Политика за защита на личните данни Кард Сервиз ЕООД

Политика за защита на лични данни

Уважаеми клиенти,

С тази политика за защита на личните данни КАРД СЕРВИЗ Ви съобщава, че при използване на мобилното приложеие от Ваша страна, КАРД СЕРВИЗ ще обработва Ваши лични данни. Целта на тази политиката е да запознае потребителите на мобилното приложение с това какви данни, за какви цели, в какъв обем и по какви начини КАРД СЕРВИЗ ще обработва техните лични данни. Желанието на КАРД СЕРВИЗ е да разясни на клиентите ефекта от обработването и техните права за защита на личната им информация в тази връзка. Като администратор на лични данни, КАРД СЕРВИЗ съзнава, че има отговорност към потребителите на мобилното приложение да обработва техните лични данни отговорно, добросъвестно и прозрачно и декларира своята заинтересованост и проактивност в тази връзка.

Настоящата политика е израз на стремежа на КАРД СЕРВИЗ да изпълнява задълженията си във връзка със защита на личните данни с грижа към клиентите. Политиката е съобразена с изискванията на Общия регламент относно защитата на данните. За да могат да разберат правилно обработването на личните им данни и правата, които имат в тази връзка, клиентите е добре да знаят значението на следните основни понятия съгласно Общия регламент относно защитата на данните:

(I) лични данни;

(II) субект на данни;

(III) обработване;

(IV) администратор;

(V) псевдонимизация;

(VI) персонални профили (или „профилиране“).

Приложение № 1 (Основни понятия) дава информация за значението на тези понятия.

Приложение № 1 – Основни понятия

  1. Кой е администратор на личните данни в мобилното приложение?

КАРД СЕРВИЗ ООД, с адрес в гр.София, ж.к.”Белите брези”, ул. „Ворино”№52-54, партер и Кард Сервиз ЕООД, с. Ребърково, местност „Зли Дол”, община Мездра, контролират обработването на лични данни в уеб и в мобилното приложение.

  • Каква информация КАРД СЕРВИЗ събира и обработва за потребителите на приложението?

КАРД СЕРВИЗ събира и обработва 2 вида информация за клиентите си: (1) данни, които клиентите предоставят на КАРД СЕРВИЗ във връзка с използване на мобилното приложение при и/или след регистрация в него; и (2) информация, която КАРД СЕРВИЗ създава за клиентите във връзка с участието им в във връзка с използване на мобилното приложение. Информацията, която КАРД СЕРВИЗ събира от клиентите включва общи лични данни, като например: име, обръщение, имейл адрес и други. За да използва мобилното приложение, всеки клиент трябва да предостави тези данни, които са отбелязани със * задължително. По отношение на останалите, незадължителни данни, клиентът сам преценява дали и кои от тях да предостави на КАРД СЕРВИЗ.

  • С каква цел и на какво правно основание КАРД СЕРВИЗ обработва лични данни на потребителите на приложението?

КАРД СЕРВИЗ обработва личните данни на клиенти на програмата за следните цели:

(1) директен маркетинг на продукти и услуги;

(2) недиректен маркетинг и проява на лично отношение и внимание към потребителите на приложението и в тази връзка познаване на груповите предпочитания и интереси на клиентите;

(3) изготвяне на различни персонални профили за потребителите на приложението (профилиране), въз основа на предоставената от тях лична информация;

(4) установяване на тенденции в потребителското поведение и на промени в нагласите на групи клиенти;

(5) отчетност и статистика за програмата и за дейността на КАРД СЕРВИЗ, включително за да Ви идентифицира при ползване на приложенията и за да отговаря на въпроси и коментари;

(6) анализ и планиране на развитие/ промени в приложението съобразно потребителското поведение и/или груповите предпочитания /особености на клиентите.

Правното основание, на което КАРД СЕРВИЗ обработва лични данни на клиенти на програмата за гореописаните цели (1) до (6), е необходимост с оглед реализиране на законните интереси на КАРД СЕРВИЗ, т.е. на основание чл. 6, ал. 1, т. e) от на Общия регламент относно защитата на данните. Обработването на лични данни на потребителите на приложението е необходимо за КАРД СЕРВИЗ, за да може то да реализира законните си интереси да:

– предлага на клиентите подходящ и ефективен маркетинг и реклама;

– запазва и увеличава броя на лоялните си клиенти;

– реализира приложението по най-ефективния начин;

– развива и оптимизира продажбите на свои стоки и услуги;

– има конкурентна търговска, дейност и стратегия; и

– води отчетност и статистика и да прави анализи във връзка с дейността си.

Освен за бизнес целите на КАРД СЕРВИЗ, обработването на данните в обобщен вид понякога е необходимо и за целите на легитимните интереси на третите лица търговци, когато КАРД СЕРВИЗ договаря отстъпки от цените на стоките и услугите им в полза на потребителите на приложението. Съгласно изискванията на Общия регламент относно защитата на данните КАРД СЕРВИЗ е направило оценка на законните интереси, за да провери дали може да ги използва като правно основание за обработването на личните данни на потребителите на приложението. Резултатът от тази оценка е положителен. КАРД СЕРВИЗ е установило, че има валидно правно основание да обработва данните на клиентите за целите на посочените интереси. При искане от клиент на имейл адрес: contact@pecascard.com, КАРД СЕРВИЗ може да предостави на клиента резюме от оценката.

КАРД СЕРВИЗ обработва личните данни на потребителите на приложението и за да изпълни задълженията си по програмата съгласно договора с клиентите. КАРД СЕРВИЗ прави това на основание необходимост за изпълнение на общите условия за програмата – т.е. на основание чл. 6, ал. 1, т. б) от на Общия регламент относно защитата на данните. Накрая, в отделни случаи, КАРД СЕРВИЗ обработва личните данни на потребителите на приложението и за да изпълнява задълженията си и изискванията по закон. В тези изключителни случаи КАРД СЕРВИЗ обработва данните на основание чл. 6, ал. 1, т. в) от Общия регламент относно защитата на данните.

  • Как КАРД СЕРВИЗ използва личните данни на клиенти на програмата?

КАРД СЕРВИЗ разчита на добросъвестността и интереса на клиентите данните им да са точни и верни с оглед целите на мобилното приложение и не проверява достоверността на предоставените лични данни, с изключение на имейла за регистрация на клиента. КАРД СЕРВИЗ се стреми да обработва минимум лична информация относно потребителите на приложението с оглед предлаганите услуги и своите бизнес цели. КАРД СЕРВИЗ използва личната информация, която събира от клиенти, заедно с тази, която генерира за тях, в конкретен, необобщен вид и/или в обобщен вид, като псевдонимизирани данни. За ограничен срок след изтриване на профила, т.е. дерегистрация от програмата, КАРД СЕРВИЗ обработва за вече бившите си клиенти само номер на карта заедно с историческите трансакции с нея в анонимен вид, т.е. конкретният клиент не може да бъде идентифициран. При обработването на данните КАРД СЕРВИЗ не използва автоматизирано вземане на индивидуални решения за потребителите на приложението.

  • Използва ли КАРД СЕРВИЗ профилиране при обработването на данните?

Да. Въз основа на личната информация, която клиентите предоставят чрез и за програмата, КАРД СЕРВИЗ прави общи – а не подробни и конкретни – персонални профили на клиентите, групира ги с оглед потребителското им поведени и/или заявените предпочитания и/или особености и използва така установените групи за постигане на посочените цели. За някои от целите, като например, за установяване на тенденции в потребителското поведение и на промени в нагласите на групи клиенти; отчетност и статистика за дейността на КАРД СЕРВИЗ; и анализ и планиране на развитие/промени съобразно потребителското поведение и/или груповите предпочитания / особености на клиентите, КАРД СЕРВИЗ използва преди всичко персоналните профили на клиентите, изготвени въз основа на техните конкретните лични данни.

  • С кого КАРД СЕРВИЗ споделя лична информация за клиенти на програмата? Предоставя ли я в трети страни?

КАРД СЕРВИЗ ще предоставя достъп до личната информация на потребителите на приложението само при необходимост и съобразно изискванията на закона. Предоставеният достъп ще бъде ограничен до личните данни, които са необходими на лицето, на което се предоставя достъпа, с оглед целта, заради която достъпът се предоставя.

КАРД СЕРВИЗ ще разкрива лични данни на потребителите на приложението на следните лица:

  • Доставчици на информационно-технологични услуги: Във връзка с някои от процесите по обработване на данните, като например за тяхното съхранение и сигурност, КАРД СЕРВИЗ използва услугите на трети лица, обработващи данните, които използват данните съгласно инструкциите и под контрола на КАРД СЕРВИЗ. Тези трети лица са установени в ЕС.
  • На други търговци, установени в България: В случаите, когато КАРД СЕРВИЗ предлага на своите клиентите възможност да ползват стоките и услугите на другите търговци при по-изгодни за клиентите условия; в тези случаи КАРД СЕРВИЗ ще разкрива на трети лица търговци само номера на карти на клиенти (без каквато и да е друга лична информация за съответните клиенти).
  • Държавни органи и институции, органи на местно самоуправление, органи на съдебната власт: В предвидените от закона случаи за изпълнение на предвидено закона задължение.

КАРД СЕРВИЗ не изнася, нито предоставя достъп до, личните данни на потребителите на приложението на администратори или обработващи данни в страни извън ЕС.

7. За какъв срок КАРД СЕРВИЗ обработва данните на клиентите?

По принцип КАРД СЕРВИЗ обработва личните данни на клиентите, докато те са регистрирани в мобилното приложение или картата им  Пегаскард е активна.

8. Какви права имат потребителите на приложението с оглед защита на личните им данни?

Като субекти на лични данни, потребителите на приложението амата имат следните права:

(I) Право на достъп;

(II) Право на коригиране;

(III) Право на изтриване ;

(IV) Право на ограничаване на обработването;

(V) Право на преносимост на данните;

(VI) Право на жалба до Комисията за защита на личните данни, и могат да ги упражняват по всяко време съобразно с условията и изискванията на закона.

Повече информация за съдържанието на тези права дава Приложение № (Права на клиентите)

Потребителите на приложението могат да упражняват правата си (1) пряко чрез директен достъп до личната си информация в приложението, (2) като се свържат и поискат съдействие за това от КАРД СЕРВИЗ чрез формата за обратна връзка с клиенти или (3) по имейл на contact@pegascard.com

  • Как и кога потребителите на приложението могат да възразят срещу обработването на лично данни?

Потребителите на приложението могат да възразят срещу обработване на личните им данни за целите на използването му, както и конкретно срещу обработването на данните им за целите на директния маркетинг, по всяко време на определени правни основания във връзка с конкретната ситуация на съответния клиент. Потребителите на приложението могат до упражнят правото си на възражение чрез формата за обратна връзка с КАРД СЕРВИЗ в приложението или чрез имейл съобщение до КАРД СЕРВИЗ на contact@pecascard.com. В случай че възражението е основателно, КАРД СЕРВИЗ ще прекрати обработването на данните относно възразилия клиент, освен ако КАРД СЕРВИЗ покаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите на клиента. В този случай КАРД СЕРВИЗ ще уведоми за това клиента по имейл.

По отношение на личните данни потребителите на приложението, които се предоставят от клиентите по желание (т.е. не са отбелязани със *), клиентите могат да възразят срещу обработването, като изтрият онези лични данни, които не желаят да се обработват. Ако клиент възрази срещу обработването на личните му данни за целите на използването на приложението като цяло и не желае повече да го използва или срещу обработването на личните данни, които клиентът трябва задължително да предостави, за да ползва приложението(т.е. тези, които са отбелязани със *), КАРД СЕРВИЗ ще бъде принудено да поиска от клиента да се дерегистрира от приложението и, ако клиентът не го направи в дадения му кратък срок, КАРД СЕРВИЗ ще го дерегистрира на собствено основание.

  1. Как и кога потребителите на приложението могат да възразят срещу използване на личните им данни за директен маркетинг?

Всеки потребител на приложението сам определя дали да бъде или да не бъде обект на директен маркетинг във връзка с него. За да е обект на съобщения за директен маркетинг, потребителят на приложението трябва изрично да се съгласят за това, като отбележи отметката за съгласие за получаване на съобщения за директен маркетинг при регистрацията си или в личната си папка. Ако и потребителят на приложението даде съгласие за директен маркетинг, КАРД СЕРВИЗ ще обработва личните данни на клиента, включително чрез изготвянето на профили на клиента, за целите на директния маркетинг и ще му изпраща съобщения за директен маркетинг.

Потребителят на приложението може да оттегли вече дадено съгласие за директен маркетинг по всяко време след като го е дал, като махне отметката от активното поле за съгласие за получаване на съобщения за директен маркетинг. Ако и когато клиент оттегли съгласието си за съобщения за директен маркетинг, КАРД СЕРВИЗ преустановява изпращането на съобщения за директен маркетинг до клиента, както и обработването на личните му данни, включително чрез изготвянето на профили на клиента, за целите на директния маркетинг.

Клиент може да използва приложението  и когато не даде съгласие за получаване на съобщения за директен маркетинг. В този случай клиентът оставя активното поле за съгласие празно – без отметка. Ако клиент не даде съгласие за съобщения за директен маркетинг, КАРД СЕРВИЗ няма да изпраща съобщения за директен маркетинг до клиента и няма да обработва личните му данни, включително чрез изготвянето на профили на клиента, за целите на директния маркетинг

  1. Какви са последствията за потребителите на приложението от обработването на личните им данни?

В резултат на обработването КАРД СЕРВИЗ ще има известна представа за предпочитанията, потребителското поведение, и някои индивидуализиращи белези (като предпочитано обръщение, приблизителна възраст, професия и др.) на клиентите.

Личните данни не са от такова естество, че тяхното обработване да създава риск от съществено навлизане в личния живот на потребителите на приложението или накърняване на тяхната лична неприкосновеност.

Обработването ще включва изготвянето и използването на профили на клиентите, като профилите ще са общи, а не подробни.

Като цяло обработването на данните не води до ограничаване или намаляване правата на клиентите като субекти на лични данни.

Обработването на данните е в интерес клиента. В резултат на обработването потребителите на приложението ще получават по-подходящи оферти. За клиенти, които имат нетипично търсене и са малцинство, обработването може да се окаже, че не е изцяло в техен интерес. КАРД СЕРВИЗ иска да предлага подходящи оферти на лоялните си клиенти и, по този начин, да ги задържи по-дълго. Клиентите се ползват от офертите на КАРД СЕРВИЗ.

Законните интереси на клиентите са съвместими със законните интереси на КАРД СЕРВИЗ, заради които КАРД СЕРВИЗ иска да обработва данните. Събирането на непроверени лични данни за и от клиентите не навлиза съществено в, нито лишава клиентите от, личната им неприкосновеност. КАРД СЕРВИЗ иска да провежда търговска политика, основана на отчетност и анализ на реалното поведение на своите клиенти, като по този начин повиши ефективността на дейността си. За повечето субекти и за обществото като цяло предлагането на стоки и услуги от КАРД СЕРВИЗ се подобрява, признава им се правото на избор. Законният интерес на ограничен кръг от клиенти да имат избор и от нетипични стоки и услуги не е напълно защитен.

Обработването добавя стойност към продуктите и услугите, които клиентите на програмата ще използват от КАРД СЕРВИЗ. На субектите се предлагат по-търсени продукти и услуги на по-добри условия, а предлагането на малко търсените продукти и услуги се намалява или преструктурира.

  1. Как е обезпечена сигурността на личните данни в програмата?

КАРД СЕРВИЗ е заинтересовано и си е поставило за цел да обезпечи и поддържа сигурността на личните данни на клиентите. КАРД СЕРВИЗ поддържа подходящи физически, процедурни, административни, организационни и технически мерки за защита, предназначени да предотвратят загубата, неправомерното използване, неразрешения достъп до, разкриването или промяната на личните данни на своите клиенти, които КАРД СЕРВИЗ контролира и администрира. Ако клиент има причина да вярва, че личните данни, които той е предоставил на КАРД СЕРВИЗ вече не са защитени, той може да се свърже с КАРД СЕРВИЗ и да сподели притесненията си, като използва дадените в тази политика данни за контакт.

  1. Ако потребителите на приложението имат въпроси, към кого да се обърнат?

Ако клиент има въпрос, на който не е намерил отговор в тази политика, може да се свърже с КАРД СЕРВИЗ и да го зададе чрез формата за обратна връзка в приложението или на телефон 02/9581783.

Целта на тази политика е да отговори предварително на обичайните въпроси на клиентите във връзка с обработването на личните им данни от КАРД СЕРВИЗ в рамките на използванетона приложението.

  1. Как потребителите на приложението могат да актуализират данните си?

Всеки клиент има контрол върху личните данни, които предоставя на КАРД СЕРВИЗ за обработване, във всеки момент, докато е регистриран в приложението. Клиент може да актуализира данните си, да ги допълни или изтрие (ако не са от задължителните), и/или да даде или оттегли съгласието си за директен маркетинг, чрез профила си в приложението.

Във всеки момент КАРД СЕРВИЗ обработва личните данни на клиентите съобразно техния актуален личен профил в мобилното приложение.

  1. Как потребителите на приложението ще узная за промяна в тази политика?

В случай на промяна в настоящата политика КАРД СЕРВИЗ ще изпрати служебно съобщение по имейл до всички регистрирани клиенти. Информация за това ще има за известен период от време и в профилите на регистрираните клиенти в приложението, в бензиностанциите на КАРД СЕРВИЗ и на www.pegascard.com.

Приложение № 1: Основни понятия

Приложение № 2: Права на потребителите на приложението

Приложение № 1: Основни понятия

Значение на основни понятия, свързани с обработване на лични данни, съгласно Общия регламент относно защитата на данните:

„Общ регламент относно защитата на данните“ означава РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО;

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (това лице се определя като „субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение.

Приложение № 2: Права на клиентите на програмата

(1) Право на достъп. Всеки клиент на програмата има право да получи потвърждение от КАРД СЕРВИЗ дали личните му данни се обработват от КАРД СЕРВИЗ.

Това включва правото на достъп до личните данни, правото да получи безплатно копие от данните (с изключение на случаи на прекомерни и повтарящи се запитвания), освен ако е предвидено друго в приложимите правила за защита на личните данни, както и правото на клиента на бъде предоставено описание на основните характеристики, свързани с обработването на личните му данни, включително:

(I) целите на обработването;

(II) съответните категории лични данни;

(III) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в чужди държави;

(IV) предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

(V) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни, както и правото да се направи възражение или да се поиска ограничаване на обработването; (VI) право на жалба до надзорен орган;

(VII) когато личните данни не се събират лично от клиента, всякаква налична информация за техния източник;

(VIII) съществуването, механизма и значението на автоматизирано вземане на решения, включително изготвянето на персонални профили (профилирането).

Когато личните данни се предават на трети страни или международни организации, субектите на лични данни имат право да бъдат информирани за подходящите гаранции във връзка с предаването.

(2) Право на коригиране. Всеки клиент на програмата има право да коригира, без ненужно забавяне, неточни, непълни или остарели лични данни, които се отнасят до него.

(3) Право на изтриване (право „да бъдеш забравен“). Всеки клиент на програмата има право да поискат от КАРД СЕРВИЗ изтриване на свързаните с него лични данни без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:

(I) Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

(II) Клиентът възрази срещу обработването (виж т. 9 от текста на Политиката);

(III) Личните данни на клиента са били обработвани незаконосъобразно; или

(IV) Личните данни на клиента трябва да бъдат изтрити с цел спазване на правно задължение по правото на ЕС, правото на държава членка или правото на друга държава.

КАРД СЕРВИЗ може да откаже да изтрие личните данни на клиент на програмата , ако обработването им е необходимо за:

(I) за упражняване на правото на свобода на изразяването и правото на информация;

(II) за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държава членка, или правото на друга държава или за изпълнението на задача от обществен интерес;

(III) по причини от обществен интерес в областта на общественото здраве, за целите на научни или исторически изследвания, или за статистически цели; или

(IV) за установяването, упражняването или защитата на правни претенции.

Клиентите на програмата могат самостоятелно, без съдействието на КАРД СЕРВИЗ, да упражнят правото на коригиране и правото „да бъдеш забравен“, като по своя инициатива поправят или изменят данните си в програмата или изтрият личния си профил си от нея.

В случай на изтриване на профил личните данни, които са предоставени от конкретния клиент на КАРД СЕРВИЗ, ще бъдат изтрити автоматично.

(4) Право на ограничаване на обработването. Всеки клиент на програмата има право да изисква от КАРД СЕРВИЗ да ограничи обработването на личните му данни в следните случаи:

(I) Когато оспорва точността на личните данни, както са предоставени от клиента на КАРД СЕРВИЗ и обработвани от КАРД СЕРВИЗ (ограничението е за определен срок, който позволява на КАРД СЕРВИЗ да провери точността на личните данни);

(II) Когато обработването е неправомерно, но клиентът не желаете личните данни да бъдат изтрити, а изисква вместо това ограничаване