Райд Шеър България ЕАД

 

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

София

2023

 

 

 

 

 

 

 

 

Съдържание

 

ОСНОВНИ ОПРЕДЕЛЕНИЯ                                                                                    

ОБЩИ РАЗПОРЕДБИ                                                                                              

ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ПРЕДОСТАВЯНЕ НА УСЛУГА ПО СПОДЕЛЕНО ПОЛЗВАНЕ НА ЕЛЕКТРОМОБИЛ                                                                      

ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ДИРЕКТЕН МАРКЕТИНГ                  

НАБЛЮДЕНИЕ НА МОБИЛНОСТТА                                                         

ПЕРИОДИ НА СЪХРАНЕНИЕ НА ДАННИ                                                            

ПРАВА НА СУБЕКТИТЕ НА ДАННИ                                                                     

ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ                                            

ПРОЦЕДУРА ЗА УПРАВЛЕНИЕ НА НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ И СПРАВЯНЕ С ТАКИВА НАРУШЕНИЯ                                                                   

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

ДАННИ ЗА КОНТАКТ                                                                                              

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ                                                                          

1. ОСНОВНИ ОПРЕДЕЛЕНИЯ

1.1. "Отговорно лице" означава служителят на Администратора на данни, който по естеството на работата си има право да изпълнява специфичните функции, свързани с обработката.

1.2. "ОРЗД" означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните).

1.3. "Служител" означава лице, което е сключило трудов договор или подобен договор с Администратора на лични данни.

1.4. "Данни/ лични данни" означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице (субект на данни); идентифицируемо физическо лице е лице, което може да бъде идентифицирано пряко или косвено, по-специално чрез позоваване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическата, физиологичната, генетична, умствена, икономическа, културна или социална идентичност на това физическо лице.

1.5. "ДОД" означава договор за обработка на данни, който ще бъде подписан с всеки Обработващ лични данни в съответствие с условията, посочени в раздел 3 по-долу;

1.6. "Получател" означава физическо или юридическо лице, държавен орган, агенция или друг орган, на който се разкриват личните данни, независимо дали е трета страна, или не.

1.7. "Субект на личните данни" означава клиент или служител на Администратора на данни или всяко друго лице, чиито лични данни се обработват от Администратора на лични данни.

1.8. "Обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

1.9. "Обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на Администратора;

1.10. "Администратор" означава Райд Шеър България ЕАД, регистрационен номер на юридическото лице 204787918, регистриран на адрес: гр. София, п.к. 1612, р-н „Красно село“, ул. „Юнак“ № 11-13, ет. 4 . Доколкото при обработката на лични данни на регистрирани потребители на територията на Република България се използва мобилното приложение SPARK, „Райд Шеър България“ ЕАД действа като съвместен администратор на данни с дружеството майка - собственик на мобилното приложение,  посочено в т.1.14.

1.11. "Клиент" означава лице, което използва или е използвало услугите, предоставяни от Администратора.

1.12. "Наблюдение на мобилността" означава събиране и обработка на данни за служителите и клиентите, използващи превозните средства, принадлежащи на Администратора, независимо дали данните са записани във файл или не.

1.13. "Политика" означава настоящата Политика за защита на личните данни.

1.14. "Собственик на Мобилното приложение" означава  УАБ „СПАРК ТЕХНОЛОДЖИС“ / UAB SPARK TECHNOLOGIES, , дружество с ограничена отговорност, учредено и съществуващо съгласно законите на Литва, код на юридическото лице304953141 , гр. Вилнюс, Литва. Доколкото при обработката на лични данни на регистрирани потребители на територията на република България се използва мобилното приложение SPARK, Райд Шеър България ЕАД действа като съвместен администратор на данни с дружеството майка - собственик на мобилното приложение.

1.15. "Титуляр на сайта" означава Райд Шеър България ЕАД, регистрационен номер на юридическото лице 204787918 със седалище гр. София, п.к. 1612, р-н „Красно село“, ул. „Юнак“ № 11-13, ет. 4.

1.16. За целите на настоящата Политика останалите термини съответстват на термините, използвани в ОРЗД, българския Закон за защита на личните данни (наричан по-долу "ЗЗЛД") и българския Закон за електронния документ и електронния подпис (наричан по-долу "ЗЕДЕП").

 

2. ОБЩИ РАЗПОРЕДБИ

2.1. Администраторът събира определени Лични данни за целите на администрирането, провеждане на собствена дейност и упражнявано на законовите задължения.

2.2. Настоящата политика съдържа основните принципи и процедури за събиране, обработване и съхранение на лични данни на потребителите на уебсайта http://spark.bg/, администриран от Администратора (наричан по-долу "уебсайт") и мобилното приложение SPARK (наричано по-долу "мобилно приложение") (клиент). Преди да започнете да използвате Уебсайта и / или мобилното приложение, трябва внимателно да прочетете и да се запознаете с настоящата политика. Чрез използването на услугите, предоставяни от Администратора, потвърждавате, че приемате да спазвате настоящата Политика.

2.3. Субектът на данните няма право да използва Уебсайта и / или Мобилното приложение, ако не се е запознал с Политиката и не я приема. В случаите, когато Субектът на данни не е съгласен с Политиката или съответната част от нея, той не трябва да използва Уебсайта и / или Мобилното приложение. В противен случай се счита, че Клиентът се е запознал и е приел безусловно Политиката, с която изрично се е съгласил при регистрация.

2.4. Администраторът трябва да се съобразява с неприкосновеността на личните данни. Настоящата политика обяснява приемливата практика относно поверителността в нашата компания. Тя обяснява начините за събиране и използване на Вашите Лични данни и правата, упражнявани от Вас.

2.5. Използването на услугите на трети страни, като например услугите на социалната мрежа Facebook, може да се подчинява на общите условия на трети страни. Например, всички потребители и посетители на Facebook се подчиняват на Политиката за поверителност на данните. Следователно, за целите на използването на услугите на трети страни, се препоръчва да се запознаете с техните приложими условия.

2.6. Администраторът на данните следва да гарантира, че отговаря на следните основни принципи за защита на данните:

2.6.1. Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на Субекта на данните (законосъобразност, добросъвестност и прозрачност);

2.6.2. Личните данни се събират за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели; последващото обработване на лични данни за целите на архивирането в интерес на обществото, научни или исторически изследвания или статистически цели не се счита за несъвместимо с първоначалните цели (ограничаване на целта);

2.6.3. Личните данни трябва да бъдат подходящи, свързани с и ограничени до онези, които са необходими по отношение на целите, за които се обработват (минимизиране на данните);

2.6.4. Личните данни трябва да бъдат точни и, при необходимост, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или коригират незабавно (точност);

2.6.5. Лични данни, съхранявани във форма, която позволява идентифициране на субектите на данни, се съхраняват не по-дълго от необходимото за целите, за които се обработват личните данни; Личните данни могат да се съхраняват за по-дълги периоди, доколкото те ще бъдат обработвани единствено с цел архивиране за обществени интереси, научни или исторически изследвания или статистически цели в съответствие с член 89, параграф 1 от ОРЗД при условие, че са въведени подходящи технически и организационни мерки, изисквани от ОРЗД, за да се защитят правата и свободите на Субекта на данните (ограничаване на съхранението);

2.6.6. Личните данни се обработват по начин, който осигурява подходяща защита на личните данни, включително защита срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване или повреждане, като се използват подходящи технически или организационни мерки (цялост и поверителност).

2.6.7. Администраторът  носи отговорност и следва да е в състояние да докаже спазването на принципите, изложени по-горе (отчетност).

2.7. Данните се обработват, като се изпраща надлежно уведомление до Субектите на данните. Потребителите на мобилното приложение трябва изрично да се запознаят и съгласят с уведомлението за поверителност на Администратора преди да се регистрират за използване на мобилното приложение и/или сайта.

2.8. Данните се съхраняват за периодите, посочени за всеки вид лични данни, предвиден в настоящата политика. Съхраняването се извършва в съответствие с процедурите, предвидени в раздел А от настоящата политика.

2.9. Правата на Обработващия данни на достъп до данните се отменя в случай на прекратяване на договора за обработка на лични данни, сключен с Администратора или при изтичане на срока на споразумението.

2.10. Данните се предават на други Администратори и получатели, когато нормативните актове предвиждат правото и / или задължението да се извърши това на съответните основания.

2.11. Администраторът ще има право да предоставя лични данни на органите на следствието, прокуратурата или съда за целите на административното, гражданското, наказателното производство като доказателства или в други случаи, установени в закона.

 

3. ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ПРЕДОСТАВЯНЕ НА УСЛУГА ПО СПОДЕЛЕНО ПОЛЗВАНЕ НА ЕЛЕКТРОМОБИЛ

3.1. Администраторът предоставя на своите Клиенти услугата за споделяне на ползването на електрически автомобили, за чието предоставяне се обработват следните групи от Данни на Клиентите:

3.1.1. Име;

3.1.2. Фамилия;

3.1.3. Личен идентификационен номер;

3.1.4. Дата на раждане;

3.1.5. Място на пребиваване (адрес);

3.1.6. Имейл адрес;

3.1.7. Телефонен номер;

3.1.8. Свидетелство за управление (снимка) на МПС №, дата и място на издаване, валидност;

3.1.9. Определени данни за използваните от Клиента разплащателни карти, получени от компанията, предоставяща услугата за обработка на карти (вид карта, част от номера на картата);

3.1.10. Биометрични данни - снимка на лицето на клиента

3.2. Данните, посочени в параграфи 3.1.1 - 3.1.10, се получават директно от Клиента, но част от данните, записани в системата, могат да бъдат получени и от работодателя на Клиента, ако последният използва услугите на Администратора като клиент или служител на съответното дружество.

3.3. За целите на регистрацията, записването и отчитането на Клиентите, сключването, администрирането и изпълнението на договор, спазване на законови задължения (напр. автомобили да се предоставят само на правоспособни лица, спазване на изисквания за счетоводна отчетност, докладван на нарушения, гарантиране точността на данните),  защита и контрол върху притежаваните от дружеството активи, Администраторът допълнително осигурява следните Данни:

3.3.1. Категории на превозните средства, които Субектът на данни има право да управлява, датата на предоставянето на това право и датата на изтичането му ;

3.3.2. Местоположение на превозното средство, изминато разстояние, дата, час, скорост на движение на превозното средство и продължителност на използване на превозното средство;

3.3.3. Момент на отключване и заключване на превозното средство;

3.3.4. Промяна в нивото на зареждане на батерията на превозното средство, докато Клиентът използва превозното средство;

3.3.5. Начислена такса;

3.3.6. Данни за задължението;

3.3.7. Транзакционни данни като история на ползваните услуги, данни за задълженията (ниво на задълженост, размер на задължението, дата на възникване на задължението, краен срок, дата на плащане) кредитен рейтинг, натрупани еGo точки, равни на изминатите километри, награди.

3.3.8. Кореспонденция по повод оплаквания, искания, мнения, оценка на услугите или на други потребители и др. 

3.3.9. IT управленски данни като IP адрес, операционна система, комуникационни данни и други мета-данни от използването на приложението, местонахождение на мобилното устройство, докато се използвано.

3.3.10. Данни, свързани с правни или застрахователни претенции: данни за насени щети по електромобила, инциденти със сигурността/ пътнотранспортни произшествия или други нарушения в случай, че такива са настъпили, докато сте използвали електромобила (дата, място, час на ПТП/нарушение, размер на вреди, вина и т.н), неизплатени задължения, начислени неустойки и др.

3.4. Администраторът не трябва да предава на получателите посочените по-горе данни на Клиентите. Данните на бившите Клиенти се предоставят единствено на правоприлагащите органи съгласно установената в закона процедура.

3.5. Правните основания за обработката на лични данни за целите, посочени в т.3.1. и 3.3 по-горе, са член 6, параграф 1, буква б) и член 6, параграф 1, буква в) от ОРЗД.

3.6. На основание легитимния интерес на Администратора за развитие на бизнеса (член 6, параграф 1, буква е) от ОРЗД) анонимизирани агрегирани данни за използваните от клиентите услуги може да се използват още за целите на статистическия анализ и маркетинг проучвания след пълно премахване на идентифициращите Клиентите лични данни.

3.7. При съгласие от субекта на данни могат да се получат и данни за местонахождението на мобилното устройство, докато се използва мобилното приложение с цел уведомяване за наличните електромобили в непосредствена близост и отчитане на услугите, докато се използва мобилното приложение. Субектът на данни запазва правото си да оттегли по всяко време така даденото съгласие, като промени настройките на мобилното си устройство.

 

3.8. За да провери валидността на свидетелството за управление на МПС, Администраторът трябва да предостави определени Лични данни (като например номера на свидетелството за управление на МПС и персоналния идентификационен номер) на Обработващите, отговорни за извършване на проверка на регистрираните лични данни и за техническо и административно съдействие на Клиентите.

3.9. При предоставяне на услуги и осигуряване на надлежното им изпълнение, собственикът на мобилното приложение трябва да наеме RUPTELA UAB като Обработващ данни, осигуряващ информация, която позволява да се установи местоположението на превозното средство, периода на паркиране, скоростта на превозното средство, изминатото разстояние, датата, часа и продължителността на използването на превозното средство, моментът на отключване и заключване на превозното средство, промяната в нивото на зареждане на акумулаторната батерия на превозното средство, докато Клиентът използва автомобила, информация дали превозното средство се зарежда и дали вратата на автомобила е затворена.

3.10. За да осигури гладко и висококачествено уреждане на плащането на предоставените услуги, собственикът на мобилното приложение трябва да сключи договор за подизпълнение с доставчика на платежни операции Adyen, който посредничи при извършването на платежни операции.

3.11. Администраторът потвърждава, че за да се осигури защита на данните, са внедрени всички технически и организационни мерки за защита на данните.

3.12. Собственикът на мобилното приложение също така сключва договор за подизпълнение с Amazon Web Services Limited като Обработващ данни, който осъществява услугите по отдаване под наем и инсталиране на сървъри.

3.13. Администраторът сключва споразумение със собственика на мобилното приложение като съвместни Администратори, с което се определят съответните отговорности за защита на личните данни. Съгласно това споразумение "Райд Шеър България" ЕАД e отговорно за предоставяне на изискваната по закон информация и за обработване на исканията на субектите на данни, предвидени в ОРЗД и описани в настоящото уведомление, за потребителите на територията на Република България.

3.14. Администраторът и/или собственикът на мобилното приложение сключват споразумения с всички Обработващи данни от името на Администратора. Обработващите данни обработват лични данни само от името на Администратора за целите, определени в тези споразумения за защита на данните. В частност, всеки Обработващ следва да:

- обработва Лични данни само съгласно документираните указания на Администратора, включително по отношение на преноса на лични данни към трета държава или международна организация, освен ако не се изисква да се отклони от тези инструкции, за да изпълни изискванията на приложимия Регламент за защита на данните в ЕС, на който се подчинява Обработващият. В такъв случай, Обработващият трябва без неоснователно забавяне да информира Администратора за съответното изискване преди обработката на лични данни;

- гарантира, че лицата, упълномощени да обработват личните данни, са поели задължение за поверителност и спазване на приложимия регламент за защита на данните в рамките на ЕС или са обвързани с надлежно законово задължение за поверителност;

- съдейства на Администратора по негово изрично писмено искане, с оглед осигуряване на изпълнение на неговите законови задължения, като например свързаните със сигурността на данните при Администратора, оценката за въздействието върху защита на данните и предварително консултиране, заложени в ОРЗД, и, в частност, да внедри подходящи технически и организационни мерки за защита на Личните данни, попадащи в обхвата на Споразуменията за обработка на данни, от случайно или незаконно унищожаване, изгубване, изменение, неразрешено оповестяване или достъп до личните данни. За да се избегнат всякакви съмнения, страните изрично приемат, че Обработващият ще е длъжен да изпълнява всички свои задължения като Обработващ лични данни, при пълно спазване на Регламента за защита на личните данни, за своя собствена сметка;

- подпомага Администратора чрез прилагане на подходящи технически и организационни мерки за изпълнение на задължението на Администратора като Администратор на лични данни, а именно: да отговаря на исканията за упражняване на правата на Субектите на данни съгласно Регламента за защита на данните. Обработващият трябва незабавно да уведоми Администратора за всяко искане, отправено от който и да е Субект на данните, и да не отговаря на съответното искане, преди да получи указанията на Администратора;

- предоставя на Администратора цялата информация, необходима за доказване на спазването на задълженията на Обработващия личните данни, посочени в тези споразумения за обработка на данни и в ОРЗД, и да разрешава и да съдейства при одити, включително проверки, извършвани от Администратор или друг одитор, упълномощен от Администратора;

- поддържа точни записи за всички дейности по обработка съгласно договора за обработване на данни в съответствие с изискванията, посочени в ОРЗД, и да предоставя на Администратора съответните записи в рамките на десет (10) работни дни от получаване на искането от Администратора;

- гарантира, че никакви лични данни не се прехвърлят, пускат, възлагат, оповестяват или по друг начин предоставят на трета страна без предварителното изрично писмено съгласие на Администратора.

- гарантира, че задължения за защита на данните, подобни на тези посочени в настоящия документ, са наложени на другите Обработващи лични данни, които са ангажирани от Обработващия посредством договор. Обработващият носи отговорност пред Администратора за изпълнението на тези задължения от другите Обработващи;

- информира незабавно Администратора, ако дадено указание на Администратора нарушава Регламента за защита на данните или ако личните данни се обработват или ще бъдат обработвани при нарушаване на Регламента за защита на данните или Споразумението и информира незабавно Администратора на данните относно жалбите или одитите от надзорните органи за защита на данните, които са свързани с обработката на Лични данни;

- информира Администратора без неоправдано забавяне (но не по-късно от 48 часа), след като е узнал за нарушение в сигурността на личните данни, което означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни, които са предавани, съхранявани или обработвани по друг начин. Уведомлението трябва да описва естеството на нарушението, броя на засегнатите Субекти, вероятните последици от нарушението, предприетата или предложена мярка, както и други данни, свързани с нарушението, изброени в член 33, параграф 3 от ОРЗД; и

- при прекратяване на договора за обработка или по писмено искане на Администратора,  или да унищожи, или да върне всички Лични данни, освен ако не е предвидено друго в ОРЗД или националното законодателство в рамките на ЕС, на който се подчинява Обработващият.

 

4. ОБРАБОТКА НА БИОМЕТРИЧНИ ДАННИ С ЦЕЛ ТОЧНА ИДЕНТИФИКАЦИЯ

4.1. Администраторът може да обработва снимката/и на клиента с биометрични данни с цел:

·       точно идентифициране на клиентите, че регистрираните потребители са правоспособни съгласно изискванията на закона да управляват автомобил и идентични с шофьора на електромобила;

·       гарантиране точността на личните данни на Клиентите, тяхната сигурност и сигурността на трети лица;

·       превенцията на измами и пътнотранспортни произшествия, защита и контрол на имуществото на дружеството и установяване и упражняване на правни претенции. 

4.2. Правното основание за обработване на биометричните данни е установяване и упражняване на правни претенции (чл.9, ал.1, буква e) от ОРЗД).

4.3. За целите на събиране, обработване и съхранение на биометричните данни на клиентите, собственикът на мобилното приложение сключва договор за обработка на биометрични данни с JUMIO, които са сертифицирани с PCI DSS сертификат за защита на данните и предоставят високо ниво на защита еквивалентно на защитата на банковата информация.

4.4. Обработващият данни е длъжен да обработва данните единствено за целите на точната идентификация на клиентите и за никакви други цели.  Макар проверката за валидиране на данните и потвърждение на идентичността на клиента да се прави чрез автоматизирани средства, решенията за отказване на регистрация се вземат само след човешка намеса и допълнително валидиране на документите.

 

5.1. ОБРАБОТКА НА ЛИЧНИ ДАННИ С ЦЕЛ ДИРЕКТЕН МАРКЕТИНГ

5.1.1. Администраторът осъществява директен маркетинг по отношение на Клиентите.

5.1.2. За да получава предложения за услугите, предоставяни от Администратора, Клиентът трябва да даде съгласието си за обработка на Данни за целите на директния маркетинг в момента на регистрацията или да влезе в личния си профил и да избере функцията за получаване на информационен бюлетин.

5.1.3. Администраторът обработва следните лични данни на Клиентите за целите на директния маркетинг:

5.1.3.1. Име;

5.1.3.2. Фамилия;

5.1.3.3. Имейл адрес;

5.1.3.4. Телефонен номер;

5.1.3.5. Адрес.

5.1.4. Администраторът също така извършва директен маркетинг (изпращане на бюлетини и предложения по електронна поща) по отношение на лицата, които са въвели електронната си поща на уеб сайта на Администратора spark.bg и/ или в Мобилната заявка и са изразили желание да получават такива съобщения. В такъв случай Администраторът обработва електронния адрес на съответното лице.

5.1.5. Субектът на данни може да оттегли съгласието си по всяко време и да откажете получаването на бюлетини, като кликне върху връзката „отписване“ в изпратените от нас имейл съобщения, промени настройките за известия от профила си или изпрати нарочно съобщение с искане за това.

5.1.6. Данните, обработвани за целите на директния маркетинг, не се предават от Администратора на получателите.

5.1.7. Правното основание за обработката на данните е член 6, параграф 1, буква а) от ОРЗД.

5.1.8. При обработка на данни за целите на директния маркетинг Администраторът използва платформа Airship , чрез която се изпращат информационни бюлетини на Субектите на данни, както и Amazon Web Services Limited като обработващ данни, осъществяват услугите по отдаване под наем и инсталиране на сървъри.

 

5. 2. ОБРАБОТВАНЕ НА ДАННИ ОТ GOOGLE ANALYTICS ЗА РЕКЛАМНИ ЦЕЛИ

5.2.1. Администраторът на данни, въз основа необходимостта да сегментира и да разбере по-добре нуждите на своите Клиенти при използване на услугите на Администратора на данни, използва функционалностите на Google Analytics 4 (известен преди като Google Universal Analytics), за да показва персонализирани реклами на Клиентите в мобилното приложение.

5.2.2. С използването на Google Analytics 4 Администраторът на данни има правото да събира данни за Клиентите в мобилното приложение чрез контролера "Google Signals". Повече информация за поверителността и събирането на данни от Google можете да намерите тук: Център за безопасност на Google - Бъдете по-безопасни онлайн.

5.2.3. Чрез използването на Google Analytics 4 и разрешаването на контролера "Google Signals" Администраторът на данни не предава на Google лични данни на лицата, чрез които би могло да се идентифицира конкретно лице (субект на данни). За тази конкретна цел Администраторът на данни споделя само следните данни от мобилно приложение на клиента:

5.2.3.1. Идентификатор на клиентското мобилно приложение (ID), генериран от Google (наричан по-долу "идентификатор на мобилното приложение");

5.2.3.2. Държавата, в която е отворено Мобилното приложение, въз основа на идентификатора на Мобилното приложение;

5.2.3.3.  Датата, на която Мобилното приложение е било пуснато за първи път, въз основа на данните от идентификатора на Мобилното приложение;

5.2.3.4.  Датата, на която е направена регистрацията с помощта на Мобилното приложение въз основа на данните от ID на Мобилното приложение;

5.2.3.5.  Информация за това дали към мобилното приложение е прикрепена платежна карта въз основа на данните от ID на мобилното приложение;

5.2.3.6.  Информация за това дали валидно свидетелство за управление на моторно превозно средство / шофьорска книжка е прикрепена към мобилното приложение въз основа на данните от идентификатора на мобилното приложение;

5.2.3.7.  Информация за това кога е отворено мобилното приложение въз основа на данните от идентификатора на мобилното приложение;

5.2.3.8.  Информация за това кога е било достъпвано (влизане) в системата на  мобилното приложение въз основа на данните от идентификатора на мобилното приложение;

5.2.3.9.  Информация за плащанията, извършени чрез Мобилното приложение (сума, валута, цел на плащането (вид услуга, удължаване и прекратяване на членство)) въз основа на идентификатора на Мобилното приложение.

5.2.4. Във всички случаи Администраторът на данни прилага технически и организационни мерки за сигурност на личните данни, както е посочено в Раздел 14 от настоящата Политика.

 

6.1. ДАННИ, СЪБРАНИ ОТ МОБИЛНОТО ПРИЛОЖЕНИЕ

6.1.1. Администраторът на данни позволява на Мобилното приложение да събира и обработва местоположението на мобилното устройство на Клиента, но само за тези Клиенти, които са предоставили на Мобилното приложение да осъществява достъп до такава информация чрез мобилното си устройство. Клиентите, които контролират обработката на личните си данни с помощта на Мобилното приложение, могат да изберат до кои данни от мобилното устройство Клиентите разрешават на Мобилното приложение да получи достъп или да ги използва по друг начин. С разрешението на Клиента Мобилното приложение получава достъп само до местоположението на мобилното устройство на Клиента.

6.1.2. Администраторът на данни събира данни за местоположението на мобилното устройство на Клиента, за да увеличи и подобри достъпността на услугите, предоставяни от Администратора на данни.

6.1.3. Данните за местоположението на мобилното устройство на Клиента не се предават на Получателите на данни.

6.1.4. Във всички случаи Администраторът на данни прилага технически и организационни мерки за сигурност на личните данни, както е посочено в Раздел 14 от настоящата Политика.

6.2. НАБЛЮДЕНИЕ НА МОБИЛНОСТТА

6.2.1. Администраторът извършва наблюдение на мобилността на превозните средства, предоставени на Клиентите за ползване.

6.2.2. Наблюдението на мобилността има за цел да гарантира сигурността на активите, принадлежащи на Администратора, използването на предоставените услуги от Клиентите добросъвестно и по подходящ начин и предоставянето на услугите с надлежно качество, гарантиране сигурността на клиента и на трети лица.

6.2.3. Наблюдението на мобилност се осъществява посредством GPS предаватели, инсталирани в превозните средства, принадлежащи на Администратора. Данните включват информация за пропътуваното разстояние, скорост на движение, маршрута и местоположението на автомобила.

6.2.4. Данните от наблюдението на мобилността не се предават на получателите.

6.2.5. Правното основание за обработката на данните е член 6, параграф 1, буква б) и член 6, параграф 1, буква е) от ОРЗД.

6.2.6. За да осъществява наблюдение на мобилността, Администраторът наема RUPTELA UAB като администратор, предоставящ информация, която позволява да се определи местоположението на превозното средство, маршрутът, скоростта и изминатият път.

7. АВТОМАТИЗИРАНО ВЗЕМАНЕ НА РЕШЕНИЯ

7.1. С цел да предостави висококачествени услуги и награди, Администраторът използва автоматизирано вземане на решения, за да изчисли е-Go точките по напълно обективен и недискриминационен начин въз основа на изминатите от Клиента километри. Начислената такса за използване на услугите също се изчислява по автоматизиран начин въз основа на минутите, за които е използван електротомобила. Администраторът цени неприкосновеността на личния живот на субектите и не използва личните данни на субектите,  за да ги профилира.

8. СПОДЕЛЯНЕ НА ДАННИ

8.1. Администраторът пази поверителността на личната информация на субектите и не разкрива лични данни на трети лица, освен със съгласие на субекта и в допустимите от закона случаи.

8.2. При гарантирани мерки за защита и контрол, разкриване е възможно с други дружества част от корпоративната ни група или с наши доставчици на услуги с цел да се осигури гладко функциониране на системата за наемане на електромобили и високо качество на услугите (напр. с доставчици на сървъри, телеметрични услуги, валидиране на данните, техническо и административно съдействие на клиентите, наблюдение на мобилността на електромобилите, платформата за наемане на автомобили, анализ на статистическите данни и др.). В този случай, използваните от нас доставчици на услуги са длъжни да спазват стриктно договорните си задължения и действащото законодателство за защита на личните данни, включително като вземат необходимите мерки за защита поверителността на личната информация на субектите.

8.3. При възникнала оправдана необходимост е възможно също така данни на клиенти да бъдат споделени с трети страни:

•              публични органи като КАТ, СДВР и др. с цел да изпълним наши законови задължения да докладваме нарушения, да предотвратим измами и пътнотранспортни произшествия или да изпълним други наши законови изисквания напр. за счетоводна отчетност;

•              застрахователи, правни кантори, частни съдебни изпълнители, дружества извършващи дейност по събиране на вземания (eCollect AG, с адрес Neuhofstrasse 21, 6340 Baar, Zug, Switzerland, с регистрационен номер: CHE – 180.481.291., представлявано от Марк Шилингер в качеството му на Изпълнителен директор) и др. с цел да приложим общите условия за използване на мобилното приложение и договора ни с клиента и да гарантираме имуществото на дружеството и други наши права и законни интереси.

•              да защитим сигурността, правата и интересите на други наши потребители или трети лица.

9. ТРАНСФЕР НА ДАННИ ИЗВЪН ЕС

9.1. Предаване на лични данни на трета държава или международна организация извън Европейския съюз и Европейското икономическо пространство може да се осъществява само ако е налице едно от следните условия:

9.1.1. Компанията е базирана в САЩ и е сертифицирана по САЩ-ЕС щитът за защита на личните данни (https://www.privacyshield.gov)

9.1.2.Налице е решение на Европейската комисия относно адекватното ниво за защита на личните данни, което третата държава, в която се получават данните, предоставя;

9.1.3.Налице е изрично съгласие на субекта на данни, след като е бил информиран за свързаните с предаването възможни рискове поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

9.1.4. Предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;

9.1.5. Предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между Дружеството/Групата и друго физическо или юридическо лице;

9.1.6. Предаването е необходимо за установяването, упражняването или защитата на правни претенции;

9.1.7. Предаването се извършва от публичен регистър.

9.2. В случай на необходимост от ръчна верификация на данните при регистрация на клиенти, трансфер на данни се прави и от доставчиците на валидиращи услуги JUMIO, които имат дружества в САЩ и Индия. Трансферът се извършва на основание стандартни договорни клаузи (чл. 46, ал.2, буква в) от ОРЗД) при необходимото ниво на защита на данните, доколкото JUMIO са сертифицирани по PCI DSS стандарта и подлежат на ежегоден одит за спазването му.

 

10. ПЕРИОДИ НА СЪХРАНЕНИЕ НА ДАННИТЕ

10.1. Администраторът прилага различни периоди на съхранение на личните данни в зависимост от категориите обработени лични данни и целите на обработване.

10.2. При незавършен успешно процес на регистрация без на Клиента да е предоставено право на ползване на услугите по споделено ползване на електромобили, личните му данни се съхраняват за период от 3 години и се изтриват (анонимизират) незабавно след като Клиентът е избрал бутона „Забрави ме“ чрез мобилното приложение при положение, че Клиентът не е използвал услугите по споделено ползване на електромобили.   .

10.3. При завършена успешна регистрация с право на ползване на услугите за споделено ползване на електромобили,  Администраторът прилага следните периоди на съхранение на лични данни:

No

Категории Лични данни

Период на съхранение

 

 

 

1.        

Данни, свързани със счетоводна отчетност и застрахователни претенции

 

5 години от датата на издаване на документа или настъпване на застрахователното събитие.

2.        

Лични данни от профила на клиентите, обработвани за целите на предоставяне на услугите по споделено използване на електромобил

2 години от по-късната от следните дати: датата на прекратяване на договора или датата на изплащане на задължението.

Данни на клиентите, чиито профили не са активни, ще бъдат съхранявани в продължение на 3 години от датата на последното влизане в системата.

3.        

Биометрични данни

 Данните се изтриват веднага след установяване на самоличността / след успешната верификация на акаунта от базата данни на Администратора. След това  биометричните данни се съхраняват в специализирани сървъри на JUMIO за период от 5 години, считано от датата, на която е бил успешно преминат процеса по верификация на самоличността на Клиента.

4.        

Данни, използвани за целите на директния маркетинг

 2 години от по-късната от следните дати: датата на прекратяване на договора или датата на изплащане на задължението.

Данни на клиентите, чиито профили не са активни, ще бъдат съхранявани в продължение на 3 години от датата на последното влизане в системата.

5.        

Данни за контрол над мобилността

2 години от по-късната от следните дати: датата на прекратяване на договора или датата на изплащане на задължението.

Данни на клиентите, чиито профили не са активни, ще бъдат съхранявани в продължение на 2 години от датата на последното влизане в системата.

 

6.        

Данни за местоположението на мобилно устройство на Клиента

1 година от последното свързване/достъпване  с/до мобилното приложение.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

10.4. Изключения от горепосочените периоди на съхранение могат да бъдат установени дотолкова, доколкото съответните отклонения не нарушават правата на Субектите на данните, отговарят на законовите изисквания и са надлежно документирани.

10.5. Документи и данни за Клиенти, по отношение на които Администраторът е образувал административно или съдебно производство, се съхраняват и унищожават съгласно инструкциите на правния отдел за срок от 5 години след приключване на производството с влязло в сила съдебно решение или окончателно изплащане на дълга.

10.6. След изтичане на установените срокове, данните се анонимизират или унищожават по сигурен начин чрез изтриването им от информационните системи или чрез нарязване, ако са на хартия.

11. ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ

11.1. Субектът на данни има право да упражнява следните права съгласно процедурата, установена в ОРЗД и ЗЗЛД:

11.1.1. Право на информираност: преди обработването на данните, Администраторът е длъжен да предостави  на субекта на данни информация под формата на уведомление за поверителност за това какви лични данни събира, на какви основания и за какви цели ги използва, с кого ги споделя, намерението на Администратора да предаде данните на трети страни извън ЕС, срока за съхранение и мерките за сигурност, последиците при непредоставянето на данните, наличието на автоматизирано вземане на решения, правата на субекта на данни, включително правото му да подаде жалба до надзорен орган. Преди да се регистрира като потребител и да инсталира мобилното приложение, субектът на данни е длъжен да се запознае и да се съгласи с уведомлението за поверителност, за да може да използва мобилното приложение;

11.1.2. Право на достъп: това право дава възможност субектът на данни да получи копие на личните данни, които Администраторът съхранява за него, както и информация, свързана с обработването. Достъп до историята на използваните от субекта услуги и до данните, предоставени при регистрация, може да се получи чрез профила на клиента на мобилното приложение, като може също така да се подадете и специално искане за достъп;

11.1.3. Право за изтриване: това право дава възможност на субекта на данни да изиска личните му данни да бъдат изтрити, когато няма валидна причина Администраторът да продължи обработката им напр. ако е постигната целта, за която данните са събрани, или ако субектът на данни е оттеглил съгласието си. Ако са изпълнени законовите изисквания, Администраторът следва да изтрие личните данни в срок до 1 месец, освен ако няма законово задължение да продължи обработката им или запазването на данните е необходимо за установяването, упражняването или защитата на правни претенции;

11.1.4. Право на коригиране: това право дава възможност субектът на данни да изиска да бъде коригирана всяка непълна или неточна информация за него. Субектът на данни е длъжен да отбелязва своевременно всяка промяната във своите лични данни в профила си или да ни уведоми за това;

11.1.5. Право на ограничаване на обработката на данни: това право дава възможност субектът на данни да изиска от Администратора временно да преустанови обработването на личните данни, ако например желае да се установи точността на данните или причините за тяхното обработване

11.1.6. Право на преносимост на данните: това право е ограничено до случаите, когато данните се обработват по автоматизиран начин и са предоставени от субекта на данни на основание неговото съгласие или за целите изпълнението на договор, като дава възможност да се изиска от Администратора да предостави съхраняваните в електронна форма лични данни на субекта на данни или на трето лице.;

11.1.7. Право на възражение: в случаите, в които Администраторът разчита на легитимните си интереси като основание за обработка, субектът на данни може да възразите срещу тази обработка на основания, свързани с неговата конкретна ситуация. Има право също да направи възражение, когато обработването е за целите на директния маркетинг или данните се обработват за статистически цели;

11.1.8. Права, свързани с автоматичното вземане на решения и профилиране: субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;

11.1.9. Оттегляне на съгласие: субектът на данни има право да оттегли съгласието си по всяко време в случай, че е дал такова без това да засяга обработването до този момент. Когато е дадено съгласие за целите на директния маркетинг субектът на данни може да откаже получаването на бюлетини по всяко време, като кликне върху връзката „отписване“ в изпратените от нас имейл съобщения  или да промени настройките на мобилното си приложение. Ако субектът на данни е предоставил достъп до местонахождението си чрез мобилното устройство с цел намиране на електромобили в близост, може да промени така избраните настройки.

11.1.10. Право на жалба: Ако субектът на данни считате, че някое от правата му е било нарушено има право да подаде жалба до нас и/или до надзорния орган Комисия за защита на личните данни - https://www.cpdp.bg/.

11.2. Исканията могат да бъдат подадени от субекта на данни или от упълномощено от него лице, като Администраторът взема мерки, за да потвърди самоличността на субекта на данни с цел защита на данните. Администраторът е длъжен да обработи исканията на субектите на данни,  посочени в т. 10.1.2 - 10.1.9 от настоящото, се упражняват в сроковете, определени в ОРЗД.

11.3. Горепосочените срокове, посочени в ОРЗД, са както следва:

Искане от субекта на данните

Период

Право на информиране

Когато са събрани данните (ако данните са предоставени от Субекта на данните) или в рамките на един месец  (ако данните не се предоставят от Субекта на данните)

Право на достъп

Един месец

Право на актуализация

Един месец

Право на изтриване

Без неоснователно забавяне

Право на ограничаване на обработката

Без неоснователно забавяне

Право на преносимост на данните

Един месец

Право на възражение

След получаване на възражение

Права, свързани с автоматизираното  вземане на решения и профилиране.

Не е конкретизирано

 

11.4. Администраторът има право да откаже основателно на Субекта на данни упражняването на правата му или да наложи разумна такса при условията, предвидени в член 12, параграф 5, буква б) от ОРЗД.

12. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

12.1. Съгласно ОРЗД, в случаите когато основните дейности на Администратора се състоят от операции по обработка, които изискват редовен и систематичен мониторинг на Субектите на данни в голям мащаб или когато основните дейности на Администратора или Обработващия се състоят от обработване в големи мащаби на специални категории лични данни, наличието на Длъжностно лице по защита на данните е задължително.

12.2. Правата и задълженията на Длъжностното лице по защита на данните са описани подробно в ОРЗД, приложенията към Политиката, длъжностните характеристики, ако длъжността е заета от служител на Администратора, или в договора за услуги, ако длъжността Длъжностно лице по защита на данните се заема от външен доставчик на услуги.

12.3. Най- общо в задълженията на Длъжностното лице се включват да отговаря за правилното изпълнение на политиката за защита на личните данни на Администратора в съответствие със стандартите и изискванията на приложимото законодателство, участва в повишаването на осведомеността и обучението на служителите, обработващи лични данни, провежда съответните одити, отчита рисковете по обработката на данни, реагира при нарушения на сигурността на данните, съдейства на надзорния орган по защита на личните данни и субектите на данни за упражняване на правата им, води регистър на дейностите по обработване и др. възложени му от Администратора задачи, доколкото не влизат в конфликт със задълженията му като длъжностно лице по защита на данните.

12.4. С оглед горепосочените критерии и дейностите, извършвани от Администратора,  последният решава да назначи Длъжностно лице по защита на данните  със следния и-мейл за контакти: privacy@spark.bg, с което субектите на данни могат да се свържат при въпроси относно настоящето уведомление и искания за упражняване на правата си.

13. ПРОЦЕДУРА ЗА УПРАВЛЕНИЕ НА НАРУШЕНИЯТА НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ И СПРАВЯНЕ С ТАКИВА НАРУШЕНИЯ

13.1. Ако служителите на Администратора, имащи право на достъп до данните, забележат или бъдат уведомени за нарушения на сигурността на данните (бездействие или действия от страна на лицата, които могат да доведат или са довели до риск за сигурността на данните), те следва да уведомяват незабавно длъжностното лице по защита на данните и своя пряк ръководител.

13.2. Като се вземат предвид рисковите фактори за нарушаване на сигурността на данните, степента на въздействие на нарушението, вредите и последствията, спазвайки съответните вътрешни процедури, Администраторът взема решения относно необходимите мерки за отстраняване на нарушението на сигурността на данните и последствията от него и за уведомяване Комисията за защита на личите данни и за съответните лица, ако съществува висок риск за техните права и свободи.

14. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

14.1. Организационните и технически мерки за сигурност на данните, въведени от Администратора, осигуряват такова ниво на сигурност, което съответства на естеството на данните, обработвани от Администратора, и на риска от обработката на данните, включително, но не само, мерките, посочени в настоящия раздел.

14.2. Мерките за сигурност на личните данни включват следното:

14.2.1. Административни (установяване на процедура за сигурност на документи и компютърни данни и техните архиви и организация на работата в различни сфери на дейност, задължително обучение на персонала по защита на личните данни, който е нает към момента, и при напускане на работа / уволнение, задължения за конфиденциалност и забрана за разкриване на лични данни, процедура за предоставяне на достъп до данни и т.н.);

14.2.2. Техническа и софтуерна защита (администриране на сървъри, информационни системи и бази данни, поддръжка на работните места, защита на операционни системи, наблюдение (контрол) на достъпа на потребителите, защита от компютърни вируси и др.);

14.2.3. Администриране на информационни системи и бази данни, поддръжка на работни места, защита на операционни системи, защита от компютърни вируси и др .;

14.2.4. Защити за комуникационните и компютърни мрежи (технически и софтуерни мерки за кодиране и предаване на данни за общо ползване, приложения, Лични данни, филтриране на нежелани пакети данни и др.).

14.3. Горепосочените мерки за защита на личните данни осигуряват: 1) оборудване на хранилището за копия на операционни системи и бази данни, контрол на съхранението на копирната техника; 2) технология за непрекъсната работа с данни (обработка); 3) стратегия за възстановяване на функционирането на системите в спешни случаи (управление на несигурностите); 4) система за уникална идентификация на потребителя и парола; 5) физическо (логическо) разделяне на средата за тестване на приложения от процесите в оперативен режим; 6) регистрирано използване на данни и неприкосновеност на данните.

14.4. Администраторът следва да въведе процедура за възстановяване на Лични данни в случай на инцидентна загуба на Данните. Администраторът прави резервни копия на данните, налични в системата. Данните се извличат съгласно вътрешната процедура, използвайки софтуера на Amazon Web Services от библиотеките за резервно копирно оборудване. При всички случаи архивите на данните се съхраняват, без да се засяга периодът за съхранение на данни, посочен в Политиката.

14.5. Администраторът прилага и други мерки, гарантиращи сигурността на личните данни:

14.5.1. Технологията VPN се използва за отдалечено свързване към вътрешната мрежа на Администратора, а за идентифициране на потребителя се използва цифров сертификат;

14.5.2. Достъпът до лични данни чрез организационни и технически мерки за сигурност на данните, които регистрират и контролират усилията за регистриране и придобиване на права, подлежат на надлежен контрол;

14.5.3. Водят се следните записи при влизане в базата данни от лицата, на които е предоставено правото да обработват лични данни: идентификатор при влизане, дата, час, продължителност, резултат от влизането (успешен, неуспешен). Горепосочените записи се съхраняват в продължение на най-малко 1 (една) година;

14.5.4. Необходимо е да се гарантира сигурността на помещенията, в които се съхраняват Лични данни (достъп до съответните помещения единствено от оторизирани лица, заключване и др.).;

14.5.5. Исканията за търсене на предоставените лични данни трябва да имат за цел идентифициране на лицето и проверка на валидността на шофьорската му книжка;

14.5.6. Необходимо е да бъдат полагани усилия за гарантиране на използването на защитни протоколи и / или пароли при предоставяне на лични данни чрез външни мрежи за пренос на данни;

14.5.7. Необходимо е се осигури контрол върху сигурността на личните данни на външни носители на данни и електронната поща и изтриването им след използване на Личните данни чрез прехвърлянето им в базите данни;

14.5.8 Спешните действия за възстановяване на лични данни (кога и кой е извършил действията за възстановяване на лични данни с автоматични и неавтоматични средства) се записват;

14.5.9. Необходимо е да се гарантира, че тестването на информационни системи не се извършва с реални лични данни, освен в случаите, когато се използват организационни и технически мерки за защита на личните данни, гарантиращи реална сигурност на личните данни;

14.5.10. Личните данни в преносими компютри, ако последните не се използват в мрежата за пренос на данни на Администратора, следва да бъдат защитени посредством съответните мерки, отговарящи на риска при обработване.

14.6. Администраторът прилага подходящи технически и организационни мерки, осигуряващи стандартизирана обработка на лични данни, която е необходима за конкретната цел на обработката на данни. Горепосоченото задължение се прилага за съответното количество събрани Лични данни, обхвата на тяхната обработка, периода на съхранение на Лични данни и достъпността на личните данни.

15. ДАННИ ЗА КОНТАКТ

15.1. Можете да се свържете с нас с въпроси, свързани с настоящата политика и / или защитата на данните като цяло, използвайки следните данни за контакт:

Електронна поща: privacy@spark.bg

Тел. + 359 2 419 3476

16. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

16.1. Политиката се преразглежда ежегодно по инициатива на администратора и / или в случай на промени в нормативните актове, регламентиращи обработката на лични данни.

16.2. Политиката и измененията към нея влизат в сила от датата на тяхното одобрение и публикуване в интернет страницата на Администратора.