„КредиХелп България“ ООД в качеството й на Администратор на лични данни и обработващ лични данни:
Контакт с длъжностното лице за защита на личните данни:
Контрол | Администратор на лични данни – „КредиХелп България“ ООД чрез Управителя – Васил Киров. Длъжностно лице по защита на данните (ДЛЗД) – определен със Заповед на Управителия – Марчело Ризов. Надзорен орган: Комисия за защита на личните данни – независим публичен орган, създаден от държава членка, съгласно чл. 51 от ОРЗД. |
Цел | Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните – ОРЗД) за защита на данните, който има пряко действие и предполага изменение в законодателството на страните – членки в областта на защитата на личните данни. Неговата цел е да защитава правата и свободите на физическите лица и да гарантира, че личните данни не се обработват без тяхно знание и когато е възможно, че се обработват с тяхно съгласие. |
Разпространение | Всички служители в „КредиХелп България“ ООД, които събират, записват, организират, структурират, съхраняват. адаптират или променят, извличат, консултират, разкриват чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждат или комбинират, ограничават, изтриват или унищожават лични данни, във връзка с изпълняваната служебна дейност. |
Обхват | Материален обхват (чл. 2 от ОРЗД) – ОРЗД се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни (например ръчно и на хартия), които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни. Териториален обхват (чл. 3 от ОРЗД) – правилата на ОРЗД важат за всички администратори на лични данни, които са установени в ЕС, които обработват лични данни на физически лица, в контекста на своята дейност. Прилага се и за администратори извън ЕС, които обработват лични данни с цел да предлагат стоки и услуги или ако наблюдават поведението на субектите на данни, които пребивават в ЕС. Принципът, е че правилата на ОРЗД „следват“ личните данни на субектите които се намират в Европейския съюз. |
Достъп до актуалната версия | Чрез интранет страницата на „КредиХелп България“ ООД, раздел „Защита на личните данни в „КредиХелп България“ ООД“; |
Лични данни | Всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по елин или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, както и всяка друга информация, която се определя от приложимото право като лични данни; |
Специални категории лични данни (чувствителни данни) | Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни, отнасящи се до здравето, или данни относно сексуалния живот на физическо лице или сексуална ориентация, както и всички друга лични данни, които се определят от приложимото право като специални; |
Администратор | Всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка; |
Обработващ лични данни | Означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (чл. 4. т 8 от ОРЗД); |
Обработване | Означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване; |
Субект на данни | Всяко живо физическо лице на което личните данни са съхранявани от администратора; |
Съгласие на субекта на данните | Всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени; |
Дете | Всяко лице на възраст под 16 години въпреки, че възрастта може ла бъде друга, съгласно правото на държавата-членка Обработката на лични данни на едно дете е законна, само ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или е упълномощен да даде съгласието си. |
Профилиране | Всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси. надеждност, поведение, местоположение или движение; |
Нарушение на сигурността на лични данни | Нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин; |
Основно място на установяване | Седалището на администратора в ЕС е мястото, в което той взема основните решения за целта и средствата на своите дейност по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването; |
Получател | Физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не Същевременно публичните органи, които мотат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за зашита на данните съобразно целите на обработването; |
Трета страна | Всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни. |
Чл. 1. (1) Настоящата политика за защита на личните данни (наричана „Политиката“) има за цел да гарантира, че личните данни се обработват в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Общ регламент относно защитата на данните (ОРЗД), който регулира обработването на лични данни на физически лица в рамките на ЕС от физическо лице, дружество или организация. Закона за защита на личните данни (ЗЗЛД) и приложимите нормативни актове, регламентиращи зашита на личните данни.
(2) Политиката се прилага за обработване на лични данни изцяло или частично с автоматизирани средства, както и за обработването с други средства, които са част от Единния регистър на данни в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД който включва всички категории дейности по обработване чрез информационни системи или с други средства
(3) Политиката не се прилага за данни, обработвани от служители на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД поради причини от чисто личен характер, или за дейности, извършвани у дома при условие, че няма връзка с професионална или служебна дейност.
(4) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД декларира, че спазва основните права и положения, свързани с процеса по събиране и обработване на лични данни за конкретната цел и във всеки конкретен случай.
Чл. 2. (1) При обработването на лични данни се спазват следните принципи
1. Законосъобразност: данните се обработват при наличие на някое от следните основания:
а) Правно задължение: обработването е необходимо, за да може администраторът да изпълни законово задължение (без да се включват договорни задължения);
б) Договор: обработването е необходимо за изпълнението на договор, по който субектът на лични данни е страна, или за предприемане на конкретни стъпки прели сключването на такъв договор;
в) Съгласие: лицето следва да е дало ясно съгласие за обработването на личните данни за конкретна цел и операцията за обработване;
г) Важни интереси: обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
д) Обществена задача: обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени па администратора, а задачата или функцията има ясна правна основа;
е) Законни (легитимни) интереси: обработването е необходимо с цел защита на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни (например когато субектът на данни е дете или се касае до специални категории лични данни);
2. Добросъвестност на субектите на данни: следва да се предостави определена информация, необходима във всеки конкретен случай и за всяка конкретна цел. по разбираем, кратък и достъпен начин;
3. Прозрачност: всяка информация във връзка с обработването да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки Този принцип се отнася в особена степен за информацията, която получават субектите на данни за администратора, целите на обработването и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват;
4. Ограничение на целите: данните са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по ¬нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно чл. 89, §1 от ОРЗД за несъвместимо с първоначалните цели;
5. Свеждане на данните до минимум: обработването да е адекватно (подходящо) на конкретната цел. за която се обработват данните;
6. Точност: гарантира, че данните са точни и са поддържани в актуален вид, както и своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
7. Ограничение на съхранението: да се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по- дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно чл. 89, § I от ОРЗД при условие, че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на субекта на данните;
8. Цялостност и поверителност: да са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
9. Отчетност: гарантира спазването на задълженията, произтичащи от извършването на оценки на въздействието върху защитата на личните данни и от предварителната консултация с надзорния орган. Води се Регистър на дейностите по обработване на лични данни и се попълват съответните уведомления от администратора до надзорния орган;
(2) При всички положения администраторът трябва да докаже, че има правно основание, за да обработва личните данни на субектите.
Чл. 3. (1) Оценката на въздействието върху защитата на данните (ОВЗД) е процес, при който администраторът преценява нивата на рисковете за правата и свободите на субектите на данни, а именно степента на въздействие, което нарушаването на поверителността, цялостността или наличността на личните данни би оказало влияние върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица.
(2) Администраторът извършва ОВЗД с цел определяне на:
1. Адекватно ниво на технически и организационни мерки за защита на личните данни, което отговаря на обработваните лични данни и въздействието при нарушаване на защитата им;
2. най-ефективния начин за спазване на задълженията на служителите в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД за защита на данните;
Чл. 4. (1) ОВЗД трябва да съдържа най-малко следната информация:
1. Описание на операциите по обработване и целите, включително, когато е приложимо, законните интереси, преследвани от администратора;
2. Оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целта;
3. Оценка на рисковете за правата и свободите на субектите на данни, конто е вероятно да възникнат от обработването (и по-специално произхода, естеството, особеностите и тежестта на тези рискове);
4. Мерките, предвидени за справяне с рисковете, включително предпазни мерки за сигурност и механизми за гарантиране на зашитата на личните данни и доказване на спазването на разпоредби те на ОРЗД;
5. Оценката за въздействие може да се отнася за повече от един проект.
(2) При извършване на ОВЗД администраторът изисква становището на ДЛЗД.
Чл. 5. (1) Всички дейности, осъществявани от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, които предвиждат обработка на лични данни, са предмет на предварителна оценка на риска;
(2) Всяко от административните звена в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, което обработва лични данни, идентифицира рисковете, свързани със защитата на лични данни, за възникване на нарушение на сигурността на данните както и възможното влияние при евентуалното им възникване. При оценката на риска се определят 3 нива на риска – нисък (приемлив), среден (изисква внимание), висок (неприемлив). Оценката на риска се извършва най-малко веднъж годишно и се ръководи от ДЛЗД в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД.
Чл. 6. При определянето на степента на риска администраторът трябва да вземе предвид:
1. Критериите за вероятен „висок риск“ на чл. 35. § 3 от ОРЗД;
2. Общите положения на Стратегията за управление на риска в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
3. Съответните рискови области (стратегически рискове, оперативни
рискове, политически рискове, икономически рискове, рискове за репутацията, правни, регулаторни рискове, рискове за сигурността и т. н. );
4. Всички отношения на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД с външни субекти (други организации, контрагенти по договори, граждани и др.).
Чл.7. (1) В зависимост от определеното ниво на въздействие администраторът извършва:
1. Приоритизация на идентифицираните рискове в зависимост от резултатите от оценката им;
2. Определяне на стойността и рейтинга на всеки риск;
3. Определяне на адекватно ниво на защита, включващо техническите и организационни мерки, които трябва да предприеме за тяхното ограничаване.
(2) В зависимост от рисковете и идентифицираното ниво на въздействие се определя съответно ниво на защита – ниско, средно или високо, както и организационните и технически мерки, адекватни на така определеното ниво.
Чл.9. (1) За защита на сигурността на личните данни Администраторът:
1. Със своя Заповед определя длъжностно лице по защита на данните (ДЛЗД) в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
2. Извършва оценка на въздействието върху защитата на данните;
3. Задължава всички служители, които обработват лични данни да спазват изискванията за поверителност на личните данни, до които имат достъп, съгласно правилата на ОРЗД, настоящата Политика и отговорностите на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД като Администратор на лични данни.
(2) Администраторът организира обучение на персонала за обработване на лични и чувствителни лични данни и за извършване на оценка на въздействието върху защитата на данните в отделните административни звена на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД.
(3) При оценяването на подходящите организационни мерки ДЛЗД взема предвид следното:
1. Нивата на подходящо обучение на служителите в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
2. Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
3. Редовна проверка на персонала за спазване на съответните стандарти за сигурност,
4. Контрол на физическия достъп до електронни и хартиено базирани записи.
5. Спазване на правилото за „чисто работно място“;
6. Начина на съхраняване на данните от служителите;
7. Ограничаване на използването от служителите на лични устройства на работното място.
Чл. 10. (1) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД изисква гаранции от трети лица – обработващи лични данни, че са в състояние да осигурят необходимата защита на личните данни;
(2) При влизане в договорни отношения с обработващи лични данни се включват договорни клаузи, според които обработващите лични данни трябва да гарантират, че предоставят достатъчни технически и организационни мерки за защита на сигурността и поверителността на личните данни и че ще действат спорел указанията на Администратора.
Чл. 11. (1) Техническите мерки за зашита на лични или чувствителни лични данни включват:
1. Класифициране на данни;
2. Предотвратяване на загуба на данни;
3. Криптиране;
4. Получаване на изрично съгласие за всяка конкретна цел;
5. Ограничения при пренос на данни и въвеждане на технологии, които позволяват на субектите на данни да упражняват своите права за достъп;
6. Коригиране и заличаване на лични данни;
7. Начини на защита чрез използване на пароли;
8. Автоматично заключване при не използване на работните станции в мрежата;
9. Премахване/ограничаване на права на достъп за USB и други преносими носители с памет;
10. Антивирусен софтуер и защитни стени за блокиране на зловреден софтуер;
11. Защитата на преносими устройства, които напускат помещенията на организацията, като лаптопи и други;
12. Осигуряване сигурността на локалните и широкообхватните мрежи;
13. Осигуряване на технологии за подобряване на поверителността;
14. Внедряване на подходящи услуги за съхранение и споделяне на облак, когато активно блокират или обезкуражават използването на неоторизирани услуги и отговарят за правата за достъп, коригиране и заличаване на субектите на данни, определени от ОРЗД;
15. Активно наблюдение на действията за споделяне, за да се сведе до минимум вероятността от нарушаване на данните.
(2) Всички служители, оправомощени да обработват лични данни, са длъжни да спазват следните мерки за защита на данните:
1. На хартиен носител:
а) Личните данни на хартиен носител се съхраняват в специални помещения, или заключени каси/шкаф, в зависимост от вида на данните, при спазване на мерки за достъп до помещението;
б) Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя срещу подпис или изпратени с препоръчана поща с обратна разписка;
в) Когато някоя лична информация трябва да бъде заличена по някаква причина (включително когато са направени копия, които вече не са необходими), тя се унищожава като се нарязва на шредер машина, след което се изхвърля;
2. На електронен носител съгласно правила, определени в Политиката за информационна сигурност на информационни системи в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД и съпътстващите я документи, утвърдени от Управителите и Директора на Дирекция ИТ. Набелязаните технически мерки се прилагат и за защита на личните данни.
Чл. 12. Неспазването на техническите и организационни мерки за защита на данните и останалите вътрешни актове, свързани със защита на данните, е основание за търсене на дисциплинарна отговорност от виновните служители.
Чл. 13. (1) В „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД се поддържа Регистър на дейностите по обработванията на данни, достъпът до който се осъществява съгласно функционален принцип;
(2) Регистърът по ал. 1 съдържа следната информация:
1. Името и координатите за връзка на Администратора и ДЛЗД;
2. Целите на обработването;
3. Описание на категориите субекти на данни и на категориите лични данни;
4. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
5. Когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, както е посочено в член 49, параграф 1, алинея втора, документация за подходящите гаранции;
6. Предвидените срокове за изтриване на различните категории данни;
7. Общо описание на техническите и организационни мерки за сигурност.
(3) При нововъзникнала дейност по обработка на лични данни административното звено, което извършва обработването, следва да уведоми ДЛЗД, като представи необходимата информация по ал. 2.
Чл. 14. Служителите на Администратора, които обработват лични данни от негово име, осигуряват сигурността при обработването и съхраняването на данните от тяхна страна, включително гарантират, че няма да разкриват данните на трети страни, освен ако Администраторът не е дал такива права на гази трета страна за достъп до данните.
Чл. 15. При обработката на данни чрез видеонаблюдение, при което се извършва запис чрез технически средства за видеонаблюдение, се спазват Правилата за извършване на видеонаблюдение в обектите на администратора.
Чл. 17. (1) Личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да следят дали искането от трета страна за разкриване на лични данни за друго лице е свързано или не с нуждите на дейността, извършвана от администратора.
(2) Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат координирани с ДЛЗД, което да даде становище.
(3) В качеството си на орган по назначаването Управителите предоставят лични данни на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служителите и/или изпълнители по граждански договори. В тези случаи личните данни включват трите имена и единен граждански номер и служат за идентификация на лицето, в чиято полза се извършва плащането.
(4) Във връзка с използването на куриерски услуги – приемане, пренасяне, доставка и адресиране на пратки до физически лица, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД посочва следните данни две имена, адрес, област, наименование на населеното място с пощенски код.
(5) Личните данни се предоставят на компетентните органи при и по повод упражняване на техните законови и властови правомощия.
Чл. 18. (1) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, отговаря за прехвърлянето на данните без затруднения и гарантира, че те се предават със съответното ниво на комуникационна сигурност.
(2) Субектите на данни имат право да поискат:
1. копие от личните данни, които са предоставили на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
2. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД да прехвърли тези данни на друг Администратор посочен от субекта, без възпрепятстване;
(3) Преносимост се прилага само за тези данни, за които:
1. Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
2. Обработването им е било необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
3. Обработването им е било извършено по автоматизиран начин;
4. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД е получил информация за субекта на данни от друг администратор, който е решил да упражни правото си на преносимост, като в тези случаи „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД се явява администратор по отношение на новоприетите данни.
Чл. 19. (1) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД приема и съхранява само данните, които са необходими и относими към определена дейност. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД не приема и не обработва лични данни „по подразбиране“, дори когато са получени от друг администратор след искане за прехвърлянето им. както и не съхранява всички получени данни.
(2) Ако получените данни съдържат данни за трети лица, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД съхранява данните под контрола на субекта заявител. Тези данни се обработват само за определената цел.
Чл. 20. При постъпване на искане за предаване или за прехвърляне на лични данни към друг Администратор, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД обработва искането на субекта при спазване на следните правила:
1. Всяко постъпило искане незабавно се изпраща на ДЛЗД, което проверява за ясни и неоспорими доказателства за самоличността на субекта на данни под формата на лични документи, клиентски номер, електронна карта или друг еднозначен идентификатор:
2. ДЛЗД проверява дали посочените от субекта данни са получени на основание съгласие, изпълнение на законово правомощие или функция, или договор и дали са обработени по автоматизиран начин. Ако не са изпълнени тези изисквания, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД има право да откаже да удовлетвори искането;
3. Когато исканите данни засягат трето лице/а, ДЛЗД преценява дали предаването на данни на друг администратор на лични данни би навредило на правата и свободите на други субекти на данни;
4. ДЛЗД извършва проверка дали подготвените за предаване/ прехвърляне лични данни са само и точно тези, които субектът на данни е поискал да бъдат предадени, респ. прехвърлени;
5. Поисканата информация се предоставя на субекта на данни в структуриран, широко използван и машинно четим формат, който позволява ефективно повторно използване на данните;
6. При предаване на данните на друг администратор на данни „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД ги препраща в оперативно съвместим формат. В случай, че са налице технически пречки, които възпрепятстват директното им прехвърляне, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД съобщава тези пречки на субекта на данните;
7. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД предоставя исканата информация в рамките на един месец от датата на заявката. Ако заявката е сложна, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД може да удължи тази времева рамка максимум до три месеца от датата на предявяването й. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД информира субекта на данни за причините за забавянето чрез имейл, телефон и др. в рамките на един месец от първоначалното искане;
8. ДЛЗД поддържа записи за исканията за прехвърляне на данни в Регистъра на исканията, включително всички, свързани с преносимостта дати.
Чл. 21. При съхранение на лични данни „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД:
1. Прилага основния принцип за съхранение на лични данни в минимален обем и за срок не по-дълъг от необходимото или определеното от закона време за съответните категории данни;
2. Осигурява тяхната сигурност, надеждност и изискванията на съответния закон;
3. Заличава личните данни след изтичането на съответния срок;
4. Може да запази лични данни за по-дълъг от съответния срок до окончателното приключване на възникнал правен спор или производство, налагащо запазване на данни, и/или по искане на компетентен орган.
Чл. 22. (1) Лични данни в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД се съхраняват при спазване на Вътрешните правила за организацията на хартиения и електронния документооборот и контрола по изпълнение на задачите в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД и се унищожават при спазване на Вътрешните правила за организацията и дейността на фирмения архив на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД:
1. По искане на субекта на лични данни, когато то е прието за основателно;
2. По предложение на ръководителите на административни звена, в които се събират или обработват лични данни, когато се прецени, че е отпаднала нуждата от обработване и съхранение.
(2) При унищожаване на лични данни от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД:
1. Всяка календарна година със заповед на Управителите се определя състав на комисия, която да извършва анализ на личните данни съхранявани в кредитните досиета в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД от гледна точка на сроковете за съхраняването им;
2. В състава на комисията се включва поне един представител от административните звена, които събират и обработват лични данни, както и служител на архива на Дружеството;
3. При вземане на решение от комисията за унищожаването на лични данни съхранявани в кредитните досиета се изготвя предложение до Управителите, което се съгласува с ДЗЛД и ръководителите на административни звена, в които се събират или обработват лични данни;
4. След резолюция на Управителите, личните данни съхранявани в кредитните досиета се унищожават, като се изготвя протокол, който съдържа:
а) Вида на личните данни;
б) Водещото звено, в което са обработвани или съхранявани личните данни;
в) Вида на обработката на лични данни (за какво са събрани и обработвани);
г) Броя на унищожените записи с лични данни;
д) Трите имена на субектите с унищожени лични данни.
(3) Унищожаването на данни се извършва по следните начини:
1. При данни на хартиен носител:
– чрез нарязване в специални машини за унищожаване на документи – шредер, в които се унищожат както оригиналните документи, така и копията към тях;
– чрез унищожаване на документите посредством оторизирана фирма за унищожаване на документи след сключване на съответния договор;
2. При данни на електронните носители – чрез изтриване както в системата, в която се съхраняват или мястото им във файловия сървър на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, така и в архивните копия, които са направени от дирекция „Информационни системи“;
(4) След изготвяне на протокола от комисията, същия се представя на Управителите за утвърждаване, като едно от копията се предава на ДЛЗД за съхранение.
Чл. 23. Длъжностното лице по защита на данни (ДЛЗЛД) се определя със Заповед на Управителите и има следните основни отговорности:
1. Изпълнява задачи, свързани със защита на личните данни, съгласно Закона за защита на личните данни, Регламент (ЕС) 2016/679 и съобразно настоящата Политика;
2. Взема участие на заседанията на ръководството на Администратора, на които се обсъждат въпроси от областта на защита на личните данни и съветва Администратора за доказване на съответствието със законодателството в областта на защита на данните и добрите практики;
3. Наблюдава спазването на Общия регламент относно защитата на данните (ОРЗД) и на други разпоредби за защитата на данни на равнище ЕС или държава членка и на политиките на Администратора по отношение на защитата на личните данни. При констатирани несъответствия докладва на Управителите, като прави предложения за подобряване на процедурите по отношение на защитата на личите данни в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
4. Поддържа Регистър на дейностите по обработванията на данни, Регистър на исканията от субекти на данните и Регистър на инцидентите;
5. Сътрудничи с Комисията за защита на личните данни (КЗЛД) и действа като точка за контакт по всички въпроси, свързани с обработването на лични данни;
6. Оказва съдействие по въпроси, свързани с упражняването на правата по защита на лични данни;
7. Отчита се пряко пред собствениците и Управителите на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД.
Чл. 24. (1) Всички служители и външни изпълнители и техни подизпълнители, които обработват лични данни от името на Администратора „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, са обработващи лични данни по смисъла на ОРЗД;
(2) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД избира само външни изпълнители, които могат да осигурят техническа, физическа и организационна сигурност и които отговарят на поставените изисквания по отношение на всички лични данни, които ще обработват. При прекратяването на договор с изпълнител/подизпълнител съответните лични данни следва да бъдат унищожени или върнати на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
(3) Когато „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД разреши на външния изпълнител да възложи обработката на лични данни на подизпълнител, външният изпълнител трябва да забрани на подизпълнителя (и следващите подизпълнители, ако има такива) да превъзлага дейността по обработка на данни на подизпълнители без писменото разрешение на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД;
(4) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД има право да извършва редовни проверки на системите за сигурност на външния изпълнител през периода, в който той има достъп до личните данни;
(5) Звеното в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, което осъществява текущ контрол и приема резултатите от изпълнението на договори, редовно извършва преглед на съответния договор, за да провери дали се обработват лични данни. Тези проверки се извършват, дори ако дейността по обработка на лични данни не е основната причина за сключване на договора.
Чл. 25. Изпълнители от страни извън ЕС могат да бъдат избрани само при положение, че е изпълнено поне едно от следните специфични условия:
1. Ако изпълнителят или държавата, в която пребивава или сее установен, или са били идентифицирани като осигуряващи адекватно ниво на защита на личните данни в решение за адекватност от страна на Европейската комисия;
2. Ако са налични задължителни фирмени правила за предаване на данни извън ЕС, за да се гарантират правата на субектите, и тези правила са одобрени от Комисията за защита на личните данни;
3. Когато споразумението с изпълнителя е одобрено от надзорния орган.
Чл. 26. (1)Субектът на лични данни има следните права съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни по отношение на обработване на личните данни:
1. Съгласно чл. 15 от Регламент (ЕС) 2016/679, има право да получи от Администратора потвърждение дали се обработват личните им данни и ако това е така, да получат достъп до своите лични данни.
2. Съгласно чл. 16 от Регламент (ЕС) 2016/679 има право да поискат от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с тях. Като се имат предвид целите на обработването, имат право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
3. Съгласно чл. 17 от Регламент (ЕС) 2016/679, че могат да изискват от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД заличаване и изтриване на свързаните с тях лични данни без ненужно забавяне. Администраторът има задължението да изтрие без ненужно забавяне личните данни (право „да бъдеш забравен”), при спазване на разпоредбите на приложимото право на Република България. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД има правото да откаже заличаване на свързаните с тях лични данни при наличие на правно основание да продължи обработването на личните им данни.
4. Съгласно чл. 18 от Регламент (ЕС) 2016/679, че могат да изискват от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, обработването на личните им данни, които са събрани, обработвани и съхранявани от Администратора на лични данни, да бъдат ограничени.
5. Съгласно чл. 20, параграф 1 и 2 от Регламент (ЕС) 2016/679, че имат право да получат личните си данни, които са предоставили на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и имат правото да прехвърлят тези данни на друг администратор без възпрепятстване от администратора.
6. Съгласно чл. 21, от Регламент (ЕС) 679/2016, че имат право, по всяко време и основания, свързани с конкретна ситуация, на възражение срещу обработване на личните данни, отнасящи се до тях, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби.
7. Съгласно чл. 22, от Регламент (ЕС) 679/2016, че имат право, да откажат да бъдат обект на решение, основаващо се единствено само на автоматизирано обработване включително профилиране, което поражда правни последствия или ги касае значително.
8. Съгласно чл. 77, 78 и 79 от Регламент (ЕС) 679/2016, че имат право, да осъществят това си право и чрез подаване на жалба до Комисията за защита на личните данни при нарушения на Регламент (ЕС) № 2016/679 и право на ефективна защита срещу Администратора „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД или обработващ техните лични данни на адрес: Гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, електронна поща: [email protected], интернет страница: www.cpdp.bg, Телефон: 02/91-53-519.
(2) Субектът на лични данни може да отправи искане до Администратора, в което указва вида на искането и описание на данните. В искането задължително се посочва самоличността на субекта, която да го идентифицира сигурно и еднозначно (данни от лични документи, клиентски номер, електронна идентификационна карта и т. н.);
(3) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД документира и доказва, че субектът на данните е оттеглил съгласието си за обработката на личните му данни, а когато обработката има множество цели, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД документира и доказва оттеглянето на съгласието за всяка отделна цел.
Чл. 27. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД осигурява условия, които да гарантират упражняването на правата по предходния член от субектите на лични данни, като:
1. Задължително проверява идентификационните данни, за да се увери, че искането е подадено от субекта, като данните да го идентифицират;
2. Документира датата на получаване на искането;
3. Произнася се по искането;
4. Изпраща отговор на подателя, в които го информира за правото на жалба до Комисията за защита на личните данни, като едновременно го информира и за правото за защита по съдебен ред.
Чл. 28. (1) Подаването на искания/ заявления, оплаквания и жалби може да се извърши и чрез електронна поща, контролирана и проверявана от ДЛЗД в случай, че документът е подписан с електронен подпис и може да идентифицира субекта на лични данни. В този случай всички приложения към искането следва да са представени в електронен вид и заверени с електронен подпис;
(2) В случай, че искането/заявлението от субекта на данни не бъде получено от ДЛЗД, то искането/заявлението му незабавно се препраща за:
1. Вписване в Регистъра на исканията от субекти на данните;
2. Обработка чрез идентифициране (търсене) на личните данни във всички хранилища на данни и всички съответни системи за архивиране, включително всички архивирани файлове (автоматични или ръчни архиви) на всички папки на електронната поща и техните архиви лично или чрез съответните звена в „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, които обработват данните;
3. Обработване на данните с цел, отстраняване на евентуална идентификационна информация за трети лица при предаването на копие от информацията, когато искането е за достъп до информация;
4. Изготвяне на проект на отговор от името на администратора до субекта на данните, най-късно до един месец от датата на получаване на искането за достъп;
5. Вписване в Регистъра на исканията на данните за подадения отговор;
(3) При искания на субекти на данни за коригиране, изтриване, ограничаване или при възражение по отношение на обработваните лични данни, които са приети са основателни, ДЛЗД следи за изпълнението на взетото решение като:
1. Участва в документирането по премахване на личните данни от системите и прекратяване на операциите по обработката им;
2. Участва в документирането за всяко извършено коригиране, изтриване или ограничаване на обработването на всеки получател, на когото личните данни са били разкрити.
(4) Когато исканията на субекти на данни са явно неоснователни или прекомерни поради своята повторяемост, ДЛЗД може мотивирано да предложи на администратора:
1. Да откаже да предприеме действия по искането като изложи причините за не предприемане на действията или отказа;
2. Да наложи разумна такса, предвид административните разходи за предоставяне на информацията или комуникацията и да разгледа искането.
Чл. 29. Субектите на данни могат да подадат до „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД и:
1. Оплаквания относно начина на разглеждане на искането им за достъп до данните;
2. Оплаквания относно начина на разглеждане на искането/жалбата им;
3. Жалба срещу всяко решение, взето след подадено искане/жалба.
Чл. 30. Ограничения на правата на субектите са допустими с цел, да се гарантира:
1. Националната сигурност и отбраната;
2. Обществената сигурност;
3. Предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;
4. Важни цели от широк обществен интерес;
5. Важен икономически или финансов интерес на ЕС или на държава-членка, паричните, бюджетните и данъчните въпроси;
6. Общественото здраве и социалната сигурност;
7. Защитата на независимостта на съдебната власт и съдебните производства;
8. Предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентирани професии;
9. Функция по наблюдението, проверката или регламентирането, свързана с упражняването на официални правомощия в определени от закон случаи;
10. Защитата на субекта на данните или на правата и свободите на други лица;
11. Изпълнението по гражданскоправни искове.
Чл. 31. За да се упражнят права, субекта на данните следва да подаде според желанието си и попълни Бланки-заявления по чл. 15, 16, 17, 18, 20 и 21 от Регламент (ЕС) 2016/679 до Управителите на Дружеството, съдържащи минимум следната информация:
1. Име, адрес, телефон и други данни за идентификация, като номер на договор за дадения казус или за друга услуга ако има казус;
2. Описание на искането;
3. Предпочитана форма за предоставяне на информацията;
4. Подпис, дата на подаване на искането/заявлението и адрес за кореспонденция.
Подаването на искането/заявлението е безплатно и може да се изтегли според желанието от сайта на Дружеството. Може да изберете дали да го изпратите до адреса на управление на Дружеството: гр. София, 1766, ул. „Рачо Петков Казанджията“ 4, ет. 6, вх. Б или на адреса на териториалните офиси в страната, лично или чрез упълномощено лице, както и по електронен път на един от следните e-mail адреси: [email protected] и/или [email protected]. Ако упълномощено лице подава заявлението, към него се прилага изрично и нотариално заверено пълномощно. Ако заявлението се подава по електронен път се изисква да бъде подписано с електронен подпис.
„КРЕДИХЕЛП БЪЛГАРИЯ“ ООД изготвя писмен отговор и го съобщава лично – срещу подпис или изпращайки го чрез куриерска фирма с обратна разписка, като се съобрази с предпочитаната от клиента форма на предоставяне на информацията, без ненужно забавяне.
В случай, че „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД не отговори на искането за достъп до лични данни в предвидените срокове или клиента не е удовлетворен от получения отговор и/или счита, че са нарушени права, свързани със защитата на личните данни, има възможност да упражните правото си на защита по съдебен или административен ред.
Чл. 32. (1) Администраторът обработва специални категории лични данни, когато това се налага и произтича от закон.
(2) Условията за обработване на специални данни са:
1. Получаване на изрично писмено съгласие от субекта на данни за една или повече конкретни цели, освен когато законодателството на ЕС или националното законодателство предвижда, че забраната не може да бъде отменена от субекта на данните. Съгласието трябва да бъде дадено свободно, конкретно, информирано и недвусмислено и се ограничава само до обработването за целите, за които е дадено.
2. Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото и осигурителното право;
3. Обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните физически или юридически не е в състояние да даде съгласието си;
4. Обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
5. Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на право раздаващи органи;
6. Обработването е необходимо по причини от важен обществен интерес на основание правото на ЕС или националното законодателство, което е пропорционално на преследваната цел. В този случай се зачита същността на правото на защита на данните и се предвиждат подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;
7. Обработването е необходимо за целите на превантивната или трудовата медицина;
8. Обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно чл. 89, параграф 1 от ОРЗД, на основание правото на ЕС или националното законодателство.
Чл. 33. (1) Получаване на съгласие от дете се изисква, когато обработката на лични данни е свързана с дете на възраст под 16 години, а лицето, което носи родителска отговорност за детето, е предоставило съгласието си от родител/настойник;
(2) Оттегляне на съгласие от родителите на дете се извършва от лицето, което носи родителската отговорност за посоченото дете;
(3) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД доказва, че са направени разумни усилия, за да се установи автентичността на родителската отговорност от носещия родителската отговорност при даване и оттегляне на съгласието за определено дете.
Чл. 34. (1) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД обработва онези лични данни, които са необходими и свързани с дейността на Дружеството, като при това действа в качеството си на администратор или с администратор на лични данни. Независимо от причината, поради която се споделят личните данни, се препоръчва да не се разкриват чувствителна лична информация, като данни относно расов или етнически произход, религия, членство в синдикални организации, сексуална ориентация, здравословен статус и т. н., освен ако това не е необходимо условие, за да бъде предоставена услуга от страна на Дружеството.
(2) В „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД се обработват следните видовете лични данни:
Обработката на лични данни от страна на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД винаги, е необходима за постигането на някоя от следните цели:
(3) Обработването на лични данни е допустимо при наличие на поне едно от следните основания:
– Съгласие – Съгласието следва да е изрично, свободно изразено, конкретно и информирано съгласие за обработване на личните данни. Когато такова съгласие е необходимо и лицето реши да не го предостави, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД може да откаже предоставянето на съответния продукт/услуга, за който съгласието е било необходимо;
– Договор – Когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на лицето за сключване на договор, не предоставянето на данни ще доведе до невъзможност за Администратора да осигури услугите, за които е изявено желание;
– Законово задължение – На основание чл. 6, т.1, „б“ и „в“ от Регламент ЕС 2016/679, „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД обработва лични данни в качеството си на Администратор, за да спазва законовите си задължения, предвидени в Закона за кредитните институции, Закона за потребителския кредит, Закона за кредитите за недвижими имоти на потребители, Закона за мерките срещу изпирането на пари, Закона срещу финансирането на тероризма, Закона за задълженията и договорите, Гражданския процесуален кодекс, останалата приложима законова и подзаконова нормативна уредба, регламентираща дейността на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, както и действащото в страната финансово, данъчно и счетоводно законодателство;
– Легитимен интерес – Лични данни се обработват при спазване на чл. 6, т.1, от „б“ до „е“ от Регламент ЕС 2016/679, за целите на легитимния интерес на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД в случаите, когато се извършват дейности по борба с измамите, охрана и контрол на достъпа, аудио и видеонаблюдение, аудио и видео записване за целите на охрана, контрол на достъпа и борба с измамите, документиране на проведена комуникация; Когато се предоставят данни на трети страни: при изпълнение на законови или договорни задължения на Администратора, или на друго валидно правно основание; За одитни дейности, за оценка на кредитния риск; За проучване и подобряване на клиентското обслужване на Дружеството, както и целите на маркетингови и пазарни проучвания и анализи;
– Изпълнение на задача от обществен интерес – При изпълнение на задача от обществен интерес, възложена от орган, който изпълнява официални правомощия „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД може да оказва съдействие на държавен орган, като сподели лични данни с цел, предотвратяване или разкриване на престъпление.
(4) Лични данни, обработвани при посещение на интернет сайта
Поддържаните от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД електронни страници в интернет използват т. нар. „бисквитки“, с цел оптимално и ефикасно функциониране. При посещение на интернет сайтове на Дружеството, автоматично се събира ограничен набор от лична информация.
(5) Лични данни, обработвани при посещение на място
С цел защита на сигурността на лицата, посещаващи помещенията, ползвани от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, се прилагат мерки за физическа охрана, както и наблюдение с камери и контрол на достъпа при провеждане на дейности в офисите, при инкасо, както и при управление и контрол на потоците на входовете и изходите в Централно управление, защитени от електронни системи за контрол. Личните данни, които се обработват са: имена на посетителите, дата и час на достъп до сградата, както и видеоизображение. Тези данни се съхраняват с ограничен достъп и режим на сигурност.
(6) При сключване на сделки по телефон или чрез използване на имейл комуникация
Когато се сключват сделки по телефон или чрез използване на имейл комуникация, Дружеството ползва услуги на телефонна централа от мобилен оператор, а разговорите и имейл комуникацията се записват. Когато защитаваме правата и легитимните си интереси и ако използваме услугите на външни консултанти, адвокати, преводачи, одитори, и др., им разкриваме онзи обем от лични данни, който е необходим, за да ни съдействат. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД не разкрива и разпространява лични данни за маркетингови или други цели на трети страни. В останалите случаи и доколкото това е необходимо, лични данни се предоставят единствено на наши доверени партньори – технически доставчици на маркетингови услуги и услуги по уеб дизайн, ИТ поддръжка, доставчици на куриерски услуги, за които сме се уверили, че спазват най-високи стандарти за сигурност на информацията и нейната поверителност. Предоставянето на данни на нашите партньори е необходимо, за да можем да подобрим функционирането на интернет страниците на Дружеството.
(7) Лични данни на лица, които не са клиенти
В определени случаи „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД обработва лични данни на физически лица, които не са клиенти, така например:
Личните данни, които обработваме за целите на подбора, са: име, предишен професионален опит, информация за образование и придобити квалификации, както и друга информация, която е релевантна в конкретния случай и е свързана с конкретна кандидатура за работа.
(7) лични данни на клиенти за целите на директния маркетинг
С подписването на декларацията клиента дава своето доброволно, изрично, информирано и недвусмислено съгласие „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, в качеството му на Администратор на лични данни по смисъла на Закон за защита на личните данни и на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Регламент (ЕС) 2016/679“), на основание чл. 6, параграф 1, буква „а“ от Регламент (ЕС) 2016/679 да обработва, включително и съхранява предоставените от клиента лични данни, а именно: лични данни относно физическата и икономическата му/и идентичност: име, презиме и фамилия, е-мейл, адрес и телефонен номер за целите на директния маркетинг – за предлагане на стоки и услуги на Дружеството по поща, по е-мейл, по телефон или по друг директен начин, за статистически проучвания и анализи на Дружеството (включително изпращане на оферти/ търговски съобщения и други във връзка с услугите на Дружеството.
Чл. 35. (1) „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД съхранява лични данни само за необходимия срок, за да постигне целите, посочени в настоящата Политика, както и когато по силата на Закон или международно споразумение е задължена или има право да ги съхранява за по-дълъг период. Срокът на съхранение определяме, като вземаме предвид няколко фактора, включително продължителността на предоставяне на услуги (например при отсрочване и предоговаряне на отпуснатия кредит), ако е необходимо с цел установяване, упражняване или защита на наши правни претенции (например за събиране на просрочени вземания), или дали имаме правно задължение да съхраняваме данните, сроковете са както следва:
– 5 (пет) години при изтичане на определените в Закона за задълженията и договорите, давностни срокове за предявяване на претенции;
– 5 (пет) години за отпуснатите кредити. Законът изисква от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД да съхранява основната информация за клиенти (включително данни за контакти, идентичност, финансови данни и данни за транзакции), като срокът започва да тече от началото на календарната година, следваща годината на прекратяването на сключения договор за потребителски кредит. Личните данни се съхраняват, както на хартиен, така и на електронен носител, включително копирани на резервни електронни копия (backup). След изтичане на горепосочения срок, предоставените от лични данни се заличават.
– 12 (дванадесет) месеца за отказани кредити. Личните данни ще се съхраняват от „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, като срока започва да тече от депозиране на искането за потребителски кредит.
– 10 (десет) години по Закона за счетоводството за съхранение и обработка на счетоводни данни;
– 5 (пет) години по задължения за предоставяне информация на съд, компетентни държавни органи и др. основания, предвидени в действащото законодателство;
– 5 (пет) години за данните в документите за извършените сделки и операции, както и документите, свързани с установяване и поддържане на търговски или професионални отношения съгласно чл. 171. (1) от ДОПК. За клиентите срокът тече от началото на календарната година, следваща годината на прекратяването на отношенията, а за сделките и операциите – от началото на календарната година, следваща годината на тяхното извършване.
– 12 (дванадесет) месеца за данните получени от Национален осигурителен институт, след постигане на целта, за която същите са обработвани.
– 5 (пет) години за личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно–осигурителния контрол. Данните може да се съхраняват след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство не предвижда по – дълъг срок – чл. 38 ЗСч и чл. 38 ДОПК.
– 10 (десет) години за личните данни, включени в счетоводни регистри и финансови отчети, документи за данъчен контрол, одит и последващи финансови инспекции, се съхраняват считано от 1 януари, следващ отчетния период, за който се отнасят.
– 60 (шестдесет) дни за данните във връзка с видеонаблюдението и контрола на достъпа в офисите на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД, освен ако не се налага съхранението им за по-дълъг срок на обработване – например за целите на допълнително разследване на престъпления и инциденти.
– 60 (шестдесет) дни за записите на телефонните разговори тяхното съхраняване и обработване на аудио записите (заедно с разкриваните в рамките на разговорите лични данни). Записите се извършват за целите на защита на правата и законните интереси на Дружеството и на неговите партньори. „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД съхранява аудио записите и за по-дълъг срок, например за целите на допълнително разследване на престъпления и инциденти.
За горепосочените две цели видео и аудио записът се извършва с технически средства и системи без функционалности за автоматизирана обработка на личните данни (включително биометрични такива) на регистрираните в тях субекти, както и без такива за заличаване на лични данни на субектите в записа. Записите също така не гарантират пълното съответствие между самоличността на субектите в записа и субектите, които биха предявили своето право да получат копие от този запис, поради което и с цел защита правата на субектите, участващи в записа, изготвените записи не се предоставят на трети страни с изключение на случаите, когато за това е налице друго законово основание.
– Лични данни, за които липсва изрично законово/надзорно задължение за съхранение, ще бъдат изтривани и унищожавани след постигане на целите, за които личните данни са събрани и се обработват.
Чл. 36. (1) Всички служители на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД са длъжни да докладват на ДЛЗД за всяко нарушение на сигурността на личните данни, свързани с нарушаване на:
1. Поверителността – когато има неразрешено или случайно разкриване на данни или на достъп
до лични данни;
2. Достъпността/наличността – при случайна или неразрешена загуба на достъп или
унищожаване на лични данни;
3. Интерниста – когато има неразрешено или случайно изменение на личните данни.
(2) При докладвано нарушение ДЛЗД предприема незабавни действия по действителното му установяване и анализ на възможните последици за отделните лица.
Чл. 37. (1) ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до Комисията за защита на личните данни без ненужно забавяне и не по-късно от 72 часа, след като е узнал за нарушението. При необходимост от провеждане на допълнителна проверка е необходимо получаване на съгласие от надзорния орган за срока и начина на предоставяне на допълнителната информация;
(2) ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до субекта на данни, който разполага със средствата за защита и може да търси отговорност за причинените му вреди по реда на Закона за защита на личите данни;
(3) В случаите на установяване на нарушение на сигурността на личните данни от обработващ, същият подава уведомление до администратора на лични данни за нарушение на сигурността в което описва естеството на нарушението, засегнатите данни и субекти, последиците от нарушението, предприетите технически и организационни мерки и изисква от администратора да посочи евентуални допълнителни мерки за сигурност;
(4) ДЛЗД документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него, като същевременно води отделен регистър, в който задължително се вписват:
1. Предполагаемото време или период на възникване;
2. Времето на установяване;
3. Времето на докладване и името на служителя, извършил доклада;
4. Последствията от инцидента;
5. Мерките, които са предприети за отстраняването им.
Тази Политика се използва и прилага за Централно управление и търговските офиси на „КРЕДИХЕЛП БЪЛГАРИЯ“ ООД.
„КРЕДИХЕЛП БЪЛГАРИЯ“ ООД има право да актуализира, като изменя и допълва Политиката за защита на личните данни по всяко време в бъдеще, когато обстоятелствата го налагат.
Copyright © 2020