Политика за поверителност

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В „КРЕДИТ ЦЕНТЪР“ ООД за клиенти, сътрудници, представители, партньори и доставчици

I. Идентификация и определения

1. Дружество с ограничена отговорност „Кредит Център“ ООД (наричано по-долу за краткост Дружеството и/или Администратор) е администратор на лични данни, с ЕИК 175251708, седалище и адрес на управление: гр. София 1000, бул. „Патриарх Евтимий” № 40, партер, офис 3, телефон за контакт 02/ 950 61 28, имейл за контакт: info@creditcenter.bg . Посочените координати за контакт се използват и за връзка към Отговорното лице за защита на личните данни в „Кредит Център“ ООД, служител в организацията на Администратора. Посоченото лице не е Длъжностно лице за защита на личните данни.

2. „Кредит Център“ ООД е вписано като кредитен посредник в Регистъра на кредитните посредници, регистрирани по реда на чл. 51 от Закона за кредитите за недвижими имоти на потребители (ЗКНИП) и поддържан от БНБ, с регистрационен номер BCI00002. Дружеството осъществява и посреднически услуги при сключване на застрахователни договори между клиенти и застрахователни компании. За осъществяване на тази дейност е вписано от Комисията за финансов надзор по реда на Кодекса за застраховането в Регистъра на застрахователните брокери към Комисия за финансов надзор с Решение № 892-3Б/16.07.2007г. и Удостоверение 653Б/22.08.2007г.

3. По смисъла на действащото законодателство и настоящата Политика за защита на личните данни в „Кредит Център“ ООД за клиенти, представители, сътрудници, партньори и доставчици, (наричана по–долу за краткост „Политика“), използваните в този документ определения имат следното значение:

Регламент“ – Общ регламент за защита на личните данни (ЕС) 2016/679;

Лични данни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, поспециално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Обработване на лични данни“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Администратор на лични данни“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

„Обработващ лични данни“ – означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора „Кредит Център“

ООД. Конкретно под Обработващи лични данни за целите на настоящата Процедура се явяват сътрудниците, представителите и партньорите на „Кредит Център“ ООД, включително външната фирма за счетоводно обслужване;

„Субект на данни“ – физическо лице (клиент, сътрудник, представител, партньор, доставчик и техните представители), чиито лични данни се събират, обработват и съхраняват от „Кредит Център“ ООД;

Съгласие на субекта на данните“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;

Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

Клиент“ – физическо лице, което ползва услугите на „Кредит Център“ ООД в качеството му на кредитен посредник и/или застрахователен брокер.

„Представител, сътрудник и/или партньор“ – физическо лице, включително представител на юридическо лице, с което „Кредит Център“ ООД има сключен договор и което от негово име обработва лични данни на потенциални и настоящи клиенти на Дружеството, като последното определя целта на обработването;

„Доставчик“ – физическо лице, включително представител на юридическо лице, което доставя продукти и/или услуги на „Кредит Център“ ООД, независимо дали с него има сключен договор или не;

„Регистър на лични данни“ е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

„Отговорно лице за защита на личните данни“ – определено от „Кредит Център“ ООД лице – служител, на когото е възложено проследяването и контрола за законосъобразно обработване на лични данни на субекти на данни в Дружеството, както и дейностите, описани в Процедура за подаване и управление на искания и жалби от субектите на данни. Посоченото лице не е Длъжностно лице за защита на личните данни;

Надзорен орган“ означава независим публичен орган, създаден от държава членка на Европейския съюз. Информация за надзорния орган в Република България: Комисия за защита на личните данни; седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2; данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2; телефон: 02 915 3

518; имейл: kzld@cpdp.bg; уебсайт: www.cpdp.bg

II. Въведение

С настоящия документ се уреждат отношенията, свързани със събирането, обработването и защитата на личните данни, отнасящи се до клиенти на услугите и продуктите, които „Кредит Център“ ООД предоставя в качеството си на кредитен посредник и застрахователен брокер, включително лични данни, отнасящи се до представители, сътрудници, партньори и доставчици на „Кредит Център“ ООД, които са физически лица, включително представители на юридически лица. Целта на тази Политика е да разясни на физическите лица как и защо „Кредит Център“ ООД събира и обработва лични данни. Препоръчваме да се запознаете внимателно с Политиката и в случай, че имате въпроси можете да се свържете с „Кредит Център“ ООД на посочените в раздел I точка 1 данни за контакт. Ако не сте съгласни с някои от условията в настоящата Политика, следва да преразгледате взаимоотношенията си с „Кредит Център“ ООД и евентуално да ги прекратите, респективно да преустановите използването на услугите и/или продуктите на „Кредит Център“ ООД.

 

III. Цели и обхват на политиката

1. Ръководството на „Кредит Център“ ООД се ангажира да осигури съответствие със законодателството на ЕС по отношение на обработването на личните данни и защитата на правата и свободите на лицата, чиито данни Дружеството събира и обработва.

2. Като Администратор на лични данни „Кредит Център“ ООД признава неприкосновеността на личността на физическите лица и полага усилия за защита срещу неправомерното обработване на личните данни на тези лица.

3. Тази политика има за цел да информира физическите лица за целите на обработване на личните им данни, категориите получатели, на които тези данни могат да бъдат разкрити, задължителния или доброволен характер на предоставяне на данните, информацията за правата на субектите на данни, съгласно изискванията на Регламента, Закона за защита на личните данни и подзаконовите нормативни актове по прилагането му.

4. В съответствие с действащото законодателство Дружеството прилага съответните техническите и организационни мерки за защита на личните данни на физическите лица в зависимост от установеното ниво на риск. Ръководството на „Кредит Център“ ООД е отговорно за разработване и насърчаване на добри практики в областта на обработване на информацията и защитата на личните данни в Дружеството.

IV. Принципи за защита на данните

1. „Кредит Център“ ООД обработва личните данни, като следва законовите изисквания и спазва принципите за правомерно обработване на лични данни, а именно:

– законосъобразност – означава обработването да е в съответствие с цялото действащо законодателство и да се основава на правните основания предвидени в Регламента и Закона за защита на личните данни;

– добросъвестност – означава обработването на лични данни да се извършва по начин, който да гарантира, че не нарушава личния живот и неприкосновеност на физическите лица и не противоречи на морала и добрите нрави;

– прозрачност – означава информиране на физическите лица по ясен, лесен и достъпен начин за извършваното обработване на техните данни, както и за правата, които имат относно защитата на личните им данни;

– целесъобразност – означава обработване само и единствено на лични данни, които са необходими за и съответстващи на конкретните цели;

– пропорционалност – означава, че данните се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;

– точност – означава, че данните се актуализират своевременно при необходимост;

– надеждност – означава, че данните се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

– ограничение на съхранението – означава, че личните данни се съхраняват не повече от необходимото за целите, за които са били събрани;

– цялостност и поверителност – означава въвеждане на подходящи технически и организационни предпазни мерки, които гарантират сигурността на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане.

– отчетност – означава документиране на всички процеси и дейности на Администратора по обработване на лични данни, за гарантиране на спазването на изисквания на нормативната уредба за защита на личните данни.

V. Цели на обработването

1. „Кредит Център“ ООД събира и обработва личните данни, които клиентите, посредниците, агентите, сътрудниците, партньорите и доставчиците (общо наричани още Субекти на данни) предоставят доброволно във връзка с предлаганите от Дружеството продукти и услуги или с цел разглеждане на възможността за предоставяне на такива услуги, както и които ги предоставят доброволно за предоставяне на своите продукти и/или услуги на „Кредит Център“ ООД, за следните цели:

1.1. за изпълнение на договор или в контекста на преддоговорни отношения:

– установяване на самоличността;

– управление и изпълнение на заявките на клиента за продукти или услуги;

– управление и изпълнение на заявките на „Кредит Център“ ООД за ползване на продукти и/или услуги към посредници, агенти, сътрудници, партньори и/или доставчици;

– изготвяне на предложение за сключване на договор;

– изпращане с куриерски услуги на преддоговорна информация и проект на договор и други свързани документи;

– анализ на кредитната история и изготвяне на потребителски профил с оглед определяне на подходяща за клиента оферта;

– извършване на кредитна оценка за оценка на заявката на клиента за предоставяне на услуги;

– индивидуализация на страна по договор;

– обезпечаване на изпълнението на договор за предоставяне на съответната услуга;

– уведомление за всичко, свързано с продуктите и услугите, които „Кредит Център“ ООД предлага или ползва, изпращане на различни известия, уведомления или отговори на подадени молби, искания, жалби, предложения, но само доколкото са свързани с ползвани или предстоящи за ползване от клиент услуги и/или продукти на „Кредит Център“ ООД, както и във връзка с реализиране на договорни взаимоотношения с посредници, агенти, сътрудници, доставчици и партньори (без директен маркетинг).

1.2. за изпълнение на нормативни задължения:

– Закон за кредитите за недвижими имоти на потребители (ЗКНИП);

– Кодекс за застраховането (КС);

– предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 и др.;

– предоставяне на информация на Комисията за защита на потребителите или трети лица, предвидени в Закона за защита на потребителите във връзка с производства по проверки и жалби;

– задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство;

– предоставяне на информация на съда и трети лица, в рамките на производство пред съд;

1.3. за легитимни цели:

– индивидуализиране на клиента с цел предоставяне на услуги по кредитно и застрахователно посредничество;

– за извършване основен анализ на данните с цел индивидуализиране на предлаганите услуги към конкретните потребности на клиента;

– съвет за конкретен кредит и/или застрахователно посредничество;

– извършване на предварителна оценка на кредитоспособността на клиента;

– индивидуализиране на представител, сътрудник, доставчик или партньор като страна по договор и във връзка с осъществяване на разплащания.

1.4. съгласие – „Кредит Център“ ООД обработва личните данни на клиенти, посредници, агенти, сътрудници, доставчици и партньори за други цели само след предварително получено съгласие съгласно Процедура за получаване и оттегляне на съгласия на субектите на лични данни. Съгласието е отделно основание за обработване на личните данни като целта на обработването е посочена в него и не се покрива с целите, изброени в тази Политика. Даденото съгласие може да бъде оттеглено по всяко време от Субекта на данни, напълно безплатно, по някой от следните начини: чрез попълване на форма на Искане за упражняване на права във връзка със защитата на лични данни или в свободен текст и подаването му на място в офиса на Дружеството, по пощата на адрес: град София, бул. „Патриарх Евтимий“ № 40, партер, офис 3; или на имейл: info@creditcenter.bg , респективно чрез използване на собствен на Дружеството интернет сайт www.creditcenter.bg. Оттеглянето на съгласието не засяга:

– законосъобразността на обработването на лични данни, основано на оттегленото съгласие, преди неговото оттегляне;

– обработването на лични данни за цели, за които не се изисква съгласие съгласно предвиденото в настоящата Политика и нормативната уредба.

VI. Информация относно обработването на личните данни

1. „Кредит Център“ ООД обработва лични данни с цел предоставяне на кредитни и застрахователни продукти и услуги и/или извършване на други търговски сделки с лицата, чиито данни се обработват или с цел разглеждане на възможността за предоставяне на такива услуги, включително с цел получаване на продукти и/или услуги от трети лица. Предоставянето на лични данни от лицата е доброволно. В случай на отказ от предоставяне на лични данни „Кредит Център“ ООД няма да бъде в състояние да предостави исканите продукти или услуги, респективно няма да може да получи търсените продукти и/или услуги.

2. „Кредит Център“ ООД обработва личните данни на клиенти самостоятелно и чрез възлагане на Обработващи данните. Обработващи от името на „Кредит Център“ ООД на данни на клиенти са представители, сътрудници и партньори, с които Дружеството има договорни взаимоотношения. 3. Личните данни на представители, сътрудници, партньори и доставчици се обработват от „Кредит Център“ ООД самостоятелно и чрез възлагане на Обработващ личните данни, а именно такъв Обработващ се явява счетоводна фирма за външно счетоводно обслужване.

4. С Обработващите лични данни по възлагане от страна на „Кредит Център“ ООД, са сключени споразумения за поверителност на личните данни, които им налагат задължения, не по – малко обременяващи от тези, които Администраторът е поел и което дава право на последния да извършва проверки за спазването на уговорените със споразуменията задължения.

5. Личните данни, които клиентите предоставят в „Кредит Център“ ООД при подаване на искане за предоставяне на продукт или услуга и/или извършване на друга търговска сделка, се обработват с цел анализиране на това, дали тези лица отговарят на условията за предоставяне на този продукт или услуга, както и с цел тяхната надлежна идентификация. Обработването на личните данни цели еднозначно да се идентифицират физическите лица, настоящи и бъдещи клиенти на „Кредит Център“ ООД.

6. Личните данни, които представителите, сътрудниците, партньорите и доставчиците предоставят в „Кредит Център“ ООД при преддоговорни отношения и/или при сключване на договор, се обработват с цел идентифициране на лицата, сключване и изпълнение на договорните отношения, включително реализиране на правата, задълженията и отговорностите във връзка с тези отношения.

7. Обработването на лични данни най-често е в изпълнение на нормативно установени задължения на Дружеството, произтичащи от законовите изисквания, регламентиращи търговската дейност извършвана от „Кредит Център“ ООД.

8. „Кредит Център“ ООД не събира и не обработва лични данни, които се отнасят за следното:

– разкриват расов или етнически произход;

– разкриват политически, религиозни или философски убеждения, или членство в синдикални организации;

– генетични и биометрични данни, данни за сексуалния живот или сексуалната ориентация. 9. Личните данни на клиентите са събрани от лицата, за които се отнасят, както и от трети страни (при наличие на съкредитоискател, съзастрахован).

10. Личните данни на представители, сътрудници, партньори и доставчици се събират от лицата, за които се отнасят.

11. Дружеството не извършва автоматизирано взимане на решения с лични данни.

VII. Категории лични данни

1.„Кредит Център“ ООД обработва следните категории лични данни на клиенти:

– физическа идентичност – имена, ЕГН или ЛНЧ, адрес, телефонен номер, електронен адрес;

– икономическа идентичност – информация за доходи, месторабота, имотно състояние (недвижими имоти, автомобили), наличие на кредити и/или други заеми (кредитна история), размер на вноски по кредити/заеми, номера на лични банкови сметки;

– семейна идентичност – информация за членове на семейството;

– данни за здравословното състояние (при сключване на застраховка „Живот“ и „Помощ при пътуване“);

– при сключване на застрахователна полица – данни за МПС, данни за постоянен водач (имена, възраст, шофьорски стаж, наличие на ПТП за последните 3 години);

– лични данни, събирани от публични регистри или такива, до които „Кредит Център“ ООД има достъп в качеството си на кредитен посредник, достъпени при предварителна проверка на възможностите за получаване на кредит (предварителна оценка на кредитоспособността);

– други, когато такива се изискват за конкретния търсен кредит или застрахователен продукт.

2. „Кредит Център“ ООД обработва следните категории лични данни на представители, сътрудници, партньори и доставчици:

– физическа идентичност – имена, ЕГН или ЛНЧ, адрес, телефонен номер, електронен адрес;

– икономическа идентичност – номера на лични банкови сметки;

– други данни, когато такива се изискват за предоставянето на конкретна услуга или продукт.

VIII. Срок на съхранение на лични данни

1. Периодът на съхранение на личните данни на Субектите на данни се определя по следния начин:

1.1. лични данни се съхраняват за срок от 6 (шест) години, считано от една от следните дати:

– датата, на която клиентът е получил кредит, ако се е обърнал към Администратора в качеството му на кредитен посредник;

– датата, на която е изтекла застрахователната полица, която клиентът е сключил чрез посредничеството на Администратора като застрахователен брокер.

– датата, на която е прекратен договорът между „Кредит Център“ ООД и съответният Субект на данни;

2. С изтичане на посочените срокове личните данни се унищожават.

3. Лични данни, получени за целите, за които се обработват (раздел V), се съхраняват съгласно минималните срокове, необходими за постигане на целта, за която са събрани, както и предвидените в нормативните актове срокове, след което се унищожават. Посоченият срок на съхранение от 6 (шест) години е определен въз основа на пет годишната обща погасителна давност за предявяване на вземания (претенции), посочена в чл. 110 от Закона за задълженията и договорите. Допълнително предвидената една година е, за да може да се извърши инвентаризация на изтеклите срокове на съхранение и унищожаване на документите, които не трябва и не могат да се съхраняват повече.

4. Удължаване на посочения 6 (шест) годишен срок на съхранение е възможно само при наличие на някое от следните условия:

4.1. наличие на задължение за предоставяне на информация на съд, компетентни държавни органи и др. основания, предвидени в действащото законодателство, до отпадане на основанието; )

4.2. лични данни, необходими за висящо съдебно, административно производство или производство по разглеждане на жалба или искане от клиент пред Дружеството;

Субектът на данни се уведомява своевременно за удължаването на посочения срок на съхранение и причината за това.

5. Лични данни, които Администраторът обработва на основание получено съгласие от Субекта на данни, се обработват до реализиране на целта, за която е дадено, или до изричното му оттегляне, което от двете настъпи по – рано.

6. Личните данни могат да бъдат и анонимизирани по такъв начин, че Субектът на данните да не може или вече не може да бъде идентифициран. За анонимизирани данни няма нормативно задължени за изтриване, тъй като процесът е необратим и те не представляват лични данни.

IX. Права на субектите на данни

1. „Кредит Център“ ООД предприема действия по искане/жалба на физическо лице да упражни право по настоящия раздел, само ако е в състояние да идентифицира съответното лице. В случай че „Кредит Център“ ООД има основателни опасения във връзка със самоличността на физическото лице, което подава искане/жалба по този раздел, „Кредит Център“ ООД може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на лицето. Искания и жалби се подават от Субектите на данни и се разглеждат съгласно описаното в Процедура за подаване и управление на искания и жалби от субектите на данни

2. „Кредит Център“ ООД предоставя на физическите лица информация относно действията, предприети във връзка с техните искания/жалби за упражняване на права по настоящия раздел без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането/жалбата. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията/жалбите. „Кредит Център“ ООД информира съответното лице за всяко такова удължаване в срок от един месец от получаване на искането/жалбата, като посочва и причините за забавянето.

3. При даване на отговор по подадено искане или предоставяне на решение по подадена жалба, както и при отказ да бъде изпълнено искане, „Кредит Център“ ООД уведомява съответните физически лица за техните права, които могат да упражнят, ако не са удовлетворени от отговора или решението, като например възможността за подаване на жалба до Комисия за защита на личните данни и търсене на защита по съдебен ред.

4. Действията, предприети от „Кредит Център“ ООД при и по повод подадени искания/жалби за упражняване на права по този раздел, са напълно безплатни за лицата, освен ако исканията им са явно неоснователни или прекомерни (например поради своята повторяемост). „Кредит Център“ ООД има право, по свое усмотрение да откаже да изпълни искането или да изиска заплащането на разумна такса, съответстваща на административните разходи, необходими за предоставяне на исканата информация или за предприемането на исканите действия.

5. Субектите на данни могат да упражнят своите права, по начин описан в „Процедура за подаване и управление на искания и жалби от субектите на данни“ на „Кредит Център“ ООД, като в посочения документ подробно са разписани начинът, редът и сроковете съгласно изискванията на Регламента.

6. Физическите лица имат следните права по отношение на обработването на данни:

6. 1. Право на информация – Когато лични данни, свързани с даден субект на данни, се събират от него, в момента на получаване на личните данни физическото лице има право да получи цялата посочена по-долу информация. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Когато физическото лице е поискало това, информацията може да бъде дадена устно, при положение че идентичността му е доказана с други средства.

Информацията се предоставя на субекта на данните безплатно и е следната:

– данните, които идентифицират Администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на Администратора, респективно Отговорното лице за защита на личните данни;

– координатите за връзка с Длъжностното лице по защита на данните, когато е приложимо;

– целите и правното основание за обработването;

– получателите или категориите получатели на личните данни, ако има такива;

– когато е приложимо, намерението на Администратора да предаде личните данни на трета държава или на международна организация;

– срокът, за който ще се съхраняват личните данни;

– правата на физическите лица и начините за упражняването им;

– съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

– правото на жалба до надзорен орган;

– когато е приложимо, информация относно извършването на профилиране и за последствията от това профилиране.

6.2. Право на достъп на физическите лица до отнасящите се за тях данни. Физическото лице има право да получи в срок от един месец от подаване на искане потвърждение дали се обработват лични данни свързани с него и ако това е така, да получи достъп до данните и следната информация:

– целите на обработването;

– съответните категории лични данни;

– получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни;

– срокът, за който ще се съхраняват личните данни;

– правата на физическите лица и начините за упражняването им;

– когато личните данни не се събират от Субекта на данните, всякаква налична информация за техния източник;

– информация относно извършването на профилиране и за последствията от това профилиране, когато е приложимо.

6.3. Право на коригиране – Физическите лица имат право да поискат от „Кредит Център“ ООД да коригира без ненужно забавяне неточните лични данни, свързани с тях. Като се имат предвид целите на обработването непълните лични данни следва да бъдат допълнени, включително чрез добавяне на декларация.

6.4. Право на изтриване (право „да бъдеш забравен“) – Субектът на данни има право да поиска от „Кредит Център“ ООД да изтрие свързани с него лични данни без ненужно забавяне по искане на физическото лице. „Кредит Център“ ООД изтрива данните само ако е приложимо някое от посочените по-долу основания:

– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

– физическото лице оттегля своето съгласие, върху което се основава обработването на данните;

– физическото лице възразява срещу обработването, което Администраторът извършва на основание изпълнението на задача от обществен интерес и/или легитимен интерес на Администратора или на трета страна, в случай, че Администраторът установи, че няма законови основания за обработването, които да имат преимущество;

– личните данни са били обработвани незаконосъобразно;

6.4.1. Когато Администраторът е направил личните данни обществено достояние и е задължен да изтрие личните данни, той, отчитайки наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми лицата, на които тези данни са били разкрити че физическото лице е поискало изтриване и те следва също да ги изтрият, както и всички връзки, копия или реплики на тези лични данни.

6.4.2. Не се извършва изтриване, доколкото обработването е необходимо за:

– упражняване на правото на свобода на изразяването и правото на информация;

– спазване на правно задължение, което изисква обработване, предвидено в правото на Европейския съюз или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора;

– по причини от обществен интерес в областта на общественото здраве;

– целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;

– установяването, упражняването или защитата на правни претенции.

6.5. Право на ограничаване на обработването – Субектът на данни има право да поиска от „Кредит Център“ ООД ограничаване на обработването на данните. Ограничаването следва да бъде извършено когато се прилага едно от следните условия, а именно:

– точността на личните данни се оспорва от физическото лице, за срок, който позволява на Администратора да провери точността на личните данни;

– обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

– Администраторът не се нуждае повече от личните данни за целите на обработването, но Субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

– Субектът на данните е възразил срещу обработването.

6.6. Право на преносимост на данните – Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на „Кредит Център“ ООД в структуриран, широко използван и пригоден за машинно четене формат, когато:

– обработването е основано на съгласие или на договорно задължение;

– обработването се извършва по автоматизиран начин.[1]

6.7. Право на възражение – Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, да поиска от Администратора да бъде прекратено обработването на личните му данни, когато обработването се основава на:

– обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Администратора;

– обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на физическото лице, които изискват защита на личните данни, по-специално когато физическото лице е дете.

6.7.1. Администраторът се задължава да прекрати обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на Субекта на данни, или за установяването, упражняването или защитата на правни претенции.

6.7.2. Когато се обработват лични данни за целите на директния маркетинг[2], Субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за тази конкретна цел, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато Субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

6.8. Права при профилиране – Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за Субекта на данните или по подобен начин го засяга в значителна степен. Това право не се прилага, ако решението:

– е необходимо за сключването или изпълнението на договор между Субект на данни и Администратора;

– е разрешено от правото на Европейския съюз или правото на държава членка, което се прилага спрямо Администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на Субекта на данните;  се основава на изричното съгласие на Субекта на данни.

В „Кредит Център“ ООД не се обработват лични данни по автоматизиран начин и ако се извършва профилиране, то е за изготвяне на различни справки от Дружеството, като не поражда правни последици за Субектите на данни.

6.9. Право на уведомяване при нарушение на сигурността на личните данни

Когато е налице нарушение на сигурността на личните данни и има вероятност това нарушение да породи висок риск за правата и свободите на физическите лица, Субектът на данните трябва да бъде уведомен чрез изпращане на съобщение от Администратора, без ненужно забавяне, за нарушението на сигурността на личните данни. В съобщението до физическото лице се посочват най-малко следната информацията и мерки:

– посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

– описание на евентуалните последици от нарушението на сигурността на личните данни;

– описание на предприетите или предложените от Администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

Не се изисква Субектът на данните да бъде уведомен чрез изпращане на съобщение, ако някое от следните условия е изпълнено:

– Администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

– Администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

– то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че физическите лица да бъдат в еднаква степен ефективно информирани.

6.10. Право на защита по съдебен и административен ред

6.10.1 Право на подаване на жалба до надзорен орган – Всяко физическо лице има право да подаде жалба до надзорен орган, ако счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на Регламента и/или Закона за защита на личните данни.

6.10.2 Право на съдебна защита срещу администратор или обработващ лични данни – без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган, всяко физическо лице има право на съдебна защита, когато счита, че правата му по Регламента и/или Закона за защита на личните данни са били нарушени в резултат на обработване на личните му данни.

6.11. Право на обезщетение за претърпени вреди

Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламента и/или Закона за защита на личните данни от страна на „Кредит Център“ ООД или Обработващите лични данни, има право да получи обезщетение от Администратора и/или Обработващия лични данни за нанесените вреди. „Кредит Център“ ООД носи отговорност за вреди, произтичащи от извършеното обработване, което не съответства на изискванията на Регламента. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията си по Регламента, конкретно важащи за обработващите лични данни, или когато е действал извън законосъобразните указания на Администратора или в противоречие с тях. Съдебните производства във връзка с упражняване на правото на обезщетение се образуват пред съдилищата на държавата, в която Администраторът и/или Обработващият имат своето обичайно местопребиваване или седалище.

X. Сигурност на данните

В съответствие с изискванията на действащото законодателство и добрите практики, „Кредит Център“ ООД е предприело необходимите технически и организационни мерки, за да защити личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Администраторът отговаря и гарантира, че личните данни на субектите на данни не се разкриват на трети лица, освен на изрично посочените в настоящата Политика и са достъпни само на лицата, които ги обработват и отговарят за тях. Личните данни могат да бъдат съхранявани и унищожавани само в съответствие с Процедура за съхраняване и унищожаване на лични данни.

 

XI. Разкриване на данни

1, Разкриване на всички или на част от личните данни на клиентите може да бъде направено и на следните лица:

– банковите или други финансови институции, по избор на Администратора или по изрично указание на клиента, когато клиентът предоставя данни за посредничество при получаване на кредит;

– застрахователните дружества, от които „Кредит Център“ ООД в качеството си на застрахователен брокер събира оферти за сключване на застрахователна полица за конкретен застрахователен продукт;

– съответната банка, друга финансова институция и/или застрахователно дружество, която е избрана като кредитор, респективно застраховател;

– куриерски и пощенски фирми, във връзка с размяна на кореспонденция;

Разкриването на данни на посочените лица може да бъде извършено от „Кредит Център“ ООД само след получаване на предварително съгласие от страна на клиента.

2. Разкриване на всички или на част от личните данни на представители, сътрудници, партньори и доставчици може да бъде направено и на следните лица:

– счетоводна къща, обработваща лични данни по възлагане на „Кредит Център“ ООД, с цел обработване на плащания;

– на юридически и/или физически лица във връзка с възложено от „Кредит Център“ ООД събиране на вземания;

– куриерски и пощенски фирми, във връзка с размяна на кореспонденция;

Разкриването на данни на посочените лица може да бъде извършено от „Кредит Център“ ООД само след получаване на предварително съгласие от страна на субектите на данни, освен ако това е изрично записано в договорното правоотношение между „Кредит Център“ и съответното лице.

3. Администраторът осигурява в организацията си необходимите условия, лични данни да не бъдат разкривани на неоторизирани лица.

 

XII. Регистри на дейностите по обработване на лични данни

1. В „Кредит Център“ ООД се поддържа документация за дейностите по обработване, която обхваща всички операции по обработване на лични данни. Документирането на вътрешните процеси по обработване на лични данни се извършва в нарочни за целта Регистри на всички категории дейности по обработването. Тези Регистри съдържат цялата информация изискуема по закон и при поискване са на разположение на Надзорния орган.

XIII. Съхраняване и унищожаване на данните

„Кредит Център“ ООД не съхранява лични данни във вид, който позволява идентифицирането на физическите лица за по-дълъг период отколкото е необходимо, по отношение на целите, за които са били събрани данните. Личните данни се унищожават сигурно, по начин, изключващ възстановяване на данните и злоупотреба с тях. Периодите на съхранение на всички видове лични данни са посочени в Процедура за съхраняване и унищожаване на лични данни, както и критериите, използвани за определяне на тези периоди.

XIV. Заключителни разпоредби

„Кредит Център“ ООД не извършва трансфер на лични данни на субекти на данни към страни членки на Европейския съюз, нито към трети страни извън Европейския съюз. Ако в бъдеще възникне такава необходимост, то Дружеството предварително ще информира Субектите на данни и ще създаде Политика за защита на личните данни при трансфер.

Настоящата Политика за защита на личните данни е влиза в сила от 25.05.2018 година. Политиката може да бъде променяна или допълвана поради изменение на приложимото законодателство и по инициатива на „Кредит Център“ ООД. Дружеството информира заинтересованите лица за измененията или допълненията на тази Политика, като публикува актуализираната Политика на интернет страницата на „Кредит Център“ ООД – www.creditcenter.bg, секция „Защита на личните данни“. Препоръчително е всички заинтересовани периодично да проверяват за най-актуалната версия.



[1] В „Кредит Център“ ООД не се извършва обработване на лични данни по автоматизиран начин, поради което за момента по искания за упражняване на правото на преносимост няма да бъде получено положително решение от страна на Администратора.

[2] „Кредит Център“ ООД не събира съгласия за изпращане на съобщения на Субекти на данни за целите на директния маркетинг.