Правила за поверителност

Настоящата Политика за защита на личните данни („Политика") разяснява как Медитекс ЕООД („Администратор", „ние") събира, използва, съхранява и защитава Вашите лични данни в рамките на дейността си и при ползване на сайта orthoshop.bg от Ваша страна. Политиката е изготвена в съответствие с Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, GDPR), Закона за защита на личните данни (ЗЗЛД) и приложимото българско законодателство.

 

I. Кой е администраторът на личните данни

 

II. Какви категории лични данни обработваме

В зависимост от характера на отношенията Ви с нас, можем да обработваме следните категории данни:

• Идентификационни и контактни данни – име и фамилия, телефонен номер, имейл адрес, адрес за доставка/фактура;
• Данни за поръчката – вид и количество на закупените продукти, цена, начин на плащане, история на поръчките;
• Данни за фактуриране – при искане за фактура: данни на физическо лице (име, ЕГН за самоосигуряващи се лица), или на юридическо лице (фирма, ЕИК, ДДС № и адрес);
• Данни за плащане – при банков превод: данни за наредителя; при наложен платеж и плащане с карта на терминал на куриера – картови данни не се обработват и не се съхраняват от Търговеца;
• Регистрационни данни – ако създадете профил: потребителско име, имейл, парола (в хеширан вид), история на действията;
• Технически данни и идентификатори от бисквитки – IP адрес (псевдонимизиран), тип браузър, операционна система, страници на посещение, времетраене – съгласно избора Ви относно бисквитките (Документ 6);
• Маркетингови данни – ако сте дали изрично съгласие: данни за абонамент за бюлетин, маркетингови предпочитания, статистика на отворени/кликнати имейли;
• Данни от комуникация с нас – съдържание на имейл-обмен, чатове и обаждания (без записване на разговори, освен при изрично уведомяване и съгласие);
• При индивидуална поръчка – размери, специфични неклинични изисквания, данни за съответен медицински специалист, ако са предоставени от Потребителя.

Здравни данни (специални категории по чл. 9 GDPR)

Като общо правило ние не обработваме специални категории лични данни по чл. 9 GDPR. Възможно е, при поръчка на определени продукти (например ортези, компресионни изделия, специализирани помощни средства), от продуктовия избор косвено да се извежда информация за здравословното състояние на купувача или на лицето, за което е предназначен продуктът. Самият продуктов избор не се ползва от нас за анализ или профилиране на здравословно състояние.

 

Когато индивидуална поръчка изисква предоставяне само на стандартни параметри (размер, модел, цвят), здравословни данни не се обработват от нас и не следва да ни се изпращат. Ако в процеса на комуникация Потребител предостави неискана медицинска информация (например предписание, диагноза, медицинска документация), ние я изтриваме веднага след сключване и изпълнение на поръчката, освен ако нейното пазене не е необходимо за защита на правни претенции.

 

III. Цели и правни основания за обработката

Обработваме Вашите лични данни на следните основания:

 

Бележка за разлика между транзакционни и маркетингови съобщения

Имейлите, които получавате във връзка с поръчка – потвърждение, фактура, съобщение за подготовка, изпращане, доставка, връщане или статус на рекламация – са транзакционни и са необходими за изпълнение на договора по чл. 6, пар. 1, б. „б" GDPR. Те не са маркетинг и не се изпращат въз основа на маркетингово съгласие. Те не съдържат рекламно съдържание извън това, което е необходимо за конкретната поръчка.

 

IV. Кога е задължително да предоставите данните си

Предоставянето на данните, необходими за изпълнението на поръчката (име, адрес, телефон, имейл), е условие за сключване на договора. Без тях не можем да изпълним и доставим поръчката Ви.

Предоставянето на маркетингови съгласия е изцяло доброволно – неотбелязването на чекбокса не засяга по никакъв начин възможността Ви да направите поръчка.

 

V. На кого предоставяме данните

Достъп до Вашите лични данни може да имат следните категории получатели, при стриктно спазване на принципа за минимално необходимото:

• Куриерски компании за доставка („Спиди" АД, при международни пратки – DHL и др.) – имена, адрес, телефон, поръчани продукти. В отношенията с куриера всяка от страните може да действа и като самостоятелен администратор за свои собствени цели (например за транспорт по чл. 6, пар. 1, б. „в" GDPR);
• Хостинг доставчик и доставчици на ИТ услуги – като обработващи лични данни;
• Доставчик на платежни услуги (когато е приложимо) – като самостоятелен администратор за плащането;
• Счетоводна къща – като обработващ лични данни;
• Маркетингови платформи (имейл маркетинг, рекламни платформи) – съгласно избраната категория съгласие;
• Държавни органи – само при законово задължение (НАП, КЗП, КЗЛД, съд, прокуратура и др.).

Когато получателят действа като обработващ, се сключва договор по чл. 28 GDPR. Когато получателят действа като самостоятелен администратор (например куриер за собствените си цели по логистика, банка за платежни цели), предаването се извършва на съответното правно основание и при спазване на GDPR.

 

VI. Прехвърляне на данни извън ЕС/ЕИП

Когато използваме доставчици на услуги извън ЕС/ЕИП (например Google – САЩ, за Google Analytics и Google Ads), прехвърлянето се извършва на едно от следните основания:

• Решение на Европейската комисия за адекватно ниво на защита (например при доставчик в държава с такова решение);
• EU–U.S. Data Privacy Framework – само за доставчици от САЩ, които са активно сертифицирани по рамката (актуалният списък е публикуван на dataprivacyframework.gov);
• Стандартни договорни клаузи (SCC), одобрени от Европейската комисия, при необходимост придружени от допълнителни мерки и оценка на въздействието на прехвърлянето (transfer impact assessment).

 

VII. Вашите права

Като субект на данни имате следните права съгласно GDPR:

• Право на достъп (чл. 15 GDPR);
• Право на коригиране (чл. 16 GDPR);
• Право на изтриване (чл. 17 GDPR), при условията на разпоредбата – не може да бъде упражнено за данни, обработвани по законово задължение или за защита на правни претенции;
• Право на ограничаване на обработването (чл. 18 GDPR);
• Право на преносимост (чл. 20 GDPR);
• Право на възражение (чл. 21 GDPR), включително безусловно срещу обработване за директен маркетинг;
• Право да оттеглите съгласието си по всяко време – без това да засяга законосъобразността на обработването преди оттеглянето;
• Право да не бъдете обект на изцяло автоматизирано вземане на решения с правен или сходно значим ефект (чл. 22 GDPR). Ние не извършваме такова вземане на решения. Извършваме маркетингова персонализация (например рекламно ремаркетинг и сегментиране на бюлетина), която няма правен или сходно значим ефект върху Вас;
• Право на жалба до КЗЛД.

Можете да упражните правата си, като ни пишете на office@orthoshop.bg или на адреса ни. Ще отговорим в срок до 1 месец, който при необходимост може да бъде удължен с още 2 месеца. Ние не правим копие на личната Ви карта при обработка на искания, освен ако това не е изрично необходимо за надеждна идентификация при конкретен казус.

 

VIII. Сигурност на данните

Прилагаме подходящи технически и организационни мерки за защита на личните Ви данни, в т.ч. криптирана комуникация (HTTPS/TLS), контрол на достъпа на принципа „минимално необходимо", силни пароли и многофакторна автентикация при възможност, редовно архивиране, обучение на персонала, писмени декларации за конфиденциалност на служителите.

 

IX. Бисквитки

1. Какво представляват бисквитките

Бисквитките („cookies") са малки текстови файлове, които сайтът съхранява в браузъра на Вашето устройство при посещение. Те се използват за коректно функциониране на сайта, за запомняне на Вашите предпочитания, за статистика и за маркетингови цели.

2. Видове бисквитки, които използваме

2.1. Строго необходими (Essential)

Тези бисквитки са нужни за основни функции на сайта – количка, влизане в профил, защита от злоупотреби. Те не се ползват за реклама и не подлежат на съгласие.

2.2. Функционални (Functional)

Запомнят Ваши предпочитания – език, валута, размер на шрифт. Зареждат се само при дадено съгласие.

2.3. Статистически (Analytics)

Помагат ни да измерваме как се ползва сайтът, кои страници са най-посещавани и как да го подобрим. Зареждат се само при дадено съгласие.

2.4. Маркетингови (Marketing)

Използват се за персонализирана реклама и ремаркетинг. Зареждат се само при дадено съгласие.

3. Управление на съгласието и cookie banner

Сайтът ползва банер за съгласие. На първи екран на банера потребителят разполага с равностойни бутони „Приемам всички", „Отхвърлям всички", и „Управление на предпочитанията" за избор по категории. Изборът може да бъде променен по всяко време чрез бутон „Предпочитания за бисквитките" в долната част на сайта или чрез настройките на браузъра.

4. Прехвърляне на данни извън ЕС/ЕИП

Shopify може да обработва данни извън ЕС/ЕИП. Прехвърлянето е на основание Data Privacy Framework (когато доставчикът е активно сертифициран по рамката) и/или стандартни договорни клаузи, при необходимост придружени от допълнителни мерки.

5. Промени

При промени в използваните инструменти настоящата политика се актуализира.

 

X. Деца

Сайтът не е насочен към лица под 14 години и поръчки през Сайта се правят от пълнолетни лица. Когато продукт е предназначен за дете (например за вътрешна употреба от дете на пълнолетен Потребител), родителят/законният представител предоставя минимално необходимите данни. Ние съзнателно не събираме лични данни директно от деца под 14 години без съгласие на упражняващия родителските права.

 

XI. Промени в политиката

Запазваме правото си да актуализираме настоящата политика. Актуалната версия е винаги публикувана в Сайта. При съществени промени ще Ви уведомим по подходящ начин.

 

XII. Жалба до надзорен орган

Имате право да подадете жалба до Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2; имейл: kzld@cpdp.bg; уеб: www.cpdp.bg.

 

Настоящата Политика е в сила от 04.05.2026 г.