Политика за защита на личните данни

01Обхват и цели на Политиката

Настоящата Политика описва принципите, правните основания и мерките, прилагани при обработката на лични данни на потребителите на www.pergoli.net, с цел:

• Гарантиране на законосъобразност, справедливост и прозрачност на обработката.
• Осигуряване на навременно и коректно информиране на субектите на данни.
• Упражняване и защита на правата на субектите съгласно GDPR и ЗЗЛД.
• Прилагане на адекватни технически и организационни мерки за конфиденциалност, цялост и достъпност.

02Терминология и определения

• Лични данни — информация, идентифицираща физическо лице (GDPR чл.4(1)).
• Администратор (Контролер) — лицето, определящо целите и средствата за обработка (GDPR чл.4(7)).
• Обработващо лице (Процесор) — субект, обработващ данни от името на Администратора (чл.4(8)).
• Съгласие — свободно, конкретно, информирано и еднозначно заявление за обработка (чл.4(11)).
• Субект на данните — физическото лице, чиито данни се обработват.

03Категории събирани лични данни

Доброволно предоставени данни

• Име и фамилия
• Имейл адрес
• Телефонен номер (вкл. Viber)
• Адрес и данни за проекта при генериране на оферта
• Допълнителни бележки и изисквания

Технически данни

• IP адрес, тип устройство, браузър, операционна система
• Дата и час на достъп, Referrer URL, време на престой

Cookie-та и аналогични технологии

• Необходими (session cookies)
• Аналитични (Google Analytics, Hotjar)
• Функционални (запаметяване на предпочитания)
• Маркетингови (Facebook Pixel, Google Ads)

Данни от трети източници

• Информация от социални мрежи чрез Social Plugins
• Данни от партньорски платформи (CRM, ERP)

04Правни основания за обработка и цели

Можете да оттеглите съгласието си по всяко време на dimitrov@home-plast.bg. Оттеглянето не засяга законността на обработката преди оттеглянето.

Задължение за предоставяне на данни: предоставянето на лични данни при запитване или поръчка е доброволно, но необходимо за изготвяне на оферта. Непредоставянето означава, че не можем да обработим запитването Ви.

05Срокове за съхранение

След изтичане на сроковете данните се анонимизират или изтриват по сигурен начин.

06Разкриване и прехвърляне на данни

• Служители на Хоумпласт — само тези, имащи нужда от достъп за служебни цели.
• Външни процесори:
  • Хостинг доставчици (AWS, Cloudflare)
  • Email услуги (MailChimp, SendGrid)
  • Платформи за чат (Viber, WhatsApp Business API)
  • Аналитични системи (Google Analytics, Hotjar)
  • CRM и счетоводен софтуер
• Правоохранителни органи — при законово задължение.

При трансфер извън ЕИП се използват стандартни договорни клаузи, одобрени от Европейската комисия.

07Права на субектите и упражняване

• Достъп — потвърждение и копие от данните (GDPR чл.15).
• Корекция — коригиране на неточни или непълни данни (чл.16).
• Изтриване — „право да бъдеш забравен" (чл.17).
• Ограничаване — временно ограничаване на обработката (чл.18).
• Преносимост — получаване на данните в структуриран формат (чл.20).
• Възражение — срещу обработка на база легитимен интерес (чл.21).
• Оттегляне на съгласие — без засягане законността на предишната обработка (чл.7(3)).

Изпратете писмено заявление до dimitrov@home-plast.bg. Отговор в рамките на 30 дни.

Срок за отговор: Администраторът отговаря в рамките на 30 дни. При сложни случаи срокът може да бъде удължен с още 60 дни, за което субектът ще бъде уведомен.

Право на жалба до надзорния орган:
Комисия за защита на личните данни (КЗЛД)
Адрес: бул. „Проф. Цветан Лазаров" №2, 1592 София
Тел.: +359 2 915 3518
Имейл: kzld@cpdp.bg  |  www.cpdp.bg

08Cookie-та и технологии за проследяване

Управлявайте или изтривайте Cookie-та чрез настройките на браузъра.

09Сигурност на информацията

Технически мерки

• SSL/TLS криптиране (HTTPS)
• Файъруол и DDoS защита (Cloudflare)
• Шифроване на данни в покой (AES-256)
• Регулярни резервни копия и план за възстановяване (BCP)

Организационни мерки

• Достъп по роля (RBAC)
• Двустепенна автентикация (2FA) за служителите
• Обучения по GDPR и информационна сигурност
• Вътрешни и външни одити на сигурността

10Уведомления при нарушение на сигурността

1. Незабавна оценка на естеството и обхвата на нарушението.
2. Уведомяване на КЗЛД в рамките на 72 часа (GDPR чл.33).
3. Информиране на засегнатите лица при висок риск (чл.34).
4. Документиране на инцидента и предприетите мерки.

11Оценка на въздействието (DPIA)

• DPIA се извършва при обработка на специални категории данни или широкомащабно наблюдение (GDPR чл.35).
• Включва описание на дейностите, оценка на риска и мерки за смекчаване.
• Резултатите се одобряват от DPO и се документират.

12Автоматизирано вземане на решения

Не използваме автоматизирано вземане на решения или профилиране с правни или значими ефекти върху субектите на данни.

13Защита на данни на деца

Уебсайтът не е предназначен за лица под 16 години. При установяване на неволна обработка на данни на дете без родителско съгласие, данните ще бъдат незабавно изтрити.

14Промени в Политиката

Политиката може да бъде преразглеждана. Всяка промяна ще бъде публикувана с нова дата на влизане в сила.

За въпроси и упражняване на права: dimitrov@home-plast.bg

15Обработка въз основа на легитимен интерес — балансов тест

При обработка на основание чл.6(1)(f) GDPR (легитимен интерес) Администраторът е извършил балансов тест, с който е преценено, че интересите или правата на субектите на данни не надвишават легитимния интерес на дружеството. Конкретно:

• Аналитика и подобряване на сайта — интерес: разбиране на потребителското поведение за оптимизация на съдържанието; мярка за смекчаване: IP анонимизация в Google Analytics.
• Защита от измами и злоупотреби — интерес: сигурност на системите и потребителите.
• Директна кореспонденция с потенциални клиенти — само при изрично проявен интерес от страна на субекта.

Субектите могат да възразят срещу обработка на база легитимен интерес по всяко време (GDPR чл.21).

16Договори с обработващи лица (DPA — чл.28 GDPR)

С всички трети страни, обработващи лични данни от името на Хоумпласт Инженеринг, са сключени договори за обработка на данни (Data Processing Agreements) съгласно чл.28 GDPR. Тези договори гарантират, че:

• Обработващите лица действат единствено по инструкции на Администратора.
• Прилагат подходящи технически и организационни мерки за сигурност.
• Не ангажират подобработващи лица без предварително писмено разрешение.
• Съдействат при упражняване на правата на субектите.
• Изтриват или връщат данните след приключване на услугата.

17Регистър на дейностите по обработване (чл.30 GDPR)

Хоумпласт Инженеринг поддържа вътрешен Регистър на дейностите по обработване съгласно чл.30 GDPR. Регистърът съдържа:

• Наименование и данни за контакт на Администратора и DPO.
• Цели на обработката.
• Описание на категориите субекти и лични данни.
• Категории получатели, включително трети страни.
• Срокове за изтриване на данните.
• Описание на техническите и организационни мерки за сигурност.

Регистърът се предоставя на надзорния орган при поискване.

18Поверителност по проект и по подразбиране (чл.25 GDPR)

Администраторът прилага принципа „privacy by design and by default":

• По проект: защитата на данните е интегрирана в процесите и системите от самото начало, а не като последващо допълнение.
• По подразбиране: събират се само минимално необходимите данни за конкретната цел; предварителните настройки са с най-висока степен на защита.
• Достъпът до данни е ограничен до служители с конкретна нужда (принцип на минималния достъп).
• Нови услуги и функционалности на сайта преминават преварителна GDPR-оценка преди внедряване.

19Социални добавки и трети платформи

Уебсайтът www.pergoli.net използва добавки и интеграции с трети платформи. При зареждане на страницата е възможно тези платформи да получат технически данни за Вашето устройство, дори без да сте влезли в профила си в тях:

• Facebook / Meta Pixel — за ремаркетинг и измерване на ефективността на реклами. Политика за поверителност: facebook.com/privacy
• Google Analytics / Google Ads — аналитика и реклама. IP адресите се анонимизират. Политика: policies.google.com/privacy
• YouTube (вградени видеа) — при гледане на вградено видео YouTube може да събира данни. Политика: policies.google.com/privacy
• Viber / WhatsApp Business — при контакт чрез тези платформи важат съответните им политики.

Администраторът не носи отговорност за обработката на данни от страна на тези трети платформи. Препоръчваме да се запознаете с техните политики.

20Пряк маркетинг и право на възражение

Ако сте предоставили имейл или телефон при запитване, е възможно да получавате информация за сродни продукти и услуги на Хоумпласт Инженеринг. Имате безусловно право да възразите срещу такава обработка по всяко време (GDPR чл.21(2)), без да е необходимо да посочвате причина.

• Изпратете имейл с „ОТКАЗ ОТ МАРКЕТИНГ" на dimitrov@home-plast.bg
• Използвайте линка за отписване в получено съобщение.
• Обадете се на 0888 001 532

При получено възражение прекратяваме маркетинговата комуникация незабавно и не по-късно от 5 работни дни.