Последна актуализация: 01.04.2026

I. ВЪВЕДЕНИЕ

Настоящата Политика за поверителност описва начина, по който „ГОНКО ТЕХНОЛОГИИ“ ЕООД, ЕИК 207715411, със седалище и адрес на управление: Република България, гр. София (1202), р-н “Сердика”, бул. „Сливница“, бл. 245А, ет. 2, ап. 112 (наричано по-долу „Дружеството“, „ние“ или „администратор“, събира, използва, съхранява и защитава личните данни на физическите лица („Потребители“).

Дружеството се ангажира да защитава поверителността на личните данни и да гарантира тяхната сигурност. Настоящата Политика има за цел да предостави ясна и изчерпателна информация относно това какви лични данни се събират, по какъв начин се обработват и какви са правата на Потребителите при използване на уебсайта и услугите, предоставяни от Дружеството.

Политиката е изготвена в съответствие със следните нормативни актове:

1. Регламент (ЕС) 2016/679 (ОРЗД)
2. Закона за защита на личните данни
3. Закона за електронната търговия

II. ОБХВАТ НА ПОЛИТИКАТА

Настоящата Политика се прилага за всички случаи, в които Дружеството обработва лични данни, включително при:

1. използване на уебсайта;
2. предоставяне на услуги;
3. участие в събития;
4. сключване и изпълнение на договори;
5. комуникация с клиенти и партньори;
6. лица, ползващи автомобилни услуги (вкл. рент-а-кар).

III. КАТЕГОРИИ ЛИЧНИ ДАННИ

1. Данни, предоставени от Вас:

а) име и фамилия
б) телефон
в) имейл адрес
г) адрес
д) данни за фирма (ЕИК, адрес)
е) съдържание на комуникация

2. ДАННИ, ОБРАБОТВАНИ ПРИ СПЕЦИФИЧНИ УСЛУГИ

С оглед широкия предмет на дейност на Дружеството, лични данни могат да бъдат обработвани в различни категории дейности, както следва:

2.1 Автомобилни услуги, автосервиз и рент-а-кар

Във връзка с предоставяне на автомобилни услуги, включително сервизна дейност, търговия с автомобили, отдаване под наем (рент-а-кар), както и дейности, свързани с моторни превозни средства, могат да бъдат обработвани:

1. Данни за идентификация:

а) три имена
б) ЕГН (когато е приложимо и законосъобразно)
в) данни от лична карта (номер, издател, валидност)

2. Данни от шофьорска книжка:

а) номер
б) категория
в) валидност

3. Данни за контакт:

а) телефон
б) имейл

4. Данни за превозно средство:

а) марка, модел
б) регистрационен номер
в) VIN номер
г) технически характеристики

5. Данни, свързани с договори:

а) договори за наем (рент-а-кар)
б) сервизни поръчки
в) история на ремонти

6. Данни за плащания и задължения

Обработването на тези данни е необходимо за:

а) изпълнение на договорни задължения
б) идентификация на клиента
в) защита от злоупотреби и щети
г) спазване на законови изисквания

2.2 Събития, фестивали, изложения и обучения

Във връзка с организация, продуциране и провеждане на събития (вкл. културни, автомобилни, моторспорт, бизнес и образователни), могат да бъдат обработвани:

1.  Регистрационни данни:
а) име
б) телефон
в) имейл
г) организация / фирма

2.  Данни за участие:
а) вид участие (гост, участник, партньор, изложител)
б) заявки за участие
в) резервации

3. Аудио-визуални данни:
а) снимки
б) видеозаписи
в) записи от събития

4. Данни при обучения и семинари:
а) присъствие
б) сертификати
в) участие в уъркшопи

По време на събития може да се извършва фото- и видеозаснемане с цел:

а) популяризиране на дейността
б) маркетинг и реклама
в) публикуване в уебсайт и социални мрежи

2.3 Търговска дейност (онлайн и офлайн)
При търговия на едро и дребно, включително продажба на автомобили, части, консумативи и други стоки, могат да се обработват:

1. Данни за клиент:
   а) име
   б) телефон
   в) имейл
   г) адрес за доставка
2. Данни за поръчки:
   а) закупени стоки
   б) история на поръчки
3. Данни за плащания
4. Данни за доставка и логистика

2.4 Маркетинг, реклама и бранд активизации
Във връзка с маркетингови дейности, включително събития, кампании и реклама:

1. Данни за контакт:
   а) имейл
   б) телефон
2. Поведение в уебсайта
3. Предпочитания и интереси

Обработването се извършва:
а) при наличие на съгласие
б) или при легитимен интерес

Дружеството не извършва нерегламентирани маркетингови комуникации.

2.5 Недвижими имоти и консултантски услуги

При сделки с недвижими имоти и консултации:

1. Данни за идентификация
2. Данни за собственост
3. Данни по сделки и договори

2.6 Хотелиерство и ресторантьорство

1. Резервации
2. Данни за настаняване
3. Предпочитания

2.7 Логистика, транспорт и спедиция

1. Данни за изпращач и получател
2. Адреси
3. Информация за пратки

2.8 Фактуриране и счетоводство

Във всички случаи, когато се извършват плащания, се обработват:

1. имена
2. ЕИК / Булстат
3. адрес
4. данъчни данни
5. платежна информация

Данните се съхраняват съгласно законовите изисквания.

Личните данни се обработват само доколкото е необходимо за съответната дейност и в съответствие с принципите на:

а) законосъобразност
б) добросъвестност
в) прозрачност
г) минимизиране на данните

IV. АВТОМАТИЧНО СЪБИРАНИ ДАННИ

   При посещение и използване на уебсайта на Дружеството, определена информация може да бъде събирана автоматично чрез браузъра, устройството на Потребителя, сървърни логове, бисквитки (cookies) и сходни технологии.

   Тези данни се събират с цел осигуряване на нормалното функциониране на уебсайта, подобряване на неговата сигурност, анализ на потребителското поведение, оптимизиране на съдържанието и услугите, както и за статистически, административни и маркетингови цели, когато това е допустимо от закона.

Автоматично събираните данни могат да включват, но не се ограничават до:

1. Технически данни за достъп и устройство

а) IP адрес
б) приблизително географско местоположение, извлечено от IP адреса
в) тип и версия на браузъра
г) тип устройство
д) операционна система
е) езикови настройки
ж) интернет доставчик
з) идентификатори на устройството, когато това е приложимо

2. Данни за използване на уебсайта

а) посещавани страници
б) последователност на разглеждане в сайта
в) дата и час на достъп
г) продължителност на престоя на отделни страници
д) действия, извършени в сайта, включително натискания на бутони, изпращане на форми, преминаване към контактни страници, преглед на услуги, събития, автомобили, продукти или други секции на сайта
е) източник на посещението, включително дали Потребителят е достигнал до сайта чрез търсачка, реклама, социална мрежа или директен достъп
ж) страница, от която е осъществено посещението, както и страница, към която Потребителят е пренасочен след напускане на сайта

3. Данни, събирани чрез бисквитки и сходни технологии

В зависимост от настройките на сайта и съгласието на Потребителя, могат да бъдат събирани данни чрез:

а) задължителни бисквитки, необходими за функционирането на сайта
б) аналитични бисквитки, използвани за анализ на трафика и поведението на посетителите
в) функционални бисквитки, които запомнят предпочитанията на Потребителя
г) маркетингови бисквитки, използвани за измерване на ефективността на рекламни кампании и показване на по-релевантно съдържание

4. Данни от сървърни логове и системи за сигурност

С цел поддържане на сигурността и предотвратяване на злоупотреби, Дружеството може автоматично да събира и съхранява:

а) логове за достъп до сайта
б) информация за неуспешни опити за достъп
в) данни за подозрителна или необичайна активност
г) информация за технически грешки, сривове, проблеми при зареждане и системни събития
д) данни, необходими за откриване, ограничаване и предотвратяване на неоторизиран достъп, злоупотреби, измами или атаки срещу сайта

5. Цели на автоматичното събиране на данни

Автоматично събраните данни могат да бъдат използвани за:

а) осигуряване на техническата работоспособност и сигурността на уебсайта
б) диагностика на технически проблеми и администриране на системите
в) анализ на трафика и поведението на посетителите
г) подобряване на потребителското изживяване
д) оптимизиране на съдържанието, структурата и функционалностите на сайта
е) измерване на интереса към предлаганите от Дружеството услуги, включително събития, автомобилни услуги, търговска дейност, консултации и други дейности от предмета на дейност
ж) защита на законните интереси на Дружеството и предотвратяване на злоупотреби
з) изпълнение на законови задължения, когато това е приложимо

6. Автоматично събираните данни обикновено не се използват самостоятелно за пряка идентификация на конкретно физическо лице, освен когато това е необходимо за сигурността на сайта, изпълнение на законово задължение или когато данните са комбинирани с друга информация, предоставена от Потребителя.

V. БИСКВИТКИ (COOKIES)

   Уебсайтът на Дружеството може да използва бисквитки („cookies“) и сходни технологии за съхранение и достъп до информация на крайното устройство на Потребителя, с цел да осигури нормалното функциониране на сайта, да подобри неговата ефективност, сигурност и удобство при използване, както и да подпомогне анализа на трафика, поведението на посетителите и ефективността на маркетинговите и рекламните активности на Дружеството.

Бисквитките представляват малки текстови файлове, които се съхраняват на устройството на Потребителя при посещение на уебсайт. Те позволяват разпознаване на браузъра или устройството при последващи посещения, запазване на определени настройки и предпочитания, както и събиране на информация за начина, по който се използва уебсайтът.

Използването на бисквитки от страна на Дружеството е съобразено с приложимото европейско и българско законодателство, включително Регламент (ЕС) 2016/679 (ОРЗД), Закона за защита на личните данни, Закона за електронната търговия и правилата, приложими към електронните съобщения и поверителността.

1. За какви цели използваме бисквитки

Сайтът може да използва бисквитки и сходни технологии за следните цели:

а) осигуряване на техническата работоспособност, стабилност и сигурност на сайта
б) поддържане на основни функционалности и правилно визуализиране на съдържанието
в) запазване на предпочитанията на Потребителя, когато това е приложимо
г) анализ на трафика и начина на използване на сайта
д) подобряване на съдържанието, структурата, навигацията и функционалността на сайта
е) измерване на интереса към различни секции от сайта, включително секции, свързани със:

1.     организация и провеждане на събития

2.     автомобилни услуги, сервизни дейности и рент-а-кар

3.     търговия с автомобили, резервни части, консумативи и аксесоари

4.     обучения, лекции, семинари и уъркшопи

5.     маркетингови, рекламни и бранд активности

6.     консултантски услуги и други дейности от предмета на дейност на Дружеството

ж) анализ на ефективността на рекламни кампании, публикации и промоционални активности
з) предоставяне на по-релевантно съдържание и по-добро потребителско изживяване
и) предотвратяване на злоупотреби, неоторизиран достъп и технически атаки срещу сайта

2. Видове бисквитки, които могат да се използват

а) Строго необходими бисквитки

Тези бисквитки са необходими за нормалното функциониране на сайта и не могат да бъдат изключени чрез системата за управление на предпочитанията, доколкото без тях сайтът или определени негови части не биха могли да работят правилно.

Те могат да се използват за:

1. осигуряване на основна функционалност на сайта
2. поддържане на сигурността на връзката
3. защита от злонамерени действия и технически злоупотреби
4. запомняне на направен избор относно бисквитките
5. разпределяне на натоварването на сървърите и техническо поддържане на услугата

б) Функционални бисквитки

Функционалните бисквитки позволяват на сайта да запомня определени избори и предпочитания на Потребителя с цел да предостави по-персонализирано и удобно изживяване.

Те могат да се използват например за:

1. запомняне на предпочитан език
2. запомняне на настройки на сайта
3. улесняване на използването на форми за контакт, заявки или резервации
4. поддържане на определени потребителски предпочитания при следващи посещения

в) Аналитични бисквитки

Аналитичните бисквитки се използват за събиране на обобщена информация относно начина, по който посетителите използват сайта.

Тези бисквитки могат да се използват за:

1. измерване на броя посещения и източниците на трафик
2. установяване кои страници се посещават най-често
3. анализ на продължителността на престоя на сайта
4. проследяване на начина, по който Потребителите се придвижват между отделните страници
5. оценка на интереса към конкретни услуги, продукти, събития или кампании
6. подобряване на съдържанието, навигацията и цялостното потребителско изживяване

г) Маркетингови и рекламни бисквитки

Маркетинговите бисквитки могат да се използват за проследяване на поведението на посетителите в сайта.

Те могат да подпомагат:

1. измерване на ефективността на рекламни кампании
2. анализ на интереса към определени услуги, събития, продукти или предложения
3. оптимизиране на рекламното съдържание
4. ограничаване на повторяемостта на определени реклами
5. предоставяне на по-релевантна информация и маркетингово съдържание

Маркетинговите бисквитки се използват само след предоставяне на валидно съгласие от Потребителя, когато такова се изисква.

3. Бисквитки на трети страни

При използването на сайта е възможно да бъдат поставяни бисквитки и от трети страни, чиито услуги подпомагат дейността на Дружеството, включително във връзка с:

а) анализ на трафика и потребителското поведение
б) измерване на ефективността на рекламни кампании
в) защита и сигурност на сайта
г) вградени елементи или функционалности от външни платформи
д) социални мрежи или услуги за споделяне на съдържание

   В зависимост от техническата конфигурация на сайта, такива трети страни могат да обработват определена информация като самостоятелни администратори или обработващи лични данни. В тези случаи обработването се подчинява както на настоящата Политика, така и на съответните условия и политики на конкретната трета страна.

4. Правно основание за използване на бисквитки

Строго необходимите бисквитки се използват на основание легитимен интерес на Дружеството за осигуряване на сигурността, техническата работоспособност и основната функционалност на сайта.

Функционалните, аналитичните и маркетинговите бисквитки се използват само при наличие на предварително, свободно изразено, конкретно, информирано и недвусмислено съгласие от страна на Потребителя, когато такова се изисква от закона.

5. Банер за бисквитки и управление на предпочитанията

При първо посещение на сайта на Потребителя се предоставя банер или друг подходящ механизъм за уведомяване и управление на предпочитанията относно използването на бисквитки.

Чрез този механизъм Потребителят може да:

а) приеме всички бисквитки
б) откаже всички незадължителни бисквитки
в) избере кои категории бисквитки да разреши
г) промени вече даденото съгласие по всяко време

  Потребителят може по всяко време да актуализира предпочитанията си чрез настройките, предоставени на сайта, както и чрез настройките на използвания браузър.

6. Управление и деактивиране на бисквитки чрез браузър

   Повечето интернет браузъри позволяват управление на бисквитките чрез настройките си. Потребителят може да настрои браузъра си така, че да:

а) блокира използването на всички или определени категории бисквитки
б) уведомява при поставяне на бисквитки
в) изтрива вече съхранени бисквитки

   Следва да се има предвид, че ограничаването или деактивирането на определени бисквитки може да доведе до невъзможност за използване на някои функционалности на сайта, както и до влошаване на потребителското изживяване.

7. Срок на съхранение на бисквитките

Бисквитките могат да бъдат:

 а) сесийни бисквитки – съхраняват се временно и се изтриват автоматично при затваряне на браузъра;

 б) постоянни бисквитки – съхраняват се за определен период от време или до тяхното изтриване от Потребителя.

   Конкретният срок на съхранение зависи от вида, предназначението и техническите характеристики на съответната бисквитка.

8. Връзка между бисквитките и личните данни

   В определени случаи информацията, събирана чрез бисквитки, може да представлява лични данни или да бъде свързана с лични данни, когато позволява пряко или непряко идентифициране на Потребителя.

   В такива случаи обработването се извършва в съответствие с настоящата Политика за поверителност и приложимото законодателство за защита на личните данни.

9. Промени в използването на бисквитки

   Дружеството си запазва правото да променя, допълва или актуализира начина, по който използва бисквитки и сходни технологии, в зависимост от развитието на сайта, предлаганите услуги, законовите изисквания или използваните технологични решения.

   При съществени промени в практиките, свързани с бисквитките, на Потребителите ще бъде предоставена актуална информация чрез сайта.

VI. ЦЕЛИ НА ОБРАБОТВАНЕ И КАК ИЗПОЛЗВАМЕ ВАШАТА ИНФОРМАЦИЯ

   Дружеството обработва лични данни единствено за конкретни, изрично определени, законосъобразни и легитимни цели, като използва данните само доколкото е необходимо за тяхното постигане и при спазване на принципите на минимизиране, прозрачност и пропорционалност.

  С оглед широкия предмет на дейност на Дружеството, личните данни могат да бъдат обработвани за следните цели:

1. Комуникация и обслужване на запитвания

а) осъществяване на комуникация с Потребителите чрез телефон, имейл, контактни форми или други канали;
б) обработка и отговор на запитвания, заявки, оферти и искания за информация;
в) предоставяне на информация относно услуги, събития, продукти, автомобили, обучения и други дейности;
г) поддържане на текуща комуникация с клиенти, партньори и потенциални контрагенти.

2. Предоставяне на услуги съобразно предмета на дейност

Личните данни могат да бъдат използвани за предоставяне и администриране на услуги, включително:

а) Организация на събития и активности

1. организация, продуциране и провеждане на културни, спортни и бизнес събития;
2. управление на регистрации, участия, резервации и достъп до събития;
3. организиране на фестивали, концерти, автомобилни изложения, моторспорт събития, обучения, семинари и уъркшопи;
4. координация с участници, изложители, партньори и доставчици;
5. популяризиране на събития и дейности.

б) Автомобилни услуги и дейности

1. предоставяне на рент-а-кар услуги;
2. извършване на сервизни и ремонтни дейности;
3. продажба, покупка и внос на автомобили;
4. търговия с резервни части, гуми и автомобилни аксесоари;
5. управление на заявки, сервизни поръчки и договори;
6. идентификация на клиенти и защита от злоупотреби.

в) Търговска дейност

1. обработка на поръчки, доставки и продажби (на едро и дребно);
2. управление на складови, логистични и търговски процеси;
3. обработка на заявки за продукти и услуги;
4. поддържане на история на покупки и взаимоотношения с клиенти.

г) Консултантски услуги и недвижими имоти

1. предоставяне на консултации;
2. управление на сделки, включително покупка, продажба и управление на недвижими имоти;
3. обработка на данни, свързани с договори и правни отношения.

д) Хотелиерство и ресторантьорство

1. обработка на резервации;
2. предоставяне на услуги, свързани с настаняване и обслужване.

3. Управление на договорни отношения

а) сключване, изпълнение и администриране на договори;
б) предприемане на действия преди сключване на договор;
в) управление на взаимоотношения с клиенти, партньори и доставчици;
г) обработка на заявки, резервации, участия и поръчки.

4. Идентификация и проверка на самоличност

а) удостоверяване на самоличността на Потребителите при предоставяне на определени услуги (например рент-а-кар, договори, сделки);
б) предотвратяване на злоупотреби, измами и неоторизиран достъп;
в) спазване на нормативни изисквания, когато е приложимо.

5. Плащания, счетоводство и данъчни задължения

а) обработка на плащания (включително банкови и други платежни методи);
б) издаване на фактури, касови бележки и други счетоводни документи;
в) водене на счетоводна отчетност;
г) изпълнение на задължения по данъчното и счетоводното законодателство;
д) съхранение на документи в законоустановените срокове.

6. Подобряване на уебсайта и услугите

а) анализ на използването на уебсайта;
б) подобряване на съдържанието, функционалността и структурата;
в) оптимизация на потребителското изживяване;
г) развитие на нови услуги, продукти и дейности.

7. Анализ, статистика и маркетинг

а) анализ на трафика и поведението на потребителите;
б) измерване на интереса към различни услуги (събития, автомобили, продукти, обучения и други);
в) оценка на ефективността на рекламни кампании и маркетингови инициативи;
г) провеждане на маркетингови и бранд активности, когато това е допустимо и законосъобразно;
д) изпращане на информация, свързана с дейността на Дружеството, при наличие на правно основание.

8. Сигурност и защита

а) осигуряване на сигурността на уебсайта, системите и мрежите;
б) предотвратяване, откриване и разследване на злоупотреби, измами и неправомерни действия;
в) защита на активите, персонала и дейността на Дружеството;
г) управление на инциденти и нарушения на сигурността.

9. Защита на законни интереси

а) защита на правата и законните интереси на Дружеството;
б) събиране на вземания;
в) участие в съдебни, административни или извънсъдебни производства;
г) разрешаване на спорове и претенции.

10. Изпълнение на законови задължения

а)спазване на приложимото българско и европейско законодателство;
б) предоставяне на информация на компетентни държавни органи, когато това е изискуемо;
в) изпълнение на регулаторни, административни и контролни задължения.

11. Личните данни не се обработват за цели, несъвместими с горепосочените.

Дружеството не използва личните данни за нежелани маркетингови комуникации, освен при наличие на валидно правно основание, като изрично съгласие или допустим легитимен интерес, съгласно приложимото законодателство.

VII. ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ (ОРЗД)

   Обработването на лични данни от страна на Дружеството се извършва в съответствие с чл. 6, пар. 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните – ОРЗД), който определя условията, при които обработването на лични данни се счита за законосъобразно.

  В зависимост от конкретната дейност, естеството на услугите и начина на взаимодействие с Потребителите, Дружеството може да обработва лични данни на едно или повече от следните основания:

1. Съгласие

(член 6, параграф 1, буква „а“ от ОРЗД)

Дружеството обработва лични данни въз основа на изрично, свободно изразено, конкретно, информирано и недвусмислено съгласие на Потребителя, когато такова се изисква от закона.

Такова обработване може да се извършва, включително, но не само, в следните случаи:

а) при попълване и изпращане на контактни форми, запитвания, заявки или регистрационни форми чрез уебсайта;
б) при записване за участие в събития, включително фестивали, концерти, форуми, автомобилни изложения, моторспорт събития, обучения, семинари, уъркшопи и други инициативи;
в) при съгласие за получаване на маркетингови съобщения, бюлетини, покани за събития, оферти и рекламна информация;
г) при предоставяне на съгласие за използване на бисквитки, когато това се изисква;
д) при съгласие за използване на снимки, видеозаписи и други аудио-визуални материали за маркетингови и рекламни цели;
е) при други случаи, предвидени в приложимото законодателство.

Потребителят има право да оттегли своето съгласие по всяко време, без това да засяга законосъобразността на обработването, извършено преди оттеглянето му.

2. Изпълнение на договор или предприемане на стъпки преди сключване на договор

(член 6, параграф 1, буква „б“ от ОРЗД)

Обработването на лични данни е необходимо за сключване, изпълнение и администриране на договорни отношения, както и за предприемане на действия по искане на Потребителя преди сключване на договор.

Това включва, но не се ограничава до:

а) предоставяне на автомобилни услуги, включително сервизни дейности, авторемонт, диагностика и поддръжка;
б) сключване и изпълнение на договори за отдаване под наем на автомобили и други моторни превозни средства (рент-а-кар);
в) продажба, покупка, внос и търговия с автомобили, резервни части, гуми, консумативи и аксесоари;
г) обработка на заявки, резервации и участия в събития, обучения, форуми, фестивали и изложения;
д) организиране и провеждане на културни, спортни, бизнес и автомобилни събития;
е) предоставяне на консултантски, посреднически и представителни услуги;
ж) извършване на сделки с недвижими имоти, когато е приложимо;
з) предоставяне на услуги, свързани с хотелиерство и ресторантьорство, когато такива се осъществяват;
и) обработка на плащания, издаване на фактури, договори, протоколи и други документи, необходими за изпълнение на услугата;
й) комуникация с клиента във връзка с изпълнение на договор или заявка.

Предоставянето на определени лични данни може да бъде задължително условие за сключване и изпълнение на договор. При отказ за предоставяне на такива данни Дружеството може да не е в състояние да предостави съответната услуга.

3. Легитимен интерес  (член 6, параграф 1, буква „е“ от ОРЗД)

Дружеството може да обработва лични данни, когато това е необходимо за целите на негови законни интереси, освен когато пред тях преимущество имат правата и свободите на Потребителите.

Такова обработване може да включва:

а) осигуряване на нормалното функциониране, поддръжка и сигурност на уебсайта и системите;
б) предотвратяване, установяване и разследване на злоупотреби, измами и неправомерни действия;
в) защита на собствеността, активите, персонала и репутацията на Дружеството;
г) анализ на потребителското поведение, интереса към услуги, събития, продукти и дейности;
д) подобряване на качеството на предлаганите услуги и потребителското изживяване;
е)вътрешна административна организация и управление на дейността;
ж) поддържане на взаимоотношения със съществуващи клиенти и партньори;
з) директен маркетинг към съществуващи клиенти, когато това е допустимо от закона;
и) защита на законни права при спорове, претенции или съдебни производства;
й) обработка на данни от публично достъпни източници за бизнес и аналитични цели.

   В тези случаи Дружеството извършва преценка за баланс между своите интереси и правата на Потребителите и прилага подходящи мерки за защита на техните права и свободи.

4. Изпълнение на правно задължение  (член 6, параграф 1, буква „в“ от ОРЗД)

Дружеството обработва лични данни, когато това е необходимо за спазване на законови задължения, включително:

а) счетоводни и данъчни задължения;
б) издаване, съхранение и архивиране на счетоводни и търговски документи;
в) предоставяне на информация на компетентни държавни органи (НАП, КЗП, съдебни органи и други);
г) спазване на изисквания, свързани с търговска дейност, услуги, автомобилен сектор, договорни отношения и потребителска защита;
д) изпълнение на задължения, произтичащи от лицензионни или разрешителни режими, когато са приложими.

5. Защита на жизненоважни интереси (член 6, параграф 1, буква „г“ от ОРЗД)

В изключителни случаи Дружеството може да обработва лични данни, когато това е необходимо за защита на жизненоважни интереси на Потребителя или на друго физическо лице.

Това може да бъде приложимо, например, при извънредни ситуации, свързани със здравето и безопасността на участници в събития, моторспорт активности, демонстрации или други дейности, организирани от Дружеството.

6. Общи положения

В зависимост от конкретния случай обработването на лични данни може да се основава на повече от едно правно основание.

Дружеството обработва лични данни само в необходимия обем и за периода, необходим за постигане на съответните цели.

Дружеството не обработва лични данни за цели, несъвместими с първоначално определените цели на обработване.

Когато обработването се основава на съгласие, Потребителят има право да го оттегли по всяко време.

Когато обработването се основава на легитимен интерес, Потребителят има право да възрази срещу такова обработване при условията на приложимото законодателство.

VIII. СНИМКИ И ВИДЕО (АУДИО-ВИЗУАЛНИ МАТЕРИАЛИ)

В рамките на дейността на Дружеството, свързана с организация, продуциране и провеждане на масови, културни, спортни, автомобилни, моторспорт и бизнес събития, както и обучения, демонстрации, фестивали, форуми, изложения, презентации и други публични или частни инициативи, е възможно да се извършва фото- и видеозаснемане.

1. Обхват на заснемането

Фото- и видеозаснемането може да се извършва по време на:

а) фестивали, концерти, сценични изяви, художествени изложби, арт инсталации и перформанси;
б) автомобилни събития, моторспорт прояви, автомобилни фестивали, демонстрации, тестове, изложения и експозиции;
в) обучения, лекции, семинари, уъркшопи и образователни инициативи;
г) бизнес събития, нетуъркинг срещи, презентации и корпоративни инициативи;
д) рекламни, маркетингови и бранд активизации;
е) дейности, свързани с автомобилни услуги, демонстрации на продукти, сервизни дейности и други активности от предмета на дейност на Дружеството.

Заснемането може да обхваща общи кадри на събитието, атмосферата, участници, публика, превозни средства, демонстрации, както и отделни лица, когато това е приложимо.

2. Цели на използване

Създадените снимки и видеозаписи могат да бъдат използвани за следните цели:

а) популяризиране на дейността на Дружеството;
б) маркетинг, реклама и бранд позициониране;
в) представяне на организирани събития, услуги, продукти и инициативи;
г) публикуване на уебсайта на Дружеството, социални мрежи, онлайн платформи и рекламни канали;
д) създаване на рекламни материали, презентации, портфолио, каталози и кампании;
е) отразяване на събития и изграждане на публичен имидж;
ж) вътрешни архивни и документални цели.

3. Правно основание

Обработването на лични данни чрез снимки и видеозаписи се извършва на основание:

а) легитимен интерес (член 6, параграф 1, буква „е“ от ОРЗД) – за документиране, популяризиране и развитие на дейността на Дружеството;
б) съгласие (член 6, параграф 1, буква „а“ от ОРЗД) – когато се изисква по закон, включително при заснемане на индивидуални лица, деца или при използване на материали за специфични маркетингови цели.

При необходимост Дружеството ще изисква изрично съгласие от засегнатите лица.

4. Информираност

Потребителите и участниците в събития се считат за уведомени за възможността от фото- и видеозаснемане чрез:

а) настоящата Политика за поверителност;
б) информационни табели на място на събитието;
в) регистрационни форми, покани или условия за участие;
г) други подходящи средства за уведомяване.

5. Права на субектите на данни

Всеки Потребител има право:

а) да възрази срещу заснемането или използването на неговия образ;
б) да поиска ограничаване на обработването;
в) да поиска премахване (изтриване) на конкретни изображения или видеоматериали, когато това е приложимо и законосъобразно;
г) да упражни останалите си права съгласно ОРЗД.

Искания могат да бъдат отправяни чрез посочените в Политиката за поверителност контактни данни.

6. Ограничения

Дружеството не може да гарантира пълно изключване от заснемане при:

а) масови събития с публичен характер;
б) общи кадри на публика или среда;
в) ситуации, при които лицето не е основен обект на заснемане.

В такива случаи Дружеството ще положи разумни усилия да ограничи използването на съответните материали при основателно възражение.

7. Сигурност и съхранение

Аудио-визуалните материали се съхраняват при прилагане на подходящи технически и организационни мерки за сигурност и се използват само за целите, посочени в настоящата политика.

IX. СПОДЕЛЯНЕ НА ЛИЧНИ ДАННИ

Дружеството може да предоставя, разкрива или по друг начин да споделя лични данни с трети лица само когато това е необходимо за изпълнение на договор, за предоставяне на конкретна услуга, за спазване на законово задължение, за защита на законни интереси или когато е налице друго приложимо правно основание съгласно Регламент (ЕС) 2016/679 и действащото законодателство. Дружеството не продава лични данни и не ги предоставя на трети лица за цели, несъвместими с целите, за които данните са събрани.

Лични данни могат да бъдат предоставяни само в минимално необходимия обем и при спазване на принципите на законосъобразност, добросъвестност, прозрачност, минимизиране на данните и ограничаване на целите. Когато Дружеството използва външни доставчици, то изисква от тях да прилагат подходящи технически и организационни мерки и да обработват данните само съобразно възложените цели и приложимите договорни отношения.

1. Държавни, административни, контролни и съдебни органи

Лични данни могат да бъдат предоставяни на компетентни държавни, административни, контролни, регулаторни, разследващи или съдебни органи, когато това е предвидено в закон, поискано е по надлежния ред или е необходимо за установяване, упражняване или защита на правни претенции.

Такива получатели могат да включват, когато е приложимо:

а) Национална агенция за приходите;
б) Комисия за защита на потребителите;
в) Комисия за защита на личните данни;
г) Министерство на вътрешните работи, прокуратура, следствени органи и съдилища;
д) съдебни изпълнители, нотариуси и други компетентни органи;
е) други държавни или общински органи, когато това произтича от приложим нормативен акт.

Предоставянето на данни в тези случаи се извършва само при наличие на приложимо правно основание и в обем, необходим за изпълнение на съответното задължение или искане.

2. Счетоводни, данъчни, одиторски и правни консултанти

Лични данни могат да бъдат предоставяни на външни счетоводители, счетоводни предприятия, данъчни консултанти, одитори, адвокати, нотариуси и други професионални консултанти, когато това е необходимо за:

а) водене на счетоводство и данъчна отчетност;
б) издаване, обработка, проверка и съхранение на фактури, платежни документи и търговски книжа;
в) изготвяне, преглед, подписване и изпълнение на договори;
г) защита на правата и законните интереси на Дружеството;
д) процесуално представителство, събиране на вземания, защита при претенции, спорове и производства;
е) спазване на нормативни и регулаторни задължения.

3. ИТ, хостинг и технологични доставчици

Дружеството може да използва външни доставчици на технологични услуги, доколкото това е необходимо за нормалното функциониране на уебсайта, електронните комуникации, вътрешните системи, сигурността и административните процеси.

Такива доставчици могат да включват:

а) хостинг доставчици;
б) доставчици на облачни услуги;
в) доставчици на домейн, имейл и комуникационни услуги;
г) доставчици на софтуерни решения, CRM системи, системи за управление на заявки и клиенти;
д) доставчици на услуги за поддръжка, резервни копия, информационна сигурност и техническа защита;
е) доставчици на аналитични, рекламни и маркетингови инструменти, когато това е приложимо и законосъобразно.

Когато тези лица действат като обработващи лични данни, те обработват данните само по документирани указания на Дружеството и при наличие на подходящи договорни гаранции за поверителност и сигурност.

4. Партньори, съорганизатори и подизпълнители при събития

С оглед предмета на дейност на Дружеството, включващ организация, продуциране и провеждане на масови, културни, спортни, автомобилни, моторспорт, бизнес и образователни събития, лични данни могат да бъдат предоставяни на партньори, съорганизатори, изпълнители и подизпълнители, когато това е необходимо за подготовката, координацията, обезпечаването и провеждането на конкретното събитие.

Такива получатели могат да включват:

а) съорганизатори и партньори на събитието;
б) изложители, спонсори и участници;
в) лектори, обучители, модератори, водещи и гост-участници;
г) доставчици на сцена, озвучаване, осветление, техника и видеооборудване;
д) фотографи, видеооператори, PR и маркетингови агенции;
е) фирми за регистрация, билетиране, контрол на достъп и пропускателен режим;
ж) охранителни фирми, медицински екипи и лица, отговарящи за безопасността;
з) логистични и транспортни изпълнители;
и) доставчици на кетъринг, настаняване и обслужване.

Предоставянето на данни в тези случаи се извършва само доколкото е необходимо за провеждането, обезпечаването и документирането на съответната дейност.

5. Партньори и изпълнители в автомобилния сектор

Във връзка с авторемонтни дейности, стопанисване на автосервизи, търговия с автомобили и моторни превозни средства, внос, рент-а-кар, продажба на резервни части, гуми, консумативи и аксесоари, лични данни могат да бъдат предоставяни на:

а) сервизни партньори и технически специалисти;
б) външни изпълнители по диагностика, ремонт и техническа поддръжка;
в) доставчици на резервни части, гуми, консумативи и аксесоари;
г) транспортни и логистични изпълнители;
д) застрахователи и застрахователни посредници, когато това е необходимо;
е) партньори, участващи в предоставяне на рент-а-кар услуги;
ж) лица, участващи в регистрация, прехвърляне, доставка, приемо-предаване или съхранение на моторни превозни средства.

6. Доставчици и подизпълнители при търговска, складова, превозна и спедиционна дейност

При осъществяване на търговия на едро и дребно, доставка, спедиционни, превозни, складови и съпътстващи услуги, лични данни могат да бъдат предоставяни на:

а) куриерски и транспортни компании;
б) логистични оператори;
в) складови бази и външни изпълнители по обработка на доставки;
г) посредници и представители при търговски сделки;
д) доставчици на платежни, административни и търговски услуги.

7. Партньори и контрагенти при консултантски, посреднически и представителни услуги

Във връзка с консултантски, посреднически, търговско-представителни, комисионни и други услуги, Дружеството може да предоставя лични данни на клиенти, контрагенти, представители, посредници и професионални съветници, когато това е необходимо за:

а) водене на преговори;
б) подготовка, сключване и изпълнение на договори;
в) представителство пред трети лица;
г) координиране на взаимоотношения между страните;
д) администриране на конкретна сделка или услуга.

8. Получатели във връзка с недвижими имоти

Когато Дружеството извършва дейности, свързани с покупка, строеж, обзавеждане, продажба или управление на недвижими имоти, лични данни могат да бъдат предоставяни на:

а) брокери и посредници;
б) нотариуси;
в) адвокати и правни консултанти;
г) оценители, проектанти, технически специалисти и изпълнители;
д) контрагенти по сделки;
е) административни и регулаторни органи, когато това е необходимо.

9. Получатели при хотелиерство, ресторантьорство и обслужване

Когато Дружеството осъществява дейности, свързани с хотелиерство, ресторантьорство, кетъринг, резервации или събитийно обслужване, лични данни могат да бъдат предоставяни на:

а) хотели, места за настаняване и обслужващи обекти;
б) доставчици на резервационни системи и обслужващи услуги;
в) кетъринг компании и доставчици на храни и напитки;
г) външни изпълнители по организация и обслужване на събития.

10. Маркетинг, реклама и бранд активности

Във връзка с маркетингови, рекламни и бранд активности, свързани със събития, услуги, продукти и дейности на Дружеството, лични данни могат да бъдат предоставяни на:

а) рекламни, PR и комуникационни агенции;
б) маркетингови консултанти;
в) доставчици на аналитични, рекламни и комуникационни платформи;
г) фотографи, видеооператори, дизайнери, редактори и продуцентски екипи;
д) доставчици на услуги за управление на кампании, съдържание и комуникации.

При такова предоставяне се прилага ограничение за използване само за законосъобразни маркетингови цели и не следва да се допуска нежелана търговска комуникация без валидно правно основание.

11. Статут на получателите

В зависимост от характера на конкретното правоотношение, третите лица, на които се предоставят данни, могат да действат като:

а) обработващи лични данни – когато обработват данните от името и по възлагане на Дружеството;
б) самостоятелни администратори – когато самостоятелно определят целите и средствата за обработване на данните.

Когато получателите действат като самостоятелни администратори, те носят самостоятелна отговорност за последващото обработване на данните в съответствие с приложимото законодателство. Този подход е отразен и в примерната политика от качените файлове.

12. Предаване на данни извън Европейския съюз

Когато използваните от Дружеството доставчици на услуги включват обработване или достъп до данни извън Европейския съюз или Европейското икономическо пространство, Дружеството предприема подходящи мерки за защита, включително стандартни договорни клаузи или други признати механизми по ОРЗД. Предаване към трети държави следва да се извършва само при условията на глава V от Регламента.

13. Принцип на минимизиране и защита

Във всички случаи Дружеството предоставя лични данни само:

а) когато това е необходимо;
б) в минимално необходимия обем;
в) при наличие на приложимо правно основание;
г) на получатели, които са обвързани с подходящи задължения за поверителност и сигурност, когато това е приложимо.

X. ДОСТАВЧИЦИ НА УСЛУГИ И ТРЕТИ СТРАНИ

За осъществяване на своята дейност, за поддържане на уебсайта, за предоставяне на услуги и за нормалното функциониране на организационните, търговските, автомобилните, маркетинговите, събитийните и административните процеси, Дружеството може да използва външни доставчици на услуги и други трети лица.

Такива лица могат да имат достъп до лични данни или да обработват лични данни от името на Дружеството, само доколкото това е необходимо за изпълнение на конкретна задача, услуга, договорно задължение или законово изискване.

Дружеството използва външни доставчици само при наличие на подходящи договорни отношения, включително задължения за поверителност, сигурност и законосъобразно обработване на личните данни, съгласно Регламент (ЕС) 2016/679 (ОРЗД) и приложимото законодателство.

1. Категории външни доставчици и трети лица

В зависимост от конкретната дейност, лични данни могат да бъдат обработвани от или предоставяни на следните категории доставчици и трети лица:

1.1. Доставчици на хостинг, облачни и технически услуги

Дружеството може да използва външни доставчици на:

а) хостинг услуги за уебсайта и свързаните електронни системи;
б) облачни инфраструктури и платформи за съхранение и обработка на данни;
в) услуги за управление на домейни, DNS, имейл и сървърни ресурси;
г) техническа поддръжка, резервни копия, архивиране и възстановяване на данни;
д) услуги за киберсигурност, мониторинг, защита от атаки, антивирусна защита и мрежова сигурност;
е) услуги за поддръжка и администриране на вътрешни системи и бази данни.

Тези доставчици могат да имат достъп до ограничен обем лични данни, когато това е необходимо за осигуряване на техническата работоспособност, сигурност и непрекъсваемост на услугите.

1.2. Доставчици на имейл, комуникационни и административни системи

Дружеството може да използва външни системи и платформи за:

а) изпращане и получаване на имейл кореспонденция;
б) обработка на запитвания, контактни форми и клиентски комуникации;
в) организиране на комуникация с клиенти, партньори, участници в събития и контрагенти;
г) управление на резервации, регистрации, заявки и административна комуникация;
д) изпращане на уведомления, потвърждения, покани, инструкции и друга оперативна информация.

Когато се използват подобни услуги, съответните доставчици могат да обработват данни като имена, имейл адреси, телефонни номера, съдържание на съобщения, информация за участие в събития, заявки и други необходими данни в зависимост от конкретната комуникация.

1.3. Доставчици на аналитични инструменти и инструменти за измерване на трафика

С цел анализ на уебсайта, поведението на посетителите и интереса към различни услуги и активности, Дружеството може да използва аналитични инструменти и платформи за измерване на трафика.

Тези инструменти могат да се използват за:

а) анализ на броя посещения и източниците на трафик;
б) измерване на посещаемостта на отделни страници и секции;
в) анализ на интереса към различни услуги, събития, автомобилни дейности, търговски предложения, обучения и други активности;
г) подобряване на структурата, навигацията и съдържанието на уебсайта;
д) оптимизиране на потребителското изживяване.

В зависимост от използвания инструмент могат да бъдат обработвани автоматично събирани данни, като IP адрес, тип устройство, браузър, действия в сайта, дата и час на достъп, продължителност на посещението и други сходни технически данни, при условията на приложимото законодателство и при наличие на валидно правно основание.

1.4. Рекламни, маркетингови и комуникационни платформи

Във връзка с предмета на дейност на Дружеството, който включва организация на събития, маркетинг, реклама, бранд активизации, автомобилни дейности, търговия и консултантски услуги, е възможно Дружеството да използва външни рекламни, маркетингови и комуникационни платформи, включително за:

а) популяризиране на събития, фестивали, форуми, концерти, автомобилни и моторспорт прояви;
б) представяне на търговски предложения, продукти, услуги и активности;
в) измерване на ефективността на рекламни кампании;
г) управление на рекламно съдържание, дигитални кампании и комуникационни инициативи;
д) ретаргетиране, сегментиране и анализ на интереса към определени категории услуги или съдържание, когато това е допустимо от закона.

При използване на такива платформи е възможно обработването на определени лични данни или технически идентификатори, включително данни, събирани чрез бисквитки и сходни технологии, при наличие на съответното правно основание.

1.5. Доставчици на услуги за организация и провеждане на събития

С оглед дейността на Дружеството по организация, продуциране и провеждане на масови, културни, спортни, автомобилни, моторспорт, бизнес и образователни събития, Дружеството може да използва външни доставчици, партньори и подизпълнители за:

а) регистрация и управление на участници;
б) билетиране, резервации и достъп до събития;
в) сцена, техника, озвучаване, осветление, мултимедия и видео;
г) фотография, видеозаснемане и обработка на аудио-визуални материали;
д) PR, медийно отразяване, маркетинг и бранд активизации;
е) логистика, транспорт, кетъринг, обслужване и настаняване;
ж) охрана, контрол на достъп, медицинско обезпечаване и безопасност;
з) провеждане на лекции, обучения, семинари, уъркшопи и демонстрации.

В тези случаи е възможно определени лични данни да бъдат обработвани от такива лица, когато това е необходимо за подготовката, координацията, провеждането и документирането на конкретното събитие.

1.6. Доставчици и изпълнители в автомобилния сектор

С оглед предмета на дейност на Дружеството, включващ авторемонтни дейности, автосервиз, търговия с автомобили, резервни части, гуми, консумативи и аксесоари, внос на автомобили и отдаване под наем на моторни превозни средства, Дружеството може да използва външни доставчици и изпълнители, включително:

а) сервизни партньори и технически специалисти;
б) външни изпълнители по диагностика, ремонт и техническа поддръжка;
в) доставчици на резервни части, гуми, консумативи и аксесоари;
г) транспортни и логистични партньори;
д) застрахователи и застрахователни посредници, когато е приложимо;
е) лица, участващи в доставка, регистрация, прехвърляне, съхранение или предаване на МПС;
ж) партньори, свързани с рент-а-кар услуги.

Тези лица могат да получават достъп до лични данни само в степента, необходима за изпълнението на съответната услуга или договор.

1.7. Счетоводни, правни, данъчни и административни доставчици

За целите на счетоводството, правното обслужване, данъчната отчетност, договорното администриране и спазването на законови изисквания, Дружеството може да използва външни:

а) счетоводители и счетоводни предприятия;
б) данъчни консултанти и одитори;
в) адвокати, нотариуси и правни консултанти;
г) административни консултанти и външни специалисти по договорно обслужване.

Тези лица могат да обработват лични данни, доколкото това е необходимо за изпълнение на техните професионални функции и за защита на правата и законните интереси на Дружеството.

1.8. Доставчици във връзка с търговия, логистика и доставка

При търговска дейност, онлайн или офлайн продажби, складова дейност, доставки, превозни и спедиционни услуги, Дружеството може да използва външни доставчици и партньори, включително:

а) куриерски и транспортни компании;
б) логистични оператори;
в) складови изпълнители;
г) доставчици на платежни и административни услуги;
д) външни изпълнители по обработка на поръчки и доставки.

1.9. Доставчици във връзка с консултантски, посреднически и представителни услуги

Във връзка с консултантски, посреднически, комисионни, представителни и други бизнес услуги, Дружеството може да използва външни партньори и професионални изпълнители, когато това е необходимо за:

а) водене на преговори;
б) подготовка и изпълнение на сделки;
в) координация между страни по договорни отношения;
г) представителство и бизнес комуникация.

1.10. Доставчици във връзка с недвижими имоти, хотелиерство и ресторантьорство

Ако и доколкото Дружеството осъществява дейности, свързани с недвижими имоти, хотелиерство, ресторантьорство, резервации, кетъринг или обслужване, то може да използва външни доставчици и изпълнители като:

а) брокери и посредници;
б) нотариуси, оценители и технически специалисти;
в) хотели, места за настаняване и обслужващи обекти;
г) кетъринг компании и доставчици на храни и напитки;
д) външни изпълнители по организация и обслужване на събития и резервации.

2. Статут на външните доставчици и третите лица

В зависимост от характера на конкретното правоотношение, външните доставчици и трети лица могат да действат като:

а) обработващи лични данни – когато обработват лични данни от името и по възлагане на Дружеството;
б) самостоятелни администратори – когато самостоятелно определят целите и средствата за обработване на личните данни.

Когато външните лица действат като обработващи, Дружеството предприема необходимите мерки за сключване на договори или други правни механизми, които да гарантират, че данните се обработват само по негови инструкции, при спазване на изискванията за поверителност, сигурност и законосъобразност.

Когато третите лица действат като самостоятелни администратори, те носят самостоятелна отговорност за последващото обработване на личните данни в съответствие с приложимото законодателство.

3. Предаване на данни извън Европейския съюз

Възможно е част от външните доставчици на услуги или използваните технологични решения да включват обработване или достъп до данни извън Европейския съюз или Европейското икономическо пространство.

В такива случаи Дружеството предприема подходящи правни, технически и организационни мерки за защита на личните данни, включително чрез:

а) използване на стандартни договорни клаузи;
б) прилагане на други допустими механизми съгласно ОРЗД;
в) ограничаване на достъпа и обработването до необходимия минимум.

4. Общи принципи при използване на външни доставчици

При използване на външни доставчици и трети лица Дружеството се стреми да гарантира, че:

а) достъпът до лични данни е ограничен до необходимото;
б) данните се обработват само за конкретни и законосъобразни цели;
в) се прилагат подходящи мерки за сигурност и поверителност;
г) обработването се извършва в съответствие с принципите на минимизиране, ограничаване на целите и отчетност;
д) не се допуска използване на личните данни за несъвместими цели.

XI. ПРЕХВЪРЛЯНЕ НА ЛИЧНИ ДАННИ ИЗВЪН ЕВРОПЕЙСКИЯ СЪЮЗ И ЕВРОПЕЙСКОТО ИКОНОМИЧЕСКО ПРОСТРАНСТВО

С оглед дейността на Дружеството и използването на различни външни доставчици на услуги, технологични решения, комуникационни средства, маркетингови платформи, хостинг и облачни услуги, аналитични инструменти, рекламни системи, имейл услуги, системи за управление на събития, резервации, регистрационни форми, обслужване на клиенти, административни процеси и други свързани услуги, е възможно лични данни да бъдат прехвърляни, съхранявани, обработвани или да бъдат достъпни от държави извън Европейския съюз („ЕС“) и Европейското икономическо пространство („ЕИП“).

Такова прехвърляне може да възникне, когато Дружеството използва външни доставчици или партньори, чиито сървъри, инфраструктура, персонал, подизпълнители или технически ресурси се намират извън ЕС/ЕИП или когато достъпът до данни се осъществява от трета държава във връзка с предоставяне на конкретна услуга, техническа поддръжка, анализ, комуникация, маркетинг, регистрация за събития, организация на участия, реклама, сигурност или други законосъобразни дейности от предмета на дейност на Дружеството.

1. Кога може да възникне прехвърляне извън ЕС/ЕИП

Прехвърляне на лични данни извън ЕС/ЕИП може да бъде възможно, включително, но не само, в следните случаи:

а) при използване на хостинг, облачни и технологични услуги;
б) при използване на външни имейл и комуникационни системи;
в) при използване на аналитични инструменти за измерване на трафика и поведението на потребителите;
г) при използване на рекламни, маркетингови и комуникационни платформи;
д) при използване на системи за регистрация, резервация, билетиране или управление на участия в събития;
е) при използване на инструменти за поддръжка на уебсайта, сигурност, архивиране, мониторинг и административно управление;
ж) при използване на външни партньори, съорганизатори, изпълнители или подизпълнители във връзка с международни събития, изложби, форуми, автомобилни и моторспорт активности, маркетингови кампании или други дейности;
з) при използване на външни доставчици, свързани с търговия, логистика, резервации, хотелиерство, ресторантьорство, транспорт, рент-а-кар, автомобилни услуги или бизнес комуникация.

2. Принципи при международно прехвърляне на данни

Дружеството предприема прехвърляне на лични данни извън ЕС/ЕИП само когато това е допустимо съгласно приложимото законодателство и при наличие на подходящи механизми за защита на личните данни.

Когато такова прехвърляне е необходимо, Дружеството се стреми да гарантира, че:

а) прехвърлянето е необходимо за конкретна, законосъобразна и ясно определена цел;
б) се извършва само в обема, необходим за постигане на съответната цел;
в) се прилагат подходящи правни, технически и организационни мерки за защита;
г) получателите на данните са обвързани с изисквания за поверителност, сигурност и законосъобразно обработване;
д) се спазват изискванията на глава V от Регламент (ЕС) 2016/679.

3. Подходящи гаранции при прехвърляне извън ЕС/ЕИП

Когато лични данни се прехвърлят към държави извън ЕС/ЕИП, Дружеството може да разчита на една или повече от следните подходящи гаранции, когато това е приложимо:

а) решение на Европейската комисия за адекватно ниво на защита за съответната държава, територия, сектор или международна организация;
б) стандартни договорни клаузи („Standard Contractual Clauses“ / SCC), одобрени от Европейската комисия;
в) обвързващи корпоративни правила (Binding Corporate Rules), когато са приложими;
г) одобрени кодекси за поведение или сертификационни механизми, когато това е допустимо и приложимо;
д) други допустими механизми и гаранции, предвидени в Регламент (ЕС) 2016/679.

Когато се използват стандартни договорни клаузи, Дружеството предприема необходимите действия за преценка дали в конкретния случай тези клаузи осигуряват адекватно ниво на защита и при необходимост прилага допълнителни технически, организационни или договорни мерки.

4. Изключения при определени случаи

В отделни случаи и когато това е допустимо от закона, прехвърляне на лични данни извън ЕС/ЕИП може да се извърши и на основание някое от изключенията, предвидени в Регламент (ЕС) 2016/679, включително когато:

а) Потребителят е дал изрично съгласие за предложеното прехвърляне след като е бил информиран за възможните рискове;
б) прехвърлянето е необходимо за изпълнение на договор между Потребителя и Дружеството или за предприемане на преддоговорни мерки по искане на Потребителя;
в) прехвърлянето е необходимо за сключване или изпълнение на договор в интерес на Потребителя;
г) прехвърлянето е необходимо по важни причини от обществен интерес;
д) прехвърлянето е необходимо за установяване, упражняване или защита на правни претенции;
е) прехвърлянето е необходимо за защита на жизненоважни интереси на Потребителя или на друго лице;
ж) прехвърлянето се извършва от публичен регистър при спазване на приложимите законови условия.

Такива случаи се разглеждат ограничително и само когато са налице предпоставките, предвидени в закона.

5. Видове получатели при международно прехвърляне

В зависимост от конкретната дейност и използваните външни услуги, получателите на данни извън ЕС/ЕИП могат да включват, когато това е приложимо:

а) доставчици на хостинг, облачни и сървърни услуги;
б) доставчици на имейл, комуникационни и административни платформи;
в) доставчици на аналитични услуги и инструменти за измерване на трафика;
г) доставчици на маркетингови, рекламни и комуникационни платформи;
д) доставчици на софтуерни системи за регистрация, резервации, заявки и обслужване на събития;
е) доставчици на услуги по сигурност, архивиране, техническа поддръжка и мониторинг;
ж) международни партньори, съорганизатори, изпълнители и подизпълнители при събития, изложения, обучения, автомобилни и моторспорт активности;
з) външни бизнес партньори, когато това е необходимо за предоставяне на конкретна услуга или изпълнение на договорно задължение.

6. Съобразяване с предмета на дейност на Дружеството

С оглед предмета на дейност на „ГОНКО ТЕХНОЛОГИИ“ ЕООД, международно прехвърляне на лични данни може да бъде релевантно не само във връзка с функционирането на уебсайта, но и при:

а) организация и популяризиране на фестивали, форуми, концерти, обучения, семинари, уъркшопи, културни, автомобилни и моторспорт събития;
б) комуникация с чуждестранни участници, партньори, изложители, спонсори, обучители, лектори, изпълнители и медии;
в) използване на международни рекламни, маркетингови и комуникационни платформи;
г) международна логистика, транспорт, доставка или обслужване;
д) дейности по внос, продажба, посредничество или отдаване под наем на автомобили и други моторни превозни средства;
е) използване на международни доставчици във връзка с търговска дейност, консултантски услуги, хотелски резервации, събитийно обслужване или други съпътстващи услуги.

7. Мерки за защита

При международно прехвърляне на данни Дружеството може да прилага, когато това е уместно и възможно, допълнителни мерки за защита, включително:

а) ограничаване на достъпа до данните само до оправомощени лица;
б) псевдонимизация или минимизиране на данните;
в) договорни ограничения относно използването на данните;
г) технически мерки за защита на данните по време на съхранение и пренос;
д) оценка на риска и на адекватността на нивото на защита, когато това е приложимо.

8. Права на Потребителите

Потребителите имат право да поискат информация относно това дали техни лични данни се прехвърлят извън ЕС/ЕИП и при какви гаранции се осъществява такова прехвърляне, доколкото това е приложимо съгласно закона.

Когато прехвърлянето се основава на стандартни договорни клаузи или друг допустим механизъм, Потребителят може да поиска допълнителна информация относно приложимите гаранции, освен ако предоставянето на такава информация е ограничено от закон или от защитата на права и интереси на трети лица.

9. Общ принцип

Дружеството се стреми да избира доставчици и партньори, които осигуряват адекватно ниво на защита на личните данни и спазват приложимите изисквания на Регламент (ЕС) 2016/679.

Когато международно прехвърляне на лични данни е необходимо, Дружеството предприема разумни и подходящи мерки, за да гарантира, че такова прехвърляне се извършва законосъобразно, пропорционално и при достатъчно ниво на защита на правата и свободите на Потребителите.

XII. СРОК НА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ

Дружеството съхранява лични данни за срок, който е ограничен до необходимото за постигане на целите, за които данните са събрани и обработвани, освен когато по-дълъг срок е предвиден или изискуем от приложимото законодателство, необходим е за защита на законни интереси на Дружеството или е необходим за установяване, упражняване или защита на правни претенции.

При определяне на сроковете за съхранение Дружеството отчита:

а) естеството, обема и чувствителността на обработваните данни;
б) целите на обработването;
в) продължителността на договорните и фактическите отношения с Потребителя;
г) законовите срокове за съхранение;
д) възможността от възникване на спорове, претенции, производства или проверки;
е) необходимостта от защита на сигурността, отчетността и законосъобразността на дейността.

След изтичане на приложимия срок личните данни се изтриват, унищожават, анонимизират или се съхраняват в ограничен режим, когато това е необходимо по закон или за защита на законни интереси.

1. Общи срокове за съхранение

В зависимост от категорията на данните и целите на обработването, Дружеството може да съхранява лични данни за следните срокове:

1.1. Счетоводни, данъчни и търговски документи

Лични данни, съдържащи се във фактури, счетоводни документи, договори, платежни документи, приемо-предавателни протоколи, отчети и други документи, свързани със счетоводната и търговската дейност на Дружеството, се съхраняват за срок до 10 години или за по-дълъг срок, ако това се изисква от приложимото законодателство, от орган на власт или е необходимо за защита на правни претенции.

Това включва данни, свързани с:

а) продажба на стоки и услуги;
б) автомобилни услуги, сервизни дейности и рент-а-кар;
в) организиране и провеждане на събития;
г) консултантски, посреднически и представителни услуги;
д) сделки с недвижими имоти, когато това е приложимо;
е) хотелиерство, ресторантьорство, кетъринг и обслужване, когато това е приложимо.

1.2. Запитвания, контактни форми, заявки и кореспонденция

Лични данни, предоставени чрез контактни форми, електронна поща, телефон, чат, регистрационни форми, заявки за услуги, резервации, предварителни запитвания, искания за оферти и друга преддоговорна или информационна комуникация, се съхраняват за срок до 2 години от датата на последната активна комуникация, освен ако:

а) не е сключен договор;
б) не е възникнало правно основание за по-дълго съхранение;
в) не е налице необходимост от защита при спор, претенция или производство.

1.3. Технически логове, системни записи и данни за сигурност

Технически логове, сървърни записи, данни за достъп, системни събития, IP адреси, данни за опити за достъп, технически грешки, събития по сигурността и други автоматично генерирани записи, свързани с функционирането и защитата на уебсайта и системите, обичайно се съхраняват за срок до 90 дни, освен ако по-дълъг срок е необходим за:

а) разследване на злоупотреби, измами или инциденти;
б) защита на системите и мрежите;
в) установяване, упражняване или защита на правни претенции;
г) изпълнение на нормативно изискване или указание на компетентен орган.

1.4. Данни за маркетинг и рекламни комуникации

Лични данни, обработвани за целите на маркетингови съобщения, бюлетини, покани за събития, оферти, рекламни инициативи, бранд активности и други сходни комуникации, се съхраняват до оттегляне на съгласието, когато обработването се основава на съгласие, или до валидно възражение/отказ, когато обработването се основава на допустим легитимен интерес.

След оттегляне на съгласието или получаване на отказ за бъдещи комуникации, Дружеството преустановява съответното обработване, като може да запази минимална информация, необходима за доказване на оттегленото съгласие, заявения отказ или за спазване на законови изисквания.

2. Специални срокове според предмета на дейност на Дружеството

С оглед широкия предмет на дейност на „ГОНКО ТЕХНОЛОГИИ“ ЕООД, различни категории данни могат да бъдат съхранявани за различни срокове в зависимост от конкретната услуга или дейност.

2.1. Данни при организиране и провеждане на събития

Лични данни, свързани с участие в събития, регистрации, резервации, достъп, комуникация с участници, лектори, обучители, партньори, изложители, спонсори и гости, могат да се съхраняват за срок, необходим за:

а) подготовка, координация и провеждане на събитието;
б) последваща отчетност, документиране и архивиране;
в) уреждане на въпроси, свързани с участие, плащане, достъп, логистика и безопасност;
г) защита при евентуални претенции или спорове.

Когато данните са част от счетоводни, договорни или правни документи, за тях се прилагат по-дългите законоустановени срокове.

2.2. Снимки и видеозаписи от събития и активности

Снимки, видеозаписи и други аудио-визуални материали, създадени във връзка с фестивали, концерти, форуми, обучения, автомобилни и моторспорт събития, изложения, демонстрации, бранд активности и други инициативи, могат да се съхраняват за срок, необходим за:

а) документиране на събитието;
б) маркетингови, рекламни и комуникационни цели;
в) архивни и референтни цели;
г) представяне на дейността на Дружеството.

Тези материали могат да се съхраняват за по-дълъг срок, доколкото това е необходимо за законосъобразните цели, за които са създадени, освен ако не бъде направено основателно искане за ограничаване или изтриване и ако не съществува надделяващо правно основание за съхранението им.

2.3. Данни при автомобилни услуги, автосервиз и рент-а-кар

Лични данни, свързани с автомобилни услуги, сервизни поръчки, диагностика, авторемонт, отдаване под наем на автомобили, предаване и приемане на МПС, договори, гаранционни отношения, история на обслужване и свързани документи, се съхраняват за срок, необходим за:

а) изпълнение на услугата или договора;
б) доказване на извършените дейности;
в) обслужване на рекламации, гаранции, претенции и спорове;
г) спазване на счетоводни, данъчни и търговски изисквания.

Когато данните са част от договорна, счетоводна или правна документация, може да се прилага срок до 10 години или друг приложим законов срок.

2.4. Данни при търговия на едро и дребно, доставки и логистика

Лични данни, свързани с поръчки, доставки, плащания, транспорт, складови и логистични дейности, могат да се съхраняват за срока, необходим за:

а) изпълнение на поръчката или доставката;
б) обслужване на плащания, рекламации и връщания;
в) проследимост на доставката или търговската операция;
г) спазване на нормативни и отчетни задължения.

2.5. Данни при консултантски, посреднически и представителни услуги

Лични данни, обработвани във връзка с консултации, посредничество, комисионни, представителни и други бизнес услуги, могат да се съхраняват за срока, необходим за:

а) изпълнение на конкретната услуга;
б) администриране на отношенията между страните;
в) доказване на възложени, извършени или договорени действия;
г) защита на правни интереси при спор или претенция.

2.6. Данни при дейности, свързани с недвижими имоти

Лични данни, обработвани във връзка с покупка, строеж, обзавеждане, продажба или управление на недвижими имоти, могат да се съхраняват за срок, необходим за подготовка, договаряне, изпълнение и доказване на съответните сделки и правоотношения, както и за законоустановените срокове за документиране и архивиране.

2.7. Данни при хотелиерство, ресторантьорство и обслужване

Когато Дружеството извършва дейности, свързани с хотелиерство, ресторантьорство, резервации, кетъринг или обслужване, съответните лични данни могат да се съхраняват за срока, необходим за изпълнение на резервацията, услугата, съпътстващите плащания, отчетността и защитата на правни интереси.

3. Съхранение при спор, претенция или производство

Независимо от посочените срокове, Дружеството може да съхранява лични данни за по-дълъг период, когато това е необходимо за:

а) установяване, упражняване или защита на правни претенции;
б) участие в съдебни, административни, арбитражни или извънсъдебни производства;
в) изпълнение на указания или изисквания на компетентен орган;
г) разследване на злоупотреби, измами, инциденти по сигурността или нарушения.

В такива случаи данните се съхраняват до окончателното приключване на съответния случай и изтичането на относимите срокове по закон.

4. Резервни копия и техническо възстановяване

С цел гарантиране на сигурността, непрекъсваемостта и възстановимостта на системите е възможно част от данните да присъстват временно в резервни копия, архиви или системи за възстановяване след инцидент.

Такива данни се съхраняват само за технически необходимия срок и при прилагане на подходящи мерки за сигурност, като достъпът до тях е ограничен.

5. Изтриване, унищожаване и анонимизиране

След изтичане на приложимия срок за съхранение личните данни се изтриват, унищожават, анонимизират или се съхраняват в ограничен режим, когато това е необходимо по закон, за защита на законни интереси или за доказателствени цели.

Дружеството предприема разумни организационни и технически мерки, за да гарантира, че данните не се съхраняват за по-дълъг срок от необходимото и че след отпадане на основанието за обработване те се обработват в съответствие с принципите на ОРЗД.

6. Общ принцип

Сроковете за съхранение могат да се различават според вида на услугата, вида на отношенията с Потребителя, категорията данни и приложимите законови изисквания.

Дружеството прилага принципа на ограничение на съхранението и не съхранява лични данни за срок, по-дълъг от необходимия за постигане на целите, за които те са били събрани и обработвани.

XIII. СЪХРАНЕНИЕ И СИГУРНОСТ НА ДАННИТЕ

Дружеството прилага подходящи технически и организационни мерки за защита на личните данни срещу неоторизиран или незаконен достъп, загуба, унищожаване, повреждане, промяна, неправомерно използване, разкриване, разпространение или друга форма на незаконосъобразно обработване.

С оглед характера, обхвата, контекста и целите на обработването, както и предвид риска за правата и свободите на физическите лица, Дружеството се стреми да поддържа ниво на сигурност, съответстващо на естеството на обработваните данни и спецификата на извършваните дейности, включително организация и провеждане на събития, автомобилни услуги, рент-а-кар, търговия, маркетинг, консултантски услуги, дейности по недвижими имоти, логистика, обслужване и други дейности от предмета на дейност на Дружеството.

1. Общи принципи на сигурността

При съхранението и обработването на лични данни Дружеството се ръководи от принципите на:

а) поверителност;
б) цялостност;
в) наличност;
г) отчетност;
д) ограничаване на достъпа;
е) минимизиране на данните;
ж) защита при проектиране и по подразбиране, когато това е приложимо.

Дружеството предприема разумни и съразмерни мерки, за да гарантира, че личните данни се обработват по начин, който осигурява подходящо ниво на сигурност, включително защита срещу случайно или незаконосъобразно унищожаване, загуба, изменение, неразрешено разкриване или достъп.

2. Технически и организационни мерки

В зависимост от характера на използваните системи и процеси, Дружеството може да прилага мерки като:

а) използване на защитени връзки и комуникационни канали;
б) ограничаване на достъпа до данни само до лица, за които това е необходимо;
в) управление на потребителски права и нива на достъп;
г) защита на електронните системи и устройства;
д) проследимост и контрол върху достъпа до информация;
е) мерки за защита срещу злонамерен софтуер, неоторизиран достъп, злоупотреби и инциденти;
ж) резервираност, архивиране и възстановяване на данни;
з) периодичен преглед и актуализиране на мерките за сигурност;
и) вътрешни правила, инструкции и организационни процедури за работа с лични данни;
й) ограничаване на физическия и логическия достъп до носители и системи, съдържащи лични данни;
к) мерки за защита при пренос, обмен и съхранение на информация;
л) действия за минимизиране на риска при използване на външни доставчици и технологични решения.

Тези мерки се прилагат съобразно конкретния вид обработване, вида на данните, риска и спецификата на дейността.

3. Сигурност във връзка с уебсайта и електронните услуги

При използване на уебсайта и свързаните с него електронни услуги Дружеството може да използва съвременни технологични решения и външни услуги, включително:

а) хостинг услуги;
б) облачни платформи;
в) имейл системи;
г) аналитични инструменти;
д) системи за сигурност и защита;
е) услуги за архивиране, мониторинг и техническа поддръжка;
ж) комуникационни и административни системи;
з) инструменти за управление на контактни форми, заявки, регистрации, резервации и клиентска комуникация.

Използването на такива услуги се извършва с цел осигуряване на нормалното функциониране на сайта и системите, подобряване на сигурността, гарантиране на непрекъсваемостта на услугите, поддържане на комуникацията с клиенти и партньори, както и за административно и техническо управление на дейността.

4. Сигурност с оглед предмета на дейност на Дружеството

С оглед предмета на дейност на „ГОНКО ТЕХНОЛОГИИ“ ЕООД, мерките за сигурност обхващат не само данни, събирани чрез уебсайта, но и данни, обработвани във връзка с:

а) организация, продуциране и провеждане на масови, културни, спортни, автомобилни, моторспорт и бизнес събития;
б) регистрации на участници, гости, партньори, лектори, изложители, спонсори и подизпълнители;
в) обучения, семинари, лекции, уъркшопи и образователни инициативи;
г) маркетингови, рекламни и бранд активности;
д) фото- и видеозаснемане на събития и инициативи;
е) търговия на едро и дребно;
ж) продажба, покупка, внос и отдаване под наем на автомобили и други моторни превозни средства;
з) авторемонтни дейности, сервизни услуги, диагностика и техническа поддръжка;
и) търговия с резервни части, автомобилни консумативи, гуми и аксесоари;
й) консултантски, посреднически и представителни услуги;
к) логистични, транспортни, складови и спедиционни дейности;
л) сделки и дейности, свързани с недвижими имоти;
м) дейности, свързани с хотелиерство, ресторантьорство, резервации и обслужване, когато това е приложимо.

Във всички тези случаи Дружеството се стреми да ограничи достъпа до лични данни само до лицата, за които това е необходимо за изпълнение на съответната дейност, договор или законово задължение.

5. Достъп до личните данни

Достъп до личните данни имат само упълномощени лица, които се нуждаят от такъв достъп за изпълнение на своите задължения, функции или договорни ангажименти.

Такива лица могат да бъдат:

а) служители и вътрешно ангажирани лица;
б) външни консултанти;
в) счетоводители, правни съветници и административни изпълнители;
г) ИТ и технически доставчици;
д) партньори, подизпълнители и изпълнители по конкретни дейности, когато това е необходимо и законосъобразно.

Дружеството се стреми да гарантира, че всички лица, които имат достъп до лични данни, са обвързани с подходящи задължения за поверителност и обработват данните само в рамките на възложените им функции и при спазване на приложимите правила.

6. Съхранение на данните

Личните данни могат да се съхраняват в електронна и/или хартиена форма, в зависимост от естеството на конкретната дейност, документация или правоотношение.

Данните могат да бъдат съхранявани:

а) в електронни системи и бази данни;
б) на защитени сървъри;
в) в облачни среди;
г) в системи за архивиране и резервни копия;
д) в счетоводни, търговски, административни и комуникационни системи;
е) в документи и регистри, когато това е необходимо за изпълнение на дейността или за спазване на закон.

Когато е необходимо, Дружеството прилага мерки за ограничаване на достъпа, разделяне на функциите, архивиране и контрол върху начина на съхранение.

7. Сървъри и местоположение на данните

Данните могат да се съхраняват на сървъри, разположени в рамките на Европейския съюз и/или извън него, като при всички случаи Дружеството се стреми да осигури наличие на подходящи гаранции съгласно Регламент (ЕС) 2016/679.

Когато данни се съхраняват или обработват извън Европейския съюз или Европейското икономическо пространство, се прилагат подходящи правни, технически и организационни мерки, включително механизмите, описани в раздела относно прехвърлянето на лични данни извън ЕС.

8. Използване на външни доставчици

Когато Дружеството използва външни доставчици на услуги, които имат достъп до лични данни или обработват лични данни от негово име, то се стреми да гарантира, че:

а) доставчиците са подбрани с оглед на тяхната надеждност и способност да осигурят подходящо ниво на защита;
б) са налице договорни отношения, съобразени с изискванията на ОРЗД;
в) обработването се извършва само в необходимия обем и за конкретни цели;
г) доставчиците не използват данните за несъвместими цели;
д) се прилагат мерки за сигурност, поверителност и контрол на достъпа.

9. Мерки при инциденти и нарушения на сигурността

При съмнение или установяване на инцидент, нарушение на сигурността, неоторизиран достъп, загуба, неправомерно разкриване или друга форма на компрометиране на лични данни, Дружеството предприема разумни действия за:

а) установяване на характера и обхвата на инцидента;
б) ограничаване и преустановяване на неблагоприятните последици;
в) възстановяване на сигурността на системите и процесите;
г) документиране на инцидента и предприетите действия;
д) уведомяване на компетентните органи и/или засегнатите лица, когато това се изисква от закона.

10. Ограничения на сигурността

Въпреки предприетите технически и организационни мерки, следва да се има предвид, че нито една система, технология, мрежа, електронна комуникация или метод за съхранение и пренос на данни не може да гарантира абсолютна сигурност.

Поради това Дружеството не може да изключи напълно всички възможни рискове, свързани с обработването на лични данни, особено в среда на електронна комуникация, интернет услуги, външни системи и технологични зависимости.

11. Общ принцип

Дружеството поддържа подход за разумна, пропорционална и текущо актуализирана защита на личните данни, съобразен с:

а) естеството на обработваните данни;
б) риска за правата и свободите на Потребителите;
в) спецификата на предоставяните услуги и дейности;
г) използваните технологии и външни доставчици;
д) приложимите законови и регулаторни изисквания.

XIV. НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Дружеството приема защитата на личните данни като съществена част от своята дейност и прилага подходящи технически и организационни мерки за предотвратяване, ограничаване и управление на нарушения на сигурността на личните данни.

За целите на настоящата Политика, „нарушение на сигурността на личните данни“ означава нарушение на сигурността, което води до случайно или незаконосъобразно унищожаване, загуба, изменение, неразрешено разкриване на лични данни или неоторизиран достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

С оглед предмета на дейност на Дружеството, нарушения на сигурността могат да възникнат както във връзка с използването на уебсайта и електронните системи, така и при обработване на лични данни, свързани с:

а) организация, продуциране и провеждане на масови, културни, спортни, автомобилни, моторспорт, бизнес и образователни събития;
б) регистрации на участници, гости, лектори, изложители, партньори, подизпълнители и посетители;
в) фото- и видеозаснемане на събития, демонстрации, обучения и инициативи;
г) автомобилни услуги, сервизни дейности, диагностика, авторемонт и техническа поддръжка;
д) отдаване под наем на автомобили и други моторни превозни средства (рент-а-кар);
е) продажба, покупка, внос, доставка и търговия с автомобили, части, гуми, консумативи и аксесоари;
ж) търговия на едро и дребно, логистични, транспортни, складови и спедиционни дейности;
з) консултантски, посреднически, комисионни и представителни услуги;
и) дейности, свързани с недвижими имоти;
й) хотелиерство, ресторантьорство, кетъринг, резервации и събитийно обслужване;
к) комуникация с клиенти, партньори и контрагенти чрез електронни, писмени и други канали.

1. Видове възможни нарушения

Нарушенията на сигурността на личните данни могат да включват, без да се ограничават до:

а) неоторизиран достъп до електронни системи, бази данни, имейл кореспонденция или хартиени документи;
б) загуба, кражба или неправомерно разкриване на документи, носители или устройства, съдържащи лични данни;
в) случайно или неправомерно изпращане на лични данни до неправилен получател;
г) неправомерно публикуване, разпространение или предоставяне на лични данни;
д) унищожаване, повреждане, блокиране или загуба на достъп до лични данни;
е) технически инциденти, пробиви, злонамерени атаки, вируси, зловреден софтуер или други компрометиращи събития;
ж) злоупотреба с достъп от страна на лица, които не са оправомощени или превишават предоставените им права;
з) нарушения, възникнали при работа с външни доставчици, партньори, подизпълнители или обработващи лични данни;
и) нарушения, свързани с фото- и видеоматериали, съдържащи образи на лица, ако те бъдат неправомерно използвани, разкрити или достъпени от неупълномощени лица.

2. Мерки при установяване или съмнение за нарушение

При установяване или основателно съмнение за нарушение на сигурността на личните данни, Дружеството предприема необходимите и съразмерни действия, които могат да включват:

а) незабавно идентифициране на характера, причината и обхвата на нарушението;
б) ограничаване или преустановяване на неоторизирания достъп, разкриване или разпространение;
в) предприемане на технически, организационни и административни мерки за овладяване на ситуацията;
г) временно ограничаване на достъпа до засегнатите системи, услуги или данни, когато това е необходимо;
д) възстановяване на целостта, наличността и сигурността на системите и информацията;
е) оценка на риска за правата и свободите на засегнатите физически лица;
ж) документиране на нарушението, неговите последици и предприетите действия;
з) вътрешна координация с компетентните лица, отговорни за сигурността, управлението и обработването на лични данни;
и) взаимодействие с външни доставчици, обработващи лични данни, ИТ специалисти, правни консултанти, партньори и други лица, когато това е необходимо за овладяване на нарушението.

3. Уведомяване на компетентния надзорен орган

Когато е налице нарушение на сигурността на личните данни, което може да създаде риск за правата и свободите на физическите лица, Дружеството уведомява компетентния надзорен орган, когато това е изискуемо по закон и в приложимите законови срокове.

Такова уведомяване се извършва при условията и по реда, предвидени в Регламент (ЕС) 2016/679 и приложимото национално законодателство, и може да съдържа информация относно:

а) естеството на нарушението;
б) категориите и приблизителния брой засегнати лица;
в) категориите и приблизителния брой засегнати записи с лични данни;
г) вероятните последици от нарушението;
д) предприетите или предвидените мерки за овладяване и ограничаване на риска;
е) контактна информация за последваща комуникация, когато това е приложимо.

4. Уведомяване на засегнатите лица

Когато нарушение на сигурността на личните данни е вероятно да породи висок риск за правата и свободите на засегнатите физически лица, Дружеството уведомява съответните лица без ненужно забавяне, когато това е изискуемо по закон.

Такова уведомяване може да бъде извършено чрез подходящи комуникационни канали, включително електронна поща, телефон, писмено съобщение, уведомление чрез уебсайта или друг подходящ начин, в зависимост от конкретния случай и наличната контактна информация.

Уведомяването на засегнатите лица може да съдържа, когато е приложимо:

а) описание на характера на нарушението;
б) информация за възможните последици;
в) описание на предприетите мерки за овладяване на нарушението;
г) препоръки относно действия, които засегнатото лице може да предприеме за ограничаване на евентуални неблагоприятни последици;
д) данни за контакт с Дружеството за допълнителна информация.

Когато законът допуска изключения от уведомяването на засегнатите лица, Дружеството прилага тези изключения само при наличие на съответните законови предпоставки.

5. Участие на обработващи лични данни и външни доставчици

Когато нарушение на сигурността възникне при външен доставчик, обработващ лични данни от името на Дружеството, Дружеството може да изиска от съответното лице:

а) да уведоми Дружеството без ненужно забавяне;
б) да предостави необходимата информация за характера и обхвата на нарушението;
в) да предприеме незабавни действия за ограничаване и отстраняване на нарушението;
г) да съдейства при оценката на риска, документирането и уведомяването, когато това е необходимо;
д) да прилага договорените мерки за сигурност и допълнителни мерки, когато това се налага.

Това е особено релевантно при използване на:

а) хостинг и облачни доставчици;
б) имейл и комуникационни платформи;
в) аналитични и рекламни инструменти;
г) системи за регистрация, резервации, билетиране или управление на събития;
д) външни ИТ, маркетингови, PR, логистични, охранителни, счетоводни, технически или административни изпълнители;
е) партньори и подизпълнители при събития, автомобилни дейности, рент-а-кар, търговски, консултантски и други дейности от предмета на дейност на Дружеството.

6. Специфики с оглед предмета на дейност на Дружеството

С оглед широкия предмет на дейност на „ГОНКО ТЕХНОЛОГИИ“ ЕООД, при възникване на нарушение на сигурността Дружеството отчита и спецификата на съответната дейност, включително:

а) дали нарушението засяга участници, посетители, партньори, лектори, изложители или подизпълнители при събития;
б) дали нарушението засяга данни, събирани във връзка с регистрации, пропускателен режим, участия, резервации или обучения;
в) дали нарушението засяга снимки, видеозаписи или други аудио-визуални материали;
г) дали нарушението засяга клиенти на автомобилни услуги, рент-а-кар, сервизни дейности или търговия с автомобили;
д) дали нарушението засяга договори, платежни документи, счетоводни документи, сервизни поръчки, логистични записи или данни за доставки;
е) дали нарушението е свързано с електронни платформи, бази данни, облачни услуги, вътрешни системи или хартиени архиви;
ж) дали нарушението може да засегне сигурността, репутацията, договорните отношения или законните интереси на Дружеството и засегнатите лица.

7. Документиране и отчетност

Дружеството може да поддържа вътрешна документация относно нарушенията на сигурността на личните данни, когато това е необходимо или изискуемо по закон. Такава документация може да включва информация за:

а) датата и начина на установяване на нарушението;
б) естеството и причините за нарушението;
в) засегнатите категории данни и лица;
г) предприетите ограничителни и коригиращи мерки;
д) преценката за риска и основанията за уведомяване или неуведомяване;
е) последващи действия за предотвратяване на сходни инциденти.

Тази документация се поддържа с цел отчетност, проследимост, правна защита, подобряване на мерките за сигурност и спазване на законовите задължения на Дружеството.

8. Превенция и последващи действия

След всяко установено нарушение или инцидент, когато това е необходимо, Дружеството може да извършва преглед и актуализация на своите процеси, вътрешни правила, технически мерки, организационни процедури и отношения с външни доставчици, с цел:

а) ограничаване на риска от повторно възникване;
б) подобряване на сигурността;
в) засилване на контрола върху достъпа и обработването;
г) повишаване на вътрешната отчетност и ефективност;
д) подобряване на обучението и информираността на ангажираните лица.

9. Общ принцип

При установяване на нарушение на сигурността на личните данни Дружеството предприема необходимите мерки за овладяване на ситуацията, ограничаване на неблагоприятните последици, защита на засегнатите лица и изпълнение на законовите си задължения, включително уведомяване на компетентните органи и/или засегнатите лица, когато това е приложимо и изискуемо по закон.

XV. ПРАВА НА ПОТРЕБИТЕЛИТЕ

Всяко физическо лице, чиито лични данни се обработват от Дружеството, има права съгласно Регламент (ЕС) 2016/679 (ОРЗД) и приложимото българско законодателство.

Тези права се прилагат по отношение на личните данни, обработвани от Дружеството във връзка с неговата дейност, включително при използване на уебсайта, подаване на запитвания, участие в събития, регистрации, обучения, автомобилни услуги, рент-а-кар, търговска дейност, маркетингови активности, консултантски услуги, сделки, резервации, договорни отношения, фото- и видеозаснемане и други дейности от предмета на дейност на Дружеството.

Дружеството зачита правата на Потребителите и се стреми да осигури възможност за тяхното ефективно упражняване при спазване на приложимите законови изисквания, ограничения и изключения.

1. Право на информация

Потребителят има право да бъде информиран по ясен, прозрачен и разбираем начин относно:

а) самоличността на администратора;
б) целите на обработването;
в) правните основания за обработването;
г) категориите обработвани лични данни;
д) получателите или категориите получатели на данните;
е) сроковете за съхранение;
ж) правата, които има съгласно ОРЗД;
з) възможността за подаване на жалба до компетентния надзорен орган;
и) наличието на автоматизирано вземане на решения, ако такова е приложимо;
й) евентуално прехвърляне на данни извън ЕС/ЕИП и приложимите гаранции.

Настоящата Политика за поверителност има за цел именно да осигури такава информация.

2. Право на достъп

Потребителят има право да получи потвърждение дали Дружеството обработва негови лични данни и, ако това е така, да получи достъп до тези данни, както и до информация относно:

а) целите на обработването;
б) съответните категории лични данни;
в) получателите или категориите получатели, пред които са разкрити или ще бъдат разкрити данните;
г) предвидения срок за съхранение или критериите за неговото определяне;
д) източника на данните, когато те не са събрани директно от Потребителя;
е) приложимите права по ОРЗД;
ж) наличието на прехвърляне към трета държава или международна организация;
з) наличието на автоматизирано вземане на решения, когато това е приложимо.

Това право може да бъде упражнено по отношение на данни, обработвани например във връзка с:

а) запитвания, контактни форми и кореспонденция;
б) участия в събития, фестивали, форуми, концерти, обучения, семинари и уъркшопи;
в) регистрации за автомобилни, моторспорт, бизнес и културни събития;
г) договори и заявки за автомобилни услуги, сервиз, диагностика, авторемонт и рент-а-кар;
д) поръчки, доставки и търговски отношения;
е) маркетингови комуникации;
ж) снимки, видеозаписи и други аудио-визуални материали, когато е приложимо.

3. Право на коригиране

Потребителят има право да поиска коригиране на неточни, непълни или неактуални лични данни, които се отнасят до него.

Това право може да бъде упражнено, когато например:

а) данните за контакт са променени;
б) има грешка в име, адрес, имейл, телефон или друга идентификационна информация;
в) са необходими корекции по данни, предоставени при регистрация, резервация, заявка, договор или участие в събитие;
г) се налага корекция на данни, свързани с автомобилни услуги, рент-а-кар, доставки, плащания, фактуриране или друга услуга.

Дружеството може да поиска допълнителна информация или документи, когато това е необходимо за удостоверяване на точността на исканата корекция.

4. Право на изтриване („право да бъдеш забравен“)

Потребителят има право да поиска изтриване на личните си данни, когато е налице някое от основанията, предвидени в ОРЗД, включително когато:

а) личните данни вече не са необходими за целите, за които са били събрани или обработвани;
б) Потребителят оттегли съгласието си и няма друго правно основание за обработването;
в) Потребителят възрази срещу обработването и няма надделяващи законни основания за продължаването му;
г) личните данни са били обработвани незаконосъобразно;
д) изтриването е необходимо за спазване на законово задължение.

Това право не е абсолютно и може да бъде ограничено, когато обработването е необходимо, например, за:

а) спазване на законово задължение;
б) установяване, упражняване или защита на правни претенции;
в) съхранение на счетоводни, договорни, търговски или други документи в законоустановени срокове;
г) защита на законни интереси на Дружеството;
д) упражняване на правото на свобода на изразяване и информация, когато е приложимо.

  С оглед дейността на Дружеството, право на изтриване може да се заяви, например, по отношение на данни от маркетингови комуникации, контактни форми, регистрации за събития, снимки и видеозаписи, когато това е приложимо и когато няма друго основание за съхранението им.

5. Право на ограничаване на обработването

Потребителят има право да поиска ограничаване на обработването, когато:

а) оспорва точността на личните данни, за срок, позволяващ на Дружеството да провери тяхната точност;
б) обработването е незаконосъобразно, но Потребителят не желае данните да бъдат изтрити, а иска ограничаване на използването им;
в) Дружеството вече не се нуждае от личните данни за целите на обработването, но Потребителят ги изисква за установяване, упражняване или защита на правни претенции;
г) Потребителят е възразил срещу обработването, докато се извършва проверка дали законните основания на Дружеството имат преимущество.

При ограничаване на обработването Дружеството може да съхранява данните, но няма да извършва други действия по обработването, освен ако това е допустимо по закон.

6. Право на възражение

Потребителят има право по всяко време да възрази срещу обработването на негови лични данни, когато обработването се основава на легитимен интерес.

Такова възражение може да бъде релевантно, например, при:

а) директен маркетинг към съществуващи клиенти;
б) анализ на потребителско поведение;
в) използване на данни за подобряване на услуги и дейности;
г) използване на снимки и видеозаписи, когато обработването се основава на легитимен интерес;
д) други обработки, основани на чл. 6, пар. 1, б. „е“ от ОРЗД.

Когато възражението е насочено срещу обработване за целите на директния маркетинг, Дружеството прекратява това обработване за съответния Потребител.

Когато възражението се отнася до друго обработване, основано на легитимен интерес, Дружеството разглежда възражението и преценява дали са налице надделяващи законни основания за продължаване на обработването.

7. Право на преносимост на данните

Когато обработването се основава на съгласие или договор и се извършва по автоматизиран начин, Потребителят има право да получи личните си данни в структуриран, широко използван и машинночетим формат, както и да поиска те да бъдат прехвърлени на друг администратор, когато това е технически осъществимо.

Това право може да бъде приложимо, например, по отношение на данни, предоставени от Потребителя при:

а) регистрация чрез уебсайта;
б) подаване на заявки и запитвания;
в) участие в събития, обучения и регистрации;
г) договори за услуги;
д) заявки за автомобилни услуги или рент-а-кар;
е) договорни и търговски отношения, обработвани по автоматизиран начин.

Правото на преносимост се упражнява само в рамките, в които са изпълнени законовите предпоставки за това.

8. Право на оттегляне на съгласие

Когато обработването на лични данни се основава на съгласие, Потребителят има право да оттегли това съгласие по всяко време.

Оттеглянето на съгласието не засяга законосъобразността на обработването, извършено преди оттеглянето.

Това право може да бъде упражнено, например, по отношение на:

а) съгласие за маркетингови съобщения и бюлетини;
б) съгласие за определени бисквитки;
в) съгласие за използване на снимки, видеозаписи или други аудио-визуални материали, когато е приложимо;
г) други дейности, при които обработването се основава именно на съгласие.

9. Право да не бъде обект на изцяло автоматизирано вземане на решения

Ако и доколкото е приложимо, Потребителят има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за него или по подобен начин го засяга в значителна степен, освен в предвидените от закона случаи.

Към момента Дружеството не предвижда да извършва такова изцяло автоматизирано вземане на решения, освен ако това не бъде изрично посочено в отделна информация или уведомление.

10. Право на жалба до надзорен орган

Потребителят има право да подаде жалба до компетентния надзорен орган, ако счита, че обработването на личните му данни нарушава приложимото законодателство.

За Република България компетентен надзорен орган е:

Комисия за защита на личните данни (КЗЛД)
гр. София, бул. „Проф. Цветан Лазаров“ № 2

Подаването на жалба до надзорен орган не ограничава правото на Потребителя да търси защита и по съдебен ред.

11. Упражняване на правата

Потребителят може да упражни своите права чрез отправяне на искане до Дружеството чрез посочените в Политиката за поверителност контактни данни.

С цел защита на личните данни и предотвратяване на злоупотреби, Дружеството може да поиска допълнителна информация за потвърждаване на самоличността на лицето, което подава искането, когато това е необходимо.

Дружеството разглежда всяко искане индивидуално и отговаря в законоустановените срокове, освен ако поради фактическа или правна сложност не е приложим удължен срок съгласно ОРЗД.

Когато искането е явно неоснователно, прекомерно или повтарящо се, Дружеството може да откаже да предприеме действия или да начисли разумна такса, когато това е допустимо по закон.

12. Ограничения и особености

Някои права могат да бъдат ограничени или неприложими в определени случаи, включително когато:

а) Дружеството има законово задължение да съхранява определени данни;
б) данните са необходими за установяване, упражняване или защита на правни претенции;
в) упражняването на правото би засегнало права и свободи на други лица;
г) е налице приложимо изключение по ОРЗД или националното законодателство.

С оглед предмета на дейност на Дружеството, такива ограничения могат да възникнат, например, по отношение на счетоводни документи, договорна документация, данни за търговски операции, резервации, сервизни документи, записи за рент-а-кар, логистични документи, снимки и видеозаписи от масови събития, както и други данни, които следва да бъдат съхранявани поради законови, договорни или доказателствени причини.

13. Общ принцип

Дружеството зачита правата на Потребителите и се стреми да осигури прозрачност, достъпност и законосъобразност при обработването на личните данни.

Упражняването на правата се разглежда индивидуално, в съответствие с конкретните обстоятелства, приложимото законодателство и необходимостта от балансиране между правата на Потребителя, законните интереси на Дружеството и правата на трети лица.

XVI.  ЖАЛБИ

Жалби могат да се подават до: Комисия за защита на личните данни (КЗЛД)
гр. София

XVII. ПРОМЕНИ В ПОЛИТИКАТА

Политиката може да бъде актуализирана.
Промените се публикуват на сайта.

XVIII. КОНТАКТИ И УПРАЖНЯВАНЕ НА ПРАВА

За въпроси, свързани с обработването на лични данни, както и за упражняване на права съгласно Регламент (ЕС) 2016/679 (ОРЗД), Потребителите могат да се свържат с Дружеството чрез следните координати:

Администратор: „ГОНКО ТЕХНОЛОГИИ“ ЕООД
ЕИК: 207715411
Адрес: гр. София, бул. „Сливница“ 245А

Имейл за общи запитвания: info@gonco-fest.com  или   gorbatenko@abv.bg 

Имейл за въпроси относно защита на личните данни: info@gonco-fest.com или gorbatenko@abv.bg

   При въпроси относно обработването на лични данни или упражняване на права по ОРЗД, можете да се свържете с нас на посочения имейл.

Имейл: info@gonco-fest.com  или   gorbatenko@abv.bg 

Адрес за кореспонденция: Република България, гр. София (1202), р-н Сердика, бул., бл. „Сливница“245А, ет. 2, ап. 112

Телефон: +359898694788

   Дружеството разглежда всички искания, свързани с лични данни, при спазване на приложимото законодателство и в законоустановените срокове.

    С цел защита на личните данни и предотвратяване на злоупотреби, Дружеството може да изиска допълнителна информация за удостоверяване на самоличността на лицето, подало искането.

XIX. АКТУАЛИЗАЦИЯ НА ПОЛИТИКАТА

Дружеството си запазва правото да актуализира и изменя настоящата Политика за поверителност при:

а) промени в приложимото законодателство;
б) промени в дейността на Дружеството;
в) въвеждане на нови услуги, технологии или процеси;
г) необходимост от по-добро съответствие с изискванията за защита на личните данни.

Актуализираната версия на Политиката ще бъде публикувана на уебсайта на Дружеството, като при съществени промени Потребителите ще бъдат уведомявани по подходящ начин.

XX. ПРИЛОЖИМО ПРАВО

Настоящата Политика за поверителност се урежда и тълкува в съответствие с:

а) Регламент (ЕС) 2016/679 (ОРЗД);
б) Закона за защита на личните данни;
в) приложимото законодателство на Република България.

Всички спорове, свързани с обработването на лични данни, се решават по взаимно съгласие, а при невъзможност – от компетентния български съд.

XXI. ДАТА НА ВЛИЗАНЕ В СИЛА

Настоящата Политика за поверителност е в сила от:

Дата: 01.04.2026 г.