ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

на „ЧИТАЛНИК“ (chitalnik.com)

 

 

Администратор на лични данни на  chitalnik.com е:

„ЧИТАЛНИК“ ЕООД, ЕИК 208716128

Седалище и адрес на управление: гр. Пловдив, р-н Тракия.

Контакт за защита на личните данни: support@chitalnik.com

 

I. Дефиниции

Чл. 1.
(1) По смисъла на настоящата Политика за поверителност следните понятия имат следното значение:

„Платформа“ – интернет сайтът и свързаната с него електронна система

„Читалник / Chitalnik“, представляваща затворена онлайн среда с ограничен достъп, предназначена за създаване и поддържане на потребителски профили и достъп до съдържание между регистрирани потребители.

„Оператор“ – лицето, което определя целите и средствата за обработване на лични данни чрез Платформата и действа като администратор на лични данни по смисъла на Регламент (ЕС) 2016/679.

„Потребител“ – всяко физическо лице, което се е регистрирало в Платформата и използва нейните функционалности чрез създаден профил.

„Профил“ – индивидуализирано електронно пространство в Платформата, създадено след регистрация, съдържащо данни, предоставени от потребителя и позволяващо достъп до функционалностите на Платформата.

„Лични данни“ – всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице, включително, но не само: име, възраст, електронен адрес, снимка, IP адрес, както и всякакви други данни, които могат да доведат до идентификация.

„Обработване“ – всяка операция или съвкупност от операции, извършвани с лични данни, като събиране, записване, организиране, съхранение, използване, разкриване, ограничаване, изтриване или унищожаване.

„Субект на данни“ – физическото лице, чиито лични данни се обработват в рамките на Платформата.

„Обработващ лични данни“ – трето лице, което обработва лични данни от името на Оператора въз основа на договор или друго правно основание.

„Регистрация“ – процесът по създаване на потребителски профил чрез въвеждане на лични данни и приемане на Общите условия и настоящата Политика.

„Автентикация“ – процесът по удостоверяване на достъпа до потребителски профил чрез въведени идентификационни данни.

„Електронно изявление“ – изявление в електронна форма, извършено чрез Платформата, включително чрез действия в потребителския профил.

„Логове“ – автоматично генерирани записи в системата, съдържащи информация за достъп, действия, IP адреси, времеви маркери и технически събития.

„IP адрес“ – уникален идентификатор на устройство в интернет, който може да се използва за установяване на произхода на достъпа до Платформата.

„Сигнал“ – уведомление, подадено от потребител или трето лице относно нарушение, злоупотреба или неправомерно съдържание в Платформата.

„Съгласие“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание на волята на субекта на данните, с което той приема обработването на личните му данни.

„Легитимен интерес“ – интерес на Оператора, свързан със защита на сигурността, предотвратяване на злоупотреби, доказване на действия и защита при правни претенции, при условие че не надделява над правата на субекта на данни.

„Нарушение на сигурността“ – всяко нарушение, водещо до случайно или неправомерно унищожаване, загуба, изменение, неразрешено разкриване или достъп до лични данни.

„Трето лице“ – всяко лице, различно от субекта на данни, Оператора или обработващия лични данни.

 

 

2. Обхват

Чл. 2.  
(1) Настоящата Политика за поверителност урежда обработването на лични данни във връзка с достъпа до, регистрацията в, използването на, поддържането на профил в, взаимодействието с функционалностите на и прекратяването на ползването на платформата „Читалник / Chitalnik“, наричана по-долу за краткост „Платформата“.

(2) Платформата представлява затворена онлайн среда с ограничен достъп, предназначена за създаване, поддържане и преглед на потребителски профили, като достъп до съдържанието и функционалностите ѝ имат единствено регистрирани и автентикирани потребители, освен за онези части от сайта, които Операторът изрично е определил като публично достъпни и с информативен характер.

(3) Настоящата Политика се прилага за всички случаи, в които Операторът обработва лични данни в качеството си на администратор на лични данни, включително когато:

·         потребителят създава регистрация в Платформата;

·         поддържа, редактира, актуализира или изтрива данни в своя профил;

·         качва снимка или друго съдържание, съдържащо лични данни;

·         използва функционалности на Платформата, свързани с достъп, преглед, сигурност, уведомления или комуникация;

·         подава сигнал, искане, уведомление или упражнява свои права по защита на личните данни;

·         осъществява достъп до Платформата, при който по технически ред се генерират и съхраняват логове, IP адреси, времеви маркери или други технически данни.

(4) Настоящата Политика урежда обработването на лични данни както на регистрирани потребители, така и на лица, чиито данни могат да бъдат предоставени от потребител чрез Платформата, доколкото такова предоставяне е допустимо съгласно приложимото право и функционалностите на Платформата.

(5) Политиката се отнася до всички лични данни, които се обработват във връзка с използването на Платформата, независимо дали са:

·         предоставени пряко от потребителя;

·         качени или въведени чрез неговия профил;

·         генерирани автоматично при използване на Платформата;

·         получени във връзка със сигнали за нарушения, искания, уведомления или комуникация с Оператора;

·         необходими за защита на Платформата, за предотвратяване на злоупотреби или за упражняване и защита на правата и законните интереси на Оператора.

(6) Настоящата Политика се прилага по отношение на обработване на данни, извършвано чрез:

·         интернет страницата и потребителския интерфейс на Платформата;

·         регистрационните форми и формите за вход;

·         потребителските профили;

·         вътрешните функционалности за качване, редакция, преглед и поддържане на съдържание;

·         системите за сигурност, логване, удостоверяване и контрол на достъпа;

·         електронната кореспонденция и другите електронни канали за комуникация между Оператора и потребителя.

(7) Политиката не урежда обработването на лични данни, извършвано от трети лица, които не действат от името и за сметка на Оператора, включително:

·         от други потребители извън рамките на разрешеното използване на Платформата;

·         от външни интернет страници, платформи или услуги, към които Платформата може да препраща;

·         от трети лица, които неправомерно са получили достъп до данни в нарушение на настоящите Общи условия или на приложимото законодателство.

(8) Настоящата Политика следва да се чете и прилага съвместно с:

·         Общите условия за ползване на Платформата;

·         Политиката за бисквитки;

·         всички други правила, уведомления и документи, публикувани от Оператора във връзка със защитата на личните данни, сигурността и използването на Платформата.

(9) В случай на противоречие между настоящата Политика и императивна норма на приложимото право, прилага се съответната императивна правна разпоредба. В случай на противоречие между настоящата Политика и Общите условия по въпрос, който се отнася конкретно до обработването на лични данни, приоритет има настоящата Политика, доколкото не следва друго от закона.

(10) С използването на Платформата, включително чрез регистрация, вход, поддържане на профил, качване на съдържание, предоставяне на данни или използване на която и да е функционалност, свързана с обработване на лични данни, потребителят потвърждава, че е запознат с настоящата Политика за поверителност и че разбира начина, по който Операторът обработва личните му данни съобразно приложимото право.

(11) Настоящата Политика обхваща единствено обработването на лични данни в рамките на функционалностите и целите, определени от Оператора за Платформата, и не следва да се тълкува като поемане от страна на Оператора на отговорност за всяко последващо поведение на потребители, които неправомерно използват данни извън рамките на Платформата, в отклонение от нейната цел, от Общите условия или от закона.

(12) С оглед характера на Платформата като затворена електронна среда, настоящата Политика има за цел да осигури прозрачност относно:

·         категориите обработвани лични данни;

·         целите и правните основания за обработване;

·         видимостта на определени данни за други регистрирани потребители;

·         сроковете за съхранение;

·         правата на субектите на данни;

·         мерките за сигурност и реда за упражняване на права във връзка със защитата на личните данни.

 

3. Категории лични данни

Чл. 3.
(1) Операторът обработва само онези лични данни, които са необходими за предоставянето, поддържането, сигурността и законосъобразното функциониране на Платформата, както и за изпълнение на приложимите законови задължения и за защита на правата и законните интереси на Оператора.

(2) В зависимост от начина на използване на Платформата, Операторът може да обработва различни категории лични данни, включително данни, предоставени пряко от потребителя при регистрация, данни, предоставени впоследствие при поддържане на профил, данни, въведени по избор, както и технически данни, генерирани автоматично при използване на Платформата.

(3) Категориите лични данни, които могат да бъдат обработвани, се определят съобразно конкретната функционалност на Платформата, вида на използваната услуга, начина на регистрация, поддържането на профила, осъществяваните действия в Платформата и приложимото правно основание за обработване.

(4) Данните, обработвани от Оператора, могат да включват следните основни категории:

·         данни, предоставяни при регистрация;

·         данни, предоставяни впоследствие при поддържане и актуализиране на профила;

·         данни, предоставяни по избор от потребителя;

·         данни, генерирани автоматично при използване на Платформата;

·         данни, свързани със сигурността, логването, уведомяването и защитата на Платформата;

·         данни, съдържащи се в сигнали, искания, уведомления, кореспонденция или други изявления на потребителя.

 

3.1. Данни, предоставяни при регистрация

Чл. 3а.
(1) При регистрация в Платформата потребителят предоставя лични данни, необходими за създаване на потребителски профил, индивидуализиране на потребителя и осигуряване на достъп до Платформата.

(2) Данните, предоставяни при регистрация, включват:

·         име;

·         възраст;

·         електронен адрес.

(3) Посочените в предходната алинея данни се обработват с цел:

·         създаване и поддържане на потребителски профил;

·         индивидуализиране на потребителя в рамките на Платформата;

·         осигуряване на достъп до функционалностите на Платформата;

·         комуникация с потребителя във връзка с регистрацията, използването, сигурността, промените в услугата и упражняването на права и задължения по Общите условия;

·         предотвратяване на злоупотреби и поддържане на сигурността на системата.

(4) Името се обработва с цел идентифициране и индивидуализиране на потребителя в рамките на Платформата, както и с цел визуализиране в профила му и, когато това е присъщо на функционалността на Платформата, за осигуряване на възможност други регистрирани потребители да възприемат профила като принадлежащ на конкретно лице според въведените от самия потребител данни.

(5) Възрастта се обработва с цел:

·         удостоверяване, че потребителят отговаря на изискването за минимална допустима възраст за използване на Платформата;

·         правилно функциониране на услугата в рамките на избраната от Оператора структура на профилните данни;

·         ограничаване на регистрацията на лица, които не отговарят на условията за достъп;

·         предотвратяване на неправомерно използване на Платформата в нарушение на Общите условия.

(6) Електронният адрес се обработва с цел:

·         създаване и управление на регистрацията;

·         идентификация и автентикация на потребителя;

·         възстановяване, потвърждаване или защита на достъпа до профила;

·         изпращане на уведомления, свързани с използването на Платформата;

·         комуникация при сигурност, съмнение за злоупотреба, ограничаване или прекратяване на достъп;

·         доказване на извършени електронни действия и кореспонденция, когато това е необходимо за защита на правата и законните интереси на Оператора.

(7) Данните, предоставяни при регистрация, се въвеждат лично от потребителя чрез електронната форма за регистрация, като потребителят носи отговорност за това същите да бъдат верни, точни, пълни и актуални към момента на регистрацията.

(8) Потребителят е длъжен при промяна на предоставените при регистрация данни да ги актуализира своевременно чрез функционалностите на Платформата или по друг предвиден от Оператора ред, когато конкретната промяна не може да бъде извършена самостоятелно чрез профила.

(9) Операторът не носи отговорност за неблагоприятни последици, произтичащи от предоставяне на неверни, непълни, неточни или неактуални данни при регистрацията, включително когато това води до:

·         невъзможност за комуникация с потребителя;

·         невъзможност за възстановяване на достъпа;

·         неправилно функциониране на профила;

·         ограничаване или прекратяване на достъп поради нарушение на Общите условия;

·         ангажиране на отговорност във връзка с използване на чужди или недостоверни данни.

(10) Данните, предоставяни при регистрация, могат да бъдат видими за други регистрирани и автентикирани потребители, доколкото това е присъщо на функционалността на Платформата, предвидено е в Общите условия и Политиката за поверителност и е в съответствие с модела на Платформата като затворена среда с ограничен достъп.

(11) Данните по този раздел не се считат за публично достъпни и не се предоставят на неограничен кръг лица, освен ако това не следва от законово задължение, изрична функционалност, за която потребителят е предварително информиран, или друго приложимо правно основание.

(12) Операторът обработва данните, предоставяни при регистрация, само в необходимия обем и при спазване на принципите за законосъобразност, добросъвестност, прозрачност, ограничение на целите, минимизиране на данните, точност, ограничение на съхранението и цялостност и поверителност, съобразно приложимото право.

(13) Когато регистрацията бъде прекратена или профилът бъде изтрит, данните, предоставени при регистрация, се заличават или анонимизират, освен доколкото е необходимо същите да бъдат съхранявани за:

·         изпълнение на законово задължение;

·         защита на права и законни интереси на Оператора;

·         установяване, упражняване или защита при правни претенции;

·         технически архивирания и резервни копия в рамките на обичайните срокове и политики за съхранение.

(14) В случай че потребителят предостави при регистрация данни, които се отнасят до друго лице, или използва чужд електронен адрес, чуждо име или друга чужда идентифицираща информация, цялата отговорност за законосъобразността на това действие се носи от съответния потребител, като Операторът има право да предприеме мерките, предвидени в Общите условия, включително ограничаване, блокиране или прекратяване на достъпа.

 

3.2. Данни предоставяни по избор – снимка

Чл. 3б.
(1) Платформата предоставя на потребителя възможност (по негов избор) да качи и поддържа снимка в своя потребителски профил. Предоставянето на снимка не е задължително условие за създаване на профил, освен ако за конкретна функционалност на Платформата изрично е предвидено друго и потребителят е предварително информиран за това.

(2) Снимката представлява лични данни, доколкото позволява пряко или непряко идентифициране на физическо лице, и се обработва от Оператора в съответствие с приложимото законодателство в областта на защитата на личните данни, при условията на настоящата Политика за поверителност и на Общите условия на Платформата.

(3) Качването на снимка се извършва доброволно и по инициатива на потребителя, който сам преценява дали да използва тази функционалност, какво изображение да предостави и дали да поддържа снимката в профила си за определен период от време.

(4) С предоставянето на снимка потребителят потвърждава, че:

·         снимката се предоставя доброволно;

·         снимката изобразява него или се използва от него при наличие на надлежно правно основание;

·         разполага с всички необходими права, съгласия и разрешения за качването и използването на снимката в рамките на Платформата;

·         снимката не нарушава авторски права, сродни права, право върху изображение, право на личен живот, защита на личните данни или други права и законни интереси на трети лица;

·         не предоставя снимка на трето лице без негово знание и без приложимо правно основание.

(5) Снимката се обработва за следните цели:

·         визуализиране на профила на потребителя в рамките на Платформата;

·         индивидуализиране на профила в рамките на затворената потребителска среда;

·         осигуряване на функционалност, избрана доброволно от потребителя;

·         улесняване на възприемането на профила от други регистрирани и автентикирани потребители, доколкото това е присъщо на модела на Платформата;

·         защита на Платформата, когато е необходимо за установяване на нарушения, злоупотреби или неправомерно използване на чужди изображения.

(6) Правното основание за обработване на снимката е изричното съгласие на потребителя по смисъла на чл. 6, §1, б. „а“ от Регламент (ЕС) 2016/679, когато снимката не е необходима за самата регистрация, а представлява допълнителна и незадължителна функционалност.

(7) Предоставянето на съгласие за качване и използване на снимка следва да бъде:

·         свободно изразено;

·         конкретно;

·         информирано;

·         недвусмислено.

(8) Липсата на предоставена снимка или отказът на потребителя да качи снимка не препятстват регистрацията и основното използване на Платформата, освен доколкото определена конкретна функционалност по естеството си изисква наличие на снимка и това е ясно посочено предварително.

(9) Снимката, качена от потребителя, може да бъде достъпна и визуализирана за други регистрирани и автентикирани потребители в рамките на Платформата, доколкото това е присъщо на нейната функционалност, описано е в Общите условия и в настоящата Политика и е в съответствие с модела на Платформата като затворена онлайн среда с ограничен достъп.

(10) Снимката не е публично достъпна за неограничен кръг лица, не се публикува извън вътрешната среда на Платформата и не се предоставя за свободно ползване, освен ако това не следва от законово задължение, техническа необходимост при предоставяне на услугата или друго приложимо правно основание.

(11) Операторът не използва снимката за автоматизирано разпознаване на лица, биометрична идентификация, профилиране или за други несъвместими цели, освен ако такава функционалност не бъде въведена впоследствие при наличие на надлежно правно основание, отделно уведомяване и спазване на приложимото законодателство.

(12) Операторът не носи отговорност, когато потребител предостави снимка, която:

·         не го изобразява;

·         е чужда;

·         е предоставена без необходимото съгласие или правно основание;

·         нарушава права на трети лица.

В тези случаи отговорността се носи изцяло от съответния потребител, предоставил изображението.

(13) Потребителят има право по всяко време да:

·         премахне снимката от профила си чрез наличните функционалности на Платформата;

·         оттегли съгласието си за обработване на снимката;

·         поиска изтриване на снимката от Оператора, когато това не може да бъде извършено самостоятелно чрез профила.

(14) Оттеглянето на съгласието за обработване на снимката не засяга законосъобразността на обработването, извършено до момента на оттеглянето.

(15) След премахване на снимката от профила или след оттегляне на съгласието Операторът преустановява обработването на снимката за бъдеще, освен доколкото е необходимо същата да бъде съхранявана за ограничен период от време за:

·         технически резервни копия и възстановяване на системата;

·         установяване, упражняване или защита при правни претенции;

·         проверка или защита при сигнал за нарушение, злоупотреба или неправомерно използване;

·         изпълнение на приложимо законово задължение.

(16) Снимките се съхраняват за срока на съществуване на съответния профил или до момента на тяхното премахване от потребителя, освен ако не е налице основание за по-дълго съхранение по предходната алинея.

(17) Операторът предприема разумни технически и организационни мерки за ограничаване на достъпа до снимките единствено до регистрирани и автентикирани потребители в рамките на Платформата, както и за защита от неоторизиран достъп, неправомерно копиране, разпространение или друго незаконосъобразно използване, доколкото това е възможно с оглед естеството на електронната среда и наличните технологични средства.

(18) Потребителят приема, че въпреки ограничения достъп и прилаганите защитни мерки, съществува обективна възможност други потребители да извършат неправомерни действия със снимката, включително копиране, заснемане на екрана, съхраняване или използване извън Платформата, в нарушение на Общите условия и на закона. Операторът не носи отговорност за подобни действия, когато те са извън неговия разумен контрол и представляват самостоятелно противоправно поведение на друг потребител или трето лице.

(19) Когато бъде подаден сигнал, жалба или бъде установено съмнение, че дадена снимка:

·         не принадлежи на съответния потребител;

·         е използвана без правно основание;

·         нарушава права на трети лица;

·         противоречи на Общите условия, закона или добрите нрави,

Операторът има право незабавно и без предварително уведомление да ограничи видимостта на снимката, да я премахне, да поиска допълнителна информация или доказателства, да блокира съответния профил и да предприеме всички други действия, предвидени в Общите условия и в приложимото право.

(20) Потребителят, който качва снимка, носи пълна отговорност за законосъобразността на това действие, за наличието на правно основание и за всички последици, произтичащи от нейното качване, поддържане и използване в Платформата.

(21) Настоящият раздел се тълкува в смисъл, че снимката е допълнителен, незадължителен и доброволно предоставян елемент от профила, чиято обработка се извършва в ограничен обем, в рамките на затворена среда и при изрично поето от потребителя съдействие и отговорност относно правното основание за използването ѝ.

 

3.3. Автоматично събирани данни

Чл. 3в.
(1) При достъп до Платформата, регистрация, вход в потребителски профил, използване на функционалностите, поддържане на съдържание, взаимодействие със системата и осъществяване на електронни действия в рамките на Платформата, Операторът може автоматично да събира, генерира, записва и съхранява определени технически и системни данни, необходими за функционирането, сигурността, проследимостта и защитата на Платформата.

(2) Автоматично събираните данни могат да включват, без изброяването да е изчерпателно и пълно:

·         IP адрес;

·         дата и час на достъп;

·         действия в Платформата;

·         технически данни за устройство и браузър;

·         данни за сесия, вход, изход, грешки и технически събития;

·         логове, системни журнали, времеви маркери и други технически записи, свързани с използването на Платформата.

(3) IP адресът се обработва с цел:

·         установяване на произхода на достъпа;

·         осигуряване на сигурност на Платформата;

v  предотвратяване, откриване и разследване на злоупотреби, неоторизиран достъп, scraping, автоматизирани заявки, атаки или друго неправомерно поведение;

·         защита на правата и законните интереси на Оператора;

·         доказване на извършени действия при спор, сигнал, проверка или производство пред компетентен орган.

(4) Датата и часът на достъп се обработват с цел:

·         отчитане на момента на регистрация, вход, изход и извършване на действия в Платформата;

·         проследимост на електронните изявления и техническите събития;

·         проверка на последователността на действията в системата;

·         установяване, доказване и защита при спорове, злоупотреби или нарушения на Общите условия.

(5) Данните за действия в Платформата могат да включват информация относно:

·         регистрация и създаване на профил;

·         вход и изход от профила;

·         редактиране, актуализиране, качване, изтриване или потвърждаване на данни и съдържание;

·         преглед на определени секции, функционалности или профили, когато това е необходимо за сигурността и проследимостта на системата;

·         подаване на сигнали, искания, уведомления или други електронни изявления;

·         предприети системни действия, свързани със защита, ограничаване на достъпа или реакция при инциденти.

(6) Данните за действия в Платформата се обработват с цел:

·         осигуряване на нормалното функциониране на Платформата;

·         доказване на извършени от потребителя електронни действия и изявления;

·         установяване на нарушения на Общите условия;

·         предотвратяване и ограничаване на злоупотреби;

·         защита на сигурността, целостта и устойчивостта на системата.

(7) Техническите данни за устройство и браузър могат да включват информация като:

·         вид устройство;

·         вид и версия на браузър;

·         операционна система;

·         езикови настройки;

·         технически параметри, необходими за правилното визуализиране и функциониране на Платформата;

·         идентификатори на сесия, когато такива са необходими за сигурността и работата на системата.

(8) Техническите данни за устройство и браузър се обработват с цел:

·         правилно техническо функциониране на Платформата;

·         адаптиране на визуализацията и съвместимостта с използваното устройство и браузър;

·         откриване на технически проблеми, грешки и несъвместимости;

·         повишаване на сигурността и ограничаване на злоупотреби;

·         анализ на инциденти и възстановяване на системата при проблеми.

(9) Автоматично събираните данни се обработват на основание:

·         изпълнение на договор – доколкото са необходими за предоставяне на Платформата и осигуряване на достъп до нея;

·         легитимен интерес на Оператора – за гарантиране на сигурността, защита от злоупотреби, поддържане на техническата изправност на Платформата, защита на права и законни интереси и доказване при спорове;

·         законово задължение – когато съхраняването или предоставянето на определени данни се изисква от приложимото право или от компетентен орган.

(10) Автоматично събираните данни не се обработват за цели, несъвместими с първоначалните цели на събирането им, и не се използват за вземане на решения, пораждащи правни последици за потребителя, освен ако подобно обработване не е допустимо от закона, необходимо за защита на Платформата и съответно надлежно уредено и оповестено.

(11) Операторът може да съхранява автоматично събираните данни за срок, необходим за:

·         гарантиране на сигурността на Платформата;

·         анализ, установяване и предотвратяване на злоупотреби;

·         установяване, упражняване или защита при правни претенции;

·         изпълнение на законови задължения;

·         техническа диагностика, поддръжка и възстановяване на системата.

(12) Доколкото в отделен раздел или в Политиката за поверителност не е предвиден друг специален срок, автоматично събираните технически данни и логове могат да бъдат съхранявани за срок до 5 години, а когато същите са необходими във връзка със спор, проверка, сигнал за нарушение, злоупотреба или производство пред компетентен орган – до окончателното приключване на съответното производство и изтичане на приложимите срокове за защита на правата на Оператора.

(13) Автоматично събираните данни могат да бъдат предоставяни на:

·         доставчици на хостинг, техническа поддръжка и инфраструктурни услуги, когато това е необходимо за функционирането и сигурността на Платформата;

·         компетентни държавни, административни, съдебни или разследващи органи, когато това се изисква от закона или е необходимо за защита на правата и законните интереси на Оператора;

·         други лица само когато това е допустимо по закон и е необходимо за защита на Платформата, на потребителите или на трети лица.

(14) Автоматично събираните данни могат да бъдат използвани като доказателства при спор относно:

·         факта на достъп до Платформата;

·         извършени електронни действия и изявления;

·         използване на конкретен профил;

·         нарушение на Общите условия;

·         неоторизиран достъп, злоупотреба или технически инцидент;

·         действия, предприети от Оператора за защита на Платформата.

(15) Потребителят приема, че автоматичното събиране на технически и системни данни е присъщо на електронната среда, необходимо е за сигурното и нормално функциониране на Платформата и не може да бъде напълно изключено, доколкото без него не би било възможно адекватното предоставяне, управление и защита на услугата.

(16) Операторът предприема разумни технически и организационни мерки за защита на автоматично събираните данни срещу неразрешен достъп, неправомерно разкриване, изменение, загуба или унищожаване, съобразно естеството на Платформата, рисковете на електронната среда и наличните технологични възможности.

(17) Настоящият раздел се тълкува в смисъл, че автоматично събираните данни имат предимно техническа, защитна, организационна и доказателствена функция, свързана с осигуряване на сигурността, устойчивостта, проследимостта и законосъобразното използване на Платформата.

 

4. Цели на обработването

Чл. 4.  
(1) Операторът обработва лични данни само за конкретни, изрично определени, легитимни и съвместими с характера и функционалността на Платформата цели, като не допуска обработване по начин, несъвместим с първоначалните цели, за които данните са били събрани, освен когато това е допустимо от приложимото право.

(2) Личните данни се обработват за следните основни цели:

·         създаване и поддържане на потребителски профил;

·         осигуряване на функционалностите на Платформата;

·         управление на достъпа и автентикация;

·         осигуряване на сигурност и защита от злоупотреби;

·         обработване на сигнали за нарушения;

·         защита на права и законни интереси на Оператора.

4.1. Създаване и поддържане на потребителски профил

(3) Операторът обработва лични данни за създаване, индивидуализиране, поддържане, актуализиране и управление на потребителски профил в рамките на Платформата.

(4) Тази цел включва обработване на данни, необходими за:

·         създаване на регистрация;

·         индивидуализиране на потребителя в рамките на затворената електронна среда;

·         поддържане на профилните данни в актуално състояние;

·         визуализиране на профила според избраните от потребителя настройки и наличните функционалности;

·         изпълнение на действия по редактиране, допълване, потвърждаване или изтриване на информация в профила.

(5) Обработването за тази цел е необходимо, за да може потребителят изобщо да съществува като регистриран субект в Платформата и да използва нейния основен модел на функциониране.

4.2. Осигуряване на функционалностите на Платформата

(6) Операторът обработва лични данни за предоставяне, управление и поддържане на всички основни и допълнителни функционалности на Платформата, доколкото същите са достъпни за съответния потребител.

(7) Тази цел включва обработване на данни, необходими за:

·         осъществяване на достъп до профили и съдържание в рамките на Платформата;

·         правилно техническо функциониране на интерфейса, секциите, модулите и формите;

·         предоставяне на възможност за качване, редактиране, съхраняване и визуализиране на данни и съдържание;

·         осигуряване на възможност за използване на допълнителни функции, ако такива са налични;

·         поддръжка, актуализация и оптимизация на техническата среда.

(8) Обработването за тази цел е необходимо, тъй като без него Платформата не би могла да предоставя услугата в нейния фактически и технически обем.

4.3. Управление на достъпа и автентикация

(9) Операторът обработва лични данни за идентификация, автентикация, контрол и управление на достъпа до Платформата и до съдържанието в нея.

(10) Тази цел включва обработване на данни, необходими за:

·         осигуряване на вход и изход от потребителски профил;

·         удостоверяване, че достъпът се осъществява от лице, използващо съответните средства за идентификация;

·         предотвратяване на неоторизиран достъп;

·         възстановяване или защита на достъпа при проблем, инцидент или съмнение за компрометиране на профила;

·         ограничаване, спиране или прекратяване на достъп в предвидените в Общите условия случаи.

(11) Обработването за тази цел е съществено за сигурното функциониране на Платформата и за разграничаване между лица с валиден и невалиден достъп.

4.4. Осигуряване на сигурност и защита от злоупотреби

(12) Операторът обработва лични данни за целите на сигурността на Платформата, предотвратяване, откриване, анализиране, ограничаване и доказване на злоупотреби, нарушения и други действия, които застрашават Платформата, Оператора, останалите потребители или трети лица.

(13) Тази цел включва обработване на данни, необходими за:

·         установяване на неправомерен достъп, опити за заобикаляне на ограниченията, scraping, автоматизирани заявки, атаки и други технически злоупотреби;

·         предотвратяване на използване на чужди данни, снимки или самоличност;

·         проверка на съмнителни действия или поведение в рамките на Платформата;

·         съхраняване на логове, IP адреси, времеви маркери и други технически данни;

·         прилагане на мерки по ограничаване, блокиране, прекратяване на достъп или премахване на съдържание;

·         защита на сигурността, целостта и устойчивостта на Платформата.

(14) Обработването за тази цел има защитен, превантивен и доказателствен характер и е необходимо, за да се гарантира, че Платформата може да функционира като ограничена и контролирана среда.

4.5. Обработване на сигнали за нарушения

(15) Операторът обработва лични данни за приемане, регистриране, анализиране, проверка и разглеждане на сигнали, жалби, оплаквания, уведомления и други искания, подадени във връзка с:

·         нарушение на Общите условия;

·         неправомерно използване на данни или съдържание;

·         злоупотреба със снимка, самоличност или профил;

·         нарушение на права на трети лица;

·         сигурността и законосъобразното използване на Платформата.

(16) За тази цел Операторът може да обработва данни на:

·         подателя на сигнала;

·         лицето, за което се отнася сигналът;

·         други лица, чиито данни са релевантни за проверката, доколкото това е допустимо от закона.

(17) Обработването по този раздел включва:

·         идентифициране на сигнала и на съответното нарушение;

·         вътрешна проверка и анализ на релевантните обстоятелства;

·         събиране и съхраняване на електронни записи и доказателства;

·         предприемане на мерки съгласно Общите условия и приложимото право;

·         комуникация с подателя на сигнала, със засегнатия потребител или с компетентни органи, когато това е необходимо.

(18) Обработването на лични данни за тази цел е необходимо, за да може Операторът да реагира на сигнали, да ограничава нарушения, да защитава Платформата и да изпълнява задълженията си по приложимото право.

 

4.6. Защита на права и законни интереси на Оператора

(19) Операторът обработва лични данни, когато това е необходимо за установяване, упражняване, защита или доказване на негови права и законни интереси във връзка с:

·         използването на Платформата;

·         нарушения на Общите условия;

·         злоупотреби с достъп, данни, съдържание или функционалности;

·         съдебни, административни, регулаторни или извънсъдебни производства;

·         претенции за вреди, обезщетения, неустойки, разноски или други правни последици.

(20) Тази цел включва обработване на данни, необходими за:

·         доказване на регистрация, достъп, извършени действия и електронни изявления;

·         доказване на изпратени уведомления, предупреждения, искания или ограничения;

·         защита срещу претенции на потребители или трети лица;

·         съдействие на компетентни органи, когато това се изисква от закона;

·         предприемане на правни действия и процесуална защита.

(21) Обработването за тази цел има защитен и доказателствен характер и се ограничава до необходимия обем данни, свързани с конкретното правоотношение, нарушение, спор, проверка или производство.

4.7. Съвместимост и ограничение на целите

(22) Операторът не обработва личните данни за цели, несъвместими с посочените в настоящия раздел, освен когато:

·         е налице отделно приложимо правно основание;

·         новата цел е съвместима с първоначалната цел на събирането;

·         това се изисква от приложимото право;

·         субектът на данните е надлежно уведомен, когато такова уведомяване се изисква.

(23) Когато обработването на данни е необходимо за повече от една от посочените цели, Операторът може да обработва съответните данни едновременно за всички приложими цели, доколкото това е допустимо от закона и е ограничено до необходимия за всяка конкретна цел обем.

(24) Настоящият раздел се тълкува в смисъл, че всяко обработване на лични данни в рамките на Платформата следва да бъде подчинено на принципите на законосъобразност, прозрачност, минимизиране, ограничение на целите, точност, ограничение на съхранението и сигурност, като Операторът не обработва лични данни извън обема и целите, необходими за функционирането, защитата и законосъобразното използване на Платформата.

 

5. Правни основания за обработване

Чл. 5.  
(1) Операторът обработва лични данни само когато е налице поне едно от правните основания, предвидени в чл. 6, §1 от Регламент (ЕС) 2016/679 (GDPR), като за всяка конкретна операция по обработване се прилага съответното основание съобразно естеството на услугата, функционалността на Платформата и целта на обработването.

(2) В зависимост от конкретния случай, обработването на лични данни в рамките на Платформата се извършва на едно или повече от следните правни основания:

5.1. Изпълнение на договор

(чл. 6, §1, б. „б“ GDPR)

(3) Лични данни се обработват, когато това е необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.

(4) За целите на настоящата Политика за поверителност за „договор“ се считат Общите условия за ползване на Платформата, които уреждат отношенията между Оператора и потребителя.

(5) Обработването на лични данни на това основание включва, но не се ограничава до:

·         регистрация и създаване на потребителски профил;

·         осигуряване на достъп до Платформата и до профилите на други потребители в рамките на ограничената среда;

·         поддържане, актуализиране и управление на профила;

·         изпълнение на действия, заявени от потребителя чрез функционалностите на Платформата;

·         осигуряване на възможност за използване на услугата съгласно нейната функционалност и предназначение.

(6) Без обработването на данни на това основание Операторът не би могъл да предостави Платформата и съответните услуги, поради което отказът за предоставяне на тези данни води до невъзможност за регистрация или използване на Платформата.

5.2. Законово задължение

(чл. 6, §1, б. „в“ GDPR)

(7) Лични данни се обработват, когато това е необходимо за изпълнение на законово задължение, което се прилага спрямо Оператора.

(8) Обработването на това основание включва, но не се ограничава до:

·         предоставяне на лични данни на компетентни държавни, административни, съдебни или разследващи органи, когато това се изисква от закон или акт на компетентен орган;

·         съхраняване на данни, когато това е необходимо за изпълнение на нормативни изисквания;

·         съдействие при проверки, производства или разследвания;

·         изпълнение на задължения, свързани със защита на личните данни, сигурността на информационните системи или други приложими регулаторни изисквания.

(9) В тези случаи Операторът обработва само онези данни, които са изискуеми по закон и в обем, необходим за изпълнение на съответното задължение.

5.3. Легитимен интерес

(чл. 6, §1, б. „е“ GDPR)

(10) Лични данни се обработват, когато това е необходимо за целите на легитимните интереси на Оператора, освен когато над тези интереси преимущество имат интересите или основните права и свободи на субекта на данните.

(11) Легитимните интереси на Оператора включват, но не се ограничават до:

·         защита срещу злоупотреби, включително използване на чужди данни, снимки или самоличност;

·         осигуряване на сигурността на Платформата, включително защита от неоторизиран достъп, технически атаки, автоматизирани заявки и други неправомерни действия;

·         доказване при спорове, включително съхраняване и използване на логове, IP адреси, времеви маркери и други технически записи;

·         установяване, упражняване или защита на правни претенции;

·         гарантиране на правилното функциониране, устойчивостта и целостта на Платформата;

·         предотвратяване, откриване и разследване на нарушения на Общите условия.

(12) При прилагане на това основание Операторът извършва преценка за баланс между:

·         своя легитимен интерес;

·         правата и свободите на субекта на данните;

·         естеството, обема и чувствителността на обработваните данни;

·         разумните очаквания на потребителя.

(13) Обработването на това основание се ограничава до данни и операции, които са необходими, пропорционални и съобразени с целите на защитата, сигурността и доказването, без да се засягат непропорционално правата на субектите на данни.

5.4. Съгласие

(чл. 6, §1, б. „а“ GDPR)

(14) Лични данни се обработват въз основа на съгласие на субекта на данните, когато обработването не е необходимо за изпълнение на договор или законово задължение и не може да бъде обосновано с легитимен интерес.

(15) В рамките на Платформата съгласие се изисква, по-специално, за:

- публикуване и използване на снимка в потребителски профил;

други допълнителни функционалности, които не са задължителни за основното използване на Платформата, когато такива бъдат въведени.

(16) Съгласието следва да бъде:

·         свободно изразено;

·         конкретно;

·         информирано;

·         недвусмислено.

(17) Субектът на данните има право по всяко време да оттегли даденото съгласие, като оттеглянето не засяга законосъобразността на обработването, извършено до момента на оттеглянето.

(18) Оттеглянето на съгласие може да доведе до ограничаване или невъзможност за използване на определени функционалности на Платформата, когато същите по своята същност изискват обработване на съответните данни.

 

5.5. Кумулативност на основанията

(19) В определени случаи едно и също обработване на лични данни може да се основава едновременно на повече от едно правно основание, когато това е допустимо от закона и съответства на целите на обработването.

(20) Операторът прилага съответното правно основание в зависимост от конкретния контекст, като се стреми да използва най-подходящото и пропорционално основание за всяка операция по обработване.

 

5.6. Ограничение на обработването

(21) Операторът не обработва лични данни без наличието на валидно правно основание и не извършва обработване за цели, които не са ясно определени, легитимни и съвместими с настоящата Политика.

(22) Всяко обработване на лични данни се извършва при спазване на принципите на законосъобразност, прозрачност, минимизиране, ограничение на целите, точност, ограничение на съхранението и сигурност.

 

6. Легитимен интерес

Чл. 6.  
(1) Операторът може да обработва лични данни на основание легитимен интерес по смисъла на чл. 6, §1, б. „е“ от Регламент (ЕС) 2016/679, когато обработването е необходимо за защита на негови права, за гарантиране на сигурността и нормалното функциониране на Платформата, за предотвратяване и ограничаване на злоупотреби, както и за установяване, упражняване или защита при правни претенции, при условие че над тези интереси не преимуществено правата и свободите на субекта на данните.

(2) Легитимният интерес на Оператора включва, без изброяването да е изчерпателно:

·         защита на Платформата срещу неправомерен достъп, злоупотреби, технически атаки, scraping, автоматизирани действия и други форми на неправомерно или отклоняващо се от предназначението използване;

·         защита на сигурността, целостта, устойчивостта и нормалното техническо функциониране на Платформата;

·         предотвратяване, установяване, анализиране и ограничаване на нарушения на Общите условия, включително използване на чужди данни, чужда снимка, чужда самоличност или друго недопустимо съдържание;

·         установяване и доказване на извършени електронни действия, изявления, достъпи и промени в Платформата;

·         защита срещу претенции, жалби, сигнали, искове, административни производства и други форми на правен риск;

·         упражняване и защита на правата и законните интереси на Оператора пред съдилища, административни органи, регулатори, разследващи органи и други компетентни институции;

·         защита на останалите потребители и на трети лица, когато поведението на определен потребител създава риск за техни права, сигурност или законни интереси;

·         поддържане на проследимост и доказуемост на действията в Платформата за целите на сигурността и процесуалната защита.

(3) На това основание Операторът може да обработва, доколкото е необходимо и пропорционално:

·         IP адреси;

·         логове и системни журнали;

·         дата и час на достъп;

·         данни за действия, извършени в Платформата;

·         технически данни за устройство, браузър и сесия;

·         данни, съдържащи се в сигнали, жалби, уведомления и кореспонденция;

·         други данни, необходими за установяване на нарушение, злоупотреба, спор или правна претенция.

(4) Операторът извършва обработване на основание легитимен интерес само когато:

·         целта е ясно определена и законосъобразна;

·         обработването е необходимо за постигане на тази цел;

·         не съществува по-малко интензивен способ за постигане на същата цел;

·         правата и свободите на субекта на данните не надделяват над интереса на Оператора.

(5) При преценката дали е налице легитимен интерес Операторът взема предвид:

·         естеството на Платформата като затворена среда с ограничен достъп;

·         категориите обработвани данни и тяхната чувствителност;

·         разумните очаквания на потребителите;

·         възможните последици за субектите на данни;

·         наличието на подходящи технически и организационни мерки за защита;

·         необходимостта от защита срещу злоупотреби, претенции и нарушения.

(6) Операторът приема, че обработването на основание легитимен интерес е оправдано по-специално когато:

·         се налага съхраняване на логове, IP адреси и технически следи за сигурност;

·         е необходимо разследване на сигнал за нарушение;

·         има съмнение за неправомерен достъп, копиране, извличане или разпространяване на данни;

·         е необходимо събиране и запазване на доказателства за бъдещ или висящ спор;

·         следва да се предотврати повторна регистрация след наложено ограничение;

·         е необходимо съдействие на компетентни органи или защита на правата на Оператора.

(7) Обработването на основание легитимен интерес не се използва за цели, несъвместими с естеството на Платформата, нито за неоправдано или непропорционално засягане на личната сфера на потребителите.

(8) Когато обработването се основава на легитимен интерес, субектът на данните има право да възрази срещу такова обработване при условията на приложимото право. В тези случаи Операторът преценява искането и преустановява обработването, освен ако докаже, че съществуват убедителни законни основания, които имат предимство пред интересите, правата и свободите на субекта на данните, или че обработването е необходимо за установяване, упражняване или защита при правни претенции.

(9) Настоящият раздел се тълкува в смисъл, че легитимният интерес на Оператора има предимно защитен, сигурностен, организационен и доказателствен характер, а не характер на свободно и неограничено основание за обработване.

 

7. Срокове за съхранение

Чл. 7.  
(1) Операторът съхранява личните данни за срок, не по-дълъг от необходимото за целите, за които същите се обработват, освен когато по-дълго съхранение е необходимо за изпълнение на законово задължение, за установяване, упражняване или защита при правни претенции, за гарантиране сигурността на Платформата или за други допустими от закона цели.

(2) Срокът за съхранение на личните данни се определя съобразно:

·         категорията и естеството на съответните данни;

·         целите, за които данните са събрани и обработвани;

·         приложимото правно основание за обработването;

·         необходимостта от защита на правата и законните интереси на Оператора;

·         приложимите законови, давностни и преклузивни срокове;

·         техническите особености на архивирането, резервните копия и възстановяването на системата.

(3) Личните данни, съдържащи се в потребителския профил, се съхраняват до изтриване на профила, освен ако е налице основание определени данни да бъдат съхранявани за по-дълъг срок по реда на следващите алинеи.

(4) Срокът „до изтриване на профила“ означава до:

·         изтриване на профила от самия потребител чрез наличната функционалност на Платформата;

·         обработване на искането за изтриване от Оператора, когато профилът не може да бъде изтрит самостоятелно от потребителя;

·         прекратяване и заличаване на профила от Оператора на основание Общите условия.

(5) След изтриване на профила данните в активната потребителска среда се премахват или анонимизират, освен доколкото съхранението на определени данни е необходимо за:

·         изпълнение на законово задължение;

·         установяване, упражняване или защита при правни претенции;

·         доказване на извършени действия, електронни изявления, нарушения или злоупотреби;

·         защита на сигурността и целостта на Платформата;

·         налични резервни копия и технически архиви в рамките на обичайните срокове за съхранение.

(6) Логове, системни журнали, IP адреси, времеви маркери, данни за достъп, данни за действия в Платформата и други автоматично събирани технически данни се съхраняват за срок до 5 години, доколкото това е необходимо за:

·         осигуряване на сигурността на Платформата;

·         предотвратяване, установяване и анализиране на злоупотреби;

·         доказване на извършени електронни действия и изявления;

·         защита при спорове, сигнали, проверки, жалби и производства;

·         защита на правата и законните интереси на Оператора, на останалите потребители и на трети лица.

(7) Срокът по предходната алинея започва да тече от датата на съответния достъп, действие, електронно изявление, техническо събитие или друг релевантен запис в системата, освен ако законът или естеството на конкретния случай не налагат друго.

(8) Данни при спор, включително данни, съдържащи се в сигнали, жалби, искания, кореспонденция, логове, записи на действия, уведомления, доказателства и други материали, свързани със спор, нарушение, претенция, съдебно, административно, регулаторно или друго производство, се съхраняват до окончателното приключване на съответния спор или производство, както и до изтичане на приложимите давностни, преклузивни и други срокове за защита на правата и законните интереси на Оператора.

(9) За целите на настоящата Политика „до приключване + давност“ означава, че съответните данни могат да бъдат съхранявани:

·         през целия период на висящ спор, проверка, жалба, претенция или производство;

·         след неговото окончателно приключване – за допълнителен срок, необходим за защита срещу последващи претенции, обжалване, ново производство или други правни последици;

·         за срока, в който съответното правоотношение или претенция може да бъде релевирана по законен ред.

(10) Резервни копия и технически архиви могат да се съхраняват за срок до 6 месеца, доколкото това е необходимо за:

·         техническо възстановяване на системата;

·         защита срещу загуба, повреда или унищожаване на данни;

·         осигуряване на непрекъсваемост и устойчивост на Платформата;

·         аварийно възстановяване и поддържане на техническата сигурност.

(11) Данните, налични в резервни копия, не се използват за активна обработка, освен когато това е необходимо за възстановяване на системата, защита на сигурността, изпълнение на законово задължение или защита при правни претенции.

(12) Когато едни и същи лични данни се обработват за повече от една цел, срокът на съхранение се определя съобразно най-дългия приложим срок, доколкото това е необходимо и допустимо по закон за съответната цел.

(13) Операторът има право да съхранява определени данни за по-дълъг срок от посочения в ал. 3–10, когато това е необходимо за:

·         изпълнение на законово задължение;

·         защита срещу злоупотреби, повторни нарушения или неоторизиран достъп;

·         предотвратяване на повторна регистрация след наложено ограничение;

·         установяване, упражняване или защита при правни претенции;

·         съдействие на компетентни органи;

·         доказване на съгласия, уведомления, електронни изявления, нарушения и предприети действия по защита на Платформата.

(14) След изтичане на приложимия срок за съхранение личните данни се:

·         изтриват;

·         анонимизират; или

·         ограничават по достъп и използване, когато незабавното изтриване не е технически възможно или не е целесъобразно поради характера на архивите и резервните копия.

(15) Операторът периодично извършва вътрешен преглед на категориите съхранявани данни, на сроковете за тяхното съхранение и на необходимостта от по-нататъшното им обработване, с оглед спазване на принципа за ограничение на съхранението и минимизиране на данните.

(16) Настоящият раздел се тълкува в смисъл, че Операторът не съхранява лични данни безсрочно и без основание, а само за срок, необходим за предоставянето, сигурността, доказуемостта и законосъобразното функциониране на Платформата и за защита на неговите права и законни интереси.

8. Достъп до данни

Чл. 8.  
(1) Операторът не предоставя лични данни на трети лица, освен в случаите, когато това е необходимо за предоставяне на Платформата, за изпълнение на законово задължение, за защита на правата и законните интереси на Оператора или когато съществува друго валидно правно основание съгласно приложимото право.

(2) Достъп до лични данни могат да имат следните категории получатели:

 

8.1. Доставчици на хостинг услуги

(3) Лични данни могат да бъдат предоставяни на доставчици на хостинг услуги, чрез които се осигурява техническата инфраструктура за функционирането на Платформата, включително съхранение на данни, поддържане на сървъри, резервни копия, защита на данни и други свързани услуги.

(4) Доставчиците на хостинг услуги обработват данните:

·         от името и за сметка на Оператора;

·         само в рамките на възложените им функции;

·         при наличие на договор, гарантиращ защита на личните данни;

·         при прилагане на подходящи технически и организационни мерки за сигурност.

(5) Операторът предприема разумни мерки да избира доставчици, които осигуряват ниво на защита, съответстващо на изискванията на Регламент (ЕС) 2016/679.

 

8.2. Доставчици на IT поддръжка

(6) Лични данни могат да бъдат достъпни за лица или дружества, предоставящи услуги по:

·         техническа поддръжка;

·         разработка, тестване и подобрение на системата;

·         диагностика на проблеми и инциденти;

·         администриране на сървъри, бази данни и софтуерни компоненти.

(7) Достъпът на тези лица до лични данни е:

·         ограничен до необходимия минимум;

·         временен и обвързан с конкретна задача;

·         подчинен на договорни задължения за поверителност;

·         контролиран чрез технически и организационни мерки.

(8) Лицата по ал. 6 нямат право да използват личните данни за собствени цели и обработват същите единствено по указания на Оператора.

 

8.3. Компетентни държавни органи

(9) Лични данни могат да бъдат предоставяни на компетентни държавни, административни, съдебни, разследващи или регулаторни органи, когато:

·         това се изисква от закон;

·         е налице задължително разпореждане или акт на компетентен орган;

·         предоставянето е необходимо за установяване, предотвратяване или разследване на нарушение;

·         предоставянето е необходимо за защита на правата и законните интереси на Оператора или на трети лица.

(10) В тези случаи Операторът предоставя само данните, които са изискуеми и необходими за конкретната цел, при спазване на принципа на минимизиране.

 

8.4. Други случаи на предоставяне

(11) Лични данни могат да бъдат предоставяни и в следните хипотези:

·         когато това е необходимо за установяване, упражняване или защита при правни претенции;

·         когато е необходимо за предотвратяване на сериозно нарушение на Общите условия или на закона;

·         когато е необходимо за защита на сигурността на Платформата или на други потребители;

·         когато това е допустимо, на друго правно основание, съгласно приложимото право.

8.5. Достъп в рамките на Платформата

(12) В рамките на Платформата определени лични данни (включително профилни данни и снимка, когато е налична) могат да бъдат достъпни за други регистрирани и автентикирани потребители, доколкото това е присъщо на функционалността на Платформата и на нейния модел като затворена среда с ограничен достъп.

(13) Този достъп:

·         не представлява публично разпространение на данни;

·         е ограничен до рамките на Платформата;

·         не дава право на други потребители да използват данните извън позволеното от Общите условия и закона.

(14) Логове за достъп до данни имат доказателствена стойност

 

8.6. Ограничения и гаранции

(15) Операторът не продава, не отдава под наем и не предоставя лични данни на трети лица за маркетингови или други несъвместими цели.

(16) Операторът предприема подходящи технически и организационни мерки, за да гарантира, че достъп до лични данни имат само лица, за които това е необходимо и оправдано.

(17) Всеки достъп до лични данни се ограничава до:

·         конкретната цел на обработването;

·         минимално необходимия обем данни;

·         необходимия период от време.

 

8.7. Отговорност при неправомерен достъп

(18) Операторът не носи отговорност за достъп до лични данни, когато същият е осъществен в резултат на:

·         неправомерни действия на други потребители;

·         нарушение на Общите условия;

·         действия на трети лица извън контрола на Оператора;

·         злоупотреба с достъп, предоставен в рамките на функционалностите на Платформата.

 

(19) В случаите по предходната алинея отговорността се носи от лицето, извършило съответното нарушение.

 

8.8. Международен трансфер

(20) Когато доставчици на услуги са установени извън Европейското икономическо пространство, Операторът осигурява подходящи гаранции за защита на личните данни съгласно изискванията на Регламент (ЕС) 2016/679.

 

 

 

9. Видимост на данните

Чл. 9.  
(1) Платформата представлява затворена онлайн среда с ограничен достъп, при която личните данни, въведени от потребителите, не са публично достъпни за неограничен кръг лица.

(2) Достъп до съдържанието на Платформата, включително до потребителски профили и съдържащите се в тях лични данни, имат единствено регистрирани и автентикирани потребители, освен за онези части от сайта, които изрично са обозначени като публични и имат изцяло информативен характер.

(3) Данните, съдържащи се в потребителските профили, могат да бъдат видими за други регистрирани потребители единствено в рамките на функционалностите на Платформата и съобразно нейния модел като ограничена среда за достъп.

(4) Видимостта на данните включва, доколкото това е приложимо:

·         име;

·         възраст;

·         снимка, когато такава е предоставена доброволно;

·         други данни, които потребителят е въвел в профила си и които по естеството на Платформата са предназначени да бъдат достъпни в рамките на затворената среда.

(5) Видимостта по предходните алинеи:

·         не представлява публично разпространение на лични данни;

·         не създава общодостъпност извън Платформата;

·         не дава право на други потребители да използват данните извън разрешеното от Общите условия и приложимото право.

(6) Операторът не предоставя функционалност за свободно индексиране, публично търсене или достъп до профилите чрез външни търсачки или неограничени външни лица, освен ако такава функционалност не бъде изрично въведена и надлежно оповестена.

(7) Потребителят приема, че въпреки ограничения достъп в рамките на Платформата, съществува риск други регистрирани потребители да извършат неправомерни действия, включително копиране, съхраняване или използване на достъпни данни извън Платформата, в нарушение на Общите условия и закона.

(8) Операторът не носи отговорност за действия на други потребители, които:

·         използват данните извън рамките на Платформата;

·         нарушават Общите условия;

·         действат противоправно извън контрола на Оператора.

(9) Операторът предприема разумни технически и организационни мерки за ограничаване на достъпа до данни само до регистрирани потребители и за предотвратяване на неоторизиран достъп, доколкото това е възможно с оглед естеството на електронната среда.

(10) Настоящият раздел се тълкува в смисъл, че Платформата не представлява публичен регистър, публичен профилен каталог или услуга за свободно разпространение на лични данни, а ограничена система за достъп в рамките на регистрирана потребителска общност.

 

10. Права на субектите на данни

Чл. 10.

(1) Всеки потребител, чиито лични данни се обработват от Оператора, има правата, предвидени в Регламент (ЕС) 2016/679 (GDPR), при условията и в обхвата, определени в приложимото право.

(2) Потребителят може да упражнява своите права чрез подаване на писмено искане до Оператора чрез посочения контактен електронен адрес.

 

10.1. Право на достъп

(3) Потребителят има право да получи потвърждение дали се обработват лични данни, които го засягат, и ако това е така – да получи достъп до тези данни, включително информация относно:

·         целите на обработването;

·         категориите лични данни;

·         получателите или категориите получатели;

·         срока на съхранение;

·         правата му по настоящия раздел;

·         източника на данните, когато същите не са събрани директно от него.

(4) Операторът може да предостави копие от обработваните данни, доколкото това не засяга права и свободи на други лица.

 

10.2. Право на коригиране

(5) Потребителят има право да поиска коригиране на неточни лични данни, както и допълване на непълни данни.

(6) Операторът предприема необходимите действия за актуализиране на данните без неоправдано забавяне, когато искането е основателно.

 

10.3. Право на изтриване

(7) Потребителят има право да поиска изтриване на лични данни, когато:

·         данните вече не са необходими за целите, за които са събрани;

·         оттегли съгласието си и няма друго правно основание;

·         възрази срещу обработването и няма надделяващи законни основания;

·         данните са обработвани незаконосъобразно;

·         изтриването се изисква по закон.

(8) Операторът може да откаже изтриване, когато обработването е необходимо за:

·         изпълнение на законово задължение;

·         установяване, упражняване или защита при правни претенции;

·         защита на сигурността на Платформата;

·         доказване на извършени действия, нарушения или злоупотреби.

 

10.4. Право на ограничаване на обработването

(9) Потребителят има право да поиска ограничаване на обработването, когато:

·         оспорва точността на данните;

·         обработването е незаконосъобразно, но не желае изтриване;

·         Операторът вече не се нуждае от данните, но същите са необходими за установяване, упражняване или защита при правни претенции;

·         е подал възражение срещу обработването.

(10) В тези случаи данните могат да бъдат съхранявани, но не и обработвани активно, освен при наличие на законово основание.

 

10.5. Право на преносимост

(11) Потребителят има право да получи личните си данни в структуриран, широко използван и машинно четим формат и да ги прехвърли към друг администратор, когато:

·         обработването се основава на съгласие или договор;

·         обработването се извършва по автоматизиран начин.

(12) Това право се прилага доколкото е технически осъществимо и не засяга права на други лица.

 

10.6. Право на възражение

(13) Потребителят има право да възрази срещу обработване на лични данни, основано на легитимен интерес.

(14) Операторът прекратява обработването, освен ако докаже наличие на убедителни законни основания, които имат предимство пред интересите на потребителя, или когато обработването е необходимо за защита при правни претенции.

 

10.7. Право на оттегляне на съгласие

(15) Когато обработването се основава на съгласие, потребителят има право да го оттегли по всяко време.

(16) Оттеглянето не засяга законосъобразността на обработването, извършено до този момент.

 

10.8. Ред за упражняване на правата

(17) Исканията се подават чрез:

·         електронен адрес, посочен от Оператора;

·         други предвидени канали за контакт.

(18) Искането следва да съдържа:

·         данни за идентификация на заявителя;

·         описание на искането;

·         при необходимост – допълнителна информация за уточняване.

(19) Операторът има право да изиска допълнителна информация за установяване на самоличността, когато това е необходимо.

 

10.9. Срок за отговор

(20) Операторът се произнася по искането без неоправдано забавяне и не по-късно от 1 месец от получаването му.

(21) При сложност или голям брой искания срокът може да бъде удължен с още 2 месеца, като потребителят се уведомява за това.

 

10.10. Ограничения

(22) Упражняването на правата може да бъде ограничено, когато:

·         е необходимо за защита на права и свободи на други лица;

·         е необходимо за предотвратяване на злоупотреби;

·         съществува законово ограничение;

·         обработването е необходимо за доказване или защита при правни претенции.

 

10.11. Безплатност

(23) Упражняването на правата е безплатно, освен при:

·         явно неоснователни или прекомерни искания;

·         повторяемост или злоупотреба с права.

(24) В тези случаи Операторът може да наложи разумна такса или да откаже изпълнение.

 

10.12. Жалби

(25) Потребителят има право да подаде жалба до:

Потребителят има право да подаде жалба до Комисията за защита на личните данни (КЗЛД), когато счита, че правата му във връзка с обработването на личните му данни са нарушени.

10.13. Процесуален ефект

(26) Настоящият раздел се тълкува в смисъл, че правата на субектите на данни се упражняват при спазване на баланса между:

·         правата на потребителя;

·         сигурността на Платформата;

·         защитата срещу злоупотреби;

·         правата и законните интереси на Оператора.

 

11. Сигурност на личните данни

Чл. 11.
(1) Операторът прилага подходящи технически и организационни мерки за защита на личните данни срещу:

·         неоторизиран достъп;

·         неправомерно разкриване;

·         изменение или унищожаване;

·         загуба или повреда;

·         други форми на неправомерно или случайно обработване.

(2) Мерките по ал. 1 се определят съобразно:

·         естеството, обема и чувствителността на обработваните данни;

·         рисковете за правата и свободите на субектите на данни;

·         техническото развитие и наличните средства;

·         характера на Платформата като затворена среда с ограничен достъп.

 

11.1. Технически мерки

(3) Операторът може да прилага, когато е приложимо:

·         контрол на достъпа чрез регистрация и автентикация;

·         криптиране или псевдонимизация на данни;

·         защитени комуникационни канали (напр. HTTPS);

·         защитни механизми срещу неоторизиран достъп (firewall, rate limiting, защита от brute force);

·         логване на достъп и действия в системата;

·         автоматично засичане на подозрително поведение;

·         архивиране и резервни копия;

·         механизми за възстановяване при инциденти.

 

11.2. Организационни мерки

(4) Операторът прилага организационни мерки, включително:

·         ограничаване на достъпа до данни само до оправомощени лица;

·         вътрешни правила за поверителност и защита на данните;

·         договорни задължения за поверителност към служители и външни доставчици;

·         контрол върху достъпа и действията на лица с административни права;

·         процедури при инциденти и нарушения на сигурността;

·         периодичен преглед на мерките за защита.

 

11.3. Ограничения на сигурността

(5) Потребителят приема, че:

·         нито една електронна система не може да бъде абсолютно защитена;

·         съществува риск от неправомерни действия на трети лица;

·         сигурността зависи и от поведението на самия потребител (вкл. защита на достъп, пароли и устройства).

(6) Операторът не носи отговорност за вреди, произтичащи от:

·         неправомерен достъп вследствие на действия на потребителя;

·         действия на трети лица извън разумния контрол на Оператора;

·         злоупотреби от други потребители в нарушение на Общите условия.

 

11.4. Действия при нарушение на сигурността

(7) При установяване на нарушение на сигурността на лични данни Операторът:

·         предприема незабавни мерки за ограничаване на риска;

·         извършва вътрешна проверка и анализ;

·         уведомява компетентните органи, когато това се изисква по закон;

·         уведомява засегнатите лица, когато съществува висок риск за техните права и свободи.

11.5. Доказателствена стойност

(8) Данните от системата, включително логове, IP адреси, времеви маркери и записи на действия, могат да се използват като доказателство за:

·         достъп до профил;

·         извършени действия;

·         подадени изявления;

·         нарушения и злоупотреби;

·         предприети мерки от страна на Оператора.

(9) Операторът не извършва автоматизирано вземане на решения и профилиране.

12. Частична недействителност

Чл. 12. Недействителността, нищожността или неприложимостта на отделна разпоредба от настоящата Политика за поверителност не води до недействителност на Политиката като цяло.

(10) В случаите по предходната алинея:

·         съответната разпоредба се замества от императивните норми на приложимото право; или

·         когато това е допустимо – се тълкува по начин, който в най-голяма степен съответства на първоначалната ѝ икономическа и правна цел.

(11) Страните приемат, че останалите разпоредби запазват действието си и се прилагат в пълния си обем.

 

13.  Изменения

(1) Операторът има право по всяко време едностранно да изменя настоящата Политика за поверителност, когато това се налага от:

·         промени в приложимото законодателство;

·         промени във функционалностите или начина на функциониране на Платформата;

·         въвеждане на нови услуги или технологии;

·         необходимост от подобряване на защитата на личните данни;

·         други обективни обстоятелства, свързани с дейността на Оператора.

(2) Измененията влизат в сила от момента на тяхното публикуване в Платформата, освен ако в самите изменения не е предвиден друг срок.

(3) Операторът може да уведомява потребителите за измененията чрез един или повече от следните способи:

·         електронна поща;

·         съобщение в потребителския профил;

·         системно известие в Платформата;

·         друг електронен канал, използван във връзка с Платформата.

(4) Уведомлението се счита за надлежно извършено от момента на изпращането или публикуването му съгласно използвания способ, независимо дали е действително прочетено или получено от потребителя, освен ако законът изисква друго.

(5) В случаите, когато измененията засягат съществено правата или задълженията на потребителите, Операторът може да предостави разумен срок преди влизането им в сила.

(6) Продължаването на използването на Платформата след влизане в сила на измененията се счита за приемане на същите от страна на потребителя, освен ако приложимото право изисква изрично съгласие.

(7) Когато приложимото право изисква изрично съгласие за определени изменения, същите влизат в сила само след неговото предоставяне от потребителя.

 

14. Контакти

(1) Потребителят може да се свърже с Оператора по въпроси, свързани с обработването на лични данни чрез:

·         на електронен адрес - support@chitalnik.com

·         предвидените форми за контакт.

 

15. Компетентен орган

(1) Потребителят има право да подаде жалба до:

- Комисия за защита на личните данни (КЗЛД), когато счита, че правата му са нарушени.

16. Характер на документа

(1) Настоящата Политика има за цел да осигури прозрачност и правна яснота относно обработването на лични данни в рамките на Платформата.

(2) Политиката се тълкува в смисъл, че:

·         Платформата е затворена система с ограничен достъп;

·         Операторът не носи отговорност за действия на потребители извън неговия контрол;

·         обработването на данни се извършва в ограничен обем и за конкретни цели;

·         защитата на данните е съобразена с естеството на услугата и разумно приложимите мерки.