Select Language

Политика за Поверителност

Версия № 1/04.05.2026г

OneCare е услуга, създадена да направи достъпа до професионални услуги до адрес по-лесен и по-удобен.

Общи положения и идентификация на Администратора

Чл. 1. (1) Настоящата Политика за поверителност („Политиката“) описва как „ДокНау Медикъл Сървисес“ ЕООД, ЕИК 208622091, със седалище и адрес на управление: гр. София 1404, район „Триадица“, бул. „България“ № 109, ет. 2, офис 2.5, електронна поща: office@onecare.bg, тел.: +359 889 999 955 (наричано по-долу „Дружеството“, „ние“, „нас“ или „наш“), събира, използва, съхранява, споделя и защитава личните данни на физическите лица във връзка с интернет платформата OneCare („Платформата“), достъпна на адрес www.onecare.bg.

(2) Дружеството е администратор на Лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. („GDPR“) за операциите по Обработване, при които самостоятелно определя целите и средствата на Обработването.

(3) За определени операции, при които Дружеството обработва Лични данни от името и по указания на съответния Изпълнител (включително, но не само лечебно заведение, ветеринарна практика и други), Дружеството действа като Обработващ Лични данни по смисъла на чл. 28 GDPR. Разпределението на ролите се урежда в отделно споразумение между Дружеството и Изпълнителя.

(4) За всички въпроси, свързани с Обработването на Лични данни, можете да се свържете с нас на електронна поща: office@onecare.bg.

(5) При Обработването на Лични данни Дружеството спазва следните принципи в съответствие с чл. 5 от GDPR:

1. законосъобразност, добросъвестност и прозрачност - данните се обработват законосъобразно, добросъвестно и по прозрачен начин спрямо субекта на данни;

2. ограничение на целите - данните се събират за конкретни, изрично указани и легитимни цели и не се обработват по начин, несъвместим с тези цели;

3. свеждане на данните до минимум - обработват се само данни, които са подходящи, свързани с и ограничени до необходимото за целите на Обработването;

4. точност - данните се поддържат точни и при необходимост се актуализират;

5. ограничение на съхранението - данните се съхраняват във форма, позволяваща идентифицирането на субекта, за период, не по-дълъг от необходимото за целите на Обработването;

6. цялостност и поверителност - данните се обработват по начин, който гарантира подходящо ниво на сигурност;

7. отчетност - Дружеството носи отговорност и е в състояние да докаже спазването на тези принципи.

Чл. 2. (1) Настоящата Политика се прилага по отношение на следните категории лица:

1. Ползватели - физически лица, които се регистрират, разглеждат или използват Платформата;

2. Получатели на услуги - лица, за които Ползвателят заявява услуга, включително деца, трети лица, както и животни при ветеринарни услуги;

3. Изпълнители - търговци, лечебни заведения, специалисти и техни служители или сътрудници, чиито профили са създадени в Платформата (ако има функционалност за такива профили);

4. Посетители - лица, които посещават Платформата, без да се регистрират;

5. Лица за контакт - лица, които се свързват с Дружеството чрез формуляри за контакт, електронна поща, телефон или друг комуникационен канал.

(2) Настоящата Политика се прилага съвместно с Общите условия за използване на Платформата OneCare. При противоречие по въпроси, свързани със защита на личните данни, настоящата Политика има предимство.

(3) Настоящата Политика е достъпна на адрес www.onecare.bg и се предоставя на Ползвателите и Изпълнителите при регистрация в Платформата.

Какво са бисквитките и подобните технологии

Чл. 1. (1) Настоящата Политика за поверителност („Политиката“) описва как „ДокНау Медикъл Сървисес“ ЕООД, ЕИК 208622091, със седалище и адрес на управление: гр. София 1404, район „Триадица“, бул. „България“ № 109, ет. 2, офис 2.5, електронна поща: office@onecare.bg, тел.: +359 889 999 955 (наричано по-долу „Дружеството“, „ние“, „нас“ или „наш“), събира, използва, съхранява, споделя и защитава личните данни на физическите лица във връзка с интернет платформата OneCare („Платформата“), достъпна на адрес www.onecare.bg.

(2) Дружеството е администратор на Лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. („GDPR“) за операциите по Обработване, при които самостоятелно определя целите и средствата на Обработването.

(5) При Обработването на Лични данни Дружеството спазва следните принципи в съответствие с чл. 5 от GDPR:

4. точност - данните се поддържат точни и при необходимост се актуализират;

6. цялостност и поверителност - данните се обработват по начин, който гарантира подходящо ниво на сигурност;

7. отчетност - Дружеството носи отговорност и е в състояние да докаже спазването на тези принципи.

Чл. 2. (1) Настоящата Политика се прилага по отношение на следните категории лица:

1. Ползватели - физически лица, които се регистрират, разглеждат или използват Платформата;

4. Посетители - лица, които посещават Платформата, без да се регистрират;

Определения

Чл. 3. По смисъла на настоящата Политика:

1. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.

2. „Обработване“ означава всяка операция или съвкупност от операции, извършвана с Лични данни или набор от Лични данни чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

3. „Специални категории Лични данни“ означава Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни за целите на уникалното идентифициране на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическо лице.

4. „Данни за здравословното състояние“ означава Лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които разкриват информация за здравословното му състояние.

5. „Администратор“ означава Дружеството, когато самостоятелно определя целите и средствата на Обработването на Лични данни.

6. „Обработващ Лични данни“ означава Дружеството или друго лице, което обработва Лични данни от името на администратор.

7. Всички останали определения, използвани, но неизрично дефинирани в настоящата Политика, имат значението, придадено им в Общите условия за използване на Платформата OneCare, в GDPR или в Закона за защита на личните данни („ЗЗЛД“).

Категории Лични данни, които събираме

Категории Лични данни, които Чл. 4. (1) При регистрация в Платформата Дружеството събира следните Лични данни на Ползвателя:

1. три имена;

2. електронна поща;

3. телефонен номер;

4. адрес;

5. дата на раждане;

6. единен граждански номер (ЕГН) или личен номер на чужденец (ЛНЧ), или дата на раждане за чужденци без ЕГН/ЛНЧ;

7. други данни, по преценка на Дружеството.

(2) При заявяване на услуга чрез Платформата Дружеството може да събира допълнително:

1. адрес за изпълнение на услугата;

2. избрана категория услуга, конкретна услуга, дата, час или часови диапазон;

3. данни за плащане и платежен статус, включително референтен номер на транзакция, последните четири цифри и вида на картата, когато е приложимо. Пълните картови данни (номер на карта, срок на валидност, код за сигурност) се въвеждат директно в защитената среда на платежния процесор и не се съхраняват от Дружеството съгласно ал. 5 от настоящия член;

събираме

4. бележки, коментари или допълнителна информация, предоставена от Ползвателя;

5. информация за здравословното състояние, когато Ползвателят доброволно предоставя такава във връзка с медицинска услуга;

6. данни за животно при ветеринарни услуги, включително вид, пол, тегло, възраст, порода, оплаквания и друга релевантна информация.

(3) Когато Ползвателят заявява услуга за трето лице -Получател на услугата, данните по ал. 1 и 2, доколкото са необходими за съответната услуга, се предоставят от Ползвателя, който декларира и гарантира, че е получил съгласието на третото лице за Обработване на личните му данни съгласно чл. 9 от Общите условия.

(4) Категориите и обемът на събираните Лични данни могат да бъдат изменяни, разширявани или стеснявани от Дружеството с оглед на вида на услугата, законовите изисквания, техническите възможности на Платформата и конкретните нужди на съответната категория услуги, като Ползвателят ще бъде информиран за всяка съществена промяна.

(5) При осигуряване на онлайн плащане чрез Платформата данните за банкова карта (номер на карта, срок на валидност, код за сигурност) се въвеждат от Ползвателя директно в защитената среда на съответния платежен процесор (доставчик на платежни услуги) и не се съхраняват, записват или обработват от Дружеството. Дружеството получава от платежния процесор единствено информация за резултата от транзакцията (успешна/неуспешна), референтен номер и, когато е приложимо, последните четири цифри на картата и вида на картата, доколкото това е необходимо за идентификация на плащането, за издаване на документи и за Обработване на евентуални спорове, възстановявания или сторнирания. Обработването на пълните картови данни се извършва от платежния процесор при спазване на стандарта PCI DSS и на неговите собствени условия и политика за поверителност.

(6) Личните данни, събирани съгласно настоящия член, могат да се обработват в средата на Дружеството, в средата на техническите доставчици по чл. 11, ал. 1, т. 2, или комбинирано, в зависимост от конкретната цел на Обработването и техническите изисквания на Платформата

Чл. 5. (1) При създаване на профил на Изпълнител в Платформата Дружеството събира:

1. наименование (фирма), ЕИК/БУЛСТАТ, правна форма;

2. седалище и адрес на управление;

3. данни на представляващия - имена, ЕГН, длъжност;

4. електронна поща, телефон, адрес за кореспонденция;

5. данни за регистрации, разрешения, лицензи, правоспособности, квалификации и застраховки;

6. банкови и/или платежни данни за превод на възнаграждения;

7. график, наличност и обхват на предлаганите услуги.

(2) За медицински специалисти, ветеринарни лекари и други служители или сътрудници на Изпълнителя, чиито профили се визуализират в Платформата, Дружеството може да обработва:

1. три имена, професионално звание, специалност, длъжност;

2. уникален идентификационен номер (УИН) или друг професионален идентификатор;

3. професионална снимка, кратка биография, данни за образование и квалификации;

4. график, локации и наличност.

(3) Обработването на данни по ал. 2 се извършва въз основа на договорните отношения между Дружеството и Изпълнителя, а когато Обработването надхвърля минимално необходимото за идентификация - въз основа на отделна декларация-съгласие на съответния специалист или служител.

Чл. 6. (1) При посещение и използване на Платформата автоматично се събират следните данни:

1. IP адрес;

2. тип и версия на браузъра, операционна система;

3. дата, час и продължителност на посещенията;

4. посетени страници и извършени действия в Платформата;

5. източник на трафик (referrer URL);

6. уникални идентификатори на устройства (device IDs), когато е приложимо;

7. данни от бисквитки (cookies) и подобни технологии съгласно Раздел VIII от настоящата Политика.

(2) В бъдеще, при развитие на Платформата, е възможно да се събират допълнително данни за местоположение (при изрично съгласие на Ползвателя), идентификатори за изпращане на известия и други технически идентификатори, необходими за функционирането на мобилни или друг вид функционалности. При въвеждане на такова събиране Ползвателят ще бъде надлежно информиран.

Чл. 7. Когато се свържете с Дружеството чрез електронна поща, формуляр за контакт, телефон или друг комуникационен канал, Дружеството обработва предоставените от Вас данни (имена, данни за контакт, съдържание на съобщението и всякаква друга информация, която Вие решите да предоставите) за целите на Обработване на Вашето запитване и поддържане на кореспонденцията. Комуникацията може да се осъществява и чрез приложения за незабавни съобщения (включително Viber, WhatsApp, Telegram, Signal и други), както и чрез вграден чат (chat widget) в Платформата. Когато чатът в Платформата е технически свързан с приложение за незабавни съобщения (напр. WhatsApp), съобщенията, изпратени от Ползвателя чрез чата, се маршрутизират и обработват чрез инфраструктурата на съответния доставчик на приложението, за което Ползвателят бива информиран чрез видимо указание в интерфейса на чата.

Чл. 8. (1) Когато сте дали отделно, доброволно и изрично съгласие чрез подписване на декларация-съгласие, Дружеството и/или Изпълнителят могат да заснемат и използват Ваши снимки, видео и аудио-визуални материали за маркетингови, представителни и информационни цели, описани подробно в съответната декларация.

(2) Заснемането и публичното използване на снимки и видео не е условие за предоставяне на услугата и не засяга правото Ви да получите услугата без такова заснемане.

(3) Съгласието за заснемане може да бъде оттеглено по всяко време с действие занапред, по реда, описан в съответната декларация и в Раздел X от настоящата Политика.

Цели и правни основания за Обработването

Чл. 9. (1) Дружеството обработва Лични данни за следните цели и на следните правни основания по GDPR:

1. Регистрация и поддържане на потребителски профил - правно основание: чл. 6, ал. 1, б. „б“ GDPR (изпълнение на договор);

2. Заявяване, организиране, администриране и изпълнение на конкретна услуга - правно основание: чл. 6, ал. 1, б. „б“ GDPR (изпълнение на договор);

3. Обработване на Лични данни във връзка с медицински и здравни услуги, включително данни за здравословното състояние - правно основание: чл. 9, ал. 2, б. „з“ GDPR (предоставяне на здравни грижи) във връзка с чл. 6, ал. 1, б. „б“ GDPR;

4. Обработване на плащания, издаване на фискални, платежни и счетоводни документи - правно основание: чл. 6, ал. 1, б. „б“ GDPR (изпълнение на договор) и чл. 6, ал. 1, б. „в“ GDPR (законово задължение);

5. Предоставяне на задължителна преддоговорна информация по Закона за защита на потребителите - правно основание: чл. 6, ал. 1, б. „в“ GDPR (законово задължение);

6. Изпълнение на счетоводни, данъчни, осигурителни и други регулаторни задължения - правно основание: чл. 6, ал. 1, б. „в“ GDPR (законово задължение);

7. Изпращане на маркетингови съобщения (бюлетини, промоционални имейли, SMS, известия и други) - правно основание: чл. 6, ал. 1, б. „а“ GDPR (съгласие);

8. Аналитика, статистика и подобряване на Платформата и потребителското изживяване - правно основание: чл. 6, ал. 1, б. „е“ GDPR (легитимен интерес на Дружеството да подобрява своите услуги);

9. Сигурност на Платформата, предотвратяване на злоупотреби, неразрешен достъп и измами - правно основание: чл. 6, ал. 1, б. „е“ GDPR (легитимен интерес);

10. Установяване, упражняване или защита на правни претенции - правно основание: чл. 6, ал. 1, б. „е“ GDPR (легитимен интерес) и/или чл. 9, ал. 2, б. „е“ GDPR за специални категории;

11. Заснемане и публично използване на снимки и видео за маркетингови, представителни и информационни цели - правно основание: чл. 6, ал. 1, б. „а“ GDPR (съгласие), а когато кадрите разкриват здравна информация - чл. 9, ал. 2, б. „а“ GDPR (изрично съгласие);

12. Създаване, поддържане и визуализиране на профил на Изпълнител и на неговите специалисти в Платформата - правно основание: чл. 6, ал. 1, б. „б“ GDPR (изпълнение на договор между Дружеството и Изпълнителя), а за публично визуализиране на снимки и разширена информация - чл. 6, ал. 1, б. „а“ GDPR (съгласие на специалиста);

13. Обработване на жалби, сигнали, запитвания и комуникация - правно основание: чл. 6, ал. 1, б. „б“ GDPR (изпълнение на договор) и чл. 6, ал. 1, б. „е“ GDPR (легитимен интерес);

14. Изпращане на транзакционни и информационни съобщения (включително напомняния за записан час, уведомления за промени в услугата, статус на заявка и други), в т.ч. чрез SMS, електронна поща, Viber, WhatsApp, Telegram, Signal или друго приложение за незабавни съобщения - правно основание: чл. 6, ал. 1, б. „б" GDPR (изпълнение на договор).

(2) Когато Обработването се основава на Вашето съгласие, Вие имате право по всяко време да оттеглите съгласието си, без това да засяга законосъобразността на Обработването, извършено преди оттеглянето. Оттеглянето на съгласието е също толкова лесно, колкото и даването му.

(3) Когато Обработването се основава на легитимен интерес на Дружеството, Вие имате право да възразите срещу Обработването съгласно чл. 21 GDPR, по реда на Раздел X от настоящата Политика.

Обработване

Чл. 10. (1) При определени видове услуги, предлагани чрез Платформата (медицински, ветеринарни, свързани с грижа за деца и други), е възможно Обработване на Специални категории Лични данни, по-специално данни за здравословното състояние.

(2) Обработването на Специални категории Лични данни се извършва на едно или повече от следните правни основания:

1. чл. 9, ал. 2, б. „з“ GDPR - когато Обработването е необходимо за целите на превантивната или трудовата медицина, медицинска диагноза, осигуряване на здравни или социални грижи или лечение, или управление на здравни или социални системи и услуги;

2. чл. 9, ал. 2, б. „а“ GDPR - изрично съгласие на субекта на данни, когато другите правни основания не са приложими;

3. чл. 9, ал. 2, б. „е“ GDPR - за установяването, упражняването или защитата на правни претенции.

(3) При нелечебни услуги (почистване, градинарство, битови услуги и други подобни) по правило не се обработват Специални категории Лични данни. Ако за определена услуга се наложи Обработване на такива данни, Ползвателят ще бъде изрично информиран и ще бъде поискано съгласие, когато е необходимо.

(4) Дружеството обработва данни за здравословното състояние при условията на професионална тайна и при спазване на технически и организационни мерки за защита, предвидени в настоящата Политика и в приложимото законодателство.

Получатели и споделяне на Лични данни

Чл. 11. (1) Дружеството може да споделя Вашите Лични данни със следните категории получатели, доколкото това е необходимо за постигане на описаните в настоящата Политика цели:

1. Изпълнители на услуги - лечебни заведения, медицински специалисти, ветеринарни практики, почистващи компании, специалисти по грижа за деца, градинари и други лица, предоставящи услуги чрез Платформата, доколкото споделянето е необходимо за заявяването, организирането и изпълнението на конкретната услуга;

2. Технически доставчици (обработващи Лични данни) - лица, които предоставят на Дружеството технически, инфраструктурни, хостинг, комуникационни, приложни, платежни, поддържащи и други услуги, необходими за функционирането на Платформата, включително, но не само:

а) доставчик на платформена инфраструктура и приложни услуги (white-label) - на този доставчик се предоставя достъп до Лични данни в обем, необходим за техническото функциониране на Платформата, включително за маршрутизиране на заявки, изпращане на транзакционни и информационни съобщения, поддържане на комуникация между Ползвателя и Изпълнителя, както и за други технически и приложни функционалности. В зависимост от конкретната функционалност и от техническата архитектура на Платформата, определени категории Лични данни (включително, но не само, телефонни номера, електронни адреси и физически адреси) могат да се обработват както в средата на Дружеството, така и в средата на white-label доставчика, изцяло или частично, като Дружеството определя обхвата на споделяне съобразно принципа за свеждане на данните до минимум по чл. 5, ал. 1, б. „в" GDPR. Дружеството съхранява в собствената си среда, без предоставяне на white-label доставчика, онези категории данни, за които е преценило, че това не е необходимо за техническото функциониране на Платформата;

б) Amazon Web Services (AWS) - хостинг и облачна инфраструктура;

в) SendGrid - услуги за изпращане на електронна поща;

г) други технически доставчици, които могат да бъдат добавяни, заменяни или премахвани от Дружеството;

д) Viber Media S.à r.l. (Rakuten Group) - услуги за изпращане на съобщения чрез Viber;

е) WhatsApp Ireland Limited (Meta Platforms Group) - услуги за изпращане на съобщения чрез WhatsApp и/или техническо маршрутизиране на съобщения от вградения чат в Платформата;

ж) Telegram Messenger Inc. - услуги за изпращане на съобщения чрез Telegram;

з) Signal Messenger LLC - услуги за изпращане на съобщения чрез Signal.

3. Аналитични и рекламни доставчици - Google (Google Analytics), Meta Platforms (Facebook Pixel) и други подобни доставчици, използвани за аналитика, измерване на ефективността на рекламни кампании и подобряване на Платформата, при условията на Раздел VIII от настоящата Политика;

4. Професионални консултанти - адвокати, счетоводители, одитори, данъчни консултанти и други лица, предоставящи на Дружеството правни, счетоводни, данъчни или одиторски услуги;

5. Маркетинг партньори - маркетинг агенции, дизайнери, специалисти по съдържание и други лица, подпомагащи Дружеството при осъществяване на рекламни и маркетингови дейности, доколкото това е необходимо и при наличие на съответното правно основание;

6. Платежни посредници и банки - банки, доставчици на платежни услуги, платежни процесори (включително PayNovus, Stripe, PayPal или друг доставчик, посочен в Платформата), оператори на ПОС терминали, картови схеми (Visa, Mastercard и др.) и други лица, участващи в обработването на плащания, на които се предават данни за транзакцията и, когато е приложимо, данни за банкова карта директно от Ползвателя чрез защитената среда на платежния процесор;

7. Държавни органи и институции - Комисия за защита на личните данни (КЗЛД), Комисия за защита на потребителите (КЗП), Национална агенция за приходите (НАП), съдилища, прокуратура, полиция и други компетентни органи, когато разкриването се изисква по закон или по акт на компетентен орган.

(2) Дружеството не продава, не отдава под наем и не предоставя срещу заплащане Вашите Лични данни на трети лица за самостоятелни маркетингови цели на тези лица.

Предаване на данни извън Европейското икономическо пространство

Чл. 12. (1) По правило личните данни, обработвани чрез Платформата, се съхраняват на сървъри, разположени в Европейския съюз („ЕС“) / Европейското икономическо пространство („ЕИП“).

(2) Въпреки ал. 1, при определени обстоятелства е възможно ограничено предаване на Лични данни извън ЕИП, включително, но не само:

1. при техническа поддръжка от страна на доставчици на инфраструктурни или приложни услуги, чийто персонал е извън ЕИП, когато достъпът е необходим за разрешаване на технически проблеми, за поддръжка или за осигуряване на непрекъсваемост на услугата;

2. при операции по архивиране, резервно копиране и възстановяване при аварийни ситуации;

3. при използване на аналитични и рекламни доставчици (напр. Google, Meta), чиито сървъри могат да бъдат извън ЕИП;

4. при публикуване на съдържание в социални мрежи (Facebook, Instagram, TikTok, YouTube, LinkedIn и др.), когато е приложимо;

5. при изпращане на съобщения чрез приложения за незабавни съобщения (Viber, WhatsApp, Telegram, Signal и други), чиято инфраструктура може да включва сървъри извън ЕИП.

(3) Когато предаването на данни извън ЕИП е необходимо, Дружеството осигурява подходящи гаранции съгласно GDPR.

(4) Дружеството полага усилия да минимизира предаването на данни извън ЕИП и при възможност да ограничи достъпа на персонал извън ЕИП до Лични данни.

(5) Можете да получите повече информация за конкретните гаранции, приложени при предаването на данни извън ЕИП, като се свържете с нас на office@onecare.bg.

Бисквитки (cookies) и подобни технологии

Чл. 13. (1) Платформата използва бисквитки (cookies) и подобни технологии за проследяване. Подробна информация за видовете бисквитки, целите на използването им, начините за управление на Вашите предпочитания и правата Ви във връзка с тях се съдържа в отделна Политика за бисквитки (Cookie Policy), достъпна на адрес www.onecare.bg.

(2) Политиката за бисквитки представлява неразделна част от настоящата Политика за поверителност.

Срокове за съхранение на личните данни

Чл. 14. (1) Дружеството съхранява личните данни за срок, който е не по-дълъг от необходимия за постигане на целите, за които данните се обработват, като се съобразява с приложимите законови срокове за съхранение.

(2) Основните срокове за съхранение са следните:

1. Данни, свързани с потребителски профил - за срока на съществуване на профила и за срок до 6 месеца след изтриване на профила освен ако по-дълъг срок не е необходим за изпълнение на законово задължение или за защита на правни претенции;

2. Данни, свързани с конкретна заявка и изпълнение на услуга - за срок от 5 години от датата на изпълнение или прекратяване на договора за услугата, съобразно общия давностен срок по Закона за задълженията и договорите;

3. Счетоводни и данъчни документи, включително фактури и платежни документи - за срок от 10 години, считано от 1 януари на годината, следваща годината, за която се отнасят, съгласно Закона за счетоводството и Данъчно-осигурителния процесуален кодекс;

4. Медицинска документация, качена чрез Платформата от Изпълнител - Дружеството съхранява такава документация в качеството си на Обработващ Лични данни по указания на Изпълнителя. Сроковете за съхранение се определят от Изпълнителя съобразно приложимото здравно законодателство;

5. Данни за маркетингови комуникации - до оттегляне на съгласието или до отписване от съответната комуникация;

6. Данни от бисквитки - съгласно сроковете, определени в настройките на съответната бисквитка, но не повече от 2 години;

7. Данни от комуникации (формуляри, жалби, кореспонденция) - за срок от 5 години от последната комуникация, освен ако по-дълъг срок не е необходим за защита на правни претенции;

8. Данни на Изпълнители и техни специалисти - за срока на договорните отношения между Дружеството и Изпълнителя и за срок от 5 години след тяхното прекратяване;

9. Снимки и видеоматериали - до оттегляне на съгласието, с изключение на материали, които вече са били законосъобразно публикувани, индексирани, архивирани или съхранени извън фактическия контрол на Дружеството.

(3) След изтичане на приложимия срок за съхранение Дружеството изтрива или анонимизира личните данни освен ако съхраняването им е необходимо за изпълнение на законово задължение, за защита на правни претенции или поради друго приложимо правно основание.

(4) Конкретните срокове за съхранение могат да се различават в зависимост от вида на услугата, приложимото законодателство и конкретните обстоятелства. При поискване Дружеството предоставя информация за приложимия срок за съхранение по отношение на конкретни категории данни.

(5) Дружеството периодично преразглежда необходимостта от съхранение на Личните данни и адекватността на определените срокове, като отчита нормативните промени, целите на Обработването и принципа за свеждане на данните до минимум.

Права на субектите на данни

Чл. 15. (1) Съгласно GDPR и приложимото законодателство, Вие имате следните права по отношение на Вашите Лични данни:

1. Право на достъп (чл. 15 GDPR) - да получите потвърждение дали Дружеството обработва Ваши Лични данни и, ако е така, да получите достъп до тях и до информация за Обработването;

2. Право на коригиране (чл. 16 GDPR) - да поискате коригиране на неточни Лични данни или допълване на непълни данни;

3. Право на изтриване („право да бъдеш забравен“) (чл. 17 GDPR) - да поискате изтриване на Вашите Лични данни при наличие на основанията, предвидени в GDPR, освен когато Обработването е необходимо за изпълнение на законово задължение, за установяване, упражняване или защита на правни претенции или на друго основание, предвидено в закона;

4. Право на ограничаване на Обработването (чл. 18 GDPR) - да поискате ограничаване на Обработването в предвидените от GDPR случаи;

5. Право на преносимост на данните (чл. 20 GDPR) - да получите Вашите Лични данни в структуриран, широко използван и пригоден за машинно четене формат и да ги прехвърлите на друг администратор, когато Обработването е основано на съгласие или на договор и се извършва по автоматизиран начин;

6. Право на възражение (чл. 21 GDPR) - да възразите срещу Обработването на Вашите Лични данни, когато Обработването се основава на легитимен интерес на Дружеството, включително срещу Обработване за целите на директен маркетинг;

7. Право да не бъдете обект на решение, основаващо се единствено на автоматизирано Обработване, включително профилиране (чл. 22 GDPR) - когато е приложимо;

8. Право на оттегляне на съгласие - когато Обработването се основава на Вашето съгласие, Вие имате право по всяко време да го оттеглите, без това да засяга законосъобразността на Обработването, извършено преди оттеглянето.

(2) За упражняване на правата си по ал. 1 можете да изпратите искане на електронна поща: office@onecare.bg. Дружеството може да поиска допълнителна информация за установяване на самоличността Ви, преди да предприеме действия по искането.

(3) Дружеството отговаря на искания по ал. 1 в срок до 1 месец от получаването им. Този срок може да бъде удължен с до два допълнителни месеца при необходимост, като се вземат предвид сложността и броят на исканията, за което Дружеството уведомява субекта на данни.

(4) Упражняването на правата по ал. 1 е безплатно. Когато исканията са явно неоснователни или прекомерни, по-специално поради своя повтарящ се характер, Дружеството може да наложи разумна такса или да откаже да изпълни искането.

(5) Когато личните данни се обработват от Дружеството в качеството му на обработващ по указания на Изпълнител, Дружеството може да препрати искането до съответния Изпълнител, който е администратор за тези данни.

Маркетингови комуникации

Чл. 16. (1) Дружеството може да изпраща маркетингови съобщения на Ползватели и Изпълнители, които са дали изричното си съгласие за това. Съгласието може да бъде оттеглено по всяко време, без това да засяга законосъобразността на Обработването, извършено преди оттеглянето.

(2) Подробна информация за видовете маркетингови комуникации, каналите, честотата, начините за отписване и правата Ви се съдържа в отделна Маркетингова политика, достъпна на адрес www.onecare.bg.

(3) Маркетинговата политика представлява неразделна част от настоящата Политика за поверителност.

(4) Съобщенията, свързани със заявка, плащане, промяна, отказ, пренасрочване, статус на услуга, напомняне за записан час, сигурност, актуализации на политики и други съществени елементи на правоотношението, не представляват маркетингови съобщения и не изискват отделно маркетингово съгласие. Тези съобщения могат да бъдат изпращани по електронна поща, SMS, Viber, WhatsApp или чрез друг комуникационен канал, посочен от Ползвателя или използван в рамките на Платформата.

Сигурност на личните данни

Чл. 17. (1) Дружеството прилага подходящи технически и организационни мерки за защита на личните данни срещу неразрешен или незаконосъобразен достъп, случайна загуба, унищожаване, повреждане, изменение или разкриване, включително, но не само:

1. криптиране на данните при предаване (SSL/TLS) и при съхранение (AES-256 или еквивалентен стандарт);

2. архивиране (backup) на данните;

3. мониторинг, логване и известяване при инциденти със сигурността;

4. периодичен преглед и актуализация на мерките за сигурност.

(2) Дружеството не може да гарантира абсолютна сигурност на данните, тъй като никоя система за предаване или съхранение на данни чрез интернет не е напълно сигурна. При установяване на нарушение на сигурността на данните Дружеството уведомява компетентния надзорен орган и засегнатите субекти на данни съгласно чл. 33 и чл. 34 GDPR, когато е приложимо.

(3) Ползвателите и Изпълнителите са длъжни да пазят в тайна своите данни за достъп (потребителско име и парола) и да уведомят незабавно Дружеството при съмнение за неразрешен достъп до техния профил.

(4) Когато дадено Обработване, по-специално при използване на нови технологии или при мащабно Обработване на специални категории данни, е вероятно да породи висок риск за правата и свободите на физическите лица, Дружеството извършва предварителна оценка на въздействието върху защитата на данните (DPIA) по реда на чл. 35 от GDPR, преди да пристъпи към Обработването.

(5) Дружеството прилага принципите на защита на данните на етапа на проектирането и по подразбиране (privacy by design and by default) по смисъла на чл. 25 от GDPR, като при проектирането и развитието на Платформата интегрира подходящи технически и организационни мерки за защита на Личните данни и осигурява обработването по подразбиране само на данни, необходими за всяка конкретна цел.

(6) Дружеството поддържа регистър на дейностите по обработване по чл. 30 от GDPR, който съдържа информация за целите на Обработването, категориите субекти и данни, получателите, сроковете за съхранение и описание на техническите и организационните мерки за сигурност.

(7) Дружеството осигурява вътрешен контрол по спазването на настоящата Политика и приложимото законодателство за защита на Личните данни, включително чрез периодични вътрешни проверки, обучения на персонала с достъп до Лични данни и поддържане на документация за извършените дейности по отчетност.

(8) Дружеството определя обхвата на Личните данни, които се обработват в собствената му среда и в средата на техническите доставчици по чл. 11, ал. 1, т. 2. Това разпределение може да бъде променяно от Дружеството във времето в зависимост от развитието на Платформата, въвеждането на нови функционалности, изискванията за сигурност и приложимото законодателство, без това да представлява изменение на настоящата Политика.

Разпределение на ролите между Дружеството и Изпълнителя

Чл. 18. (1) Платформата действа като онлайн място за търговия и посредник между Ползвателя и Изпълнителя. Разпределението на ролите по отношение на Обработването на Лични данни е следното:

1. Дружеството е самостоятелен администратор за регистрацията и поддържането на потребителски профили, собствените си общи условия и политики, собственото си счетоводно, данъчно и правно обслужване, сигурността и функционирането на Платформата, маркетинговите комуникации, аналитиката и всяка друга операция, при която самостоятелно определя целите и средствата на Обработването;

2. Изпълнителят е самостоятелен администратор за предоставянето на самата услуга, медицинската или друга професионална преценка, създаването и съхраняването на медицинска и друга професионална документация, изпълнението на задължения към регулаторни органи и всяка друга операция, при която самостоятелно определя целите и средствата;

3. Дружеството е Обработващ Лични данни от името на Изпълнителя за техническото приемане и маршрутизиране на заявки, хостването и съхраняването на документи, издаването на фактури от името на Изпълнителя, Обработването на плащания от името на Изпълнителя и други операции, при които Дружеството действа по указания на Изпълнителя;

4. За определени операции, при които Дружеството и Изпълнителят съвместно определят целите и съществените средства на Обработването (напр. управление на процеса по заявяване, пациентски достъп до документи, интегриран процес по фактуриране и плащане), те могат да действат като съвместни администратори по смисъла на чл. 26 GDPR, като вътрешното разпределение на отговорностите се урежда в отделно споразумение.

(2) Конкретното разпределение на ролите между Дружеството и всеки отделен Изпълнител се урежда в споразумение за защита на личните данни, което е неразделна част от договорните отношения между тях.

(3) Независимо от вътрешното разпределение на ролите, субектът на данни може да упражни правата си спрямо всяка от страните, доколкото това е допустимо от приложимото законодателство.

Защита на личните данни на деца

Чл. 19. (1) Платформата е предназначена за дееспособни физически лица. Непълнолетни лица не могат самостоятелно да създават потребителски профили и не могат самостоятелно да заявяват услуги чрез Платформата.

(2) Когато Ползвателят заявява услуга за свое непълнолетно дете, той предоставя данни за детето в качеството си на родител или законен представител, действа от негово име и носи отговорност за законосъобразността на предоставянето на данните.

(3) Когато за предоставяне на услуга на непълнолетно лице е необходимо Обработване на Специални категории Лични данни (напр. здравни данни), Обработването се извършва на основание чл. 9, ал. 2, б. „з“ GDPR и/или на основание съгласие на родителя/законния представител, когато е приложимо.

(4) Ако Дружеството установи, че е събрало Лични данни на непълнолетно лице без съгласието на родител или законен представител, предприема мерки за изтриването им в най-кратък срок.

Право на жалба

Чл. 20. (1) Ако считате, че Обработването на Вашите Лични данни нарушава GDPR или приложимото законодателство за защита на личните данни, имате право да подадете жалба до:

1. Комисия за защита на личните данни (КЗЛД) - адрес: гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2; интернет адрес: www.cpdp.bg; електронна поща: kzld@cpdp.bg;

2. надзорен орган в държавата членка на Вашето обичайно местопребиваване, място на работа или място на предполагаемото нарушение, когато е приложимо.

(2) Правото на жалба не е обвързано с предварително упражняване на правата по Раздел X от настоящата Политика, но Дружеството Ви насърчава първо да се свържете с нас на office@onecare.bg, за да можем да разрешим въпроса.

Изменение на Политиката за поверителност

Чл. 21. (1) Дружеството има право по всяко време да изменя, допълва или заменя настоящата Политика, включително при промяна на приложимото законодателство, на техническите и организационните условия, на категориите обработвани данни, на доставчиците или на функционалностите на Платформата.

(2) Актуалната редакция на Политиката се публикува в Платформата на адрес www.onecare.bg с посочване на датата на последната актуализация.

(3) При съществени промени, които засягат правата на субектите на данни, Дружеството уведомява Ползвателите и Изпълнителите чрез електронна поща, съобщение в профила, известие в Платформата или по друг подходящ начин.

(4) Продължаването на използването на Платформата след влизане в сила на изменението се счита за запознаване с актуалната редакция на Политиката, доколкото това е допустимо от приложимото законодателство.

Заключителни разпоредби

Чл. 22. (1) Настоящата Политика е приета от управителя на Дружеството и влиза в сила считано от 04.05.2026 г.

(2) За неуредените в настоящата Политика въпроси се прилагат разпоредбите на GDPR, ЗЗЛД, Общите условия за използване на Платформата OneCare и приложимото българско и европейско законодателство.

(3) Недействителността на отделна разпоредба на настоящата Политика не води до недействителност на останалите разпоредби.

Политика за бисквитки

Политика за поверителност