instargram с цел предоставяне на услугите по реклама, бизенс анализи и ремаркетинг. 

(2) При предоставено съгласие от потребител по чл. 6, ал. 4 от настоящата Политика администраторът възлага обработването на личните данни по чл. 6, ал. 1, т. 1, 2, т. 4 и т. 5 на Mixpanel Inc., 405 Howard St., floor 2, San Francisco, CA 94105, USA, по силата на договорно правоотношение между последното и Дружеството с предмет: предоставяне на маркетингови услуги, свързани с извършването на бизнес анализи и изследване на поведението на потребителите в сайта на Дружеството. Данните се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”. Срокът за съхраняване на данните за потребителите (имейл, пол, телефон) от обработващия по ал. 1  съвпада със срока за съхранение по чл. 7, ал. 2 от Политиката, а именно: 10 години, считано от 1 януари на годината, следваща годината на възникване на съответното правоотношение между Дружеството и потребител, и доколкото е налице действащ договор между Дружеството и обработващия.

Чл. 13. (1)  При предоставено съгласие от потребител по чл. 6, ал. 4 от настоящата Политика потребителите получават съобщения за промоции, кампании или продажби на определени стоки чрез бюлетин, получен по имейл или получават такава информация по телефон, изследва се поведението им на сайта и техните предпочитания.

(2) Лицата, обработващи данните с цел извършване на действията по ал. 1, освен посочените в чл. 9, 10, 11 и 12 са и лица, назначени по трудово правоотношение с Дружеството. Правата и задълженията по обработка на данните по предходното изречение се уреждат в длъжностните характеристики на лицата.

Чл. 14. (1) Маркетинговите дейности, свързани с анализ на поведението на потребителите и реклама при предоставено съгласие по чл. 6, ал. 6 от настоящата Политика се извършват и чрез обработка на данни, които не позволяват идентификацията на физическо лице (напр. име, фамилия, телефонен номер, адрес и т.н.), а чрез активността на потребителя през съответния браузър чрез т.нар. бисквитки (cookies) или рекламни банери, която съдържа следните данни:

1. събития, свързани с активността на сайта на Дружеството (брой видяни страници на сайта, прегледани продукти на сайта, търсенията на сайта на Дружеството);
2. информация, свързана с устройството на потребителя (тип на устройството, операционна система и версия);
3. приблизително местоположение, извлечено от IP адреса.

(2) Дейностите по ал. 1 се осъществяват чрез т. нар. „бисквитки“, които се използват от Дружеството или от трети страни-партньори на Дружеството. Бисквитките са малки пакети информация, изпращани от страниците на уеб сайта към браузера на потребител и се съхраняват на неговото устройство.

(3) Дружеството използва два вида бисквитки: необходими и функционални.

(4) За обработката на данните по ал. 1 чрез бисквитки и рекламни банери потребителят трябва да предостави изричното си съгласие за използването на бисквитки по реда на чл. 6, ал. 6 от настоящата Политика. Предоставянето, респективно оттеглянето на съгласието не важи за използването на необходимите бисквитки, тъй като без тях сайтът на Дружеството не може да оперира.

Чл. 15. Необходимите бисквитки осигуряват фукционирането на сайта, като осигуряват възможността за достъп до профила на съответен потребител в сайта и за обработка на направени поръчки, както следва:

№ по ред Наименование на бисквитката Доставчик Тип Срок за съхранение Място на съхранение
1 debug remixshop.com HTML Непрекъснат България
2 io remixshop.com HTTP До изтичане на сесията България
3 History.store remixshop.com HTTP До изтичане на сесията България
4 RX_SESS remixshop.com HTTP До изтичане на сесията България
5 __tld__ remixshop.com HTTP До изтичане на сесията България
6 _hjIncludedInSample remixshop.com HTTP Непрекъснат България
7 em_cdn_uid remixshop.com HTTP 1 година България
8 em_p_uid remixshop.com HTTP 1 година България
9 rx_cpl remixshop.com HTTP 9 години България
10 rx_fp remixshop.com HTTP 9 години България
11 rx_sfp remixshop.com HTPP 9 години България

 

Чл. 16. (1) Фукционалните бисквитки позволяват да се запазят предпочитанията на потребителите и показват поведението на потребителите на сайта. Тези бисквитки спестяват време и усилия при пазаруването на сайта на Дружеството и се съхраняват временно на устройството на потребителя. Фунционалните бисквитките се използват от Дружеството и за да се анализира поведението на потребителите на сайта и как потребителите го използват. Това позволява на Дружеството да персонализира предлаганото съдържание и бързо да идентифицира и отстранява различни проблеми.

(2) Функционалните бисквитки, които Дружеството използва – негови и на трети страни-партньори, са следните:

№ по ред Наименование на бисквитката Доставчик Тип Срок за съхранение Място на съхранение
1 _ga google-analytics.com HTTP 2 години България
2 _gat google-analytics.com HTTP До изтичане на сесията (1 минута) България
3 _gid google-analytics.com HTTP До изтичане на сесията (1 минута) България
4 ads/conversion/# google.com Pixel С изтичането на сесията САЩ
5 c rubiconproject.com HTTP С изтичането на сесията САЩ
6 collect google-analytics.com Pixel С изтичането на сесията САЩ
7 fr facebook.com HTTP 3 месеца Холандия
8 IDE doubleclick.net HTTP 18 месеца САЩ
9 Impression.php facebook.com Pixel С изтичането на сесията Холандия
10 khaos rubiconproject.com HTTP 1 година САЩ
11 mid instagram.com HTTP 20 години Холандия
12 mp_mixpanel remixshop.com HTTP 1 година България
13 put rubiconproject.com HTTP 29 дни САЩ
14 rpb rubiconproject.com HTTP 29 дни САЩ
15 rpx rubiconproject.com HTTP 29 дни САЩ
16 rur instagram.com HTTP С изтичане на сесията Холандия
17 test_cookie doubleclick.net HTTP С изтичането на сесията САЩ
18 tr facebook.com Pixel С изтичане на сесията Холандия
19 scarab.visitor emarsys.com HTTP 1 година България
20 cdv emarsys.com HTTP 1 година Германия
21 s emarsys HTTP С изтичане на сесията Германия
22 impression.php facebook.com Pixel С изтичане на сесията Холандия
23 wd facebook.com Pixel С изтичане на сесията Холандия
24 dpr facebook.com Pixel С изтичане на сесията Холандия
25 sb facebook.com Pixel 2 години Холандия
26 datr facebook.com Pixel 2 години Холандия
27 reg_fb_ref facebook.com Pixel Непрекъснат Холандия
28 ads/ga-audiences google.com Pixel С изтичане на сесията САЩ
29 ads/user-lists/# google.com Pixel С изтичане на сесията САЩ
30 csrftoken instragram.com HTTP 1 година Холандия

 

Чл. 17. Дружеството използва следните уебсайтове и техни бисквитки, като видът и наименованието на бисквитките и мястото и срокът за съхранение на долуизброените трети лица е посочен в горните таблици:

1. Google Analytics – услуга за уеб анализ, предлагана от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA, което като използва бисквитки, запаметени на компютъра на потребителя, за да направи възможен анализа на използването на сайта от потребителите. Информацията за използването на този сайт, придобита чрез бисквитки, се предава и съхранява от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA (обработващ данните) на сървъри, разположени в САЩ. Данните, които достигат до Google Analytics са псевдонимизирани на електронната платформа на дружеството по чл. 11, ал. 1 от настоящата Политика. По силата на договорното си правоотношение с Google LLC. Дружеството му възлага да използва тази информация, за да оцени използването на сайта, за съставяне на уеб-активности и предоставяне на оператора на сайта на други услуги, свързани с използването на сайта и използването на интернет към сайта на Дружеството. Google LLC. няма да свързва IP адреса, изпратен от браузъра на потребителя чрез Google Analytics с други данни, съхранявани от Google LLC. Google LLC обработва данните при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”.

2. Google AdWords – услуга за ремаркетинг и поведенческо насочване, преодставена от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA. С тази услуга рекламната дейност на  www.remixshop.com се свързва с рекламната мрежа AdWords посредством „бисквитки“. Информацията за използването на този сайт, придобита чрез бисквитки, се предава и съхранява от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA (обработващ данните) на сървъри, разположени в САЩ. Google LLC обработва данните при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”.

3. Facebook и Instagram - това приложение използва Social Plugins („Plugins“) на социалната мрежа facebook.com и instragam.com, която се поддържа от Facebook Inc., Menlo Park, California, USA. („Facebook“). Plugins се разпознават по логата на Facebook (бяло „f“ на син фон или „вдигнат нагоре палец“) или биват  отличени с „Facebook Social Plugin”.

При влизане на потребител в дадена уеб страница, неговият браузър веднага ще направи директна връзка със сървърите на Facebook. Съдържанието на този Plugin ще бъде предадено директно от Facebook към браузъра на потребителя, който ще го свърже с интернет страницата.

Чрез свързването с тези Plugins Facebook получава информация, че съответната страница на Дружеството или платформа е била посетена. Ако потребител е влязъл в профила си във Facebook, Facebook може да причисли това посещение към неговия профил. Ако потребител си взаимодейства с тези Plugins (напр. натиснете бутона „Харесвам“ или напишете коментар), съответната информация веднага ще бъде прехвърлена от неговия браузър към Facebook и ще бъде запаметена там. Ако потребителят не е регистриран във Facebook, пак има възможност Facebook да разбере неговия IP адрес и да го запамети.

Тези Plugins на Facebook могат да бъдат прикрепени от операторите на сайтове върху собствените интернет страници или платформи. С едно кликване върху тези Plugins регистрираните във Facebook потребители могат автоматично да оставят съобщение в техния Facebook профил, че харесват информацията от линковете на оператора на сайта. Свързаният с Facebook Plugin „си комуникира“ текущо с Facebook и при посещение на интернет страницата изпраща данните на Facebook – дори и ако потребителят не е кликнал на Plugins.

Чрез така наречената iFrame-връзка браузърът зарежда освен стартираната страница и една допълнителна по-малка „страница в страницата“, която съдържа съответния Plugin. В случай на Plugin принадлежащ на Facebook тази iFrame-връзка или изходният текст изхожда напълно от Facebook и не може да бъде контролиран или обработван от Дружеството.

Ако потребителят не е логнат във Facebook или изобщо не е регистриран там, пак му се поставя „бисквитка“, която не може да бъде разпозната, и е валидна две години.

Ако браузърът по-късно отново се свърже със сървъра на социалната мрежа, „бисквитката“ се прехвърля и може да спомогне за създаването на профил. При потребители, които се регистрират в последствие, също е възможна връзка с информацията, съдържаща се в „бисквитката“.

Ако потребителят е логнат в текущата сесия във Facebook, се предава информация както за страницата, така и за „бисквитката“ – при това е възможно тази информация за идентификация на сесията да бъде причислена към съответния акаунт.

Относно информация за правата и възможностите за настройка за защита на личните данни, потребителят следва да се обърне към Facebook Inc. или да следва инструкциите за защита на личните данни на Facebook на следния адрес: https://www.facebook.com/policy.php.

С Add-ons потребителят може да блокира Facebook-Social-Plugins за вашия браузър, като използвате например „Facebook Blocker”. Facebook Inc. обработва данните при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”

4. Criteo –  услуга за ретаргетиране, за анализ на посещаемостта на сайта на Дружеството и така нар. технологии за повторно насочване, предлагана за пазарите на Дружеството в Германия, Австрия, Полша, Унгария, Чехия и Словакия от Criteo CIL, 32 Rue Blanche, 75009 Paris, France (обработващ данни). Тази техника позволява на потребителите на интернет, които вече са проявили интерес към магазина на Дружеството и неговите продукти, да получат подходяща реклама и на уебсайтовете на партньорите на Дружеството. Използването на този рекламен подход се извършва въз основа на технология за "бисквитки" и анализ на предишното поведение на използване. Тази форма на рекламиране е напълно псевдонимизирана и не обработва данни, позовляващи идентификация на физическо лице. При използването на сайта на Дружеството са разположени анонимни "бисквитки" в браузърите на потребителите или Criteo може да изпраща свои собствени бисквитки във файла с бисквитките на потребителите. Данните на потребителите освен това се съхраняват в "бисквитки" след края на сесията на браузъра, така че да могат да бъдат извикани отново при следващите им посещения на уебсайтове.

5. RTB House – услуга за ретаргетиране, за анализ на посещаемостта на сайта на Дружеството и така нар. технологии за повторно насочване, предлагана за пазарите на Дружеството в България, Румъния и Гърция от RTB House SA with business seat in Warsaw, Poland (postcode: 00-819) at Złota 61/101 (обработващ данни). Тази техника позволява на потребителите на интернет, които вече са проявили интерес към магазина на Дружеството и неговите продукти, да получат подходяща реклама и на уебсайтовете на партньорите на Дружеството. Използването на този рекламен подход се извършва въз основа на технология за "бисквитки" и анализ на предишното поведение на използване. Тази форма на рекламиране е напълно псевдонимизирана и не обработва данни, позовляващи идентификация на физическо лице. При използването на сайта на Дружеството са разположени анонимни "бисквитки" в браузърите на потребителите или Criteo може да изпраща свои собствени бисквитки във файла с бисквитките на потребителите. Данните на потребителите освен това се съхраняват в "бисквитки" след края на сесията на браузъра, така че да могат да бъдат извикани отново при следващите им посещения на уебсайтове.

6. Doubleclick by Google - услуга за ремаркетинг и поведенческо насочване, преодставена от Google LLC., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA. https://www.google.de/intl/en/policies С тази услуга рекламната дейност на  www.remixshop.com се свързва с рекламната мрежа Doubleclick by Google посредством „бисквитки“.

Google LLC обработва данните при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”.

7. Rubiconproject – услуга за ремаркетинг и поведенческо насочване, преодставена от Rubicon Project Ltd., Walmar House, 5th Floor, 296 Regent St., London, W1B 3HR, United Kingdom. С тази услуга рекламната дейност на  www.remixshop.com се свързва с рекламната мрежа Rubiconproject посредством „бисквитки“. При използването на сайта на Дружеството са разположени анонимни "бисквитки" в браузърите на потребителите или Rubiconproject може да изпраща свои собствени бисквитки във файла с бисквитките на потребителите. Данните на потребителите освен това се съхраняват в "бисквитки" след края на сесията на браузъра, така че да могат да бъдат извикани отново при следващите им посещения на уебсайтове.

8. Emarsys - услуга за ремаркетинг и поведенческо насочване, преодставена от Emarsys eMarketing Systems AG, Märzstrasse 1, 1150 Vienna, Austria. Тази техника позволява на потребителите на интернет, които вече са проявили интерес към магазина на Дружеството и неговите продукти, да получат подходяща реклама и на уебсайтовете на партньорите на Дружеството. Използването на този рекламен подход се извършва въз основа на технология за "бисквитки" и анализ на предишното поведение на използване. Тази форма на рекламиране е напълно псевдонимизирана и не обработва данни, позовляващи идентификация на физическо лице. Данните се съхраняват в електронен формат на сървъри, находящи се в Германия и България.

9. Segment – услуга за ремаркетинг и поведенческо насочване, предоставена от Segment.io,Inc., 100 California Street, Suite 700, San Francisco, CA 94111 USA. Тази техника позволява на потребителите на интернет, които вече са проявили интерес към магазина на Дружеството и неговите продукти, да получат подходяща реклама и на уебсайтовете на партньорите на Дружеството. Segment io Inc обработва следните данни; имейл, пол, телефон и име. Данните се съхраняват в електронен формат на сървъри, находящи се в САЩ и при спазване на изискванията на приложимото в ЕС законодателство по отношение на защитата на личните данни и на споразумението „Щит за личните данни в отношенията между ЕС и САЩ”. Срокът за съхранение на данните за поведението на потребител е 13 (тринадесет месеца). Посочените данни се псевдонимизират и техни получатели са Google LLC, Facebook и Instargram с цел предоставяне на услугите, посочени по-горе в т. 1, 2 и 3 от настоящата разпоредба.

III. ПОДРЕГИСТЪР „ПОТРЕБИТЕЛИ ПО ЗЗП“

Чл. 18. В подрегистър „Продавачи SFP“ се обработват лични данни на физически лица, които предлагат за продажба на Дружеството свои собствени артикули, като данните се обработват на правно основание, в изпълнение на задължения на Дружеството, произтичащи от нормативен акт, а именно: Закон за счетоводството, Закон за данъка върху доходите на  физическите лица, Закон за корпоративното подоходно облагане.

Чл. 19. (1) В подрегистър „Продавачи SFP“ се обработват следните категории лични данни:

1. име и фамилия;
2. ЕГН за лицата на територията на Република България и дата, месец и година на раждане за лицата на територията на Германия, Австрия, Полша и Румъния;
3. имейл;
4.адрес;
5. пол;
6. телефон.

(2) Данните по ал. 1 се обработват за постигане на следните цели и на основание на изпълнение на договора за покупко-продажба, сключен между Дружеството и продавача,  на задължения за Дружеството, предвидени в Закона за счетоводството, Закона за данъка върху доходите на физическите лица, Закона за задълженията и договорите.

Чл. 20. (1) Личните данни в подрегистър „Продавачи SFP“ се обработват на електронен носител.

(2) Личните данни по чл. 19 от Политиката се набират от самите продавачи в специално разработен софтуер на сайта на Дружеството и се съхраняват в електронен вариант в сървър, нает от  Дружеството, находящ се в Република България, за срок от 10 години, считано от 1 януари на годината, следваща годината на възникване на съответното правоотношение, на основание чл. 12, ал. 1, т. 2 от Закона за счетоводството. След изтичане на срока за съхранение и при положение, че няма документи, подлежащи на предаване в Държавния архив, всички носители на данни от регистъра се унищожават чрез подходщя метод, вкл. и изтриване на резервните електронни копия.

Чл. 21. (1) Администраторът възлага обработването на личните данни по чл. 19, ал. 1 от настоящата Политика в подрегистър „Продавачи SFP“ на лица, назначени по трудово правоотношение. Правата и задълженията на лицата, обработващи данните, се посочват в съответната длъжностна характеристика.

(2) Администраторът възлага обработването на личните данни по чл. 19, ал. 1, т. 1, 4 и 6 на основание договор, на следните дружества, предоставящи куриерски услгуги  за доставка на изпратени от продавачи стоки, по силата на Договори, сключени между тях и Дружеството:

- За пратки на територията на Република България – „Спиди“ АД с ЕИК 131371780
- За пратки на територията на Полша – DHL Express Sp. Z.o.o., рег. Под № 527-00-22-391 с адрес: Варшава, ул. Osmanska № 2
- За пратки на територията на Румъния – S. C. Fan Courier Express SRL, рег. Под № J40/4014/2001 с адрес: гр. Букурещ, ул. Fabrica de Glucosa 11C
- За пратки на територията на Австрия и Германия – DHL Paket GmbH, Brunner Strasse 65, 1230 Vienna, Austria.

(3) Администраторът възлага обработването на лични данни по чл. 19, ал. 1, т. 1, 4 и 6 за субекти на данни, находящи се в Германия и Австрия, на основание сключен договор, на следната компания, която предоставя услуги по складиране на стоки, изпратени от продавачите от посочените държави, съгласно договор между последната и Дружеството:

Logwin Solutions GmbH, Siezenheimerstrasse 39a, 5020 Salzburg, Austria.

(4) При поискване на информация, свързана с изпълнението на конкретен договор за покупко-продажба, достъп до подрегистър „Продавачи SFP“ се предоставя на изпълнителен директор и/или член на СД на Дружеството.

(5) Получател на данни от подрегистър „Продавачи SFP“ е Национална агенция по приходите.

(6) Достъп до лични данни на лице от подрегистър „Продавачи SFP“ се дава на юрисконсулт или адвокат, във връзка със защитата на правата на Дружеството при спор между страните и/или необходимост от консултация.

(7) Достъп до лични данни на лице от подрегистър „Продавачи SFP“ се дава на трети лица по разпореждане на съд и/или на основание конкретен нормативен акт.

IV. ПРАВА НА СУБЕКТИТЕ НА ДАННИ И РЕД ЗА УПРАЖНЯВАНЕТО ИМ

Чл. 22. Субектите на лични данни имат следните права относно техните лични данни:

1. право на достъп;
2. право на коригиране;
3. право на преносимост на данните;
4. право на изтриване (право „да бъдеш забравен“);
5. право да се иска ограничаване на обработването;
6. право на възражение срещу обрабтоването на лични данни;
7. право на субекта да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

Чл. 23. (1) Всяко едно физическо лице, субект на лични данни, има право да получи информация за администратора на лични данни, както и за обработването на личните му данни. Тази информация включва:

1. данни, идентифициращи администратора, както и негови координати за връзка, включително координатите за връзка с длъжностното лице по защита на данните;
2. целите и правното основаниее за обработването;
3. получателите или категориите получатели на личните данни, ако има такива;
4. намерението на администратора да предаде личните данни на трета страна (когато е приложимо);
5. срока на съхранение на личните данни;
6. съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова);
7. информация за всички права, които субектът има;
8. правото на жалба до надзорния орган.

(2) Информацията по ал. 1 не се предоставя, ако субектът на данни вече разполага с нея.

(3) При отправяне  на искане за информация от субект на данни по реда на ал. 1, Дружеството заедно с длъжностното лице по защита на данните по чл. 23 от Политиката извършва необходимата проверка и предоставя отговор с изискуемата информация в срок до 14 (четиринадесет) дни, но не по-късно от 30 (тридесет) дни от датата на получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Искането съдържа идентификация на лицето (три имена и ЕГН за български граждани, а за всички останали лица- граждани на други държави-членки на ЕС – имена и дата на раждане),  описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата, имейл, адрес за кореспонденцията и пълномощно, когато заявлението се подава от упълномощено лице. Дружеството  не е задължено да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните. Искането се завежда в отделен входящ регистър на Дружеството и може да бъде подадено по един от следните начини: а) по електронен път на следния имейл: privacy@remixshop.com, б) на място в офис на Дружеството, находящ се в гр. София, район Лозенец, кв. Хладилника, бул. „Никола Вапцаров“ № 53Б, Сграда Мандарин, ет. 3, офис 10 или в) по пощата на адреса на управление на Дружеството: 1407 гр. София, район Лозенец, кв. Хладилника, ул. „Ст. Л. Костов“ № 3.

(4) Информацията по ал. 1 се предоставя в едно копие на субекта на данни безплатно. За допълнителни копия, поискани от субекта на данни или при прекомерни искания на събекта, особено поради своята повторяемост, Дружеството може да наложи разумна такса в размер на направените административни разходи.

(5) При предоставяне на копие от лични данни Дружеството не може да разкрива следните категории данни:

1. лични данни на трети лица, освен ако същите не са изразичли изричното си съгласие за това;
2. данни, които представляват търговска тайна, интелектулана собственост или конфиденциана информация;
3. друга информация, която е защитена, съгласно приложимото законодателство.

(6) Основателността и прекомерността на дадено искане се преценява отделно за всеки случай от Дружеството.

(7) При отказ за предоставяне на достъп до лични данни Дружеството аргументира отказа си и ифнормира субекта на данни за правото му да подаде жалба до надзорния орган.

Чл. 24. (1) Субектите на данни могат да поискат личните им данни, обработвани от Дружеството, да бъдат коригирани в случай, че последните са неточни или непълни.

(2) При удовлетворено искане за коригиране на лични данни Дружеството уведомява получателите на данни, на които са били разкрити такива.

(3) Правото по ал. 1 се упражнява чрез отправяне на искане по реда на чл. 23, ал. 3 от Политиката.

Чл. 25. (1) Всяко едно физическо лице, субект на лични данни, има право да поиска изтриване на данните си, т.нар. „право да бъдеш забравен“, ако е налице едно от следните условия:

1. личните данни на лицето повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
2. субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няам друго правно основание за обработването;
3. субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
4. личните данни са били обработвани незаконосъобразно;
5. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава-членка, което се прилага спрямо администратора;
6. личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за дететето.

(2) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 23, ал. 3.

Чл. 26. (1) Всяко едно физическо лице, субект на лични данни, има право да ограничи обработването на личните си данни от администратора, но за целта са необходими конкретни условия, сред които:

1. точността на личните данни се оспорва от субекта на данни;
2. обработването е неправомерно, но субекттът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
3. администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
4. субектът на данните е възразил срещу обрабoтването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

(2) В случаите по ал. 1, т. 1 ограничаването на обработването е за срок, който позволява на администратора да провери точността на личните данни.

(3) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 23, ал. 3.

Чл. 27. (1)  Всяко физическо лице, субект на лични данни, има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.

(2) Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

(3) Правото по ал.1 се упражнява чрез отправяне на искане по реда на чл. 23, ал. 3.

Чл. 28. (1) Субектът на данните има право да възрази срещу обработване на негови лични данни от Дружеството ако данните се обработват на едно от следните основания:

1. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
2. обработването е необходимо за цели, свързани с легитимните интереси на Дружеството или на трета страна;
3. обработването на данни включва профилиране.

(2) Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Чл. 29. (1) Всяко физическо лице, субект на лични данни, има право да бъде уведомено, а Дружеството е задължено да уведоми субекта  в случай на нарушение на сигурността на личните му данни и когато има вероятност това нарушение да породи висок риск за правата и свободите на субекта на данни.

(2) Уведомяването по ал. 1 следва да бъде извършено без ненужно забавяне след откриването му и да съдържа описание на естеството на нарушението на сигурността на личните данни, като се посочват естеството на нарушението, име и координати за връзка с длъжностното лице по защита на данните, последиците от нарушението и предприетите мерки от Дружеството за справяне с нарушението и за намаляване на евентуалните неблагоприятните последици.

Чл. 30. В случай на нарушаване на правата Ви или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, адрес: 1592 гр. София, бул. „Проф. Цветан Лазаров“ № 2, тел. : тел. 02/91-53-518, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg