Политика за поверителност

I. ОБЩИ ПОЛОЖЕНИЯ

1.1. Наименование на документа
Настоящият документ представлява Политика за поверителност („Политика“), изготвена от KATEO ЕООД във връзка с обработката и защитата на лични данни на физически лица при използване на електронната платформа за електронна търговия www.kateo.bg.

1.2. Цел на документа
Целта на настоящата Политика е:
• да опише какви лични данни събира Доставчикът;
• за какви цели се обработват тези данни;
• на какво правно основание се обработват;
• какви са правата на субектите на данни;
• какви мерки за сигурност са приложени;
• на кого могат да бъдат предоставяни данните;
• какви са процедурите за защита на данните в съответствие с GDPR.

1.3. Правна рамка и приложимо законодателство
Настоящата Политика се изготвя в съответствие със следните нормативни актове:
• Регламент (ЕС) 2016/679 относно защитата на личните данни (Общ регламент – GDPR);
• Закона за защита на личните данни на Република България;
• Закона за електронната търговия (ЗЕТ);
• Закона за защита на потребителите (ЗЗП);
• Други приложими нормативни актове в областта на защитата на личните данни и електронната търговия.

1.4. Обхват на приложението
Настоящата Политика се прилага за обработката на лични данни на всички:
• физически лица, които посещават, разглеждат или използват платформата www.kateo.bg;
• физически лица, които извършват поръчки чрез платформата;
• физически лица, които комуникират с Доставчика чрез предоставените канали за контакт;
• лица, с които Доставчикът осъществява договорни отношения.

Политиката не се прилага по отношение на обработването на данни на юридически лица.

 

II. ДАННИ ЗА АДМИНИСТРАТОРА

2.1. Идентификация на администратора
Администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 (GDPR) е:

Доставчик: KATEO ЕООД
ЕИК: 208251572
ДДС номер: BG208251572
Седалище и адрес на управление: гр. София, ж.к. Връбница-1, бл. 509
Адрес за кореспонденция: гр. София, ж.к. Връбница-1, бл. 509
Електронна поща: info@kateo.bg
Телефон: +359 883273330
Уебсайт: https://www.kateo.bg

KATEO ЕООД носи пълна отговорност за обработката, съхранението и защитата на личните данни съгласно настоящата Политика и действащото законодателство.

2.2. Контактна информация за защита на личните данни
За въпроси, свързани със защитата на личните данни, упражняване на права или подаване на жалби, Клиентите могат да се свържат с администратора на следните координати:

Електронна поща за защита на данни: info@kateo.bg
Телефон: +359 883273330
Адрес за кореспонденция: гр. София, ж.к. Връбница-1, бл. 509

 

III. КАТЕГОРИИ ЛИЧНИ ДАННИ

3.1. Видове лични данни, които се обработват
Доставчикът обработва различни категории лични данни в зависимост от конкретните цели на обработката и взаимодействията на субекта на данни с платформата www.kateo.bg.

3.2. Данни, предоставяни директно от субектите на данни
При създаване на профил, подаване на поръчка или комуникация с Доставчика, могат да бъдат събирани и обработвани следните категории данни:
• Идентификационни данни: три имена;
• Контактни данни: адрес за доставка, телефонен номер, електронна поща;
• Данни за фактуриране: име на фирма, ЕИК, ДДС номер (за юридически лица);
• Данни за поръчки: избрани стоки, история на поръчки, метод на плащане;
• Данни от комуникация: въпроси, сигнали, оплаквания, кореспонденция с Доставчика.

3.3. Данни, събирани автоматично при ползване на платформата
При посещение и използване на платформата, се събират автоматично следните данни:
• Технически данни: IP адрес, тип и версия на браузъра, операционна система, резолюция на екрана, езикови настройки, дата и час на достъп, препращащ URL адрес;
• Данни за използването на сайта: история на разглежданите страници, направени търсения, продължителност на сесията, кликнати бутони и навигация в сайта;
• Данни чрез „бисквитки“ (cookies) — съгласно описаното в отделната Политика за бисквитки.

3.4. Данни, предоставяни от трети лица
В ограничени случаи е възможно Доставчикът да обработва и данни, предоставени от трети страни, когато:
• Клиентът е извършил поръчка чрез външна партньорска платформа или афилиейт система;
• Се използват външни услуги за разплащания (напр. банки, платежни оператори);
• Данните са предоставени от куриерски компании при връщане на пратки.

3.5. Данни за чувствителни категории
Доставчикът не събира и не обработва специални (чувствителни) категории лични данни по смисъла на чл. 9 GDPR, като:
• здравни данни;
• биометрични данни;
• политически убеждения;
• религиозни или философски възгледи;
• данни за сексуална ориентация.

 

IV. ЦЕЛИ НА ОБРАБОТКАТА

4.1. Изпълнение на договорни задължения
Доставчикът обработва лични данни на Клиентите с цел:
• приемане, обработване и изпълнение на подадени поръчки;
• доставка на поръчаните стоки до посочен адрес или куриерски офис;
• издаване на фактури, касови бележки и други счетоводни документи;
• предоставяне на гаранционно и сервизно обслужване;
• администриране на потребителски профили в платформата;
• комуникация относно изпълнението на поръчките, включително уведомления за статус на доставка, наличности и рекламации.

4.2. Спазване на законови задължения
Доставчикът обработва лични данни и когато това е необходимо за:
• спазване на задължения по данъчното и счетоводното законодателство;
• осигуряване на отчетност пред контролни органи (КЗП, КЗЛД, НАП и др.);
• съхранение на информация в законоустановените срокове;
• изпълнение на други нормативни задължения, произтичащи от действащото законодателство.

4.3. Защита на легитимните интереси на Доставчика
Доставчикът може да обработва лични данни, когато това е необходимо за:
• упражняване и защита на правата и законните интереси на Доставчика при възникване на спорове;
• предотвратяване на злоупотреби, измами или нарушения на сигурността на платформата;
• подобряване на качеството на обслужването и оптимизация на процесите в електронната търговия;
• статистически и аналитични цели, свързани с развитието на бизнеса, при които данните се обработват в обобщен или анонимизиран вид.

4.4. Обработка въз основа на съгласие
Доставчикът обработва лични данни на основание свободно дадено изрично съгласие на субекта на данни за:
• изпращане на електронни бюлетини, рекламни съобщения и оферти;
• участие в маркетингови кампании, анкети, томболи и игри с награди;
• предоставяне на персонализирани предложения и реклами на база предходни поръчки и интереси.
Субектът на данни има право по всяко време да оттегли даденото съгласие без негативни последици за останалите договорни отношения.

 

V. ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТКАТА

5.1. Изпълнение на договор (чл. 6, пар. 1, б. „б“ GDPR)
Обработката на лични данни е необходима за изпълнение на договор, по който субектът на данни е страна, или за предприемане на стъпки по искане на субекта преди сключването на договор.
Включва:
• регистрация на потребителски профил;
• обработване и изпълнение на поръчки;
• доставка на стоки;
• гаранционно и сервизно обслужване;
• кореспонденция по изпълнение на поръчки.

5.2. Спазване на законово задължение (чл. 6, пар. 1, б. „в“ GDPR)
Доставчикът обработва лични данни, когато това е необходимо за изпълнение на нормативни задължения, включително:
• счетоводно и данъчно отчитане;
• съхранение на данни по Закона за счетоводството и ДОПК;
• отчетност пред контролни органи;
• предоставяне на данни по законово изискване към държавни институции.

5.3. Легитимен интерес на администратора (чл. 6, пар. 1, б. „е“ GDPR)
Доставчикът има право да обработва лични данни, когато това е необходимо за защита на негови легитимни интереси, без да се засягат правата и интересите на субекта на данни.
Такива случаи включват:
• предотвратяване на злоупотреби, измами и нарушения на сигурността;
• защита при правни спорове;
• подобряване на услугите и вътрешни анализи;
• оптимизация на платформата и повишаване качеството на обслужване.

5.4. Изрично съгласие на субекта на данни (чл. 6, пар. 1, б. „а“ GDPR)
За определени обработки Доставчикът изисква предварително дадено съгласие на субекта, например:
• за изпращане на електронни бюлетини, рекламни съобщения и персонализирани оферти;
• за участие в промоционални кампании, игри и анкети.
Оттеглянето на съгласието не засяга законосъобразността на обработката до момента на оттеглянето.

 

VI. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ДАННИТЕ

6.1. Общ принцип
Доставчикът съхранява личните данни само за минимално необходимия срок, съобразно целите на обработката и действащите нормативни изисквания.

6.2. Срокове съобразно целите на обработката

  1. Данни, свързани с договорни отношения (поръчки, доставки, гаранции, профили):
    • съхраняват се за срока на договора и гаранционния срок;
    • след изтичане на договорните отношения — до изтичане на законовите срокове за защита на правни интереси (обикновено 5 години, съгласно общата погасителна давност по ЗЗД).
  2. Счетоводни и данъчни документи (фактури, касови бележки, счетоводни записи):
    • съхраняват се минимум 10 години съгласно изискванията на Закона за счетоводството (чл. 12, ал. 1).
  3. Данни за изпълнение на законови задължения:
    • съхраняват се до изтичане на съответните нормативни срокове.
  4. Данни, обработвани въз основа на съгласие за маркетингови цели:
    • съхраняват се до оттегляне на съгласието от субекта на данни;
    • при липса на активност — не повече от 5 години след последния контакт със субекта.
  5. Данни, събирани чрез бисквитки и автоматични технически логове:
    • съхраняват се за технически нужди от 6 месеца до 2 години в зависимост от вида на „бисквитката“ или лог файла, съгласно политиката за бисквитки.

6.3. Критерии при определяне на сроковете
Сроковете за съхранение се определят съобразно:
• изискванията на закона;
• характера на данните;
• потенциалните рискове;
• необходимостта от защита на законни интереси.

6.4. Унищожаване или анонимизиране на данните
След изтичане на съответните срокове данните се:
• унищожават по сигурен начин; или
• се анонимизират трайно, така че да не могат повече да се свържат със съответния субект.

 

VII. ПОЛУЧАТЕЛИ НА ЛИЧНИТЕ ДАННИ

7.1. Категории външни получатели

Доставчикът може да предоставя лични данни на трети страни само когато това е необходимо за изпълнение на целите на обработката, спазване на законови задължения или с изричното съгласие на субекта на данни.

Категориите получатели включват:

  1. Куриерски и транспортни компании:
    • За извършване на доставката на поръчаните стоки до Клиента;
    • Получават: имена, адрес за доставка, телефон за контакт.
  2. Банки и платежни институции:
    • За обработка на плащанията по направените поръчки;
    • Получават: идентификатор на поръчката, сума, платежна транзакция (без да се съхраняват банкови карти в платформата).
  3. Счетоводни и одиторски компании:
    • За осигуряване на счетоводна отчетност и данъчна съобразност;
    • Получават: счетоводни документи, фактури и съпътстващи финансови записи.
  4. Правни консултанти:
    • При защита на правни интереси на Доставчика в хипотеза на правни спорове;
    • Получават: документи и информация, свързани със съответния спор.
  5. ИТ поддоставчици и хостинг компании:
    • За техническа поддръжка на платформата, съхранение на бази данни, хостинг услуги;
    • Имат ограничен технически достъп до инфраструктурата на системата, при спазване на договор за поверителност.
  6. Държавни органи и регулаторни институции:
    • При наличие на законово задължение за предоставяне на данни по искане на:
    – Национална агенция за приходите (НАП);
    – Комисия за защита на потребителите (КЗП);
    – Комисия за защита на личните данни (КЗЛД);
    – Полиция, прокуратура и съдебни органи при наличие на законово основание.

7.2. Ограничаване на достъпа до данни

Доставчикът предоставя данни на трети страни само:

• в обем, необходим за съответната цел;
• при наличие на валидно правно основание;
• при наличие на договор за поверителност и защита на данните с подизпълнителите.

7.3. Предаване на данни към трети държави

  1. По правило Доставчикът не извършва трансфер на лични данни извън Европейското икономическо пространство (ЕИП).
  2. В изключителни случаи, ако е необходимо такова предаване (например при използване на IT услуги със сървъри извън ЕС), трансферът се извършва единствено при:
    • наличие на решение за адекватност от Европейската комисия;
    • прилагане на стандартни договорни клаузи, одобрени от ЕК;
    • други предвидени в GDPR механизми за защита на трансфера.

 

VIII. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

8.1. Право на достъп
Субектът на данни има право да получи потвърждение дали се обработват негови лични данни, както и:
• достъп до съответните данни;
• информация за целите на обработката, категориите данни, получателите, сроковете за съхранение, източниците на данните (когато не са събрани директно от него);
• информация за правата му съгласно GDPR.

8.2. Право на коригиране
Субектът има право да поиска корекция на неточни или непълни лични данни, които се обработват от Доставчика.

8.3. Право на изтриване („право да бъдеш забравен“)
Субектът има право да поиска изтриване на личните си данни при наличие на някое от следните основания:
• данните не са необходими за целите, за които са събрани;
• субектът е оттеглил съгласието си (когато обработката се основава на съгласие);
• обработката е незаконосъобразна;
• данните следва да бъдат изтрити за спазване на правно задължение;
• субектът възрази успешно срещу обработката.

Доставчикът не е задължен да изтрие данните, ако обработката е необходима за:
• упражняване на правни претенции;
• изпълнение на законови задължения;
• защита на важни обществени интереси.

8.4. Право на ограничаване на обработката
Субектът има право да поиска ограничаване на обработката в следните случаи:
• при оспорване на точността на данните — за срока на проверка;
• при оспорване законосъобразността на обработката;
• когато данните не са необходими, но са нужни за упражняване на правни претенции;
• при подадено възражение срещу обработката — до проверка на законността.

При ограничаване Доставчикът съхранява данните, но не извършва други обработки, освен със съгласие на субекта или за защита на правни претенции.

8.5. Право на възражение
Субектът има право:
• да възрази срещу обработване на данни за цели, основани на легитимен интерес;
• да възрази срещу обработване за директен маркетинг — в този случай обработката незабавно се прекратява за тези цели.

8.6. Право на преносимост на данните
Субектът има право да получи личните си данни в структуриран, широко използван и машинно четим формат и да ги прехвърли към друг администратор, когато:
• обработката се извършва въз основа на съгласие или договор;
• обработката се извършва чрез автоматизирани средства.

8.7. Право на жалба пред надзорен орган
Субектът има право да подаде жалба относно обработката на личните му данни до:

Комисия за защита на личните данни (КЗЛД)
Адрес: гр. София 1592, бул. "Проф. Цветан Лазаров" № 2
Телефон: +359 2 915 3518
Уебсайт: www.cpdp.bg
Електронна поща: kzld@cpdp.bg

Освен пред КЗЛД, субектът има право да защити правата си и по съдебен ред.

8.8. Упражняване на правата
Субектите на данни могат да упражнят своите права чрез:
• писмено заявление на електронната поща на Доставчика;
• подаване на заявление на физическия адрес на Доставчика;
• използване на онлайн формуляри (ако са предоставени в платформата).

Доставчикът разглежда и отговаря на подадените искания в срок до 30 дни, освен при наличие на обективно основание за удължаване на срока съгласно GDPR.

 

IX. СИГУРНОСТ И ЗАЩИТА НА ДАННИТЕ

9.1. Задължение за прилагане на защита
Доставчикът прилага подходящи технически и организационни мерки за защита на личните данни, съобразно:
• нивото на риск за правата и свободите на субектите на данни;
• естеството, обхвата, контекста и целите на обработката;
• обема и чувствителността на обработваните данни;
• развитието на технологиите и разходната ефективност на мерките.

9.2. Основни технически мерки

  1. Защита на комуникационния канал:
    • използване на защитен SSL (Secure Socket Layer) протокол за криптиране на връзката между платформата и потребителя;
    • криптиране на предаваните чувствителни данни.
  2. Защита на базите данни:
    • съхранение на данните в защитени сървъри с ограничен достъп;
    • използване на защитни стени (firewalls);
    • системи за предотвратяване на прониквания (intrusion prevention systems).
  3. Контрол на достъпа:
    • достъп до лични данни имат само ограничен кръг от служители и подизпълнители със служебна необходимост;
    • индивидуални идентификатори и пароли за достъп;
    • периодичен преглед на правата за достъп.
  4. Регулярни бекъп копия:
    • регулярно създаване на резервни копия на базите данни с цел възстановяване при инциденти.

9.3. Основни организационни мерки
• обучение на служителите по защита на личните данни и сигурност на информацията;
• вътрешни правила за достъп, обработка и съхранение на лични данни;
• договорни задължения за конфиденциалност със служители и външни доставчици;
• системи за регистриране и реагиране при инциденти със защита на данни.

9.4. Реакция при инциденти
При установяване на пробив в сигурността, Доставчикът:
• незабавно предприема мерки за ограничаване на нарушението;
• уведомява компетентния надзорен орган (КЗЛД) в законоустановения срок (до 72 часа от узнаване за инцидента);
• при необходимост уведомява и засегнатите субекти на данни.

 

X. БИСКВИТКИ (COOKIES)

10.1. Какво представляват бисквитките
Бисквитките са малки текстови файлове, които се съхраняват на устройството на потребителя при посещение на сайта www.kateo.bg. Те позволяват разпознаване на потребителя и съхраняване на определена информация, свързана с неговото поведение в платформата.

10.2. Видове бисквитки, използвани от платформата

  1. Задължителни (основни) бисквитки:
    • необходими за нормалното функциониране на платформата;
    • гарантират сигурността на сесията, входа в профил, поръчки и плащания;
    • не изискват съгласие, тъй като без тях сайтът не би могъл да функционира правилно.
  2. Функционални бисквитки:
    • позволяват запомняне на предпочитания на потребителя (език, валута, настройки на изгледа и др.);
    • улесняват персонализираното ползване на сайта.
  3. Аналитични бисквитки:
    • събират информация за използването на сайта (напр. брой посещения, посетени страници, време на престой);
    • използват се за статистически и аналитични цели с цел подобряване качеството на услугата;
    • при възможност се използват в анонимизиран вид.
  4. Маркетингови (рекламни) бисквитки:
    • проследяват поведението на потребителя с цел показване на персонализирани оферти и реклами;
    • прилагат се само след изрично съгласие на потребителя;
    • може да включват бисквитки на трети страни (напр. Google Ads, Facebook Pixel).

10.3. Съгласие за използване на бисквитки

  1. При първо посещение на платформата, на потребителя се показва изрично съобщение за бисквитките със следните възможности:
    • приемане на всички бисквитки;
    • избор на категории бисквитки;
    • отказ от бисквитки, различни от задължителните.
  2. Потребителят може по всяко време да промени избора си чрез функционалността за управление на бисквитки, предоставена в сайта.

10.4. Управление и изтриване на бисквитки

  1. Потребителят има право да управлява използването на бисквитки чрез:
    • настройките в своя браузър;
    • вградените функции в платформата     www.kateo.bg.
  2. Ограничаването или изтриването на бисквитки може да повлияе върху функционалността на сайта.

10.5. Бисквитки на трети страни
При използване на определени услуги в платформата е възможно поставяне на бисквитки от външни доставчици (напр. Google Analytics, Meta, платежни системи), за които важат отделни политики за поверителност на съответните доставчици.

Доставчикът няма контрол върху съдържанието и обхвата на тези външни бисквитки и препоръчва на потребителите да се запознаят с политиките на съответните трети страни.

 

XI. ИЗМЕНЕНИЯ В ПОЛИТИКАТА

11.1. Право на изменение
Доставчикът си запазва правото да актуализира и изменя настоящата Политика за поверителност с цел:
• привеждане в съответствие с действащото законодателство;
• отразяване на промени в предоставяните услуги или използваните технологии;
• подобряване на защитата на личните данни и прозрачността на обработката.

11.2. Уведомяване на субектите на данни

  1. Всички изменения в Политиката влизат в сила от датата на тяхното публикуване на сайта www.kateo.bg, освен ако не е предвидено друго.
  2. При съществени промени, които биха засегнали правата на субектите на данни, Доставчикът ще предприеме разумни действия за уведомяване на потребителите чрез:
    • изпращане на електронна поща (за регистрираните потребители);
    • уведомление в платформата при следващо влизане в профила;
    • публикуване на съобщение на видно място на сайта.

11.3. Продължаване на ползването като съгласие
Продължаването на използването на услугите след влизането в сила на измененията в Политиката се счита за приемане на съответните промени, освен ако субектът на данни не възрази изрично.

 

XII. КОНТАКТ С КОНТРОЛНИЯ ОРГАН (КЗЛД)

12.1. Надзорен орган по защита на личните данни в Република България е:

Комисия за защита на личните данни (КЗЛД)
Адрес: гр. София 1592, бул. "Проф. Цветан Лазаров" № 2
Телефон: +359 2 915 3518
Факс: +359 2 915 3525
Електронна поща: kzld@cpdp.bg
Уебсайт: www.cpdp.bg

12.2. Право на жалба
Всеки субект на данни има право да подаде жалба до КЗЛД, ако счита, че обработването на негови лични данни нарушава изискванията на GDPR или на Закона за защита на личните данни.

12.3. Право на съдебна защита
Субектът на данни има и право да търси защита на правата си и по съдебен ред съгласно националното законодателство.

 

XIII. Обработващи лични данни (Data Processors)

KATEO ЕООД използва като технически доставчик на платформата за електронна търговия услугата Shopify (Shopify Inc., Канада), която предоставя хостинг, техническа поддръжка, обработка на поръчки и съхранение на данни. Shopify действа като обработващ лични данни (data processor), обработвайки лична информация от името на KATEO ЕООД при стриктно спазване на договорените условия, приложимите стандарти за сигурност и съгласно политиката за защита на данните на Shopify, достъпна на: https://www.shopify.com/legal/privacy.

 

XIV. Връзки към външни сайтове

Услугите, предоставяни чрез платформата www.kateo.bg, могат да съдържат връзки към уебсайтове и онлайн платформи, управлявани от трети страни. KATEO ЕООД не носи отговорност за съдържанието, правилата за поверителност, сигурността и практиките на тези външни сайтове. Препоръчваме на потребителите да се запознаят с политиките за поверителност на съответните трети страни при напускане на нашата платформа. Предоставянето на такива линкове не представлява препоръка или одобрение от страна на KATEO ЕООД, освен ако не е изрично посочено.