Задължителна информация за правата на лицата по защита на личните данни (Privacy notice)

Обща информация

От 25 май 2018г. влиза в сила нов регламент за защита на личните данни (General Data Protection Regulation), приет от Европейския съюз. Регламентът има за цел да гарантира защитата на данните на физическите лица от всички държави членки на ЕС и да уеднакви регулациите за тяхната обработка.

В качеството си на администратор на лични данни по предоставяне на туристички услуги, Караджъ Турс Интернешънъл отговаря на всички изисквания на новата регулация, като събира единствено данни на лицата до толкова, доколкото са необходими за предоставянето на услугата, и ги пази отговорно и законосъобразно.

Информация относно Администратора на лични данни

    Наименование: "Караджъ Турс Интернешънъл" ЕООД
    ЕИК/БУЛСТАТ: 131323312
    Седалище и адрес на управление: гр. София 1202 , ул. Георги Бенковски 46
    Адрес за упражняване на дейността: гр. София 1202 , ул. Георги Бенковски 46
    Данни за кореспонденция: гр. София 1202 , ул. Георги Бенковски 46
    E-mail: dpo@karacitours.bg
    Телефон: 0700 10 403, 02 987 77 00
    Номер на удостоверение за администратор на личните данни № 0247961/17.09.2009

Информация относно компетентния надзорен орган

    Наименование: Комисия за защита на личните данни
    Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
    Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
    Телефон: 02 915 3 518
    Email: kzld@government.bg, kzld@cpdp.bg
    Уеб сайт: www.cpdp.bg

"Караджъ Турс Интернешънъл" ЕООД осъществява дейността си в съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. 

Във връзка с това, от 25 май 2018 г. Караджъ Турс Интернешънъл ЕООД въвежда следните промени в Политиката за защита на личните данни:

Караджъ Турс Интернешънъл ЕООД в качеството си на търговец гарантира на своите клиенти конфиденциалността на предоставените лични данни. Последните няма да бъдат използвани, предоставяни или довеждани до знанието на трети лица.

Караджъ Турс Интернешънъл ЕООД се задължава да не разкрива никакви лични данни за клиентите на трети лица - държавни органи, търговски дружества, физически лица и други, освен ако:
- има изрично съгласие на клиента;
- информацията е изискана от държавни органи или длъжностни лица, които според действащото законодателство са в правото си да изискват и събират такава информация и търговецът е длъжен да предостави информацията по силата на закона;
- информацията е необходима на трети лица за изпълнението на услуга според сключен договор между клиента и Караджъ Турс – авиокомпании, транспортни компании, хотели или хотелски оператори, застрахователни компании и други оператори на услуги, които се изпълняват като част от туристически пакет или представляват отделна услуга за изпълнение.


Какви видове лични данни събира, обработва и съхранява Караджъ Турс?

Чл. 1. (1) Караджъ Турс извършва следните операции с личните данни за следните цели:

    Регистрация на потребител в уебсайта и изпълнение на договор за предоставяне на туристически услуги - автобусни и самолетни резервации, автобусни и самолетни билети, хотелско настаняване, организирани автобусни пътувания, организирани самолетни пътувания, индивидуални пътувания и резервации, групови посещения, ваучер за подарък, стойностни ваучери и др. – целта на тази операция е създаване на потребителска заявка, която да бъде свързана с използваната услуга и да управлявате съдържанието на услугата през страница на потребителската заявка. Заключение от оценката на въздействието: Въз основа на горепосочената оценка на въздействието, длъжностното лице за защита на личните данни, счита че операцията „Сключване на договор за туристическа услуга“ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.

    Сключване и изпълнение на търговска сделка с клиент или партньор – целта на тази операция е сключване и изпълнение на договор с търговски партньор или клиент и неговото администриране;

     Изпращане на информационни съобщения – целта на тази дейност е администриране на процеса по изпращане на съобщения до клиентите, които се отнасят до известяване за 
предстоящо плащане, изтичащ срок на плащане, предстояща промяна в услугите, напомняща информация за предстоящи пътувания, съгласно договора за предоставяне на услугата.

    Изпращане на информационен бюлетин (нюзлетър) – целта на тази операция е администриране на процеса по изпращане на бюлетини до клиентите, които са заявили, че желаят да получават;

(2) Караджъ Турс обработва следните категории лични данни и информация за следните цели и на следните основания:

    Данни: Ваши индивидуализиращи данни (име и фамилия, електронна поща, телефон, мобилен телефон)
        Цел, за която се събират данните: 1) Регистрация на потребителска заявка за създаване на договорни отношения по туристическа услуга; 2) Осъществяване на връзка с потребителя и изпращане на информация към него, включително при изразено желание – за изпращане на бюлетини и рекламни съобщения.
        Основание за обработка на личните Ви данни – С приемането на общите условия и регистрация в уебсайта и закупуване на услуга, между Караджъ Турс и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

   Данни: Индивидуализиращи данни на представляващия и пътуващите (три имена на кирилица, три имена на латиница, Единен граждански номер, адрес и телефон)
        Цел, за която се събират данните: 1) Генериране на потребителска заявка за туристическа услуга; 2) Осъществяване на връзка с потребителя и изпращане на информация към него, включително при изразено желание – за изпращане на бюлетини и рекламни съобщения.
        Основание за обработка на личните Ви данни – С приемането на общите условия и регистрация в уебсайта и закупуване на услуга, между Караджъ Турс и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

    Допълнителни данни, предоставяни от Вас – Ако желаете да допълните данните към потребителската Ви заявка, можете да попълните в него данни за:
        - Притежавана лична карта - номер, валидност до, издадена на.
        - Притежаван паспорт - номер, валидност до, издаден на.
        Цел, за която се събират данните: Допълване на информация за потребителите и създаване на документи свързани със закупена услуга.
        Основания за обработка на данните: С приемането на общите условия и регистрация в уебсайта и закупуване на услуга, между Караджъ Турс и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

    Други данни, които Караджъ Турс обработва – При влизане в нашия уебсайт или във Вашия профил, Караджъ Турс събира данни за използвания IP адрес.
        Цел, за която се събират данните: Подобряване на сигурността на услугата и локализация на интерфейса, статистически и маркетингови проучвания.
        Основания за обработка на данните: Обработването е необходимо за изпълнение на договор, по който субектът на данните е страна - чл. 6, ал. 1, б. (б) на GDPR. 
До създаването на профил на потребителя, IP адресът се събира на основание осъществяване на легитимните интереси на администратора – чл. 6, ал. 1, б. (е) от GDPR;

    Ваши данни за издаването на фактура на физическо лице – Ако желаете да Ви бъде издадена фактура в качеството Ви на физическо лице, следва да предоставите своя единен граждански номер.
        Цел, за която се събират данните: Издаване на фактура за извършване на плащания по сключен договор за предоставяне на услуги.
        Основание за обработка на личните Ви данни – С приемането на общите условия и регистрация на уебсайта, или при сключването на писмен договор, между Караджъ Турс и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

(3) Караджъ Турс не събира и не обработва лични данни, които се отнасят за следното:

    разкриват расов или етнически произход;
    разкриват политически, религиозни или философски убеждения, или членство в синдикални организации;
    генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.

(4) Караджъ Турс ползва личните Ви данни за целите на техническо администриране на уебсайта, за управление на клиентите, за анкети за продуктите и за маркетинг, само в необходимия за целта обхват и в случаи на изрично доброволно предоставяне от страна на клиента.

(5) Предаването на лични данни на държавни институции и органи се извършва само в рамките на задължителните разпоредби на действащото законодателство. Нашите служители са обвързани със задължение за спазване на поверителност.

(6) Личните данни са събрани от Караджъ Турс от лицата, за които се отнасят.

(7) Дружеството не извършва автоматизирано взимане на решения с данни. 

Вашите права при събирането, обработването и съхранението на личните Ви данни

Оттегляне на съгласието за обработване на личните Ви данни

Чл. 2. (1) Ако не желаете всички или част от Вашите лични данни да продължат да бъдат обработвани от Караджъ Турс за конкретна или за всички цели на обработване, Вие можете да оттеглите съгласието си минимум 3 дни след приключване / извършване на туристическа услуга, предмет на договорното отношение между Караджъ Турс и потребителя.

(2) Искане за оттегляне на съгласие в свободен текст, може да се заяви на e-mail адрес: dpo@karacitours.bg

(3) Караджъ Турс може да поиска да удостоверите своята самоличност и идентичност с лицето, за което се отнасят данните.

(4) Заличаването се извършва в период от 7 до 20 работни дни. След извършено заличаване, Вие ще получите e-mail потвърждение.  

(5) С оттегляне на съгласието за обработване на лични данни, които са задължителни за създаването и поддържане на потребителска заявка за туристическа/и услга/и ще бъде деактивирана.

Право на достъп

Чл. 3. (1) Вие имате право да изискате и получите от Караджъ Турс потвърждение дали се обработват лични данни, свързани с Вас.

(2) Вие имате право да получите достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните Ви 
данни.

(3) Караджъ Турс Ви предоставя при поискване, копие от обработваните лични данни, свързани с Вас, в електронна или друга подходяща форма.

(4) Предоставянето на достъп до данните е безплатно, но Караджъ Турс си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.

Право на коригиране или попълване

Чл. 4. Вие можете да коригирате или попълните неточните или непълните лични данни, свързани с Вас директно през Вашия профил в уебсайта или с отправяне на искане до Караджъ Турс.

Право на изтриване („да бъдеш забравен“)

Чл. 5.(1) Вие имате правото да поискате от Караджъ Турс изтриване на свързаните с Вас лични данни, а Караджъ Турс има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания:

    - личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
    - Вие оттеглите своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
    - Вие възразите срещу обработването на свързаните с Вас лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
    - личните данни са били обработвани незаконосъобразно;
    - личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Караджъ Турс;
    - личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

(2) Караджъ Турс не е длъжен да изтрие личните данни, ако ги съхранява и обработва:

    - за упражняване на правото на свобода на изразяването и правото на информация;
    - за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
    - по причини от обществен интерес в областта на общественото здраве;
    - за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
    - за установяването, упражняването или защитата на правни претенции.

(3) За да упражните правото си на „забравяне“, Вие следва да подадете искане на e-mail адрес: dpo@karacitours.bg, изпратен до Караджъ Турс, както и да удостоверите своята самоличност и идентичност с лицето, за което се отнасят данните преди Караджъ Турс, като представите на място своята лична карта за целите на идентификация и при необходимост въведете своите данни за достъп на лицето, за което се отнасят данните, пред служител на Караджъ Турс.

(4) Караджъ Турс не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

Право на ограничаване

Чл. 6. Вие имате право да изискате от Караджъ Турс да ограничи обработването на свързаните с Вас данни, когато:

    - оспорите точността на личните данни, за срок, който позволява на Караджъ Турс да провери точността на личните данни;
    - обработването е неправомерно, но Вие не желаете личните Ви данни да бъдат изтрити, а само използването им да бъде ограничено;
    - Караджъ Турс не се нуждае повече от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на свои правни претенции;
    - Възразили сте срещу обработването в очакване на проверка дали законните основания на Караджъ Турс имат преимущество пред Вашите интереси.

Право на преносимост

Чл. 7. (1) Вие можете по всяко време да изтеглите данните, които се съхраняват и обработват за Вас във връзка с използване на услугите на Караджъ Турс, директно през Вашата клиентска заявка или с искане по имейл.

(2) Вие можете да поискате от Караджъ Турс директно да прехвърли Вашите лични данни към посочен от Вас администратор, когато това е технически осъществимо.

Право на получаване на информация

Чл. 8. Вие можете да поискате от Караджъ Турс да Ви информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити. Караджъ Турс може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.

Право на възражение

Чл. 9. Вие можете да възразите по всяко време срещу обработването на лични данни от Караджъ Турс, които се отнасят до Вас, включително ако се обработват за целите на профилиране или директен маркетинг. 


чл. 10. Указания за използване на "бисквитки"/ cookies

След активиране се осъществява директна връзка със сървъра на съответната социална мрежа. След това съдържанието на зоната за превключване се предава директно от социалните мрежи към вашия браузър и той го включва в уебсайта.

След активиране на зоната за превключване, съответната социална мрежа може да събира данни, независимо от това дали работите със зоната за превключване. Ако сте влезли в социална мрежа, тя може да запише вашето посещение в потребителския Ви акаунт. Посещението на други уебсайтове не могат да се запишат от социална мрежа, преди и там да сте активирали съответната зона за превключване.

Ако сте член на социална мрежа и не искате тя да свърже събраните при посещението на нашия уебсайт данни със съхранените данни за членство, трябва преди активиране на зоните за превключване да излезете от съответната социална мрежа.

Ние нямаме влияние върху размера на данните, които се записват от социалните мрежи с техните зони за превключване. Целта и размера на записване на данни, тяхната обработка и използване чрез съответните социални мрежи, както и съответните права и възможности за настройка с цел защита на личното Ви пространство, можете да видите в указанията за защита на личните данни на съответната социална мрежа.


чл. 11. Информация за използваните от нас "бисквитки"/ cookies и техните функции ще намерите в указанията за "бисквитки"/ cookies 

Указания за "бисквитки"/ cookies

Анализ на данни за потребление

За да разпознаваме предпочитания на посетителите за нашите предложения в Интернет, ние ползваме продукти с които можем целенасочено да настроим съдържанието на нашите интернет страници, като това ще подобри предложенията ни към Вас. За да активираме тези функции е необходимо изрично да потвърдите вашето съгласие.

Ако впоследствие не искате Караджъ Турс Интернешънъл ЕООД да събира и анализира информация относно Вашето посещение, можете по всяко време да се откажете от това.

За техническото осъществяване на този отказ във вашия браузър се поставя съответния маркер в положение Off. Това Cookie служи единствено за регистрирането на вашия отказ. Моля имайте предвид, че поради технически причини Cookie може да се ползва само за браузъра, от който е зададено. Ако изтриете Cookies, или използвате друг браузър или устройство, трябва отново да зададете желания от Вас избор.

Колко време съхраняваме и обработваме Вашите данни преди да ги унищожим?
В зависимост от основанието на което обработване личните Ви данни срокът на съхранение на личните данни е различен.
Вашите лични данни се съхраняват от нас за срок от 10 години от отпадане на договорното ни основание, ако обработваме личните данни за изпълнение на договорни задължения към Вас. След изтичането на този срок и в случай, че не съществува законово основание за продължаване съхранението на личните Ви данни, информацията за Вас се унищожава. От нашата система перманентно се изтриват записите за Вас, както и се унищожават хартиените досиета, съдържащи личните Ви данни. Караджъ Турс Интернешънъл ЕООД полага всички усилия за премахването на хартиените носители и дигитализиране на съдържанието.


На кого можем да предаваме предоставените от Вас лични данни?
Караджъ Турс Интернешънъл ЕООД се задължава да не предоставя личните Ви данни без Вашето изрично съгласие на трети лица, освен, когато е необходимо за изпълнение на поети договорни задължения към Вас.
За изпълнение на поети задължения по възникнали договорни и/или преддоговорни отношения с Вас е възможно Караджъ Турс Интернешънъл ЕООД да разкрие личните Ви данни на следните лица:
- Дружества, предоставящи куриерски услуги;
- Компанията, която предоставя хостинг услуги, свързани с тази уеб-страница;
- Дружества, предоставящи туристически услуги, като под изпълнител на Караджъ Турс Интернешънъл ЕООД;
Караджъ Турс Интернешънъл ЕООД има право да разкрива и предава личните Ви данни на дружества, намиращи се извън територията на Република България, доколкото съществува легитимен интерес, свързан с обработка на личните Ви данни за вътрешни административни цели. Това и всяко друго предаване се извършва при стриктно спазване на конфиденциалност и сигурност на личните Ви данни.


Какви мерки за сигурност сме предприели в Караджъ Турс по отношение сигурността на личните данни, които съхранявате на нашата инфраструктура?

Сигурността на всеки тип информация, включително и лични данни, намиращи се на нашата инфраструктура е приоритет за нас като компания. Сигурността е нещо, с което не можем да си позволим компромиси.
Освен че положихме всички усилия, за да отговорим напълно на новия регламент за защита на личните данни, през настоящата година внедрихме изцяло обновена система за контрол на всички заявки за туристически пътувания. Тя е разположена на сървър на SuperHosting, оборудван със система за сигурност на цялата инфраструктура – SH Protect. Тя работи на няколко нива и всеки ден блокира десетки хиляди опити за компрометиране на клиентски сайтове и клиентска информация, включително и лични данни.
Компанията от своя страна, всеки ден добавя в нея нови правила и се грижи за информацията на клиенти им да е защитена на най-високо ниво.
Сървъра разполага с цялостна система за защита от DDoS атаки. Системата за защита от DDoS засича 95% от познатите типове DDoS атаки и непрекъснато се актуализира спрямо новорегистрираните атаки.