Настоящата политика описва основните мерки, предприети от Дайнърс клуб България АД („ДКБ“), като Администратор на личните данни, по повод защитата на личните данни, съгласно Регламент (ЕС) 2016/679, както и описва реда, по който физическите лица, чиито лични данни се обработват от „ДКБ“, могат да упражнят правата си, дадени им от Регламент (ЕС) 2016/679.
Как да се свържете с нас?
Искане за упражняване на права за защита на лични данни, субектите на лични данни, могат да подават до длъжностното лице по защита на личните данни на „ДКБ“, по следния начин:
- По електронен път на следния имейл адрес: privacy@diners.bg;
- На телефон +359 2 800 2117;
- На място във всеки офис на Първа инвестиционна банка АД;
- По пощата, на адреса на централата на „ДКБ“ - гр. София, бул. България 81 Г.
Искането за упражняване на права, свързани със защитата на личните данни, следва да съдържа следната информация:
- Идентификация на лицето, субект на данните – име и ЕГН или клиентски номер;
- Контакти за обратна връзка – адрес, телефон или електронна поща;
- Искане – описание на искането.
ДКБ предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането.
При необходимост този срок може да бъде удължен, като се взема предвид сложността и броя на отправените искания до „ДКБ“. Във всеки случай, „ДКБ“ информира лицето, отправило искане, за всяко такова удължаване в срока, като посочва и причините за забавянето.
„ДКБ“ не е задължен да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните.
„ДКБ“ може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.
Други канали за защита
Имате право да подадете жалба до Комисия за защита на личните данни /гр. София, бул. Проф. Цветан Лазаров 2/, когато са налице съответните предпоставки за това или до компетентния Съд.
Принципи за обработване на лчини данни
„ДКБ“ обработва и защитава личните Ви данни, събрани при изпълнение на дейността законосъобразно и добросъвестно.
Стремим се да сведем до минимум личните данни, които ще събираме.
Стремим се да сведем до минимум срока за съхранение и достъпа до данните. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни са събрани.
Личните данни се събират за конкретни, точно определени и законосъобразни цели и не се обработват допълнително по начин, несъвместим с тези цели.
Събраните личните данни са точни и при необходимост се актуализират.
Личните данни се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват.
Дефиниции
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Приложимо законодателство“ означава законодателство на Европейския съюз и на Република България, което е относимо към защитата на личните данни;
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Субект на данни“ означава физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Регламент (ЕС) 2016/679“означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), обнародван в Официален вестник на Европейския съюз на 4 май 2016 г.
Какви Ваши лични данни обработваме?
Ние обработваме личните данни, които Вие ни предоставяте.
Освен предоставените ни от Вас лични данни, Ние допълнително набавяме и други лични данни, които е необходимо да бъдат обработени при подаване на искане за кредит и при сключване и изпълнение на договор за кредит, както и при предоставяне на някои допълнителни услуги във връзка с договора за кредит.
Ние обработваме следните лични данни: :
- Име, презиме и фамилия, ЕГН, рождена дата, гражданство, копие от документ за самоличност;
- Контакти: Електрона поща, адрес и телефон;
- Образование, професия;
- Финансова информация – размер на дохода, недвижимо и движимо имущество, задължения по кредити и лизинги;
- Семейно състояние;
Други данни, кото обработваме, защото са необходими за изпълнение на задълженията ни по договора за кредит и свързаните с кредита услуги са:
- данни съдържащи се в имейли и други електронни съобщения, в т.ч. съобщения по SMS, телефон, чат в социални мрежи, активности в социалните мрежи, в които „ДКБ“ има профил, например във facebook или активности в уебсайтовете на „ДКБ“, както и данни, съдържащи се в други видове комуникация между Вас и Нас, например данни, които Вие ни предоставяте, съдържащи се в жалби, молби, искания и всяка друга кореспонденция с нас.
- данни относно всички бонус схеми и схеми за лоялни клиенти, независимо дали се раздават точки или друго.
-данни относно използването на функциите на интернет страниците ни и на предоставяните там услуги, включително данни от използването на модулите за плащане, които са предоставени на Ваше разположение на нашите интернет страници.
- данни, които се събират автоматично, например IP адрес на вашето устройстви или операционната система, която използвате, "бисквитки" и други.
- данни относно местоположение, когато използвате нашето мобилно приложение.
- данни относно закупени стоки и услуги, в т.ч. час, място и друга информация, свързана с трансакцията.
Ако Вие възразите срещу набавянето на данни или не ни предоставите някои от гореизброените данни или други данни, които са необходими за целите на изпълнение на договорните и законовите ни задължения, или ако поискате Вашите данни да бъдат заличени, или да се ограничи използването им, или ако оттеглите съгласието си /когато няма друго основание за обработване/, за съжанение „ДКБ“ няма да може да Ви предостави цялата гама от услуги, а в определени случаи, изобщо няма да може да Ви предостави услуга.
На какво основание обработваме Вашите лични данни?
Дружеството обработва Вашите лични данни на законово и на договорно основание:
- Обработването на Вашите данни е необходимо за сключването и изпълнението на договор за кредит, по който Вие сте страна.
- За спазване на законово задължение във връзка със Закона за мерките срещу изпиране на пари, Закона за платежните услуги и платежните системи, Закона за потребителския кредит и др.
Вашите лични данни за целите на директен маркетинг и реклама се обработват от Нас, само ако изрично, недвусмислено и предварително сте дали своето информирано, свободно изразено съгласие личните Ви данни да се обработват за целите на директен маркетинг и реклама.
За какви цели ще използваме Вашите данни?
Предоставените от Вас лични данни ще бъдат използвани за целите на отпускане и управление на кредитен лимит по партида на кредитна карта:
- извършване на оценка на кредитоспособността на кредитоискателя;
- сключване и изпълнение на договор за кредит;
- обработване на информация в съответствие със законодателни изисквания, включително за целите на идентификацията съгласно Закона за мерките срещу изпирането на пари;
- за целите на автоматичния обмен на финансова информация по ДОПК, съгласно Закона за кредитните институции;
- други законови основания.
Предоставените от Вас лични данни могат да бъдат използвани за целите на някои допълнителни услуги, във връзка с отпускане и управление на кредитен лимит по партида на кредитна карта, които Вие изрично сте заявили в ДКБ.
С кого можем да споделяме Вашите лични данни?
Дружеството зачита и пази поверителността на Вашите лични данни. При спазване на законовите и договорните си задължения е възможно и можем да разкрием Ваши лични данни на следните лица:
- на институции и лица съгласно действащото законодателство, в това число Българската народна банка, НАП, НОИ, съд, прокуратура, следствие, Министерство на вътрешните работи, външни одитори, ДАНС, други определени със закон;
- на застрахователни дружества, в случай на сключване на застраховки;
- на трети лица цесионери при прехвърляне на вземанията по договор за кредит и при сключване на договори с дружества за събиране на вземания;
- на лица обслужващи плащанията, като системни картови оператори и други доставчици на платежни услуги в страната и чужбина, например, които обслужват картовите разплащания, когато предоставянето на лични данни на тези лица е свързано със същинската дейност по предоставяне на платежни услуги;
- на Първа инвестиционна банка АД, вписана като представител на ДКБ в регистъра на БНБ за представителите на лицензираните платежните институции;
- на търговци, при които реализирате трансакции с кредитната си карта.
Лицата, с които споделяме личните Ви данни не са изчерпателно изброени тук, но те не са неограничен кръг и могат да се определят по гореизброените признаци и/или са лица, за които Вие сте дали изрично, предварително, недвусмислвено и свободно изразено информирано съгласие.
Служителите, които обработват личните Ви данни, преминават първоначално и периодични обучения за поверителност на данните и се запознават с приложимото законодателство.
Възможно е да възложим на други администратори или обработващи лични данни извършване на подизпълнителски дейности, и с това се налага трансфер на данни до тях. Отделно, възможно е ние да получим Ваши данни от външни доставчици. Затова Ние полагаме сериозни услия да защитим личните Ви данни, когато те са получени от нас от други администратори или обработващи лични данни или ние ги предоставяме на тях, и задължително включваме клаузи за поверителност в догворите си с тези лица. Когато администраторите или обработващи лични данни, с които се налага да обменяме данните Ви са лица, извън европейския съюз, презюмираме,че в тяхното законодателство, нивото на защита на личните данни не е толкова високо, колкото в европейското и затова в договорите с тях включваме клаузи, които гарантират поне средно ниво на защита на личните Ви данни, според европейските стандарти за ниво на защита на личните данни.
За какъв срок съхраняваме Вашите лични данни?
ДКБ съхранява документите в кредитното досие в период от 5 години след погасяване на кредита, след което кредитното досие се унищожава, а данните съхранявани в системите за информация на ДКБ се анонимизират, освен ако закон не предвижда по-дълъг срок на съхранение.
За сроковете за съхранение на всички документи, моля да се обърнете към длъжностното лице по защита на личните данни.
ДКБ прилага ли автоматизирано вземане на решения, включително профилиране?
Ние не прилагаме автоматизирано вземане на решения. Ние не обработваме данни само въз основа на систематична оценка на лични характеристики на определено физическо лице. ДКБ“ извършва профилиране, като използва метод за оценка на кредитен риск, в който изброените /неизчерпателно/ компоненти имат предварително определена тежест: нетен месечен доход, наличие на движимо или недвижимо имущество, кредитна задлъжнялост. След като се вземе оценката от профилирането, която представлява число, за определяне на кредитния рейтинг, винаги се налага и вземане на субективно решение на обработващ личните данни – служител на ДКБ.Трансферира ли ДКБ лични данни извън Европейския съюз?
..................................................................................................................................................
Права на субектите на лични данни
Субектите на лични данни имат следните права относно техните лични данни:
Право на достъп
При поискване, ДКБ предоставя на субект на лични данни следната информация:
i) информация дали ДКБ обработва или не обработва личните данни на лицето;
ii) копие от личните данни на лицето, които се обработват от ДКБ, и
iii) обяснение относно обработваните данни
Обяснението по iii) включва следната информация относно обработваните от ДКБ лични данни:
i) целите на обработването;
ii) съответните категории лични данни;
iii) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации, ако съществуват такива;
iv) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
v) съществуването на право да се изиска коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
vi) правото на жалба до надзорен орган;
vii) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
viii) съществуването на автоматизирано вземане на решения, ако съществува такова, независимо дали това обработване включва и профилиране, и информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
ix) когато личните данни се предават на трета държава или на международна организация, ако е приложимо, субектът на данните има право да бъде информиран относно подходящите гаранции във връзка с предаването.
При искане от субекта на лични данни, ДКБ може да предостави и копие от личните данни, които са в процес на обработване.
При предоставяне на копие от лични данни, ДКБ не разкрива следните категории данни:
i) лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това;
ii) данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация;
iii) друга информация, която е защитена съгласно приложимото законодателство
Предоставянето на достъп на субекти на лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на ДКБ.
Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, ДКБ може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп.
ДКБ преценява за всеки отделен случай дали дадено искане е явно неоснователно или прекомерно.
При отказ за предоставяне на достъп до лични данни, ДКБ аргументира отказа си и информира субекта на данни за правото му да подаде жалба до КЗЛД.
Право на коригиране
Субекти на данни могат да поискат личните им данни, обработвани от ДКБ, да бъдат коригирани, в случай че последните са неточни или непълни.
При удовлетворено искане за коригиране на лични данни, ДКБ уведомява другите получатели, на които са били разкрити данните (например държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.
Право на изтриване (право „да бъдеш забравен“)
При поискване, ДКБ е длъжна да изтрие лични данни, ако е налице някое от следните основания:
i) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
ii) субектът на данните оттегля своето съгласие, на което се основава обработването на данните, и няма друго правно основание за обработването;
iii) субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
iv) субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;
v) личните данни са били обработвани незаконосъобразно;
vi) личните данни трябва да бъдат изтрити с цел спазването на правно задължение на ДКБ;
vii) личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца по смисъла на член 8, параграф 1 от Регламент (ЕС) 2016/679
ДКБ не е задължена да изтрие личните данни, доколкото обработването е необходимо:
i) за упражняване на правото на свобода на изразяването и правото на информация;
ii) за спазване на правно задължение на ДКБ;
iii) по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3 от Регламент (ЕС) 2016/679;
iv) за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1 от Регламент (ЕС) 2016/679, доколкото съществува вероятност правото на изтриване да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или
v) за установяването, упражняването или защитата на правни претенции.
Право на ограничаване на обработването
Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следните:
i) точността на личните данни се оспорва от субекта на данните; ограничаването на обработването се прилага за срок, който позволява на администратора да провери точността на личните данни;
ii) обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
iii) „ДКБ“ не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
iv) субектът на данните е възразил срещу обработването на основание легитимния интерес на ДКБ и тече проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
ДКБ може да обработва лични данни, чието обработване е ограничено, само за следните цели:
i) за съхранение на данните
ii) със съгласието на субекта на данните;
iii) за установяването, упражняването или защитата на правни претенции;
iv) за защита на правата на друго физическо лице; или
v) поради важни основания от обществен интерес
Когато субект на данните е поискал ограничаване на обработването и е налице някое от основанията посочени по-горе, ДКБ го информира преди отмяната на ограничаването на обработването.
Правото на преносимост на данните
Субектът на данните има право да получи личните данни, които го касаят и които той е предоставил на ДКБ, в структуриран, широко използван и пригоден за машинно четене формат.
При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо.
Субектът на личните данни може да упражни правото на преносимост в следните случаи:
|
i) обработването се извършва въз основа на съгласието на субекта на личните данни; ii) обработването се извършва въз основа на договорно задължение; iii) обработването се извършва по автоматизиран начин. |
Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.
Право на възражение
Субектът на данните има право да възрази срещу обработване на негови лични данни от ДКБ, ако данните се обработват въз основа на едно от следните основания:
i) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
ii) обработването е необходимо за цели, свързани с легитимните интереси на ДКБ или на трета страна;
iii) обработването на данни включва профилиране
ДКБ прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Право на възражение срещу лични данни за целите на директния маркетинг
Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг.
Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
Право на човешка намеса при автоматизирано вземане на решения
Ако се счете, че ДКБ взима автоматизирани индивидуални решения, независимо дали тези решения са взети с помощта на профилиране, които пораждат правни последствия за физически лица или ги засягат в значителна степен по подобен начин, тези лица могат да поискат преразглеждане на решението с човешка намеса, както и да изразят гледната си точка. В тези случаи ДКБ предоставя на физическите лица-обект на автоматизирано вземане на решения съществена информация относно използваната логика, както и относно значението и предвидените последствия от това обработване за лицето.