Раздел I. Определения

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (Субект на данни/субект на лични данни);

Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

Личните данни, които обработва “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД, могат да бъдат определени, най-общо, в следните групи:

1/ данни относно физическата идентичност /имена, идентификационен номер /ЕГН, ЛНЧ/, сериен номер, дата на издаване и др. данни на документа за самоличност, месторождение, адрес, телефонен номер и др./;

2/ данни относно семейната идентичност /семейно положение, членове на семейството, родствени връзки и др./;

3/ данни относно образованието /образователна степен, специалност, допълнителна квалификация, звания и др./;

4/ данни относно трудовата дейност /професионална биография и др./;

5/ данни относно здравословното състояние /физическо и психическо здраве, предоставяни здравни услуги и др./;

6/ данни относно икономическата идентичност /имотно и финансово състояние, доходи и др./;

7/ данни относно гражданско-правния статус /съдимост, поставяне под запрещение и др./

 

„Администратор“: “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД /дружеството, администратора/ е администратор на лични данни, съгласно Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО/ наричан по-долу за краткост “Общ регламент за защита на личните данни, “Регламента”. Дружеството обработва лични данни с цел изпълнение на преддоговорни и договорни задължения и изпълнение на задължения, които са му вменени от Закона за мерките срещу изпирането на пари /ЗМИП/, Данъчно осигурителния процесуален кодекс /ДОПК/, Закона за дейността на колективните инвестиционни схеми и на други предприятия за колективно инвестиране, Закона за пазарите на финансови инструменти /ЗПФИ/, Гражданския процесуален кодекс /ГПК/ и др. законови и подзаконови нормативни актове, при:

1/  осъществяване на предмета си на дейност, като управляващо дружество;

2/ сключване и изпълнение на договори за доставка на стоки/услуги от трети лица;

3/ подбор на персонал и управление на правоотношенията със служителите и лицата, ангажирани въз основа на договори за управление и контрол /мениджмънт/;

4/ изпълнение на запори върху вземания и друго имущество на клиенти и контрагенти на дружеството, в качеството му на трето задължено лице;

5/ предоставяне на информация по получени запитвания от различни органи и институции, в това число КФН, ДАНС, КПКОНПИ, Прокуратура, Съдилища, МВР, Национална следствена служба, вещи лица, съдебни изпълнители, публични изпълнители и други органи на НАП и др.;

6/ други правоотношения;

Извън посоченото по-горе, дружеството има право да обработва лични данни и при наличието на изрично съгласие от Субекта на данните, както и когато това е необходимо за целите на легитимните интереси на администратора или на трета страна, при условията на Регламента.

В случай, че дружеството се явява Администратор, съвместно с друго лице, двете заедно определят целите на обработване на лични данни.

 

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, обработваща лични данни от името на администратора.

 

„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват лични данни, независимо дали е трета страна или не.

Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава – членка, не се считат за „получатели“. Обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните, съобразно целите на обработване.

 

„Регламент/а” – Регламент (ЕС) 2016/679 на ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и отмяна на Директива 95/46/ЕО

 

„КЗЛД” – Комисия по защита на личните данни

 

 

 

Раздел II. Принципи

  1. 1. Дружеството обработва лични данни при спазване на принципите за законосъобразност, добросъвестност и прозрачност.
  2. Личните данни се събират за конкретните, изрично указани и легитимни цели:

а/ изпълнение на преддоговорни или договорни задължения на дружеството, вкл. по трудови правоотношения;

б/ изпълнение на нормативно възложени на дружеството задължения /напр. задължение по ЗМИП за идентифициране на клиент и действителен собственик на клиент и др./.

  1. Не се допуска последващо обработване на лични данни, което е несъвместимо с целите, за които са събрани и за които съответният субект на лични данни е уведомен.
  2. Дружеството събира и обработва лични данни в съответствие с принципа за свеждане до минимум на данните, като подходящи, свързани с целите, за които се обработват и ограничени до необходимия минимум.
  3. Дружеството обработва лични данни при спазване на принципите за точност и актуалност на данните, ограничение на съхранението и цялостност и поверителност, при който данните се обработват по начин, който гарантира високо ниво на сигурност на личните данни и защита срещу неразрешено или незаконосъобразно обработване, случайна загуба, унищожаване, повреждане и др.
  4. Служителите на дружеството са длъжни да осъществяват достъп до регистрите с лични данни, вкл. такива, водени от дружеството и от други органи, да обработват, копират и съхраняват лични данни, единствено и само за целите на изпълнение на възложената им работа и служебни задължения, съгласно закона, вътрешните правила на дружеството и длъжностните си характеристики и предоставените им нива за достъп до информация.
  5. Служителите имат право да осъществяват достъп до Информационните системи, обслужващи дейността на дружеството, и до съответните регистри, като се идентифицират с потребителско име и парола за достъп, присвоени при условията и реда на вътрешните правила на дружеството.
  6. Всеки служител е длъжен да пази предоставените му потребителско име и парола и да не допуска узнаването им от други лица.
  7. Забранено е използването на чужди потребителско име и парола за осъществяване на достъп.
  8. За всеки случай на осъществен достъп до регистри, водени от дружеството, и такива, водени от трети лица, се създава системен запис.

 

 

Раздел III. Процедури за събиране на лични данни. Задължения за уведомяване на субектите на лични данни

Общи положения  

  1. 1. (1) Дружеството има право да събира лични данни на субекти – физически лица, при и по повод предоставяне на услуги, включени в предмета на дейност на дружеството, при и по повод други правоотношения (доставка на стоки и услуги), подбор на персонал, възникване, изпълнение и прекратяване на трудови правоотношения, правоотношения по договори за възлагане на управление и контрол и др., за изпълнение на преддоговорни и договорни задължения, както и на задължения, произтичащи от разпоредби на закона, напр. в качеството му на трето задължено лице по запорно съобщение, с оглед легитимния интерес на администратора или неговите клиенти, при изричното съгласие на субекта на данни и др.

 

  1. (1) Личните данни могат да касаят:

а/ предоставящото данните лице. В този случай личните данни се събират от самия Субект на данни – клиент, контрагент, субект по друго правоотношение, който предоставя на дружеството свои лични данни; или

б/ Субект на данни, чиито данни се предоставят на дружеството от друго лице, с което дружеството има осъществен контакт. В този случай данните се предоставят на дружеството от лице /клиент, контрагент, субект по друго правоотношение/, което се явява трето лице, различно от Субекта на данни.

 

 

Събиране на данните лично от Субекта на данни /Образци Приложения №А/:

  1. Когато личните данни, свързани с даден субект, се предоставят на дружеството лично от лицето (Субекта на данни), в момента на получаване на личните данни дружеството предоставя на субекта съответно информация /уведомление по образец/, съгласно Приложения №А1 – №А4, посочени по-долу, за всяка конкретна хипотеза.
  2. Уведомление, по съответния образец, се предоставя на Субекта на данни при първоначалното осъществяване на контакт по повод конкретно правоотношение, т.е., принципно, при първоначалното предоставяне на лични данни по повод възникването на конкретното правоотношение.

5.(1) В случай че на лицето вече е предоставена информация/уведомление по съответния образец /например клиентът има записани дялове и желае да запише допълнително такива/, ново уведомление от същия образец се връчва само в случай че има промяна в личните данни на Субекта на данни или на обстоятелствата, касаещи дружеството, като администратор на лични данни.

(2) Уведомление се предоставя, независимо дали Субектът на данни вече е клиент/контрагент или се явява нов за дружеството клиент/контрагент, т.е. на всеки Субект на лични данни, който е настоящ клиент на дружеството, също следва да бъде връчено съответно уведомление при първото, след влизането в сила на настоящите правила, осъществяване на контакт между него и дружеството по повод отделно, конкретно правоотношение. Същото важи за лицата, чиито лични данни са получени в качеството им на лица за контакт по договор и др.

  1. При предоставянето на лични данни във връзка с възникване на ново правоотношение, за което се връчва уведомление по образец, различен от вече връчения на лицето, на Субекта на данни следва да бъде предоставено уведомление по съответния образец /напр. Клиентът е записал дялове и е получил Уведомление Приложение №А1, но когато предоставя данни във връзка с кандидатстване за работа в дружеството, следва да му бъде връчено Уведомление Приложение №А2/. За целите на настоящата разпоредба Уведомление Приложение №А1 и Уведомление Приложение №Б1 се третират като равностойни/идентични уведомления /в случай че Субектът е бил уведомен с образец от единия вид, при последващо реализиране на съответната хипотеза връчване на уведомление от другия вид не е необходимо/.

 

Уведомление при предоставяне на продукти/услуги, включени в предмета на дейност на дружеството /Образец Приложение №А1/

  1. (1) Уведомление, съставляващо Приложение №А1, се предоставя, срещу надлежна разписка, на:
  2. Клиент–физическо лице, което предоставя данни за себе си;
  3. физическо лице, явяващо се представител по закон (настойник, попечител) или по пълномощие на Клиент–физическо лице, което предоставя на дружеството лични данни за себе си;
  4. физическо лице, явяващо се представител по закон или по пълномощие на Клиент–юридическо лице, което предоставя данни за себе си.

(2) Уведомление Приложение №А1 се прилага при отношения, които се намират в пряка връзка с предмета на дейност на дружеството (в това число не попадат трудови договори със служители на дружеството, договори за управление на дружеството, договори за доставка на стоки/услуги на дружеството и т.н.).

  1. Уведомление Приложение №А1 се връчва от съответния служител /независимо дали е такъв на дружеството или на трето лице-посредник, в качеството на обработващ лични данни/, обслужващ, респ. получаващ информация от Клиента или неговия представител.
  2. Уведомлението се връчва при получаването на личните данни от Субекта на данните.

 

Уведомление във връзка с трудови правоотношения/кандидатстване за работа /Образец Приложение №А2/

  1. Уведомление, съставляващо Приложение №А2, се предоставя срещу надлежна разписка на:
  2. физическо лице, което предоставя на дружеството лични данни, във връзка с възникване или изпълнение на трудово правоотношение между лицето и дружеството;
  3. физическо лице, което предоставя на дружеството лични данни във връзка с провеждана процедура за подбор на персонал и др., преди възникване на трудово правоотношение.
  4. Уведомление Приложение №А2 се връчва от лицето/служителя, на когото Субектът на лични данни предоставя данни.
  5. Уведомлението се връчва при получаването на личните данни от Субекта на данните. В случай че личните данни са получени по електронен път, или по друг начин – дистанционно, уведомлението се изпраща незабавно на адреса за контакт, посочен от Субекта на данни, с обратна разписка по пощата, чрез куриер или по друг начин, който позволява удостоверяване на връчването, освен ако това се окаже невъзможно или изисква несъразмерно големи усилия.

 

Уведомление при доставка на стоки и услуги от контрагенти на  дружеството /Образец Приложение №А3/

  1. Уведомление, съставляващо Приложение №А3, се предоставя срещу надлежна разписка на:
  2. физическо лице – Контрагент, което предоставя на дружеството лични данни във връзка със сключването и изпълнението на договори/възникване на правоотношения по доставка на стоки/услуги /напр. договори за наем, договори за доставка на стоки/услуги, по които дружеството е наемател, възложител, респ. получател и др./;
  3. всяко физическо лице – законен представител/пълномощник на юридическо лице – Контрагент, което предоставя на дружеството свои лични данни във връзка със сключването и изпълнението на договори/възникване на правоотношения по доставка на стоки/услуги /напр. договори за наем, договори за доставка на стоки/услуги, по които дружеството е наемател, възложител, респ. получател и др./.
  4. Уведомление Приложение №А3 се връчва от лицето/служителя, на когото Субектът на лични данни предоставя данни.
  5. Уведомлението се връчва при получаването на личните данни от Субекта на данните. В случай че личните данни са получени по електронен път или по друг начин – дистанционно, уведомлението се изпраща незабавно на адреса за контакт, посочен от Субекта на данни, с обратна разписка по пощата, чрез куриер или по друг начин, който позволява удостоверяване на връчването, освен ако това се окаже невъзможно или изисква несъразмерно големи усилия.

 

Уведомление при избор на членове на Съвета на директорите, съответно при сключване на договори за възлагане на управление /мениджмънт/ на дружеството /Образец Приложение №А4/

  1. Уведомление, съставляващо Приложение №А4, се предоставя срещу надлежна разписка на:
  2. физическо лице – член на Съвета на директорите на дружеството, което предоставя на дружеството лични данни във връзка с изпълнение на свои задължения като член на съвета;
  3. физическо лице, което предоставя на дружеството лични данни, във връзка с участие в процедура за избора на лицето за член на Съвета на директорите на дружеството.
  4. Уведомление Приложение №А4 се връчва от лицето/служителя, на когото Субектът на лични данни предоставя данни.
  5. Уведомлението се връчва при получаването на личните данни от Субекта на данните. В случай, че личните данни са получени по електронен път, или по друг начин – дистанционно, уведомлението се изпраща незабавно на адреса за контакт, посочен от Субекта на данни, с обратна разписка по пощата, чрез куриер или по друг начин, който позволява удостоверяване на връчването, освен ако това се окаже невъзможно или изисква несъразмерно големи усилия.

 

Събиране на лични данни за субекта, чрез предоставянето им от трето лице /Образци Приложения №Б/:

  1. Когато личните данни за Субекта на данни не са получени лично от самия Субект на данните, а са предоставени на дружеството от трето лице, дружеството предоставя на Субекта на данни информация, съгласно уведомления, съставляващи Приложения №Б1 – №Б2, определени по-долу за всяка конкретна хипотеза.
  2. Уведомление, по съответния образец, се предоставя на Субекта на данни при първоначалното получаване на данни по повод конкретно правоотношение, т.е. принципно, при първоначалното предоставяне на лични данни по повод възникването на конкретното правоотношение.

23.(1) В случай че на лицето вече е предоставена информация/уведомление по съответния образец /например данните на клиента са предоставени във връзка със записани от него дялове на договорен фонд и се предоставят отново във връзка със записване на нови дялове от същия или друг договорен фонд/, ново уведомление от същия образец се връчва само в случай че има промяна в личните данни на Субекта на данни или на обстоятелствата относно дружеството, като администратор на лични данни.

(2) Уведомление се предоставя, независимо дали Субектът на данни вече е клиент/контрагент на дружеството или се явява нов за дружеството клиент/контрагент, т.е. на всеки Субект на лични данни, който е настоящ клиент/контрагент на дружеството, също следва да бъде връчено съответно уведомление в първия момент след влизането в сила на настоящите правила, в който на дружеството са предоставени данни за Субекта, по повод отделно, конкретно правоотношение.

  1. При предоставянето на лични данни във връзка с възникване на ново правоотношение, за което се връчва уведомление по образец, различен от вече връчения на лицето, на Субекта на данни следва да бъде предоставено уведомление по съответния образец /напр. Клиентът има записани чрез негов пълномощник дялове и е получил Уведомление Приложение №Б1, но когато предоставя данни във връзка с кандидатстване за работа, следва да му бъде връчено Уведомление Приложение №А2/. За целите на настоящата разпоредба Уведомление Приложение №А1 и Уведомление Приложение №Б1 се третират като равностойни/идентични уведомления /в случай че Субектът е бил уведомен с образец от единия вид, при последващо реализиране на съответната хипотеза връчване на уведомление от другия вид не е необходимо/.

Не е необходимо да се предоставя уведомление на Субекта на данни при последващо осъществяване на контакт във връзка с едно и също правоотношение с дружеството.

 

Уведомление при предоставяне на продукти/услуги, включени в предмета на дейност на дружеството /Образец Приложение №Б1/

  1. (1) Уведомление, съставляващо Приложение №Б1, се предоставя, когато трето лице, действащо в качеството на пълномощник, е предоставило на дружеството лични данни за Субект на данни, който се явява:

1/ физическо лице – Клиент на дружеството;

2/ физическо лице, представител по закон или по пълномощие на Клиент – юридическо лице;

(2) Уведомление Приложение №Б1 се прилага при отношения, които се намират в пряка връзка с предмета на дейност на дружеството (в това число не попадат трудови договори със служители на дружеството, договори за управление на дружеството, договори за доставка на стоки/услуги от контрагенти на дружеството и т.н.).

  1. Субектът на данни следва да бъде уведомен в срок не по-късно от 1 (един) месец, след като дружеството е получило данните му.
  2. Уведомлението се връчва от служителя, обслужващ, респ. получаващ информация за Клиента /независимо дали е служител на дружеството или на трето лице-посредник/, срещу подпис или по друг начин, удостоверяващ получаването (писмо с обратна разписка, чрез куриер и др.).

 

            Уведомление при сделки за доставка на стоки и услуги от контрагенти /Образец Приложение №Б2/

  1. (1) Уведомление, съставляващо Приложение №Б2, се предоставя, когато трето лице е предоставило на дружеството лични данни на Субект, във връзка със сключване или изпълнение на договор, който не се намира в пряка връзка с предмета на дейност на дружеството (напр. договор за наем, договор за доставка на стоки и услуги, по който дружеството е възложител, респ. получател и др.).

(2) Уведомление Приложение №Б2 се предоставя на:

  1. физическо лице, което е представител по закон или по пълномощие на лице – Контрагент на дружеството;
  2. физическо лице, посочено като лице за контакт в договор с Контрагент на дружеството;
  3. друго.
  4. Субектът на данни следва да бъде уведомен, в срок не по-късно от 1 (един) месец, след като дружеството е получило данните му.
  5. Служителят, на когото са предоставени личните данни, изпраща уведомлението на посочения адрес за контакт със Субекта на данни, вкл. електронна поща, по начин, които позволява удостоверяване на изпращането, респ. получаването му /с обратна разписка, чрез куриер и др./, освен, когато това се окаже невъзможно или изисква несъразмерно големи усилия.

 

Изключения

  1. Дружеството не е длъжно да предоставя информация, съгласно уведомленията по Група Приложения №Б, до Субект, чиито данни са предоставени на дружеството от трето лице, когато:

а/ Субектът на данни вече разполага с информацията (чл.14, пар.5, б.“а“ от Регламента);

б/ предоставянето на информация се окаже невъзможно или изисква несъразмерно големи усилия (чл.14, пар.5, б. “б“ от Регламента);

в/ получаването или разкриването на лични данни за субекта е изрично разрешено с/от правото на Съюза или правото на държава членка (чл.14, пар.5, б.“в“ от Регламента);

г/ личните данни трябва да останат поверителни, при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, вкл. законово задължение за поверителност.

  1. Изключение по предходната точка е налице винаги, когато:

1/ лични данни за трети лица са получени при подаване на декларация, съгласно ЗМИП;

2/ лични данни на трети лица са посочени в удостоверение за наследници на починало лице-страна по договор с дружеството;

3/ лични данни на лица, които не са клиенти на дружеството, са получени при/с връчване на запорно съобщение, или при получаване на запитвания от различни органи и институции, в това число ДАНС, КПКОНПИ, Прокуратура, Съдилища, МВР, Национална следствена служба, вещи лица, съдебни изпълнители, публични изпълнители и други органи на НАП и др., във връзка с ползвани услуги и продукти на дружеството;

4/ лични данни на трети лица, свързани с клиент на дружеството, са получени във връзка с налагане и изпълнение на запор върху вземане на клиента.

 

Съгласие за събиране и обработване на лични данни

  1. (1) За целите на извършване на директен маркетинг, като приложение към настоящите правила се одобрява образец на Съгласие за целите на директния маркетинг, включително за извършване на профилиране.

(2) Дружеството няма право да изпраща на клиенти маркетингови съобщения, без да има изрично получено съгласие от клиента.

 

Раздел IV. Съхраняване и ползване на лични данни

  1. При и по повод предоставяне на продукти и услуги от страна на дружеството, във връзка с наемане на персонал, избор на членове на Съвета на директорите, сключване и изпълнение на договори с други лица – контрагенти, /пре/доставящи на дружеството стоки/услуги, дружеството събира лични данни:

1.1 на хартиен носител, а именно: документи за идентифициране и проверка на идентификацията на клиенти; оригинали и/или копия на документи във връзка с предоставяне на услуги или ползване на продукти, документи във връзка с упражняване на права спрямо дружеството /удостоверение за наследници/, документи при и по повод подбор на персонал, наемане на служители и упражняване на права на служителите /автобиография, свидетелство за съдимост, акт за граждански брак, удостоверение за раждане, др./, документи във връзка с избиране, освобождаване и изпълнение на задължения на членовете на Съвета на директорите, други договори с контрагенти на дружеството; документи във връзка с изпълнение на запори/запорни съобщения, уведомления от съдебни /частни и държавни/ и публични изпълнители, заявления, декларации, удостоверения, издадени от компетентен орган и други документи, съдържащи информация относно гражданското и имущественото състояние на клиент/.

1.2 Чрез въвеждане в електронни регистри:

– регистър на договорите, по които страна е дружеството;

– регистър клиенти и др.

1.3 Чрез и с използване на информационни системи/програми, Интернет базирани приложения и портали.

  1. Дружеството съхранява лични данни в следните срокове:

2.1 При сключен договор, пряко свързан с предмета на дейност на дружеството, последното ще обработва лични данни за срок, не по–кратък от такъв, установен в съответен нормативен акт, но не по-малко от 5 (пет) години след прекратяване на съответното правоотношение, възникнало на основание сключен между Клиента и дружеството договор.

2.2 При сключен договор, който не е пряко свързан с предмета на дейност на дружеството /напр. за доставка на стоки или предоставяне на услуги на дружеството/, дружеството ще обработва лични данни за срок, не по–кратък от такъв, установен в съответен нормативен акт, но не по-малко от 5 (пет) години след прекратяване на съответното правоотношение, възникнало на основание сключения между Контрагента и дружеството договор.

2.3 Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват: 1. счетоводни регистри и финансови отчети – 10 (десет) години; 2. документи за данъчно-осигурителен контрол – 5 (пет) години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани; 3. всички останали носители – 5 (пет) години.

2.4 В случай, че в срок до 12 (дванадесет) месеца от получаване на личните данни не бъде сключен договор с кандидат-Контрагент за предоставяне на продукти/услуги, предоставените лични данни ще бъдат унищожени/заличени от дружеството в срок до 15 (петнадесет) месеца от датата на получаване на данните, освен ако друго изрично не е уредено в договор или друг акт.

2.5 В случай на сключен с дружеството трудов договор, дружеството ще обработва личните данни за срок 5 (пет) години след прекратяване на правоотношението по договора, с изключение на счетоводната информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски, които се съхраняват: 1. ведомости за заплати – 50 (петдесет) години; 2. счетоводни регистри и финансови отчети – 10 (десет) години; 3. документи за данъчно-осигурителен контрол – 5 (пет) години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани; 4. всички останали носители – 5 (пет) години.

2.6 В случай че в срок до 12 (дванадесет) месеца от датата на получаване на личните данни не бъде сключен трудов договор, предоставените на дружеството лични данни ще бъдат унищожени/заличени от дружеството в срок до 15 (петнадесет) месеца, считано от датата на получаване на данните.

2.7 В случай на изпълнение на наложен запор върху вземане или друго имущество на клиент/контрагент, дружеството ще съхранява запорните съобщения и документите в запорното досие, на хартиен и/или електронен носител, в срок не по-малък от такъв, установен в съответен нормативен акт, но не по-малко от 10 (десет) години след отмяната на запора.

2.8 В случай на получени запитвания (респективно отговори) от КФН, ДАНС, КПКОНПИ, Прокуратура, Съдилища, МВР, Национална следствена служба, вещи лица, съдебни изпълнители, публични изпълнители и други органи на НАП и др. органи и институции, дружеството ще съхранява хартиения и/или електронния носител на лични данни, в който е материализирано съответното запитване, в срок не по-малък от такъв, установен в съответен нормативен акт, но не по-малко от 10 (десет) години от отговора към запитващия орган и приключване на преписката, и не по-рано от приключване досъдебното, съдебното и друго производство, за нуждите на което е предоставена информацията.

2.9 Сроковете могат да бъдат удължени допълнително, например в случаите на досъдебни, съдебни и арбитражни производства, спиране/прекъсване на давностен срок, както и при изпълнение на законови разпоредби и изисквания на надзорни органи.

  1. Условията и редът за унищожаване и архивиране на лични данни се регламентират в самостоятелни Правила и процедури.

 

Раздел V. Предоставяне на лични данни

  1. Лицата/категориите лица, на които дружеството може да предоставя лични данни, са определени индивидуално във всеки образец на Уведомление /представляващ приложение към настоящите правила/, с оглед характера на информацията, правоотношението, целта и основанието за обработване на информацията.
  2. Дружеството, при условията на Регламента, информира получателите на лични данни за всеки случай на коригиране, изтриване или ограничаване обработването на лични данни.
  3. При поискване дружеството предоставя на Субекта на данни информация за получателите на данни.
  4. Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

 

 

Раздел VI. Права на субекта на данни. Задължения на администратора

 

  1. Право на достъп

1.1. Всяко лице има право да получи потвърждение дали дружеството обработва лични данни, свързани с него, както и достъп до тези данни.

1.2. В случай, че дружеството обработва лични данни на Субекта на данни, на лицето се предоставя информация, която съдържа:

а/ целите на обработване;

б/ категориите обработвани лични данни;

в/ получателите или категориите получатели, пред които са или ще бъдат разкрити данни, вкл. получатели в трети държави или международни организации;

г/ ако е приложимо, предвиденият срок за съхраняване на личните данни, респ. критериите за определяне на такъв срок;

д/ съществуването на право да се изиска от администратора да се коригират или изтрият лични данни, или да се ограничи обработването им, или да се възрази срещу обработването им;

е/ право на жалба до Комисията за защита на личните данни на Република България;

ж/ ако личните данни не са събрани от Субекта на данни – наличната информация за техния източник;

з/ съществуването на автоматизирано вземане на решения, вкл. профилиране, и при тези случаи – използваната логика, значението и последствията от това обработване за субекта на данни;

и/ намерение за предаване на личните данни на трета държава или на международна организация. В случай на такова, се предоставя информация къде са налични данни за адекватното ниво на защита на личните данни на съответната трета държава или международна организация.

1.3. Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

           

  1. 2. Право на коригиране

2.1. Субектът на данни има право да поиска от дружеството коригиране на данните му, както и допълване на непълни негови данни, чрез подаване на декларация.

2.2 Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

 

  1. Право на изтриване

3.1. Субект на данни има право да поиска от дружеството да бъдат изтрити свързаните с него лични данни, когато:

а/ личните данни не са необходими за целите, за които са били събрани;

б/ Субектът на данни е оттеглил своето съгласие, въз основа на което данните се обработват, и не е налице друго правно основание за обработване на данните от дружеството;

в/ Субектът на данни е възразил срещу обработване на данните и не е налице друго основание за обработването им от дружеството;

г/ личните данни са обработвани незаконосъобразно;

д/ личните данни трябва да бъдат изтрити, съгласно задължение, въведено от правото на Съюза или правото на Република България, приложимо спрямо дружеството.

3.2. Дружеството не е длъжно да изтрие лични данни, съответно, забранява се изтриването на лични данни, когато обработването е необходимо за установяването, упражняването или защитата на правни претенции на дружеството. Това включва всички хипотези на обработване на лични данни за целите на изпълнението на договори за предоставяне на продукти и услуги от страна на дружеството.

3.3. Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

 

  1. Право на ограничаване на обработването

4.1. Когато Субектът на данни оспорва точността на обработваните от дружеството данни, той има право да поиска от дружеството ограничаване на обработването за определен срок, в който дружеството следва да провери точността на данните.

4.2. Субектът на данни има право да поиска ограничаване на обработването и когато:

а/ обработването е неправомерно, но субектът не желае личните му данни да бъдат изтрити;

б/ дружеството вече не се нуждае, с оглед обявените пред Субекта цели на обработването, от личните данни за целите на обработването, но Субектът на данни ги изисква за установяване, упражняване или защита на свои правни претенции;

в/ се извършва проверка, във връзка с възражение от Субекта по чл.21, пар.1 от Регламента, срещу обработване на данните, за периода на установяване дали законните основания на дружеството имат преимущество пред интересите на Субекта на данни;

4.3. Ако обработването е ограничено, дружеството съхранява данните и има право да ги обработва по друг начин единствено със съгласието на Субекта или за установяването, упражняването или защитата на свои правни претенции или за защита правата на друго физическо лице.

4.4. Преди отмяна на ограничението за обработване, дружеството уведомява писмено Субектът на данни.

 4.5. Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

4.6. Служител, който счита, че е налице основание за отмяна на ограничението за обработване на лични данни, представя на длъжностното лице по защита на данните мотивирано писмено искане за отмяна и, при наличие на основания за допускане, предлага на длъжностното лице за съгласуване проект на съответно уведомление до Субекта на данни.

 

  1. 5. Право на преносимост на данните

5.1. Когато на дружеството са предоставени лични данни на основание съгласието на Субекта или на договорно основание и обработването на личните данни се извършва по автоматизиран начин, Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на дружеството, в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

5.2. Когато е технически осъществимо, Субектът има право да поиска дружеството да прехвърли тези данни към друг, изрично посочен от Субекта администратор.

5.3. Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

 

  1. 6. Право на възражение

6.1. Субектът на данни има право по всяко време да възрази срещу обработване на неговите лични данни, когато обработването е необходимо за изпълнение на задачи от обществен интерес (чл.6, пар.1, б.“д“ от Регламента) или за целите на легитимните интереси на дружеството или трета страна (чл.6, пар.1, б.“е“ от Регламента).

6.2. Дружеството е длъжно да прекрати обработването на лични данни, освен ако са налице други основания за обработване, които имат предимство пред интересите, правата и свободите на Субекта на данни или са налице основания, свързани с установяване, упражняване или защита на правни претенции.

6.3. В случай, че обработването на лични данни се извършва за целите на директен маркетинг, Субектът на данни има право по всяко време да направи възражение и дружеството е длъжно своевременно да преустанови обработването.

6.4. Всяко получено в дружеството искане от Субект на данни, касаещо обработка на негови или на представлявано от него, по закон или въз основа на изрично нотариално заверено пълномощно, лице лични данни, се предоставя незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни.

 

  1. Ред за упражняване на правата

7.1 Дружеството приема и оповестява на своята интернет страница и в офисите за работа с клиенти Политиката за поверителност и защита на личните данни, съдържаща указания за правата на Субекта на данни, редът и условията за упражняването им пред администратора “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД.

7.2 Субектът на лични данни може да упражни правата си, като подаде в офиса на “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД или по другите начини, посочени в Политиката за поверителност и защита на личните данни, прилагана от “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД, писмено искане, съгласно Приложение №И-1, №И-2 или в свободна форма. Политиката за поверителност и защита на личните данни, както и Приложения №И-1 и №И-2 са налични в офиса на “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД, както и на: www.ccbam.bg

7.3 Служител на дружеството или на посредник на дружеството, явяващ се обработващ лични данни, приема искането на Субекта на данни, след като го идентифицира и го предоставя/изпраща незабавно, без необосновано забавяне, за становище на длъжностното лице по защита на личните данни по електронна поща .

7.4 В срок от 3 работни дни от датата на получаване на искането длъжностното лице по защита на данните изготвя проект на отговор въз основа на наличната информация за субекта на данни и фактическите обстоятелства, които е установил, и го представя на законните представители на дружеството.

7.5 Всички искания на субекти на данни се съхраняват в регистър, до който имат достъп единствено длъжностното лице по защита на личните данни и лица, определени със заповед на законните представители на дружеството. Регистърът съдържа информация за субекта на данни, подал искане, дата на получаване в дружеството, дата на изпращане до длъжностното лице по защита на данните, дата на изпращане на отговора до Субекта на данни.

 

 

Раздел VII. Автоматизирано взимане на индивидуални решения, вкл. профилиране

  1. Дружеството има право да прилага процедури за взимане на решение, основаващо се на автоматизирано обработване, включващо профилиране, когато:

– това е необходимо за сключването или изпълнението на договор със Субекта на данни;

– е налице изрично съгласие от страна на Субекта на данни; или

– това е разрешено от правото на Съюза или от правото на Република България, при условията на Регламента.

 

Раздел VIII. Обработващ лични данни

  1. Трето лице, което обработва лични данни по възлагане от дружеството, се явява „обработващ лични данни“.

Лица, обработващи лични данни от името на дружеството, са:

  • Посредници;
  • Доставчици на услуги на дружеството, когато изпълнението на услугите, предполага или изисква достъп до лични данни, обработвани от дружеството – администратор;
  • Други.
  1. Дружеството се явява „обработващ лични данни“ във всеки случай, когато обработва лични данни по възлагане от трето лице – администратор.
  2. Договори, по които дружеството предоставя на трети лице правата на „обработващ лични данни“, съответно поема задължения в качеството на „обработващ“, преди да бъдат подписани от дружеството, се предоставят за предварително съгласуване от длъжностното лице по защита на личните данни.

 

 

Раздел IX. Съвместни администратори

  1. 1. Дружеството, съвместно с друг администратор, може да определя целите и средствата за обработване на лични данни (Съвместни администратори).
  2. Отговорностите на всеки от администраторите, както и правата на Субектите на данни на достъп до техните обработвани лични данни, трябва да бъдат ясно определени в сключен между администраторите договор.
  3. Договори, които имат за правни последици обработване на лични данни съвместно с друг администратор, преди да бъдат подписани от дружеството, се предоставят за предварително съгласуване от длъжностното лице по защита на личните данни.

 

 

Раздел X. Длъжностно лице по защита на личните данни /ДЛЗЛД/

  1. Дружеството, в качеството на администратор на лични данни, определя длъжностно лице по защита на личните данни.
  2. 2. Длъжностното лице по защита на личните данни се определя от законните представители на дружеството, въз основа на неговите професионални качества и експертни познания в областта на законодателството и практиката относно защитата на личните данни. То може и да не е служител, нает по трудов договор с дружеството, а лице, наето по договор за предоставяне на услуги.
  3. Данните за контакт с длъжностното лице се публикуват на сайта на дружеството и се предоставят на Комисията за защита на личните данни.
  4. Всички въпроси, касаещи защита на лични данни, се разглеждат с участието на длъжностното лице по защита на личните данни.
  5. Длъжностното лице осъществява функциите си при условията на независимост и свобода на мнението. Длъжностното лице не може да бъде освободено от длъжност или санкционирано от администратора на лични данни или обработващия лични данни за изпълнение на своите задължения.
  6. Длъжностното лице представя отчети за дейността си пред Съвета на директорите на дружеството, текущо и периодично, най-малко веднъж на 6 месеца.
  7. Длъжностното лице по защита на личните данни:

1/ упражнява контрол за:

– законосъобразното обработване на лични данни, когато дружеството се явява обработващ лични данни или, когато дружеството, като администратор, възлага на трето лице (обработващ) обработването на лични данни, чрез договор или друг правен акт, регламентиращ предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, правата и задълженията на администратора и другите изисквания на Регламента.

– разпределяне на отговорностите и гарантиране на правото на Субекта на достъп до личните данни, обработвани от дружеството съвместно с друг администратор.

– спазване на Регламента, вкл. при упражняване на правата на Субектите на лични данни, за заличаване, корекции, ограничаване на обработването и т.н.

2/ осъществява сътрудничество и контакти с КЗЛД по всички въпроси, свързани с обработването на лични данни, предварителни консултации и други въпроси.

3/ съгласува клаузи на договори, уведомления и др., уреждащи изпълнение на задълженията на дружеството като администратор или обработващ лични данни.

4/ разглежда и се произнася по жалби, искания и др., свързани с обработваните от дружеството лични данни.

 

 

Раздел XI. Сътрудничество с надзорен орган. Уведомяване в случай на инцидент

  1. Всеки служител на дружеството, установил нарушение на сигурността на личните данни, е длъжен, в рамките на 1 /един/ час от момента на установяване на нарушението, да уведоми длъжностно лице по защита на личните данни чрез уведомление по електронна поща за естеството на нарушението на сигурността на личните данни, ако е възможно, категориите и приблизителния брой на засегнатите субекти на лични данни, и категориите и приблизителното количество на засегнатите записи на лични данни, както и, ако е възможно, описание на предприетите мерки за справяне с нарушение на сигурността на личните данни.
  2. 2. В случай на нарушаване на сигурността на личните данни, обработвани чрез използване на автоматизирани информационни системи и/или мрежи, служителят, установил нарушението, е длъжен в срок от 1 /един/ час от момента на установяване на нарушението да уведоми законните представители на дружеството и да предостави всичката налична информация по т.1 от раздел XI, както и дали:

– са предприети подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността  на личните данни;

– са взети мерки, които да гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

– съобщението до субектите на лични данни относно установеното нарушение на сигурността би довело до непропорционални усилия от страна на дружеството.

  1. В случай на нарушение на сигурността на личните данни и след получаване на уведомлението от служителя, установил нарушението на сигурността на лични данни, длъжностното лице по защита на личните данни, без ненужно забавяне и когато това е осъществимо – не по-късно от 72 /седемдесет и два/ часа след като е разбрало за него, уведомява за нарушението на сигурността на личните данни КЗЛД, освен ако не съществува вероятност нарушението на сигурността на лични данни да породи риск за правата и свободите на физическите лица. Уведомлението до КЗЛД съдържа причините за забавянето, когато не е подадено в срок от 72 часа, както и:

1/ описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти данни и категориите и приблизителното количество на засегнатите записи на лични данни;

2/ посочване на името и координатите за връзка на длъжностното лице по защита на личните данни или на друга точка за контакт, на която може да се получи повече информация;

3/ описание на евентуалните последици от нарушението на сигурността на личните данни;

4/ описание на предприетите или предложените от длъжностното лице по защита на личните данни мерки за справяне с нарушението на сигурността на личните данни, включително, по целесъобразност, мерки за намаляване на евентуалните неблагоприятни последици.

  1. В случай, че не е възможно информацията да се подаде едновременно, длъжностното лице по защита на личните данни предприема мерки при възможност същата да се подаде поетапно, без по–нататъшно ненужно забавяне.
  2. Длъжностното лице по защита на личните данни документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него в срок от пет дни от дата на отстраняването му. Документацията се съхранява в досие-папка, както на хартиен носител, така и в определено за това място на съответния локален диск и директория с цел предоставяне възможност на КЗЛД да провери дали се спазват задълженията по Регламента.
  3. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, длъжностното лице по защита на личните данни, без ненужно забавяне, съобщава на клиентите, чиито права и свободи биха били засегнати за нарушението на сигурността на личните данни. Съобщението се изпраща по електронна поща или чрез уведомление по пощата, съставено на ясен и прост език, като същото следва да съдържа следната информация:

1/ описание на естеството на нарушението на сигурността на личните данни;

2/ посочване на името и координатите за връзка на длъжностното лице по защита на личните данни или на друга точка за контакт, на която може да се получи повече информация;

3/ описание на евентуалните последици от нарушението на сигурността на личните данни;

4/ описание на предприетите или предложените от длъжностното лице по защита на личните данни мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

  1. Длъжностното лице по защита на личните данни не изпраща съобщение до клиентите на дружеството, ако е изпълнено някое от следните условия:

1/ длъжностното лице по защита на личните данни е предприело подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по–специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп да тях, като например криптиране;

2/ длъжностното лице по защита на личните данни е взело мерки, които гарантират, че вече няма вероятност да се материализира високия риск за правата и свободите на клиентите;

3/ то би довело до непропорционални усилия. В този случай се прави публично съобщение или се взема друга подобна мярка, така че клиентите да бъдат в еднаква степен информирани.

 

 

Раздел XII. Преходни и заключителни разпоредби

  1. Настоящите правила са приети с Решение на Съвета на директорите на “ЦКБ АСЕТС МЕНИДЖМЪНТ” ЕАД от 25.05.2018г. и влизат в сила от същата дата.
  2. Приложения, неразделна част от настоящите правила, съставляват образци на Уведомление Приложение №А1, Уведомление Приложение №А2, Уведомление Приложение №А3, Уведомление Приложение №А4, Уведомление Приложение №Б1, Уведомление Приложение №Б2, Съгласие за целите на директния маркетинг, включително за извършване на профилиране, образци Приложение №И-1 и Приложение №И-2 на изявления за упражняване на права от страна на субект на данни.