(в сила от 18.03.2026)

Настоящата Политика за поверителност урежда начина, по който Биотерапевт ЕООД, със седалище и адрес на управление: бул. „Княгиня Мария Луиза“ № 9-11, ет. 5, офис 1,  електронна поща: info@bioterapeut.hr  (наричан по-долу „Администратор“), в качеството си на администратор на лични данни, събира, използва, съхранява и защитава личните данни на посетителите и потребителите на уебсайта https://bioterapeut.hr  (наричан по-долу „Сайтът“).

Администраторът обработва лични данни в съответствие с Регламент (ЕС) 2016/679 (GDPR), Закона за защита на личните данни и приложимото българско законодателство.

2. Категории обработвани лични данни

Във връзка с използването на Сайта Администраторът може да обработва лични данни, доброволно предоставени от потребителите чрез контактни форми, електронна поща, телефонна комуникация, SMS, приложения за електронни съобщения (вкл. Viber, WhatsApp и други сходни платформи), социални мрежи или чрез система за онлайн резервации.

Такива данни могат да включват име и фамилия, електронен адрес, телефонен номер, потребителско име или профилна информация в съответната платформа, съдържание на изпратените съобщения, информация, необходима за организиране и потвърждаване на записване за консултация, както и всякакви други данни, доброволно предоставени от субекта на данните.

В процеса на използване на Сайта могат да бъдат обработвани и технически данни, включително IP адрес, дата и час на достъп, използвано устройство, браузър, лог файлове и друга информация, събирана чрез бисквитки, когато това е приложимо.

Администраторът не изисква предоставяне на специални категории лични данни по смисъла на чл. 9 от GDPR. В случай че потребител доброволно предостави информация относно здравословно състояние или други чувствителни данни във връзка със запитване или резервация, тези данни се обработват единствено за целите на осъществяване на комуникация и организиране на консултация, въз основа на изрично съгласие съгласно чл. 9, пар. 2, б. а) GDPR. Изрично съгласие се счита за налице и когато субектът на данните доброволно предостави такава информация чрез изпращане на съобщение, заявка или резервация.

3. Цели на обработването

Личните данни се обработват с цел отговор на отправени запитвания, организиране и потвърждаване на записвания за консултация, осъществяване на комуникация във връзка с предоставяните услуги, изпълнение на договорни или преддоговорни задължения, подобряване на съдържанието и функционалността на Сайта, изпълнение на законови задължения, както и защита на законните интереси на Администратора при евентуални спорове или правни претенции.

4. Правно основание за обработване

Обработването на лични данни се извършва при наличие на едно от основанията по чл. 6, пар. 1 от Регламент (ЕС) 2016/679 (GDPR), както следва:

  • когато обработването е необходимо за предприемане на действия по искане на субекта на данните преди възникване на договорно правоотношение (например при отправяне на запитване или заявка за консултация);
  • когато обработването е необходимо за изпълнение на договор, по който субектът на данните е страна;
  • когато субектът на данните е дал изрично съгласие за обработване на личните му данни;
  • когато обработването е необходимо за изпълнение на законово задължение на Администратора;
  • когато обработването е необходимо за целите на легитимните интереси на Администратора, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данните.

Когато в рамките на комуникацията или резервацията бъдат предоставени данни относно здравословно състояние или други специални категории лични данни по смисъла на чл. 9 GDPR, тяхното обработване се извършва въз основа на изрично съгласие на субекта на данните съгласно чл. 9, пар. 2, б. а) от Регламента.

Предоставянето на лични данни, необходими за осъществяване на комуникация или записване за консултация, е доброволно, но при отказ от предоставянето им Администраторът може да не бъде в състояние да отговори на запитване или да организира консултация.

5. Срок на съхранение

Личните данни се съхраняват за срок, необходим за постигане на целите, за които са събрани, както и за сроковете, предвидени в приложимото законодателство. При определяне на срока на съхранение Администраторът отчита естеството и чувствителността на данните, целите на обработването, възможния риск от неправомерен достъп или използване, както и приложимите законови изисквания.

По-конкретно:

  1. Данни, предоставени чрез контактна форма, електронна поща или телефонно запитване, се съхраняват за срок до 1 година от приключване на комуникацията, освен ако съществува правно основание за по-дълго съхранение (например при възникнал спор).
  2. Данни, свързани със записване и провеждане на консултация, се съхраняват за срок до 5 години от датата на последната проведена консултация, с оглед защита на законните интереси на Администратора при евентуални правни претенции.
  3. Данни, подлежащи на счетоводно и данъчно отчитане, се съхраняват за сроковете, предвидени в действащото българско законодателство.
  4. Технически данни (включително IP адреси и лог файлове), събирани с цел сигурност и нормално функциониране на Сайта, се съхраняват за срок до 12 месеца, освен ако не е необходимо по-дълго съхранение във връзка с установяване, упражняване или защита на правни претенции.
  5. Специални категории лични данни (включително информация относно здравословно състояние), когато са доброволно предоставени, се съхраняват за срок, необходим за организиране и провеждане на съответната консултация и за защита при евентуални правни претенции, след което се изтриват или анонимизират.

След изтичане на съответния срок личните данни се изтриват, унищожават или анонимизират по сигурен начин, който не позволява последваща идентификация на субекта на данните.

6. Предоставяне на данни на трети лица

Администраторът може да предоставя лични данни на трети лица единствено когато това е необходимо за постигане на целите, посочени в настоящата Политика, и при спазване на изискванията на Регламент (ЕС) 2016/679 (GDPR) и приложимото българско законодателство.

В зависимост от конкретния случай лични данни могат да бъдат предоставяни на:

  • доставчици на хостинг услуги и техническа поддръжка на Сайта;
  • доставчик на системата за онлайн резервации, чрез която се организират и потвърждават консултации;
  • доставчици на облачни пощенски услуги, използвани за осъществяване на електронна комуникация;
  • счетоводни и правни консултанти, когато това е необходимо за изпълнение на законови задължения или защита на законните интереси на Администратора;
  • компетентни държавни, съдебни или надзорни органи, когато това се изисква по силата на закон.

Когато трети лица обработват лични данни от името на Администратора, те действат като обработващи лични данни по смисъла на чл. 28 GDPR. В тези случаи Администраторът сключва договори или прилага други правни механизми, гарантиращи, че обработването се извършва единствено по негово възлагане и при спазване на изискванията за поверителност и сигурност.

При използване на облачни услуги е възможно данни да бъдат съхранявани извън Европейския съюз. В такива случаи Администраторът осигурява прилагането на подходящи гаранции съгласно глава V от GDPR.

При комуникация чрез външни приложения за електронни съобщения, включително Viber, WhatsApp и други сходни услуги, личните данни могат да бъдат обработвани и от съответната платформа съгласно нейната политика за поверителност. Администраторът не носи отговорност за обработването на данни, извършвано от тези платформи извън неговия контрол.

Администраторът не продава, не отдава под наем и не предоставя лични данни на трети лица за самостоятелни маркетингови или други независими търговски цели.

Предоставянето на лични данни на държавни органи се извършва единствено при наличие на законово основание и в обем, необходим за изпълнение на съответното задължение.

7. Права на субектите на данни

Съгласно Регламент (ЕС) 2016/679 (GDPR) и приложимото законодателство субектите на данни имат следните права:

право на достъп до личните си данни и получаване на информация относно тяхното обработване;

  • право на коригиране на неточни или непълни лични данни;
  • право на изтриване на лични данни („право да бъдеш забравен“), когато са налице законовите предпоставки;
  • право на ограничаване на обработването;
  • право на възражение срещу обработването, когато то се основава на легитимен интерес;
  • право на преносимост на данните, когато са налице предпоставките за това;
  • право да оттеглят даденото съгласие по всяко време, когато обработването се основава на съгласие, без това да засяга законосъобразността на обработването до момента на оттеглянето.

Субектите на данни могат да упражнят правата си чрез изпращане на писмено искане до Администратора на посочения в настоящата Политика електронен адрес.

Администраторът разглежда всяко искане и предоставя отговор в срок до един месец от получаването му, освен ако поради сложността или броя на исканията не се налага удължаване на срока съгласно изискванията на GDPR.

Субектите на данни имат право да подадат жалба до компетентния надзорен орган.

Компетентният надзорен орган в Република България е:

Комисия за защита на личните данни
гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2
www.cpdp.bg
kzld@cpdp.bg

8. Сигурност на данните

Администраторът прилага подходящи технически и организационни мерки за защита на личните данни срещу неоторизиран достъп, неправомерно разкриване, изменение, загуба или унищожаване.

Тези мерки включват, когато е приложимо:

  • използване на защитена връзка (SSL/HTTPS);
  • ограничен достъп до лични данни само до лица, за които това е необходимо във връзка с изпълнение на служебните им задължения;
  • използване на надеждни доставчици на хостинг, облачни услуги и системи за онлайн резервации;
  • прилагане на мерки за защита на пощенската комуникация и съхранението на електронна кореспонденция;
  • периодична проверка и актуализиране на използваните технически решения.

Достъпът до лични данни се предоставя само на лица, които са обвързани със задължение за поверителност.

Въпреки предприетите мерки, поради естеството на интернет като публична комуникационна среда не може да бъде гарантирана абсолютна сигурност на преноса и съхранението на информация. Съществува възможност за технически неизправности, кибератаки или други събития извън разумния контрол на Администратора.

При установяване на нарушение на сигурността на личните данни Администраторът предприема действия в съответствие с изискванията на GDPR, включително уведомяване на компетентния надзорен орган и засегнатите лица, когато това е приложимо.

9. Изменения на политиката

Администраторът си запазва правото да изменя и допълва настоящата Политика за поверителност при промени в приложимото законодателство, в начина на обработване на личните данни или при настъпване на други обективни обстоятелства.

Актуализираната версия на Политиката се публикува на Сайта и влиза в сила от датата на публикуването ѝ, освен ако изрично не е посочено друго.

Препоръчително е потребителите периодично да се запознават с настоящата Политика с оглед информираност относно начина на обработване на личните им данни.