Политика за поверителност

Обхват на политиката

Настоящата Политика за поверителност („Политиката") описва по какъв начин „Елегант Системс" ЕООД („Дружеството", „ние") събира, използва, съхранява, защитава и разкрива личните данни на физическите лица, които взаимодействат с Дружеството в качеството им на посетители на уебсайта elegantsystems.eu, клиенти, потенциални клиенти, партньори, доставчици, кандидати за работа или представители на юридически лица, с които работим.

Политиката се прилага към всички лични данни, които обработваме във връзка с:

• Използване на нашия уебсайт и цифровите ни канали за комуникация.
• Предоставяне на консултантски услуги по информационна сигурност и съответствие.
• Комуникация чрез форми за контакт, имейл, телефон и срещи.
• Участие в обучения, събития, уебинари и маркетингови кампании.
• Процедури по подбор на персонал и договорни отношения.

Администратор на лични данни

Администратор на Вашите лични данни е „Елегант Системс" ЕООД, юридическо лице, регистрирано в Република България. Дружеството е консултантска компания с основна дейност в областта на информационната сигурност, киберсигурността, ISO стандартите и регулаторното съответствие (NIS2, DORA, ЗКС, GDPR).

Данни за връзка с администратора:

• Наименование: Елегант Системс ЕООД
• Седалище: гр. София, ул. Ворино 5, вх. Б
• Уебсайт: elegantsystems.eu
• Имейл: office@elegantsystems.eu
• Телефон: +359 888 800 222

Основни понятия

За целите на настоящата Политика се използват понятията от Регламент (ЕС) 2016/679:

• Лични данни — всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице.
• Обработване — всяка операция с лични данни (събиране, записване, съхранение, изменение, разкриване, изтриване и др.).
• Администратор — лицето, което определя целите и средствата за обработването.
• Обработващ — лице, което обработва данни от името на администратора.
• Субект на данни — физическото лице, чиито данни се обработват.
• Съгласие — свободно, конкретно, информирано и недвусмислено волеизявление на субекта.

Какви данни събираме

4.1 Данни, които Вие ни предоставяте доброволно

Когато се свързвате с нас, заявявате услуги, подписвате договор или участвате в наши събития, може да обработваме следните категории данни:

• Идентификационни данни — име, фамилия, длъжност, организация.
• Контактни данни — имейл, телефон, адрес за кореспонденция.
• Професионални данни — длъжност, сектор, област на интерес, въпроси към нашия екип.
• Договорни данни — за представители на клиенти/доставчици: данни, необходими за сключване и изпълнение на договор.
• Данни за кандидати за работа — CV, мотивационно писмо, препоръки, резултати от интервюта (при процедури по подбор).

4.2 Данни, които се събират автоматично

При посещение на нашия уебсайт автоматично се събира техническа информация:

• IP адрес, тип на устройството и операционната система.
• Браузър, език на браузъра, часова зона.
• Посетени страници, време на посещение, източник на трафика.
• Референт URL и поведение при навигация.

Тези данни се използват за технически нужди на уебсайта, за подобряване на потребителското изживяване и за целите на сигурността. Повече за бисквитките — вижте раздел 6.

4.3 Данни от трети страни

В ограничени случаи можем да получим Ваши данни от публично достъпни източници (напр. Търговски регистър, LinkedIn), от партньорски организации или от лица, които Ви препоръчват към нас с Ваше съгласие.

Цели и правни основания

Обработваме лични данни само за конкретни, изрични и законосъобразни цели. Основните цели и съответните правни основания по чл. 6 от GDPR са:

• Отговор на Ваши запитвания и заявки — изпратени чрез контактната форма, имейл или телефон. Основание: Ваш преддоговорен интерес (чл. 6, ал. 1, б. „б") или легитимен интерес (чл. 6, ал. 1, б. „е").
• Сключване и изпълнение на договори — консултантски услуги, обучения, одити, pentest ангажименти. Основание: изпълнение на договор (чл. 6, ал. 1, б. „б").
• Счетоводна и данъчна отчетност — издаване на фактури, воденето на счетоводни документи. Основание: правно задължение (чл. 6, ал. 1, б. „в").
• Маркетинг и комуникация — изпращане на бюлетин, информация за събития и новини. Основание: Ваше изрично съгласие (чл. 6, ал. 1, б. „а") или легитимен интерес при съществуващи клиенти.
• Подбор на персонал — обработване на кандидатури. Основание: преддоговорни стъпки и Ваше съгласие.
• Сигурност на уебсайта и защита от злоупотреби — лог файлове, откриване на атаки. Основание: легитимен интерес.
• Правни претенции и съдебни процедури — защита на правата на дружеството. Основание: легитимен интерес.

Бисквитки (cookies)

Нашият уебсайт използва бисквитки и подобни технологии за осигуряване на правилното му функциониране и за анализ на посещенията. Бисквитките са малки текстови файлове, които се записват във Вашето устройство при посещение на уебсайта.

Категории бисквитки, които използваме

• Строго необходими бисквитки — осигуряват основната функционалност на уебсайта. Те не могат да бъдат изключени. Не изискват съгласие.
• Функционални бисквитки — запомнят Вашите предпочитания (напр. избран език). Поставят се със съгласието Ви.
• Аналитични бисквитки — анонимна статистика за посещенията на уебсайта (напр. посетени страници, източник на трафика). Поставят се със съгласието Ви.

Можете да управлявате бисквитките чрез настройките на Вашия браузър — да ги блокирате, изтривате или получавате известие преди записването им. Изключването на определени бисквитки може да ограничи функционалността на уебсайта.

Получатели и трансфер на данни

Ние не продаваме и не отдаваме под наем Вашите лични данни. В определени случаи можем да ги разкриваме пред ограничени категории получатели:

• Наши служители и консултанти — само на нужда-от-знание принцип за изпълнение на договорните ни задължения.
• Доставчици на услуги (обработващи) — напр. хостинг на уебсайта, имейл инфраструктура, счетоводство, правни услуги. Всички обработващи са обвързани с договори по чл. 28 GDPR.
• Държавни органи — когато това е изискано от закон (НАП, НОИ, МВР, КЗЛД, съд и др.).
• Професионални съветници — юристи, одитори, в контекста на законни правни претенции.

Трансфер извън ЕС/ЕИП: по принцип съхраняваме данните в рамките на Европейския съюз. В случай, че се налага прехвърляне към трети държави (напр. при използване на cloud услуги), осигуряваме адекватни гаранции в съответствие с чл. 46 GDPR (Стандартни договорни клаузи или решения за адекватност на ЕК).

Срокове за съхранение

Съхраняваме личните данни само за толкова време, колкото е необходимо за целите, за които са събрани, освен когато законът изисква по-дълъг период:

• Заявки от контактни форми без договор — до 12 месеца от последната комуникация.
• Клиентски данни по изпълнени договори — срока на договора + 5 години (давност на вземания).
• Счетоводни документи — 10 години съгласно Закона за счетоводството.
• Трудови и кадрови данни — 50 години съгласно КСО и Закона за НАП.
• Маркетингови данни въз основа на съгласие — до оттегляне на съгласието.
• Технически логове на уебсайта — до 12 месеца.
• Данни от кандидати за работа — до 6 месеца след приключване на процедурата (освен при дадено изрично съгласие за по-дълъг период).

След изтичане на съответния срок данните се изтриват или анонимизират по сигурен начин.

Сигурност на данните

Като консултантска компания в областта на информационната сигурност ние се придържаме към най-добрите практики по ISO/IEC 27001 и прилагаме технически и организационни мерки, включително:

• Криптиране на данни при предаване (TLS) и при съхранение, където е приложимо.
• Строг контрол на достъпа на нужда-от-знание принцип с многофакторна автентикация.
• Редовни обучения на служителите по киберхигиена и защита на данните.
• Процедури за управление на инциденти, включително задължение за уведомяване в срок до 72 часа при нарушение на сигурността, което води до висок риск.
• Регулярни одити и оценки на риска.
• Договорни ангажименти с всички обработващи данни.

Въпреки прилаганите мерки, никоя система не е 100% защитена. При установяване на нарушение на сигурността, което води до риск за правата и свободите на субектите, ще Ви уведомим и ще уведомим Комисията за защита на личните данни в съответствие с чл. 33 и 34 GDPR.

Вашите права

Съгласно GDPR Вие имате следните права по отношение на Вашите лични данни:

За да упражните тези права, свържете се с нас на office@elegantsystems.eu. Ще отговорим в срок до един месец от получаване на искането (по изключение — до три месеца при сложни или многобройни искания, за което ще Ви уведомим).

За идентификация може да поискаме допълнителна информация с цел да се уверим, че искането идва от съответния субект.

Данни на деца

Нашите услуги са насочени към юридически лица и не са предназначени за непълнолетни лица. Ние не събираме съзнателно лични данни на лица под 16-годишна възраст. Ако научим, че сме получили такива данни без необходимото съгласие, ще ги изтрием незабавно.

Промени в политиката

Запазваме си правото да актуализираме тази Политика по всяко време — например при промени в законодателството, в нашата дейност или в използваните от нас технологии. Актуалната версия ще бъде винаги достъпна на този адрес с посочена дата на влизане в сила.

При съществени промени ще Ви уведомим чрез уебсайта или директно (когато това е възможно и законосъобразно).

Контакт и жалби

При въпроси относно настоящата Политика или начина, по който обработваме Вашите лични данни, свържете се с нас:

• Имейл: office@elegantsystems.eu
• Телефон: +359 888 800 222
• Адрес: гр. София, ул. Ворино 5, вх. Б, Република България

Ако считате, че Вашите права по GDPR са нарушени, имате право да подадете жалба към:

• Комисия за защита на личните данни (КЗЛД)
• Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2
• Телефон: +359 2 915 3518
• Имейл: kzld@cpdp.bg
• Уебсайт: www.cpdp.bg

Настоящата Политика е в сила от април 2026 г. Версия 1.0.