Правила и условия на играта

Настоящата политика дава информация по какъв начин се обработва информацията за потребителите на сайта https://promo.sofiamel.bg, собственост на ГудМилс България ЕООД.


Политиката отразява изискванията на Регламент 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Общ регламент относно защитата на данните”), във връзка с обработването на личните данни, както и други специални изисквания на приложимите нормативни актове, вкл., но не само: Закона за защита на личните данни, Закона за мерките срещу изпиране на пари и подзаконовите нормативни актове.


Информация, изисквана от Закона за електронната търговия и Закона за защита на потребителите:


1. Наименование: ГудМилс България ЕООД

2. Седалище и адрес на управление: гр. София, ул. Павлина Унуфриева №4

3. Адрес за упражняване на дейността: гр. София, ул. Павлина Унуфриева №4

4. Данни за кореспонденция: гр. София, ул. Павлина Унуфриева №4

5. Идентификационен номер: ЕИК: 203648723, ДДС №: BG203648723

6. Надзорни органи:

(1) Комисия за защита на личните данни

Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2

тел.: (02) 940 20 46

факс: (02) 940 36 40

Email: kzld@government.bg, kzld@cpdp.bg

Уеб сайт: www.cpdp.bg


(2) Комисия за защита на потребителите

Адрес: 1000 гр. София, пл.”Славейков” №4А, ет.3, 4 и 6

тел.: 02 / 980 25 24

факс: 02 / 988 42 18

гореща линия: 0700 111 22

Уеб сайт: www.kzp.bg


7. Съвместен администратор на лични данни, според сключен договор за съхранение и обработка на лични данни с ГудМилс България ЕООД:

(1) Наименование: ОРМ.БГ ЕООД

(2) Седалище и адрес на управление: гр. Пловдив, ул. Околчица № 32

(3) Адрес за упражняване на дейността: гр. Пловдив, ул. Околчица № 32

(4) Данни за кореспонденция: гр. Пловдив, ул. Околчица № 32

(5) Идентификационен номер: ЕИК: 200396427, ДДС №: BG200396427



Раздел I - Кой обработва лични данни?

1. Освен ако не е указано друго в настоящата политика за защита на личните данни, лични данни се обработват от:

- ГудМилс България ЕООД, ЕИК: 203648723, седалище и адрес на управление: гр. София, ул. Павлина Унуфриева №4, в качеството си на Организатор на Промоцията;

- ОРМ.БГ ЕООД, ЕИК: 200396427, седалище и адрес на управление: гр. Пловдив, ул. Околчица № 32, в качеството си на разработчик на Сайта.

2. Описаните по-горе Дружества, действат като Съвместни администратори на лични данни, определяйки целите и средствата на обработване. За целта има сключен договор за съвместни Администратори от м. Май 2018г., регламентиращ всички отговорности и задължения между страниците, начини за съхранение и обработка на получените лични данни.


Раздел II - Какви лични данни се обработват ?

1. При използването на https://promo.sofiamel.bg се събират и обработват лични данни. В повечето случаи личните данни се изискват, за да спази законово задължение за изпълнение на договор или въз основа на законен интерес. Разбира се, при част от услугите, самите Вие ни предоставяте тази информация, избирайки и съгласявайки се за това. Без тези данни, предоставянето на съответните услуги е невъзможно.

2. В зависимост от услугите, които ползвате, може да събираме и обработваме следната информация за Вас:

а. адрес на електронна поща, която се ползва за потребителско име за вход в Сайта;

б. парола за достъп;

в. електронни идентификатори, включително: идентификационен номер на потребителя (user ID), IP адрес и „бисквитки“;

г. две имена;

д. телефонен номер;

e. Данни по писма, електронни пощи, лайв чат и телефон, които получаваме от Вас при комуникацията ни;

ж. адрес (по местоживеене) за доставка на спечелите награди;

з. ЕГН за издаване на служебна бележка при спечелване на награда.


Раздел III - Защо се обработват личните данни?

1. Целите и правните основания при обработването на личните данни по раздел II, са както следва:

a. адрес на електронна поща (потребителското име) и паролата за достъп са необходими за създаването и ползването на потребителски акаунт. Създаването и обработването на тези данни е необходимо на потребителя, за да може да достъпва услугите, предоставяни от Сайта, както и да осъществи успешно участие в Промоцията;

б. Двете имена са необходими с цел установяване на самоличността на Потребителя, съгласно задълженията по Закона за електронни съобщения, Закона за защита на потребителя, Закона за мерките срещу изпиране на пари, както и при предоставяне на услуги по поддръжка на потребителски профил и отчитане на редовно участие в Промоцията.

в. Телефонният номер и адресът на електронна поща са необходими за осъществяване на връзка с кандидат по реда на Общите условия;

г. бисквитки – необходими са за разпознаване и верификация на участника при вход на създаденият профил в Сайта, управление на опциите за презентация на информация на сайта, както и след получаване на съгласие – за маркетингови цели.

д. адрес (по местоживеене) e необходим за осъществяване на връзка с участник по реда на Общите условия и Правилата, за изпращане на електронни и други съобщения и за верифициране на регистрацията от администратора на потребителя, когато е дал съгласие да получава съобщения за целите на маркетинга и рекламата. Също така е необходим и за доставка на спечелите награди от Промоцията.

е. ЕГН (единен граждански номер) е необходимо да се попълва само при спечелена награда за издаване на служебна бележка от ГудМилс България ЕООД за стойността на спечелената награда, съгласно чл.45 и чл. 65 от ЗДДФЛ.

2. При регистрация в сайта https://promo.sofiamel.bg се събират само данните по т. 2, буква. „a”, "б", "в", “г” и “д” за посочените цели и причини.

3. При случай, в който потребител спечели награда, той трябва да въведе своите лични данни по т.2, буква “е”, “ж” и “з”, както и данните по т.2, буква “д”,“е” и “ж” за лицето, за което е избрал награда.
3. При случай, в който потребител въвежда послание и го изрпаща като електронна картичка, въвежда данни за избрано лице според т.2, буква “а”.

4. Всяко физическо лице може да даде изрично съгласие неговите лични данни да се използват от администратора за целите на маркетинга и рекламата. В този случай личните данни, които се обработват и използват са: три имена, електронна поща, телефонен номер.

5. С изключение на случаите, когато личните данни се обработват в изпълнение на законово основание, при наличие на законен интерес или в изпълнение на договорно задължение на администратора, личните данни се обработват въз основа на изрично съгласие на субекта на данни, което може да бъде оттеглено по всяко време. Администратора осигуряват технически условия, които да гарантират, че оттеглянето на съгласието е също толкова лесно, колкото и даването му.

6. Съвместните администратори профилират псевдоминизирани данни, както и за електронна идентификация, във връзка с предотвратяване на измами, управление на потребителски игрални опции, и след даване на съгласие - за маркетингови цели.

7. Личните данни се използват единствено за посочените по-горе цели. Дадено съгласие за събиране и обработване на личните данни обхваща всички услуги, които са предоставяни от Съвместните администратори.


Раздел IV - Къде се обработват лични данни?

1. Обработваните от съвместните администратори лични данни се обработват и съхраняват в централизирана информационна система, включително комплексни бази данни, под контрола и управлението на специализиран софтуер. Информационната система се намира в специализирано помещение, което отговаря на индустриалните стандарти за сигурност на хранилища за данни, под контрола на администратора на територията на Европейския съюз, и се извършва при изпълнение на особените законови изисквания на приложимото законодателство в областта на защита на личните данни.


Раздел V - За какъв срок се обработват лични данни?

1. Събраната информация от Съвместните администратори по отношение на данните на физически лица се унищожава в законоуставените срокове, а ако няма такива в сроковете определени от администраторите и след окончателно уреждане на всички правни спорове и финансови отношения. Съвместните администратори не пазят лични данни безсрочно.

Съответните срокове са:

- 10 години по Закона за счетоводството за съхранение и обработка на счетоводни данни;

- 2 месеца след приключване на Промоцията, чийто краен срок е 31 Декември 2018, т.е. до 28 Февруари 2018г.;

В случай на анонимизация на личните данни сроковете не се прилагат, тъй като не можем да Ви идентифицираме.

2. Личните данни, основанието за обработването на които е отпаднало, както и при приключване на обработването им, се унищожават или анонимизират в тридневен срок, от възникване на обстоятелството, изискващо това, или в срока, указан от компетентния орган.

3. Приключването на обработването на лични данни се извършва при наличие на някои от следните обстоятелства:

a. прекратяване на правоотношение с лицето, чиито данни се обработват и изчерпване на всички правни и фактически действия, които следва да бъдат извършени при или по повод прекратеното правоотношение.

б. Прекратяване на промоцията;

в. основателно искане на лицето, чиито данни се обработват;

г. влязло в сила решение на Комисията за защита на личните данни или съответния компетентен съд, постановяващи приключването и/или унищожаването на личните данни;

г. изискване на нормативен акт;

д. отпаднала нужда на администратора.

4. Унищожаването на данни се извършва съгласно процедури, одобрени от администраторите.

5. В случай, че за някои лични данни е предвиден законов срок за съхраняването им, не се допуска унищожаване на тези лични данни преди изтичането му. Не се допуска и унищожаване на лични данни при наличие на легитимен интерес или необходими за упражняване на права и задължения на администраторите, произтичащи от договора с участника.


Раздел VI - Как се обработват лични данни?

1. Личните данни се събират директно от лицето (когато то ги предоставя доброволно или за изпълнение на договорни задължения), от други администратори на лични данни (ако преди това те са ги събрали и субектът на данните е дал изрично съгласие да бъдат предоставени на съвместните администратори) или от компетентните органи (когато има нормативно основание).

2. Администраторът въвежда подходящи технически и организационни мерки за обезпечаване на законосъобразното обработване на лични данни и за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването.

3. Администраторът взема мерки за защита на личните данни от случайна загуба и нерегламентиран достъп, употреба, промяна или оповестяване. Налице са политики и процедури, предназначени да предпазят информацията от загуба, злоупотреба и неправомерно разкриване. Освен това са взети допълнителни мерки за информационна сигурност, включително контрол на достъпа, строга физическа защита и надеждни практики за събиране, съхранение и обработка на информацията.

4. Администраторът спазва правила за сигурност при обработката на лични данни като с приоритет се прилага принципът за обработка на псевдомизирани данни. Изключение от това се допуска само с оглед на конкретните цели, за които е необходима конкретната обработка, при въведени технически и организационни мерки, ограничаващи нерегламентирания достъп, копиране, промяна и заличаване на лични данни.

5. По отношение на личните данни, съхранявани на електронен носител, достъпът до компютърните устройства, съхраняващи данните, се осъществява само от оторизирани лица, които влизат в своя профил след идентификация с потребителско име и парола.

6. Обработването на личните данни в електронен вид се допуска само след като са приложени мерки за криптографска защита по отношение на операционните системи, системите за управление на бази данни и комуникационното оборудване.


Раздел VII - С кого се споделят лични данни?

Съвместните администратори не споделят с трета страна никакви лични данни на физически лица, освен ако не е налице разпореждане на Комисията за защита на лични данни.


Раздел VIII - Какви са правата на субектите на данни?

1. Субектът на данни има право да получи от съвместните администратори потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до част от данните, както и информация като например: целите на обработването, съответните категории лични данни, получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни и др.

2. Съвместните администратори, предоставят копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма (напр. PDF), освен ако субектът на данни не е поискал друго.

3. Субектът на данни има право да поиска от съвместните администратори да коригират без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация. Субектът на данни може сам или чрез съдействието на администратора и обработващите лични данни да промени въведените при регистрацията му данни. Субектите на данни са длъжни да предоставят актуални данни на съвместните администратори и удостоверяващите ги документи.

4. Субектът на данни има правото да поиска от съвместните администратори изтриване на свързаните с него лични данни без ненужно забавяне, а съвместните администратори имат задължението да изтрият без ненужно забавяне личните данни, когато е приложимо някое от следните основания:

a. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б. субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;

в. субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването за целите на директния маркетинг;

г. личните данни са били обработвани незаконосъобразно;

д. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейския съюз или правото на Република България, което се прилага спрямо съвместните администратори.

Упражняването на правата по букви „а“ до „д“ по настоящата точка не е основание субектът на данните да изисква съвместните администратори да изтрият или заличат по друг начин данни, които по закон или при легитимен интерес са длъжни да съхраняват, обработват и предоставят на компетентните органи. Изтриването на данните се извършва съгласно предвидената процедура по раздел V.

5. При прекратяване на регистрацията на субекта на данни в уеб сайта https://promo.sofiamel.bg, съвместните администратори може да продължат да обработват само тези данни, които са необходими с цел изпълнение на техни задължения по закон.

6. Субектът на данните има право да изиска от съвместните администратори ограничаване н аобработването, както и да възрази срещу такова при спазване на законовите изисквания.

Съвместните администратори съобщават за всяко извършено изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Съвместните администратори информират субекта на данните относно тези получатели, ако субектът на данните поиска това.

7. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на съвместните администратори, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от съвместните администратори, на когото личните данни са предоставени, ако данните се обработват на основание съгласие, съхраняват се в машинно четим формат и това е технически осъществимо. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

8. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което пораждаправни последствия за субекта на данните или по подобен начин го засяга взначителна степен.


Раздел IX - Ред за упражняване на правата на субектите на данни

1. Съвместните администратори съдействат за упражняването на правата на субекта на данните и имат право, при изпълнение на задълженията си по искане на субектите на данните, да извършват проверка за установяване, че искането изхожда от субекта наданните или надлежно упълномощено от него лице.

2. Действията по упражняване правата на субекта на данните се извършват лично от лицето или от пълномощник с изрично пълномощно, с нотариална заверка на подписа, на адреса на управление на съвместните администратори.

3. Когато упражнява правото си на преносимост на данните, субектът подава искане до съвместните администратори, което съдържа: три имена, единен граждански номер (ако е български гражданин), описание на искането; предпочитана форма за предоставяне достъпа до лични данни; подпис, дата и адрес за кореспонденцията. Заявлението се предоставя по електронен път чрез електронна поща или на хартиен носител. Заявителите нямат право на достъп до личните данни на други лица.

4. Съвместните администратори предоставят на субекта на данни информация относно действията, предприети във връзка с искане по упражняване на правата на субекта на данните, в срок от един месец от получаване на искането. Когато субектът на данни подава искане с електронни средства, при възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на субекта се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.

5. Ако съвместните администратори не предприемат действия по искането на субекта на данни, съвместните администратори уведомяват субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприемат действия и за възможността за подаване на жалба до Комисията за защита на личните данни и търсене на защита по съдебен ред.

6. Информацията, предоставяна на субекта, и всяка комуникация и действия по упражняване правата на субекта на данни се предоставят безплатно.

7. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, съвместните администратори могат или да наложат разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или да откажат да предприемат действия по искането.

8. Когато съвместните администратори имат основателни опасения във връзка със самоличността на физическото лице, което подава искане за упражняване на правата по т. VIII, те могат да поискат предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.


Раздел Х - Трансфер на лични данни

Трансферът, съхранението и обработката на лични данни е обезпечен със съвременни технически средства. Съвместните администратори няма да прехвърлят събираните и обработваните лични данни извън рамките на Европейското икономическо пространство без спазване на законовите възможности, като ще въведат всички подходящи предпазни мерки, с цел спазване на поверителност информацията.

Субектите имат право и на жалба по отношение на начина, по който се обработват личните данни от страна на Администратора. Жалбата следва да бъде подадена до надзорния орган, а именно - Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” No 2 или www.cpdp.bg


Раздел XI - Длъжностно лице по защита на данните

1. Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права, на имейл: compliance@goodmills.bg


Раздел XII - Промени в настоящата Политика за защита на личните данни

Тази Политика за защита на личните данни е актуализирана за последен път на 30.11.2018г. Същата може да бъде променяна във времето. Такива промени ще влязат в сила незабавно след тяхното оповестяване.