Политика на ТОМБОУ БЪЛГАРИЯ ООД за защита на личните данни

Версия 1/01.10.2018 г.

Данни за Администратора:

„Томбоу България“ ООД
Местоположение: София 1000, бул. „Княз Ал. Дондуков“ 11, ет.7 и 8
Телефон: 02/ 492 00 00
Ел. поща: info@tombou.bg

Данни за контакт с Отговорник по защита на данните:

Весела Кръстева Петкова
Ел. поща: vpetkova@tombou.bg

От 2004 година ТОМБОУ-БЪЛГАРИЯ ООД осъществява дейност като Оператор на ваучери за храна. За този период стотици компании ни се довериха и повериха своите лични данни.

Разработихме нашата политика за защита на личните данни в прозрачна, разбираема и лесно достъпна форма, в съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО.
Една от основните грижи на ТОМБОУ-БЪЛГАРИЯ ООД е сигурността на личните данни на физическите лица – наши клиенти, служители, доставчици и партньори. Предприели сме необходимите мерки, за да приведем дейността си в съответствие с най-добрите практики и законови изисквания за защита на информацията и нейната поверителност.
Когато събираме лични данни следваме принципите за свеждане на обработваните данни до минимум, законосъобразност, прозрачност и сигурност. Стремим се да обработваме само лични данни, които са от съществено значение и са подходящи за целите на предмета ни на дейност.

Когато споделяте лични данни с нас, ние ги обработваме съгласно тази политика. Моля, прочетете внимателно информацията, и ако имате някакви въпроси или нужда от информация за своите лични данни, свържете се с нас на адрес: гр. София, бул. Дондуков 11, email: info@tombou.bg или vpetkova@tombou.bg, телефон: 02/ 492 00 00.

Настоящата Политика за защита на личните данни („Политиката“) съдържа информация за нашите правила и възприети практики за опазването на личните данни и начина, по който събираме, използваме и защитаваме данните на клиентите, доставчиците, контрагентите, кандидатстващите за работа и други лица.

Политиката предоставя правилата относно начина на събиране, използване и споделяне на личните Ви данни от Томбоу. В този документ ще откриете информация как можете да получите достъп до и да актуализирате личните си данни, както и да вземете определени решения относно начините, по които личните Ви данни могат да бъдат използвани.
Настоящата политика се отнася както за нашите онлайн дейности по събирането на данни – включително личните данни, постъпили при нас по различни канали като, например, уеб сайтове и приложения, социални мрежи на трети страни и др., така и за данни, получени по телефон, лично, по ел. поща, чрез изпращане и получаване на данни от клиенти, доставчици и партньори на Томбоу. Тази политика разяснява също Вашите права относно личните Ви данни и как можете да упражнявате тези права.
В случай, че откажете да ни предоставите личните Ви данни, които са необходими за извършване да дадена услуга, възможно е да се окажем в невъзможност да Ви доставим поръчаните стоки и/или да Ви предоставим заявените услуги.

I. Категории лични данни, които обработваме

В зависимост от взаимоотношенията Ви с Томбоу и начина на комуникация с нас, събираме и обработваме различни по тип лични данни.

Когато изпращате запитване през форми на интернет страниците Ни събираме и обработваме:

  • Лице за контакт – имена, позиция, телефон, имейл;
  • Фирмени данни;
  • Брой служители в организацията;
  • Пощенски адрес;
  • Населено място;
  • Всички други данни, които доброволно въвеждате;
  • Всяка информация за компютърната система или друго техническо устройство, което използвате за получаване на достъп до някой от нашите уебсайтове или приложения (например, интернет протокола (IP), използван за свързването на Вашия компютър или устройство с интернет мрежата, ползваната операционна система и браузър и тяхната версия).

Когато препоръчвате клиент през форми на интернет страниците Ни събираме и обработваме:

  • Данни на препоръчаната организация: име и адрес на организацията; данни на лица за контакт – име, позиция, телефон, имейл;
  • Данни на лицето което препоръчва: име, позиция, организация в която работи, телефон, имейл;
  • Всички други данни, които доброволно въвеждате;
  • Всяка информация за компютърната система или друго техническо устройство, което използвате за получаване на достъп до някой от нашите уебсайтове или приложения (например, интернет протокола (IP), използван за свързването на Вашия компютър или устройство с интернет мрежата, ползваната операционна система и браузър и тяхната версия).

Други лични данни, които ни разкривате – лични данни, съдържащи се във Ваши писма или съобщения до нас, в жалби, оплаквания или сигнали.

Лични данни на лица, свързани с клиенти, партньори или доставчици – имена, телефон, ел. адрес и заемана в компанията позиция на представляващи лица и лица, с които се поддържа контакт.

Лични данни, обработвани при посещение на интернет сайт и офиса на Дружеството
При посещение на сайт на Дружеството ние използваме автоматични технологии за събиране на: адреса на Вашия интернет протокол (IP), информация за вход, тип и версия на браузъра, настройка на часови зони, видове и версии на браузъра; информация за използваната операционна система и платформа; информация за Вашето посещение и продължителност, включително URL, които преминават към, през и от нашите сайтове, както и друга подобна информация и статистически данни за Вашите взаимодействия, включващи времето за реакция на дадено съдържание, грешки при изтеглянето на данни и продължителността на посещението на определени страници.
Нашите интернет страници, посочени по-горе, използват „бисквитки“ и социални приставки, за да функционират по-добре и ефективно. При посещение на сайта те събират ограничен набор от информация автоматично, която се използва за анализ и реклама. За да научите повече за информацията, която се събира, както и за начините да контролирате това, прочетете Политиката за употреба на „бисквитки“ тук.

Когато посещавате нашия офис, с цел защита на Вашата и нашата сигурност, използваме мерки за физическа охрана като наблюдение със CCTV камери. В тези случаи, личните данни, които обработваме, са дата и час на достъп до офиса, както и видеоизображение. Записите не се използват за наблюдение на поведение на служителите и посетителите. Съхраняваме тези данни за кратки срокове (не-повече от 30 дни), на сигурно място, като позволяваме само на ограничен кръг лица да имат достъп до тях при необходимост.

Лични данни, обработвани за целите на директен маркетинг, подобряване на обслужването и за реклама
С цел подобряване на нашите услуги и качеството на обслужване, обработваме лични данни, съдържащи се във форми за обратна връзка от клиенти и доставчици, анкети и допитвания, данни от оплаквания, жалби и похвали.
За целите на директен маркетинг (на основание съгласие), ТОМБОУ използва Ваши данни за контакт, за да Ви информира за услуги и продукти, предлагани от Нас. В отделни случаи тези данни са придобити от публични профили и регистри. В случай че не желаете да се свързваме с Вас с тази цел, можете да се откажете по всяко време, както е посочено в раздел „Права на физическите лица“.

Лични данни на други лица
В определени случаи, ТОМБОУ обработва лични данни:

  • когато лицето посещава офиса на Дружеството – ще заснемем това лице и ще регистрираме дата и час на посещението;
  • когато лицето е служител на юридическо лице, с което ТОМБОУ има сключен договор за производство на ваучери или карти за гориво Shell – Дружеството действа в качеството си на обработващ данните на тези лица и ги обработва по възлагане на клиента на Томбоу по силата на сключен договор;
  • когато лицето кандидатства при ТОМБОУ за работа събираме лични данни: имена; дата на раждане; снимка; данни за образователния и професионалния опит; автобиография и мотивационни писма; данни, посочени от кандидатстващия в автобиографията и други;
  • когато лицето е наето по трудови и извънтрудови отношения с ТОМБОУ събираме и обработваме всички данни, необходими за сключване и изпълнение на договорите, поддържането на трудови досиета, изплащане на възнаграждения, упражняване на правата по трудовото правоотношение, упражняване на правата при временна неработоспособност и трайно намалена работоспособност, осигуряване на здравословни и безопасни условия на труд прилагайки законодателството, както и други, съгласно Политиката за защита на личните данни на служителите на ТОМБОУ.

Препоръчваме при контакт с нас да не ни изпращате повече от необходимите ни данни, посочени по-горе, включително и информация, която съдържа чувствителни лични данни (информация за расов и етнически произход, религиозни и политически убеждения, членство в профсъюзи и политически организации, сексуална ориентация, здравословно състояние и други). Когато – по каквато и да е причина – се налага да обработим Ваши чувствителни лични данни, ще разчитаме на Вашето изрично предварително съгласие за всяка такава обработка, която се извършва на доброволен принцип. Ако се наложи да обработим Ваши чувствителни лични данни за други цели, тази обработка ще се извърши на следните правни основания: за разкриване и предотвратяване на престъпление (включително предотвратяване на измами) или когато закон или друг приложим акт го изисква.

II. Цели и правно основание за обработване на лични данни

Ние обработваме лични данни със следните цели:

  • За да обработим препоръката за нов клиент, постъпила през интернет страницата Ни;
  • За да обработим запитвания, постъпили по телефон, на място или през интернет страниците ни;
  • За да подготвим платежни документи;
  • За маркетингови цели, ако е предоставено съгласие или не е постъпил отказ, в отговор на проведен разговор или получено от Нас маркетингово съобщение;
  • За да комуникираме по телефон, имейл или лично, след като физическо лице се свърже с нас;
  • За да идентифицираме физическите лица;
  • За обслужване на клиенти – за да предоставим договорени продукти и услуги и изпълним задълженията си по договор;
  • За производство на „персонализирани“ ваучери и издаване на карти за гориво Shell – когато Ни се предоставят по възлагане от нашите клиенти по силата на сключен договор;
  • За пазарни проучвания и анализи – в съответствие с приложимите закони използваме лични данни за провеждане на пазарни проучвания и измерване на ефективността на нашите рекламни кампании;
  • За други цели, определени в договор или в Общи условия на Томбоу;
  • Когато е приложимо използваме бисквитки (cookies) с други лични данни, които вече потребителите на интернет страниците ни са споделили с нас, за осигуряване на правилното функциониране на уебстраниците ни и приложенията в тях, за правилно показване на съдържанието, за създаване и запомняне на съдържание, за подобряване на сайтовете.

В зависимост от целта, за която се използват данните, правните основания да обработваме лични данни, може да са едно или няколко от изброените:

  • за подготовка и изпълнение на договор за услуга, сключен между ТОМБОУ и клиент/доставчик/партньор;
  • за предоставяне, управление, изпълнение и фактуриране на заявени ваучери, карти и услуги;
  • при задължително обработване на данни по силата на законово задължение, включително задължения за сътрудничене с и предаване на данни на държавни органи и институции;
  • за защита на наш легитимен интерес;
  • за защита на нашите права и законни интереси при събиране на вземания, произтичащи от договорни споразумения, регресни искове, застрахователни претенции и др.;
  • за обработка на жалби, оплаквания, препоръки и друга комуникация с клиенти, доставчици и партньори;
  • за осъществяване на контакт, например за отправяне на важни съобщения и уведомления.

Ако ни предоставите Вашето съгласие, ние обработваме Вашите данни за маркетингови цели – да Ви изпращаме информация за нашите продукти и услуги, които са насочени към организацията, в която работите или управлявате. Можете да отмените/оттеглите съгласието си за обработката на данните Ви за маркетингови цели по всяко време, както е посочено в раздел „Права на физическите лица“. Ако откажете обработването на данните Ви за маркетингови цели, няма да използваме данните Ви за посочените цели. Оттеглянето не засяга законосъобразността на обработването преди постъпването на отказа.

III. Категориите получатели на лични данни

Ние поемаме ангажимент да защитим и пазим Вашите данни, като работим единствено с доверени партньори. Ние никога не предоставяме или продаваме Вашите данни. Ние зачитаме Вашите права и винаги се стремим да се съобразим с Вашите искания доколкото е възможно съгласно нашите законови и оперативни отговорности.

Вашите лични данни могат да се обработват от наше име и от наши доверени доставчици и подизпълнители. Можем да поверим услуги, които изискват обработка на Вашите лични данни, на доставчици на ИТ услуги, хостинг услуги, поддържане на нашите бази данни, софтуер и приложения, които могат да съдържат данни за Вас, социални мрежи, уеб аналитик и търсачки, използване на инструменти за прецизиране на съдържание, генерирано от потребители, пощенски услуги и доставки, рекламни, маркетингови, дигитални и социални медийни агенции, които да ни съдействат за организиране на рекламни и маркетингови кампании, за анализиране на тяхната ефективност и управление на Вашите контакти и въпроси, куриери и доставчици за доставяне на направените от Вас поръчки на продукти.

Можем да споделяме Вашите лични данни, за да спазим своите законови и корпоративни задължения, за да предотвратим измама и/или да защитим своите интереси или да подобрим своите услуги.

Когато защитаваме правата и легитимните си интереси и ако използваме услугите на външни консултанти, адвокати, одитори, и др., им разкриваме онзи обем от лични данни, който е необходим, за да ни съдействат и предоставят услугите, за които сме ги наели.

Можем да предоставяме Ваши лични данни на трети страни и в случай, че:

  • Имаме задължение да разкрием или споделим Ваши лични данни, с цел спазване на законово задължение, за защита на правата, собствеността или безопасността на ТОМБОУ, нашите клиенти и служители или във връзка с договорни и легитимни интереси;
  • Ако сте дали своето съгласие за това;
  • При други обстоятелства, ако имаме право да правим това по закон.

Доставчиците на услуги и определени от тях служители имат достъп и използват личните Ви данни единствено за реализирането на конкретните задачи, с които са натоварени и въз основа на нашите указания, и са задължени да опазват и защитават личните Ви данни.

Повече информация относно това с кого и в какви случаи споделяме Ваши лични данни, можете да получите след запитване до нашия Отговорник по защита на личните данни на посочените по-горе контакти.

IV. Срокове за съхранение на лични данни

Ние съхраняваме Вашите лични данни само доколкото това се налага, за да отговорим на Вашите нужди, за целите за които ги съхраняваме или съгласно нашите законови, корпоративни (на ниво група Up) и договорни задължения. Когато вече нямаме нужда от Вашите лични данни, ги изтриваме от своята система или ги правим анонимни, така че Вие вече не може да бъдете идентифицирани по тях.

За да определим срока за задържане на Вашите лични данни прилагаме следните критерии:

  • Когато подадете запитване през интернет страниците ни от момента на постъпването му запазваме Вашите данни за срок от 5 години;
  • Когато сте дали съгласието си за маркетингови цели или не сте подали изричен отказ за това, съхраняваме Вашите лични данни докато не се откажете и подадете отказ към нас;
  • Данните, обработвани по повод и във връзка с изпълнение на сключени договори с клиенти, доставчици и партньори, се съхраняват съгласно българското законодателство за данъчни и счетоводни цели, както и за да можем да управляваме своите права (например, да подаваме искове в съдилища) за срок от 10 години след прекратяване на договорните отношения;
  • Данните, отпечатани на ваучери, се съхраняват съгласно сроковете, определени от националното законодателство;
  • Данните, отпечатани на карти за гориво, се съхраняват за срок от 4 години;
  • Когато на компютъра има cookies, ги пазим докато е необходимо за изпълнение на целите им (например за продължителността на сесията за логване) съгласно Политиката на ТОМБОУ за „бисквитки“.

Данните от видеонаблюдението в офиса на ТОМБОУ се съхраняват за 30 дни, освен ако за защита на наши правни претенции не се налага по-дълъг срок на обработване – например за целите на допълнително разследване на инциденти.
Следва да имате предвид, че по време на висящо съдебно и/или извънсъдебно производство предоставените ни и съхранявани данни могат да бъдат последващо обработвани за целите на тези производства.

V. Права на физическите лица

Всяко лице, за което се отнасят лични данни, обработвани от Томбоу, има право да получи потвърждение и/или подробна информация относно обработваните му лични данни, вкл. копие на обработваните му лични данни (право на достъп).
Лицето има право да възрази срещу събирането и по-нататъшната обработка на личните му данни, както и да поиска същите да бъдат коригирани (актуализирани) или изтрити (когато за нас не е налице валидно правно основание да продължим да ги обработваме).
Лицето има право да поиска да ограничим обработката на данните му, ако:

  • оспорва верността на данните – ограничението ще се прилага за времето, необходимо за проверка на точността на данните;
  • обработката на данните е незаконна, но лицето отказва да ги изтрием и вместо това желае ограничаване на обработката;
  • вече не изискваме данните за определената цел, но лицето се нуждае от тях, за да наложи или да защити законни искания, или
    е повдигнало възражение срещу обработваните от нас данни.

Лицето има право да оттегли съгласието си за обработване на лични данни за маркетингови цели:

  • Чрез подаване на писмено искане/отказ по ел. поща (в свободен текст);
  • с подписване на място в офиса на Дружеството на „ Декларация за оттегляне на съгласие за обработване на лични данни за маркетингови цели“;
  • ако лицето е получило от Нас маркетингово съобщение по ел. поща – с отговор с изписано в полето Subject „Unsubscribe” и празно съобщение;
  • ако сме се свързали с лицето по телефон – с устен отказ за обработка на данните за маркетингови цели.

Лицето може да поиска от нас да му предоставим в структуриран, обичаен и машинно четим формат, готови за пренос данните, които ни е предоставил за обработване („право на преносимост на данните“), при условие че:

  • ние обработваме тези данни на базата на негово съгласие или изпълняваме договор между нас и
  • тази обработка се извършва с помощта на автоматизирана процедура.

Ако лицето счита, че правата му са нарушени от Томбоу или е налице нарушение със сигурността на данните му от страна на Томбоу, има право да подаде жалба до Комисия за защита на личните данни: София 1592, бул. Проф. Цветан Лазаров 2, тел. 02/91-53-518, е-мейл: kzld@cpdp.bg и/или друг надзорен/регулаторен орган.
За да зададете въпроси във връзка с Вашите права или ако искате да упражните някое от тях, моля свържете се с Отговорник по защита на личните данни на посочените по-горе контакти.
За да Ви идентифицираме и да сме сигурни, че предоставяме информация на Вас, както и за да защитим Вашите интереси, запитвания и заявки по телефона няма да приемаме за валидни.
Ще отговорим на всяко Ваше искане без излишно забавяне в рамките на 30 дни от получаването на искането. Ако не сме в състояние да го сторим по независещи от нас причини, ще Ви уведомим своевременно, като посочим и причините за забавянето.
В случай на съмнение, можем да изискаме допълнителна информация, за да потвърдим самоличността Ви. Това се прави, за да защитим Вашите права и поверителността на данните Ви.
Ако поискате да упражните някое от посочените права и това искане очевидно е неоснователно или ако особено често заявявате желание да упражните свое право, може да изискваме да платите съответна такса за обработка или дори да отхвърлим искането Ви.

V. Защита и сигурност на личните данни

Ние винаги правим най-доброто, за да защитим Вашите лични данни и след като получим Вашите лични данни, прилагаме строги процедури и мерки за сигурност, за да предотвратим неупълномощен достъп, поверителност и сигурност на данните.

Във връзка с влизането в сила на новите Европейски правила за защита на личните данни, от Дружеството предприехме детайлен анализ и одит на всички наши процеси, свързани с обработване на лични данни. В рамките на този анализ ние проверяваме партньорите си, ревизираме процедурите си и правилата си и обучаваме служителите си, за да гарантираме спазването на най-високи стандарти за поверителност и сигурност на личните данни.

В Томбоу има внедрена и сертифицирана Система за управление на информационната сигурност (ISMS) съгласно изискванията на ISO/IEC 27001, с която се гарантира поддържането на адекватни мерки за сигурност за защита на информацията и в частност на личните данни.
Всички потребители трябва да са наясно с многобройните рискове, свързани със сигурността на информацията, и да предприемат подходящи стъпки, за да защитят собствената си информация и устройства за обработка на информацията. Ние не поемаме отговорност за нарушения, които настъпват вследствие на действия или бездействия, извън нашата сфера на контрол.

Промени в настоящата политика
Всяка промяна на настоящата политика ще бъде обявена на интернет страницата на ТОМБОУ-БЪЛГАРИЯ ООД.