Политика за защита на личните данни

В сила от: 25.05.2025

I. Уводни разпоредби

Целта на настоящата Политика за защита на личните данни (наричана по-долу „Политика“) е да Ви предостави, като потребители на платформите AreteApp и Diamond Studio, на Вашите представители или евентуално на други засегнати физически лица (наричани по-долу общо „субекти на данни“), изчерпателна информация за това по какъв начин дружеството UMARUTTI s.r.o., в качеството си на администратор на лични данни (наричано по-долу „Администратор“ или „ние“), събира, използва, съхранява и по друг начин обработва Вашите лични данни.

Администраторът се ангажира да защитава Вашите лични данни в пълно съответствие с приложимите правни разпоредби на Чешката република и Европейския съюз. Обработването на лични данни се извършва по-специално в съответствие със следните правни актове:

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – наричан по-долу „GDPR“).
Закон № 110/2019 Sb. относно обработването на лични данни, в действащата му редакция (наричан по-долу „Закон за обработването на лични данни“).
Закон № 253/2008 Sb. относно някои мерки срещу легализирането на доходи от престъпна дейност и финансирането на тероризма, с последващите изменения (наричан по-долу „AML закон“).
Закон № 480/2004 Sb. относно някои услуги на информационното общество и за изменение на някои закони, в действащата му редакция, в релевантните случаи.

Администраторът е наясно, че наред с тези общи разпоредби могат да съществуват специфични законови задължения, като например тези, произтичащи от Закон № 253/2008 Sb. относно някои мерки срещу легализирането на доходи от престъпна дейност и финансирането на тероризма, с последващите изменения (наричан по-долу „AML закон“), които в определени случаи могат да модифицират или ограничат упражняването на някои права на субектите на данни с цел реализиране на обществен интерес и осигуряване на ефективността на мерките срещу изпирането на пари и финансирането на тероризма.

Настоящата Политика е изготвена така, че да бъде ясна, разбираема и прозрачна, както изискват принципите на GDPR. Платформите AreteApp и Diamond Studio са предназначени основно за сътрудничество на едро (B2B) с бизнес субекти. Администраторът обаче е наясно, че в рамките на това сътрудничество се обработват лични данни на физически лица, които представляват тези бизнес субекти или действат от тяхно име (напр. служители, членове на управителни/представителни органи). Освен това, във връзка с платформата Diamond Studio, Администраторът може да действа в ролята на обработващ лични данни за своите потребители, които чрез тази платформа представят стоки на собствените си клиенти. Подробности относно тази роля са посочени в Условията за ползване на платформите AreteApp и Diamond Studio и в съответните раздели на настоящата Политика.

II. Администратор на лични данни (Data Controller)

Администратор на Вашите лични данни е търговското дружество:

UMARUTTI s.r.o.

Седалище: Kozí 916/5, Staré Město, 110 00 Praha 1

IČO: 41690885

DIČ: CZ41690885

Вписано в търговския регистър, воден от Градския съд в Прага, раздел C, вписване 3999.5

Контактни данни по въпроси, свързани със защитата на личните данни:

Имейл: [email protected]

Телефон: +420 606 751 525

Лице за контакт: Vladimír Kondratěnko

Адрес: Umarutti s.r.o., Kozí 916/5, 110 00 Praha 1, Чешка република

За целите на запитвания и упражняване на права в областта на защитата на личните данни можете да използвате посочения по-горе имейл или да се обърнете към посочените по-долу данни за контакт на длъжностното лице по защита на данните, ако е назначено, или към специализирания контакт, посочен в глава XIV от настоящата Политика. Осигуряването на ясен и достъпен комуникационен канал по въпроси, свързани със защитата на личните данни, е приоритет за Администратора, за да могат субектите на данни ефективно да упражняват правата си съгласно GDPR.

III. Длъжностно лице по защита на данните (Data Protection Officer - DPO)

Дружеството UMARUTTI s.r.o. е назначило длъжностно лице по защита на личните данни, което следи за съответствието на обработването на лични данни с правните разпоредби във всички дейности на дружеството, включително търговия на едро и търговия на дребно. Длъжностното лице по защита на личните данни е г-н Vladimír Kondratěnko, управител на дружеството. Можете да се обръщате към длъжностното лице по всички въпроси, свързани с обработването на Вашите лични данни и упражняването на Вашите права съгласно GDPR. Данните за контакт на длъжностното лице по защита на личните данни са следните: Имейл [email protected], телефон +420 606 751 525, пощенски адрес Kozí 916/5, 110 00 Praha 1.

За ефективна комуникация по въпроси, свързани със защитата на личните данни, препоръчваме да използвате предимно имейл адреса [email protected].

IV. Принципи за обработване на лични данни

Администраторът при обработването на Вашите лични данни стриктно спазва основните принципи, установени в член 5 от GDPR. Тези принципи формират основната рамка за всички операции по обработване и са задължителни за Администратора. Това са следните принципи:

Законосъобразност, добросъвестност и прозрачност:

Личните данни се обработват въз основа на поне едно валидно правно основание, добросъвестно и по начин, който е разбираем и прозрачен за субектите на данни.

Ограничение на целите:

Личните данни се събират за конкретни, изрично посочени и легитимни цели и не трябва да се обработват по-нататък по начин, който е несъвместим с тези първоначални цели.

Минимизиране на данните:

Обработваните лични данни са адекватни, относими и ограничени до обхвата, който е строго необходим спрямо целите, за които се обработват. Това се отразява например в дизайна на регистрационните формуляри и в обхвата на информацията, изисквана за отделните услуги.

Точност:

Администраторът се грижи обработваните лични данни да бъдат точни и при необходимост актуализирани. Той предприема всички разумни мерки, за да гарантира, че личните данни, които са неточни с оглед на целите, за които се обработват, ще бъдат незабавно изтрити или коригирани.

Ограничение на съхранението:

Личните данни се съхраняват във форма, позволяваща идентифициране на субектите на данни, само за срок, не по-дълъг от необходимото за постигане на целите, за които се обработват. След изтичане на този срок данните се изтриват или се анонимизират, освен ако правните разпоредби не предвиждат друго.

Цялостност и поверителност:

Личните данни се обработват по начин, който гарантира тяхната подходяща сигурност, включително защита чрез подходящи технически или организационни мерки срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване или повреждане.

Отговорност на Администратора:

Администраторът носи отговорност за спазването на горепосочените принципи и трябва да може да докаже това спазване.

Посочването на тези принципи не е само формално изискване; Администраторът активно внедрява тези принципи във вътрешните си процеси и ежедневните си операции, за да осигури реална защита на Вашите лични данни.

V. Цели на обработването, категории лични данни, правно основание и срок на съхранение

Тази глава предоставя подробен преглед за какви цели Администраторът обработва Вашите лични данни, кои категории лични данни са релевантни за тези цели, на какво правно основание го прави и за какъв срок Вашите лични данни ще бъдат съхранявани. Яснотата на тази информация е ключова за изпълнение на принципа на прозрачност съгласно GDPR.

Следната таблица обобщава основните дейности по обработване на лични данни, извършвани от Администратора:

Цел на обработването	Категории обработвани лични данни	Правно основание за обработването (съгласно GDPR)	Срок на съхранение на личните данни
1. Регистрация и управление на потребителски акаунт на платформите AreteApp и Diamond Studio	Идентификационни данни (име, фамилия на контактното лице, наименование на дружеството, ИЧО, ДИЧ), данни за контакт (e-mail, телефонен номер, адрес на седалище/обект), данни за вход (потребителско име, парола – в сигурно хеширана форма).	Изпълнение на договор (предоставяне на услуги на платформата съгласно Условията за ползване) – чл. 6, пар. 1, б. б) GDPR.	За срока на Вашата регистрация на платформата. След закриване на акаунта някои данни могат да бъдат съхранявани за периода, необходим за защита на правните претенции на Администратора (обикновено 3–5 години). Условията за ползване предвиждат възможност за експортиране на данни до 30 дни от закриването на акаунта, след което данните ще бъдат изтрити или анонимизирани, освен ако правните разпоредби не изискват по-дълъг срок на съхранение.
2. Обработка и изпълнение на поръчки за стоки (диаманти, бижута и др.)	Идентификационни и контактни данни на Купувача (както е посочено по-горе), данни за поръчката, адрес за доставка, фактурни данни, платежна информация.	Изпълнение на договор за покупко-продажба – чл. 6, пар. 1, б. б) GDPR.	За периода, необходим за пълното изпълнение на поръчката. След това – за срока, определен от приложимите правни разпоредби за архивиране (обикновено 10 години за данъчни документи).
3. Изпълнение на задължения в областта на AML	Идентификационни данни на клиента, копия на документи за самоличност, информация за произхода на средствата и други данни, изисквани от AML закона.	Изпълнение на законово задължение – GDPR (във връзка с AML закона).	Обикновено 10 години от извършването на сделката или прекратяването на отношенията.
4. Предоставяне на функционалности на платформата Diamond Studio (Администраторът в ролята на обработващ)	Лични данни на клиенти на Потребителя на платформата Diamond Studio, които Потребителят качва.	Изпълнение на договор за обработване на лични данни. Потребителят носи отговорност да осигури собствено правно основание.	За срока на предоставяне на услугата и в съответствие с указанията на Потребителя.
5. Комуникация с потребителите и клиентска поддръжка	Име и фамилия, e-mail адрес, телефонен номер, съдържание на комуникацията.	Легитимен интерес на Администратора за предоставяне на поддръжка – GDPR. При необходимост – изпълнение на договор.	За периода, необходим за обработване на запитването. След това данните могат да бъдат съхранявани за разумен срок (напр. 1–3 години).
6. Изпращане на търговски съобщения (маркетинг)	E-mail адрес, име и фамилия, адрес (за пощенски пратки), данни от публични източници (име, фамилия, адрес за B2B пощенски маркетинг), евентуално информация за предпочитания или история на покупки.	За съществуващи B2B клиенти (e-mail): Легитимен интерес – GDPR, § 7, ал. 3 от Закон № 480/2004 Sb. За B2B субекти в бижутерийния сектор (поща): Легитимен интерес – чл. 6, пар. 1, б. е) GDPR (вж. по-долу). За останалите случаи: Съгласие – чл. 6, пар. 1, б. а) GDPR.	До оттегляне на съгласието или подаване на възражение. За еднократни пощенски кампании: Еднократно, най-късно до подаване на възражение.
7. Анализ на използването на платформите и тяхното подобряване	IP адрес, данни за устройството и браузъра, данни за използването на платформата, данни от cookies.	За необходимите cookies: Легитимен интерес – GDPR. За останалите cookies: Съгласие – GDPR.	Според вида на cookie, посочено в Политиката за използване на cookies.
8. Осигуряване на сигурност и защита на правни претенции	IP адреси, системни логове, данни за транзакции, съдържание на комуникацията.	Легитимен интерес на Администратора – GDPR.	За периода, строго необходим, а след това за срока на давностните срокове (обикновено 3–5 години).
9. Изпълнение на други законови задължения	Различни категории лични данни според конкретното задължение.	Изпълнение на правно задължение – GDPR.	За срока, определен от съответния нормативен акт.

Специфика на обработването за AML цели: Обработването на лични данни с цел изпълнение на задълженията по AML закона (т. 3 от таблицата) се урежда от специфични правила, определени в AML закона. Тези правила, по-специално § 17a (ограничаване на задължението за информиране) и § 38 (задължение за конфиденциалност) от AML закона, могат да ограничат упражняването на някои от Вашите права като субект на данни (напр. право на информация относно обработването, право на достъп) с цел да не се застраши целта на AML мерките и текущите проверки. По-подробна информация за тези ограничения е посочена в глава IX от настоящите Правила.

Важно уточнение относно ролята на Администратора и обработващия:

От съществено значение е да се разграничават ситуациите, в които UMARUTTI s.r.o. действа като администратор на Вашите лични данни, и ситуациите, в които действа като обработващ.

UMARUTTI s.r.o. като администратор: В повечето от описаните по-горе случаи, по-специално при Вашата регистрация, обработването на Вашите поръчки, изпълнението на AML задължения, маркетинговата комуникация с Вас или анализа на използването на нашите платформи, ние сме администратор на Вашите лични данни. Това означава, че ние определяме целите и средствата за обработване.

UMARUTTI s.r.o. като обработващ: Ако използвате платформата Diamond Studio, за да представяте стоки на Вашите собствени клиенти и въвеждате в тази платформа техните лични данни, тогава Вие (като потребител на Diamond Studio) сте администратор на тези данни, а UMARUTTI s.r.o. действа в ролята на обработващ. Ние обработваме тези данни единствено въз основа на Вашите указания и в съответствие с договора за обработване на лични данни. В такъв случай Ваше задължение като администратор е да информирате Вашите клиенти за обработването на техните лични данни и да осигурите валидно правно основание за това обработване. Настоящите Правила се отнасят предимно до дейностите, при които UMARUTTI s.r.o. е администратор.

Правно основание „легитимен интерес“:

Когато като правно основание за обработването е посочен легитимен интерес на Администратора (чл. 6, пар. 1, б. f) GDPR), Администраторът винаги внимателно преценява (чрез т.нар. балансиращ тест) дали този негов интерес не надделява над Вашите интереси или основни права и свободи. Имате право да възразите срещу такова обработване, както е описано в глава IX от настоящите Правила.

Специфика на обработването за целите на директния пощенски маркетинг (легитимен интерес):

Специален случай на обработване въз основа на легитимен интерес е изпращането на печатни рекламни оферти (привличащи каталози) чрез наземна поща. За тази цел важи следното:

Legal basis: Правно основание: Обработването е необходимо за целите на легитимните интереси на Администратора по смисъла на чл. 6, пар. 1, б. f) GDPR.
Categories: Категории лични данни: Обработваме само данни, получени от публично достъпни източници, а именно: име, фамилия и адрес на стопански субекти, действащи в бижутерийния сектор.
Purpose: Цел: Целта е изпращане на рекламни оферти чрез наземна поща. Не се извършва автоматизирано индивидуално вземане на решения по смисъла на чл. 22 от регламента.
Легитимен интерес: Нашият легитимен интерес се състои в директния маркетинг на нашите продукти и услуги към релевантни стопански субекти. Съображение 47 от GDPR посочва, че „обработването на лични данни за целите на директния маркетинг може да се счита за обработване, извършвано поради легитимен интерес.“ Закон № 40/1995 Sb., относно регулирането на рекламата, позволява разпространението на непоискана реклама в хартиен вид, ако не притеснява адресата и ако адресатът предварително не е заявил, че не я желае. Администраторът извърши оценка и стигна до заключението, че с оглед на публичния източник на данните, B2B характера на комуникацията, релевантността на офертата за адресираните субекти, поемането на разходите от Администратора и възможността по всяко време да се откаже по-нататъшното изпращане, интересите или правата на субектите на данни не надделяват над легитимния интерес на Администратора.
Retention period: Срок на съхранение: Личните данни за тази цел ще бъдат обработвани еднократно за изпращане, но най-дълго до подаване на възражение срещу обработването или упражняване на правото на изтриване.
Recipients: Получатели: Допълнителни получатели могат да бъдат лица, които осигуряват за Администратора технически и доставни услуги, свързани с изпращането. Личните данни няма да бъдат предавани в трета държава.

VI. Източници на лични данни (Sources of Personal Data)

Администраторът получава лични данни от следните източници:

Прозрачността относно източниците на данни е важна за нас, особено ако данните не произхождат пряко от Вас.

VII. Получатели на лични данни и предаване в трети държави

Администраторът може да предостави достъп до или да предаде Вашите лични данни на следните категории получатели:

Ако някои получатели са в позицията на обработващи, Администраторът има сключен с тях договор съгласно член 28 от GDPR, който гарантира защитата на Вашите права.

Предаване на лични данни в трети държави:

Администраторът се стреми основно да обработва данните в ЕС/ЕИП. Някои доставчици на ИТ услуги могат да са установени извън ЕС/ЕИП. Ако се стигне до предаване в трета държава, то винаги е в съответствие с глава V от GDPR, т.е. въз основа на:

Имате право да поискате копие от тези гаранции. Администраторът извършва редовен одит на доставчиците.

VIII. Сигурност на личните данни (Security of Personal Data)

Администраторът е приел и поддържа подходящи технически и организационни мерки за осигуряване на защитата на Вашите лични данни, в съответствие с член 32 от GDPR и с оглед на състоянието на техниката, разходите и рисковете. Тези мерки включват:

Вие също носите отговорност за защитата на Вашите данни за достъп. Препоръчваме да избирате силни пароли и да ги сменяте. Нито един пренос на данни не е 100% сигурен, затова бъдете внимателни.

IX. Права на субектите на данни (Rights of Data Subjects)

GDPR Ви предоставя редица права, които можете да упражните. Администраторът е длъжен да отговори в срок от един месец (срокът може да бъде удължен с два месеца). Обръщаме внимание, че упражняването на някои права може да бъде ограничено от AML закона (§ 17a, § 38).

Имате следните права:

Право на достъп (чл. 15 GDPR):

Право да получите потвърждение за обработването и достъп до данните и информацията. Може да бъде ограничено от AML закона.

Право на коригиране (чл. 16 GDPR):

Право на коригиране на неточни и допълване на непълни данни. Може да бъде ограничено от AML закона.

Право на изтриване (чл. 17 GDPR):

Право на изтриване на данните при определени условия. Не е абсолютно; съществуват изключения (напр. AML закон).

Право на ограничаване на обработването (чл. 18 GDPR):

Право на ограничаване на обработването в определени случаи. Може да бъде ограничено от AML закона.

Право на преносимост на данните (чл. 20 GDPR):

Право да получите и прехвърлите данните, ако обработването се основава на съгласие или договор и се извършва по автоматизиран начин.

Право на възражение (чл. 21 GDPR):

Право да възразите срещу обработването въз основа на легитимен интерес. Ако данните се обработват за целите на директния маркетинг (включително изпращане на пощенски оферти), имате право по всяко време да възразите и данните няма да бъдат обработвани повече.

Права, свързани с автоматизираното вземане на решения (чл. 22 GDPR):

Право да не бъдете обект на решение, основано изключително на автоматизирано обработване със значими последици, с изключения.

Право да оттеглите съгласието си (чл. 7, пар. 3 GDPR):

Право по всяко време да оттеглите съгласието си, ако обработването се основава на него. Оттеглянето на съгласието трябва да бъде лесно.

Право да подадете жалба (чл. 77 GDPR):

Право да подадете жалба до надзорния орган (в ЧР ÚOOÚ).

Как да упражните правата си:

Можете да упражните правата си по имейл или по пощата на контактите, посочени в гл. II или XIV. Посочете достатъчна идентификация и конкретизация на искането. Можем да Ви помолим за допълнителна проверка на самоличността.

X. Бисквитки и подобни технологии (Cookies and Similar Technologies)

Нашите уебсайтове и платформи използват бисквитки и подобни технологии за осигуряване на функционалност, подобряване на удобството, анализ и персонализация. Бисквитките са малки текстови файлове, които се съхраняват на Вашето устройство.

Подробна информация за видовете бисквитки, целите, правното основание и срока на валидност ще намерите в нашите Политика за използване на бисквитки, която е достъпна на уебсайта. Там ще намерите и информация как да управлявате предпочитанията и съгласието си.

XI. Автоматизирано вземане на решения и профилиране (Automated Decision-Making and Profiling)

Информираме Ви за използването на автоматизирано вземане на решения и профилиране.

Automated decision-making with legal effects: Автоматизирано вземане на решения с правни последици: Администраторът не извършва такова вземане на решения. Ключовите решения се вземат с човешки преглед.

Profiling: Профилиране за други цели: Можем да използваме профилиране за персонализиране на съдържание и оферти и за сегментиране за маркетингови цели. Това няма правни или значими последици по смисъла на чл. 22 GDPR. Имате право да възразите срещу това.

Ако в бъдеще въведем автоматизирано вземане на решения съгласно чл. 22, ще Ви информираме предварително.

XII. Жалби и данни за контакт на надзорния орган (Complaints and Contact Details of the Supervisory Authority)

Ако считате, че е налице нарушение на GDPR, имате право да подадете жалба до Úřad pro ochranu osobních údajů (ÚOOÚ).

Данни за контакт на ÚOOÚ:

Адрес: Pplk. Sochora 27, 170 00 Praha 7

Телефон: +420 234 665 111

E-mail: [email protected]

Уеб: www.uoou.gov.cz

ID на електронната пощенска кутия: qkbaa2n3

Препоръчваме обаче първо да се свържете с нас; ще се опитаме да разрешим Вашите подадени сигнали.

XIII. Промени в настоящите Политики

Администраторът има право да изменя настоящите Политики. За промените ще бъдете информирани чрез публикуване на уебсайта. В случай на съществени промени можем да Ви информираме и по имейл.

Препоръчваме редовно да следите актуалната редакция. Датата на последната актуализация е посочена в началото на документа. Продължавайки да използвате платформите след влизането в сила на промените, Вие изразявате съгласие.

XIV. Данни за контакт по въпроси, свързани със защитата на личните данни

За всички въпроси, искания, предложения или жалби се обръщайте към:

Имейл: [email protected]

Телефон: +420 606 751 525

Лице за контакт: Vladimír Kondratěnko

Адрес: Umarutti s.r.o., Kozí 916/5, 110 00 Praha 1, Česká republika

Езикова клауза / Language Clause:

This document may be executed in Czech and in other language versions. In the event of any discrepancies between the Czech version and any other language version, the Czech version shall prevail. The only legally binding version of this document is the Czech language version. All translations into other languages are provided for informational purposes only and are not legally binding.