РАЗДЕЛ I. ОБЩИ ПОЛОЖЕНИЯ
Член 1. Предмет и обхват
(1) Настоящата Политика за поверителност на лични данни урежда реда и условията за събиране, обработване, съхранение и защита на личните данни на физическите лица, които посещават уебсайта за кетъринг услуги в София FoodStore.BG или влизат в контакт с нас чрез телефон или електронна поща за целите на поръчка на продукти и услуги.
(2) Администраторът на лични данни се задължава да обработва личните данни в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните — GDPR), Закона за защита на личните данни на Република България и всички приложими нормативни актове в областта на защитата на личните данни.
(3) Настоящата политика се прилага за всички лични данни, събирани чрез уебсайта foodstore.bg, както и за данни, получени при директна комуникация с клиенти посредством телефонни разговори, електронна поща или други комуникационни канали, използвани за приемане и обработка на поръчки.
Член 2. Определения
(1) За целите на настоящата политика използваните термини имат следното значение в съответствие с дефинициите, установени в член 4 от GDPR: „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано; „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства; „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; „субект на данните“ означава идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, към което се отнасят личните данни.
РАЗДЕЛ II. АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ
Член 3. Идентификация на администратора
(1) Администратор на личните данни по смисъла на настоящата политика е юридическото лице, което оперира и поддържа уебсайта foodstore.bg и осъществява дейността по приемане и изпълнение на поръчки за продукти.
(2) Администраторът носи отговорност за законосъобразното обработване на личните данни и за прилагането на подходящи технически и организационни мерки за защита на данните в съответствие с принципите, установени в член 5 от GDPR.
(3) За всички въпроси, свързани с обработването на лични данни и упражняването на правата на субектите на данни, заинтересованите лица могат да се обърнат към администратора чрез средствата за контакт, посочени на уебсайта.
РАЗДЕЛ III. КАТЕГОРИИ ЛИЧНИ ДАННИ И ЦЕЛИ НА ОБРАБОТВАНЕТО
Член 4. Категории събирани лични данни
(1) В процеса на своята дейност администраторът може да събира и обработва следните категории лични данни: идентификационни данни, включващи име, презиме и фамилия на физическото лице; контактни данни, включващи телефонен номер, електронен адрес и физически адрес за доставка на поръчани продукти (хапки, плата и т.н.); данни, свързани с поръчките, включително информация за заявени продукти, дата и час на поръчка, специални инструкции за доставка, предпочитан времеви интервал за доставка; комуникационни данни, включващи съдържанието на кореспонденция, проведена чрез електронна поща или записи на телефонни обаждания, когато това е необходимо за качествено обслужване и изпълнение на поръчките, без значение дали касаят фирмени кетъринг услуги или кетъринг за рожден ден, сватба, кръщене или друг повод.
(2) Администраторът събира също така технически данни при посещение на уебсайта, включително IP адрес, тип и версия на използвания браузър, операционна система, дата и час на достъп до сайта, посетени страници и продължителност на посещението, които данни се събират автоматично чрез използването на бисквитки и други технологии за проследяване съгласно разпоредбите на Закона за електронните съобщения.
Член 5. Цели на обработването
(1) Личните данни се обработват единствено за законово установени и легитимни цели, като администраторът се задължава да не обработва данни по начин, несъвместим с тези цели. Основните цели на обработването включват: приемане, обработка и изпълнение на поръчки за продукти, направени по телефон или електронна поща; осъществяване на комуникация с клиентите относно статуса на техните поръчки, потвърждаване на детайли по доставката и разрешаване на възникнали въпроси; организиране и осъществяване на доставка на поръчаните продукти до посочения от клиента адрес; водене на отчетност и изпълнение на законови задължения, произтичащи от данъчното, счетоводното и търговското законодателство на Република България.
(2) При наличие на изрично и недвусмислено съгласие от страна на субекта на данните, личните данни могат да бъдат използвани и за целите на директен маркетинг, включително изпращане на информация за нови продукти, специални предложения и промоции, като субектът на данните има право по всяко време да оттегли даденото съгласие без това да засегне законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.
РАЗДЕЛ IV. ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ
Член 6. Законосъобразност на обработването
(1) Обработването на лични данни се извършва само при наличие на поне едно от правните основания, предвидени в член 6, параграф 1 от GDPR. Администраторът обработва лични данни въз основа на следните правни основания: необходимост за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор, което основание се прилага при обработката на данни за целите на приемане и изпълнение на поръчки; необходимост за спазване на законово задължение, което се прилага спрямо администратора, включително задължения по данъчното и счетоводното законодателство; легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, особено когато субектът на данните е дете.
(2) Когато обработването се основава на съгласие съгласно член 6, параграф 1, буква а) от GDPR, администраторът осигурява, че съгласието е дадено чрез ясно потвърждаващо действие, което изразява свободно, конкретно, информирано и недвусмислено указание за съгласието на субекта на данните с обработването на личните му данни, като използване на отметка в квадратче при посещение на интернет страница или друго изявление или поведение, което ясно показва в този контекст съгласието на субекта на данните с предложеното обработване на личните му данни.
РАЗДЕЛ V. ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ
Член 7. Категории получатели
(1) Администраторът прилага принципа на минимизиране при споделянето на лични данни и предоставя достъп до личните данни само когато това е абсолютно необходимо за постигане на целите на обработването или когато е предвидено в нормативен акт. Личните данни могат да бъдат предоставяни на следните категории получатели: куриерски компании и логистични партньори, на които се предоставят име, телефон и адрес за доставка единствено за целите на доставка на поръчаните продукти; държавни органи и институции при наличие на законово основание или законово задължение за предоставяне на информация, включително данъчни органи, органи на съдебната власт и правоприлагащи органи; доставчици на услуги, свързани с поддръжката и функционирането на уебсайта и информационните системи, при условие че тези лица са обвързани със задължения за поверителност и предоставят достатъчни гаранции за прилагане на подходящи технически и организационни мерки за защита на данните.
(2) Администраторът не продава, не отдава под наем и не предоставя по друг начин лични данни на трети лица за техни собствени маркетингови цели. Всяко предоставяне на данни на обработващи лични данни се урежда с писмен договор, който съдържа клаузи, гарантиращи спазването на изискванията на GDPR и осигуряващи подходящо ниво на защита на личните данни.
РАЗДЕЛ VI. СРОКОВЕ ЗА СЪХРАНЕНИЕ
Член 8. Принципи и срокове за съхранение
(1) Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни, в съответствие с принципа за ограничение на съхранението, установен в член 5, параграф 1, буква д) от GDPR.
(2) Конкретните срокове за съхранение на различните категории лични данни се определят, както следва: данни, свързани с поръчки и доставки, се съхраняват за период от десет години от датата на извършване на съответната операция в съответствие с изискванията на Закона за счетоводството и данъчно-осигурителното законодателство; контактни данни на клиенти се съхраняват за период от три години от последната активна комуникация или поръчка, след което се заличават или анонимизират, освен ако не съществува друго законово основание за по-дългосрочното им съхранение; данни, обработвани въз основа на съгласие за директен маркетинг, се съхраняват до оттегляне на съгласието от страна на субекта на данните; технически данни и данни от бисквитки се съхраняват съгласно сроковете, посочени в политиката за бисквитки на уебсайта.
(3) След изтичане на приложимите срокове за съхранение, личните данни се заличават или анонимизират по начин, който не позволява повторното им идентифициране, като администраторът прилага подходящи технически мерки за гарантиране на необратимостта на процеса на заличаване.
РАЗДЕЛ VII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Член 9. Общи положения относно правата
(1) Администраторът признава и гарантира упражняването на всички права на субектите на данни, предвидени в Глава III от GDPR. Субектите на данни могат да упражняват своите права безплатно, освен в случаите на явно неоснователни или прекомерни искания, особено поради своята повторяемост, когато администраторът може да наложи разумна такса въз основа на административните разходи или да откаже да предприеме действия по искането.
(2) При получаване на искане за упражняване на права, администраторът предоставя на субекта на данните информация относно предприетите действия без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца предвид сложността и броя на исканията, като субектът на данните бива информиран за всяко такова удължаване в срок от един месец от получаване на искането, заедно с причините за забавянето.
Член 10. Право на достъп
(1) Субектът на данните има право да получи потвърждение от администратора дали се обработват лични данни, свързани с него, и когато това е така, да получи достъп до данните и следната информация: целите на обработването; съответните категории лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; когато е възможно, предвидения срок, за който ще се съхраняват личните данни; съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването; правото на жалба до надзорен орган; когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник; съществуването на автоматизирано вземане на решения, включително профилиране.
Член 11. Право на коригиране
(1) Субектът на данните има правото да поиска от администратора без ненужно забавяне коригирането на неточни лични данни, свързани с него. Като се вземат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез предоставяне на допълнително изявление.
Член 12. Право на изтриване
(1) Субектът на данните има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо едно от следните основания: личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; субектът на данните оттегля своето съгласие, върху което се основава обработването, и няма друго правно основание за обработването; субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора.
Член 13. Право на ограничаване на обработването
(1) Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното: точността на личните данни се оспорва от субекта на данните за срок, който позволява на администратора да провери точността на личните данни; обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
Член 14. Право на преносимост
(1) Субектът на данните има правото да получи личните данни, свързани с него, които е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването се основава на съгласие или на договор и обработването се извършва по автоматизиран начин.
Член 15. Право на възражение
(1) Субектът на данните има право по всяко време да възрази срещу обработване на лични данни, свързани с него, което се основава на легитимните интереси на администратора или на трета страна, включително профилиране, основано на тези разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данните, или за установяването, упражняването или защитата на правни претенции.
(2) Когато се обработват лични данни за целите на директния маркетинг, субектът на данните има право по всяко време да направи възражение срещу обработване на лични данни, свързани с него, за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато субектът на данните възрази срещу обработване за целите на директния маркетинг, личните данни не се обработват повече за тези цели.
Член 16. Право на жалба
(1) Без да се засягат други административни или съдебни средства за защита, всеки субект на данни има право на жалба до надзорен орган, по-специално в държавата членка на обичайното си местопребиваване, място на работа или място на предполагаемото нарушение, когато субектът на данни счита, че обработването на лични данни, свързани с него, нарушава GDPR.
(2) Компетентният надзорен орган в Република България е Комисията за защита на личните данни, с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2, телефон за контакт: 02/91-53-518, електронен адрес: kzld@cpdp.bg, интернет страница: www.cpdp.bg.
РАЗДЕЛ VIII. СИГУРНОСТ НА ДАННИТЕ
Член 17. Технически и организационни мерки
(1) Като се отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът прилага подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска.
(2) Техническите мерки за защита включват, но не се ограничават до: криптиране на личните данни при тяхното предаване чрез използване на защитени протоколи; редовно актуализиране на софтуера и системите за защита; прилагане на защитни стени и системи за откриване и предотвратяване на проникване; осъществяване на редовно архивиране на данните и тестване на възможностите за възстановяване; псевдонимизация на личните данни, когато това е приложимо и не противоречи на целите на обработването.
(3) Организационните мерки за защита включват: определяне на ясни роли и отговорности на служителите, имащи достъп до лични данни; осигуряване на редовно обучение на персонала относно принципите за защита на данните и приложимите процедури; прилагане на принципа за минимален достъп, при който достъп до лични данни се предоставя само на служители, за които това е необходимо за изпълнение на служебните им задължения; поддържане на регистри за дейностите по обработване в съответствие с член 30 от GDPR; извършване на оценки на въздействието върху защитата на данните, когато това се изисква съгласно член 35 от GDPR.
Член 18. Нарушения на сигурността на данните
(1) В случай на нарушение на сигурността на лични данни, администраторът без ненужно забавяне и когато това е осъществимо, не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни, освен ако е малко вероятно нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
(2) Когато нарушението на сигурността на личните данни може да породи висок риск за правата и свободите на физическите лица, администраторът без ненужно забавяне съобщава на субекта на данните за нарушението на сигурността на личните данни на ясен и прост език, като предоставя информация за естеството на нарушението, възможните последици и предприетите или предложени мерки за справяне с нарушението.
РАЗДЕЛ IX. БИСКВИТКИ И ТЕХНОЛОГИИ ЗА ПРОСЛЕДЯВАНЕ
Член 19. Използване на бисквитки
(1) Уебсайтът foodstore.bg използва бисквитки и подобни технологии за проследяване с цел осигуряване на правилното функциониране на сайта, подобряване на потребителското изживяване и анализ на трафика. Бисквитките представляват малки текстови файлове, които се съхраняват на устройството на потребителя при посещение на уебсайта.
(2) Използваните бисквитки се категоризират, както следва: строго необходими бисквитки, които са от съществено значение за основните функционалности на уебсайта и не могат да бъдат деактивирани; функционални бисквитки, които позволяват на уебсайта да запомни направените от потребителя избори и да предостави подобрени и персонализирани функции; аналитични бисквитки, които събират информация за начина на използване на уебсайта с цел подобряване на неговата работа и съдържание.
(3) При първото посещение на уебсайта потребителят бива информиран за използването на бисквитки чрез подходящо съобщение и има възможност да приеме или откаже използването на бисквитки, които не са строго необходими за функционирането на сайта. Съгласието за използване на бисквитки може да бъде оттеглено по всяко време чрез промяна на настройките на браузъра или чрез функционалността за управление на бисквитките, предоставена на уебсайта.
РАЗДЕЛ X. МАЛОЛЕТНИ И НЕПЪЛНОЛЕТНИ ЛИЦА
Член 20. Защита на данните на деца
(1) Администраторът не събира съзнателно лични данни от лица под 14-годишна възраст без съгласието на носителите на родителска отговорност. Услугите, предоставяни чрез уебсайта, не са насочени към деца и администраторът полага разумни усилия да предотврати събирането на данни от малолетни лица.
(2) В случай че администраторът установи, че е събрал лични данни от лице под приложимата минимална възраст без необходимото съгласие, тези данни се заличават незабавно. Родителите или настойниците, които считат, че техните деца са предоставили лични данни без тяхното съгласие, следва да се свържат с администратора за предприемане на необходимите мерки.
РАЗДЕЛ XI. ПРОМЕНИ В ПОЛИТИКАТА
Член 21. Актуализации и уведомления
(1) Администраторът си запазва правото да актуализира и променя настоящата Политика за поверителност периодично с цел отразяване на промени в законодателството, технологиите или бизнес практиките. Всички промени влизат в сила от датата на публикуването им на уебсайта, освен ако изрично не е посочено друго.
(2) При съществени промени в политиката, които засягат значително правата на субектите на данни или естеството на обработването, администраторът полага разумни усилия да уведоми засегнатите лица чрез подходящи комуникационни канали, включително чрез публикуване на видно съобщение на уебсайта или изпращане на уведомление по електронна поща, когато това е приложимо.
(3) Продължаването на използването на уебсайта след влизането в сила на промените се счита за приемане на актуализираната политика. Субектите на данни се насърчават да преглеждат периодично политиката за поверителност за информация относно актуални промени.
РАЗДЕЛ XII. КОНТАКТИ И ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ
Член 22. Комуникация с администратора
(1) За всички въпроси, свързани с обработването на лични данни, упражняването на права или други запитвания относно настоящата политика, субектите на данни могат да се свържат с администратора чрез формата за контакт, налична на уебсайта foodstore.bg, или чрез другите средства за комуникация, публикувани на сайта.
(2) При подаване на искане за упражняване на права, субектът на данните следва да предостави достатъчна информация за своята идентификация, за да може администраторът да обработи искането по подходящ начин. Администраторът може да поиска допълнителна информация за потвърждаване на самоличността на лицето, подаващо искането, когато съществуват основателни съмнения относно идентичността му.
Член 23. Заключителни разпоредби
(1) Настоящата Политика за поверителност представлява неразделна част от общите условия за използване на уебсайта foodstore.bg и следва да се тълкува в съответствие с тях. При противоречие между разпоредбите на политиката и общите условия, предимство имат разпоредбите на настоящата политика по въпросите, свързани със защитата на личните данни.
(2) Ако някоя разпоредба на настоящата политика бъде обявена за недействителна или неприложима от компетентен орган, това не засяга валидността и приложимостта на останалите разпоредби, които остават в пълна сила и действие.
(3) Настоящата политика се урежда от законодателството на Република България. Всички спорове, произтичащи от или във връзка с тълкуването или прилагането на настоящата политика, които не могат да бъдат решени по взаимно съгласие, се отнасят за разглеждане пред компетентните български съдилища.
Последна актуализация: 26 септември 2025 г.