България
Свържете се с нас 02/974 0220
Свържете се с нас
Онлайн чат
Поръчка онлайн

ПРАВИЛА
ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ВЪВ ВРЪЗКА С ДОГОВОРИ С МАГАЗИНИ


Настоящите Правила за обработване и защита на личните данни във връзка с договори с магазини („Правила“) са приети от “Идънред България” АД, ЕИК: 130526402, със седалище и адрес на управление в гр. София 1784, р-н "Слатина", бул. „Цариградско шосе“ 137, ет. 3, представлявано от изпълнителния директор Меди Бенбугера („Идънред“ или “Администратор”) на 25.05.2018г. 
Правилата са насочени към магазините, търговските обекти и вериги, с които Идънред сключва договори за обслужване на ползватели относно ваучери за храна, ваучери за безплатна храна, ваучери за подарък и ваучери за ‘награда’ („Договорите“) в качеството му на оператор, наричани за краткост в настоящите Правила „Магазини“ (което включва всякакви обекти за търговия с храни, включително магазини за хранителни стоки, супермаркети, хипермаркети и др.) или „Обработващ“, а Магазинът и Идънред заедно „Страни“ и поотделно „Страните“.
Правилата целят да регламентират дейностите по обработване на лични данни в съответствие с разпоредбите на действащото законодателство за защита на личните данни в Република България, включително с оглед на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защита на личните данни“ или „Регламента“).

1.    ДЕФИНИЦИИ
1.1    В тези Правила термините „лични данни“, „субект на данни“ и „обработване на лични данни“ имат значението, което им е дадено в Регламента или в съответните български закони, наредби и насоки, в сила към съответния момент.

2.    ПРЕДМЕТ НА ПРАВИЛАТА
2.1    Настоящите Правила урежда правата и задълженията на Страните във връзка с обработването на лични данни, които Обработващият ще обработва от името на Администратора по прозрачен за субектите на данните начин.
2.2    Спазването на Правилата от всяка една от Страните е без допълнителни разходи за другата Страна.
2.3    Обработването, което следва да бъде осъществено от Обработващия по Договорите, ще включва обработването, посочено в Приложение № 1 (Информация относно Обработването на данните) към Правилата.
2.4    За избягване на съмнение, настоящите Правила могат да бъдат изменяни едностранно от Идънред, в следствие изменение на регулаторната рамка, приложимото законодателство и/или с цел да се отразят промени произтичащи от вътрешните правила или решения взети в групата дружества на Идънред. Изменената версия ще се счита за приложима от датата на поставянето й на интернет страницата на Идънред, като ще отразява поредността на версията и датата на изменението й. 

3.    ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
3.1    Всяка Страна спазва законите за защита на личните данни, поверителността или други подобни закони, наредби и насоки, в сила към съответния момент в Република България („Закони за защита на личните данни“), включително, но не само, Общия регламент за защита на личните данни, които се прилагат във връзка с всички лични данни, обработвани по и във връзка с Договорите.
3.2    Обработващият ще спазва онези изисквания на вътрешните политики на Идънред, които се отнасят до неговите задължения по отношение на обработването на личните данни по Договорите и които са му съобщени от Администратора.
3.3    По отношение на личните данни, предоставени на Обработващия във връзка с Договорите (и независимо дали са предоставени от Администратора, от субекта на данните или по друг начин), Обработващият гарантира, че: 
3.3.1    обработва такива лични данни единствено за целите и съгласно указанията, съобщени му от Администратора и документирани, съгласно българското законодателство, включително Закона за електронния документ и електронните удостоверителни услуги, в съответствие с принципите и изискванията на Общия регламент за защита на личните данни;
3.3.2    поддържа подходящите технически и организационни мерки за сигурност на обработването (включително, но не само, подходящите политики, съобщени на служителите, непрекъснатото управление на спазването им в хода на работата и ефективни мерки за защита) по отношение на личните данни, а също и за защита срещу случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване на личните данни, така че да осигури обработването и степента на защита на личните данни, съгласно Законите за защита на личните данни;
3.3.3    по-конкретно, Обработващият гарантира, че лицата, оправомощени да обработват личните данни (негови служители или подизпълнители), са поели ангажимент за поверителност или са задължени по закон да спазват поверителност, както и че ще предприеме мерки, за да осигури всяко физическо лице, действащо съгласно неговите правомощия, което има достъп до лични данни, да не обработва личните данни освен при спазване на Законите за защита на личните данни.
3.4    Всяка от Страните, с цел да улесни спазването от другата Страна на Законите за защита на личните данни, осигурява на другата Страна достъп до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящите Правила и Законите за защита на личните данни; предоставя копия от доклади за защита, одит и контрол, както и други документи, изготвени от одиторите или други лица, действащи по поръчение на, за или от името на Страната или от компетентните органи, които се отнасят до обработването или защитата на личните данни и които могат да бъдат резонно изисквани от другата Страна; както и позволява и допринася за извършването на проверки и одити, както и за осъществяването на правата и задълженията на Страната съгласно Законите за защита на личните данни, в случай че такива документи, действия и съдействие се изискват резонно от другата Страна или от оправомощени от нея лица.  В случай че някоя от Страните има информация за случай на неоторизирано, незаконно или недобросъвестно поведение, или дейности или каквото и да е друго нарушение на условията на настоящите Правила, или на приложимите Закони за защита на личните данни, съответната Страна уведомява незабавно другата Страна за това и сътрудничи с цел предприемане на необходимите мерки съгласно приложимите Закони за защита на личните данни.
3.5    С оглед спазването на правата на субектите на данни, Обработващият ще запише и след това реферира всички молби на субекти на данните, които получи, към Администратора в рамките на 3 (три) работни дни от получаването на всяка молба.  Доколкото е възможно, Обработващият ще съдейства на Администратора при осъществяването на неговото задължение да отговори на молбите на субектите на данни.  
3.6    Във връзка с всяко неспазване на защитата на личните данни (реално или подозирано), свързано с Договорите, включващо Обработващия (или подизпълнител), или по друг начин узнато от Обработващия, по силата на Законите за защита на личните данни, Обработващият ще: 
(a)    информира Администратора за нарушението без ненужно забавяне (но в никакъв случай по-късно от 24 часа след като е бил уведомен за нарушението на личните данни);
(b)    предостави на Администратора без ненужно забавяне (където това е възможно, не по-късно от 48 часа след като е бил информиран за нарушението) информация, която той би изискал разумно, относно: 
(i)    характера на нарушението, включително категориите и средния брой на субектите на лични данни и засегнатите записи на лични данни; 
(ii)    всички разследвания по такова нарушение; 
(iii)    евентуалните последствия от нарушението; и
(iv)    всички предприети мерки, или тези, които Обработващият препоръчва да бъдат взети, за да се овладее нарушението, с цел да се смекчат неговите възможни неблагоприятни последствия,
при условие, че Обработващият разумно счита, че няма да бъде възможно информацията да бъде предоставена в тази времева рамка, то той, ще обясни на Администратора преди края на периода причините за забавянето и кога очаква да успее да я предостави (което може да бъде поетапно) и ще дава на Администратора регулярни актуализации по тези въпроси; и  
(c)    осигури разумно сътрудничество и помощ на Администратора във връзка с всяко коригиращо действие, което да бъде предприето в отговор на нарушаване на личните данни, включително що се отнася до всяка комуникация относно нарушаването на лични данни на физическите лица, чиито лични данни са засегнати.
3.7    Администраторът ще има право да споделя всяко уведомление и информация, предоставени от Обработващия по силата на клауза 3.6, с Комисията за защита на личните данни или всеки друг регулаторен орган при спазване на Законите за защита на личните данни.

4.    ПОДИЗПЪЛНИТЕЛИ
4.1    Обработващият няма право да възлага обработването на лични данни на трето лице без изричното писмено съгласие на Администратора.  В случай, че Обработващият включи друг обработващ лични данни (подизпълнител) за извършването на специфични дейности по обработване, Обработващият налага на подизпълнителя и съблюдава изпълнението на същите задължения, гаранции и отговорности за защита на личните данни съгласно тези Правила и Законите за защита на личните данни.
4.2    В случай, че третото лице, обработващо личните данни по инструкция на Обработващия не изпълни задължението си за защита на данните, Обработващият продължава да носи пълна отговорност пред Администратора за изпълнението на задълженията на този друг обработващ лични данни.

5.    ОБЕЗЩЕТЕНИЕ
5.1    Обработващият ще обезщети и ще осигурява обезщетение на Администратора във връзка с всички искове, претенции, дела, разходи, разноски (включително, но не само, правни разходи и плащания на база пълно обезщетение), вреди, загуби и щети, претърпени или възникнали от, присъдени срещу или договорени да бъдат платени от Администратора, произтичащи от или във връзка с:
5.1.1    Обработващия, действащ извън или против законните инструкции на Администратора; и
5.1.2    всяко съществено нарушение от страна на Обработващия на неговите задължения за защита на данни по тези Правила или Законите за защита на личните данни. 
5.2    Администраторът ще обезщети и ще осигурява обезщетение на Обработващия във връзка с всички искове, претенции, дела, разходи, разноски (включително, но не само, правни разходи и плащания на база пълно обезщетение), вреди, загуби и щети, претърпени или възникнали в резултат от, присъдени срещу или договорени да бъдат заплатени от Обработващия, произтичащи от или във връзка с: 
5.2.1    всяко съществено нарушение от страна на Администратора на негово задължение по тези Правила; и
5.2.2    Всяко обработване, извършено от Обработващия или от подизпълнител по силата на инструкция на Администратора, която нарушава Законите за защита на личните данни:
(i)    При условие, че Обработващият е уведомил Администратора, че инструкцията му нарушава Законите за защита на личните данни;
(ii)    Освен до степента, в която Обработващият е в нарушение на настоящите Правила по друг начин, а това нарушение отделно причинява или допринася за претърпените вреди.
5.3    Ако някоя от Страните получи претенция за компенсация, свързана с обработката на лични данни, то тя надлежно ще предостави на другата уведомление и подробна информация за такава претенция.
5.4    Страната, която ще осъществи действието:
5.4.1    няма да признае отговорност, нито ще се съгласи на договорка или компромис относно съответната претенция без предварителното писмено съгласие на другата Страна (която няма да бъде неоснователно възпирана или задържана); и 
5.4.2    ще се консултира изцяло с другата Страна във връзка с всяко такова действие, а условията на всяко споразумение или компромис, относно претенцията, ще бъдат ексклузивно решение на Страната, която носи отговорност по настоящите Правила за заплащане на компенсацията.
5.5    Без да се ограничава задължението на Страната спрямо субект на лични данни по силата на Законите за защита на личните данни, с цел избягване на съмнение, във връзка с всякаква компенсация, която е разпоредена от Комисия за защита на личните данни или друг компетентен орган да бъде заплатена от страна ("Компенсираща страна"), страните се споразумяват, че Компенсиращата страна няма да бъде упълномощена да претендира на свой ред от другата Страна каквато и да е част от компенсация, платена от Компенсиращата страна във връзка с такава щета до степента, до която Компенсиращата страна носи отговорност за обезщетяването на другата Страна в съответствие с клауза 5.1 или 5.2 (според случая).

6.    СРОК И ПРЕКРАТЯВАНЕ
6.1    Обработващият е обвързан с тези Правила за срока на действие на Договорите.
6.2    След прекратяване на Договорите или след приключване на съответната услуга по обработване или при писмено искане от страна на Администратора, Обработващият заличава по сигурен начин или връща на Администратора (съгласно инструкциите на Администратора) всички лични данни след приключване на услугите по обработване или след изпълнение на целите по обработване и заличава съществуващите копия, освен ако Законите за защита на личните данни не изискват тяхното съхранение.

7.    ОБЩИ РАЗПОРЕДБИ
7.1    Изменения и допълнения на Правилата могат да се извършват от Администратора само в писмена форма, като съответните изменения ще бъдат качени на уебсайта на Администратора.
7.2    Приложимото право към тези Правила е българското право.  За избягване на съмнение, в случай на противоречие на клаузите на тези Правила с разпоредба на Законите за защита на личните данни, законовите разпоредби ще имат предимство.
7.3    Всички спорове, възникнали от или във връзка с тези Правила, включително тяхната валидност, прекратяване и тълкуване, се решават от Страните по взаимно съгласие, а доколкото такова не бъде постигнато, спорът се отнася пред компетентния български съд.
7.4    В случай на несъответствие между българския и английския текст на настоящите Правила, българската версия има предимство.

Приложения:
Приложение № 1 Информация относно обработка на данни;