ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ

Информация за администратора

„Мъни Плюс Мениджмънт“ ЕООД в качеството й на Администратор на лични данни и обработващ лични данни:
  • Име: „Мъни Плюс Мениджмънт“ ЕООД
  • Адрес: гр. София, ул. „Рачо Петков Казанджията“ 4, ет.6
  • ЕИК: 201284228
  • E-mail: info@moneyplus.bg
  • Телефон: 0700 700 55
Контакт с длъжностното лице за защита на личните данни:
  • Име: „Мъни Плюс Мениджмънт“ ЕООД
  • Адрес: гр. София, ул. „Рачо Петков Казанджията“ 4, ет.6 Б
  • Длъжностно лице по защита на личните данни: Марчело Ризов
  • E-mail: dpo@moneyplus.bg
  • Телефон: 02 / 451 53 59

Обща информация за политиката

Контрол Администратор на лични данни – „Мъни Плюс Мениджмънт“ ЕООД чрез Управителите – Розалина Станкова и Ваня Иванова. Длъжностно лице по защита на данните (ДЛЗД) – определен със Заповед на Управителите – Марчело Ризов. Надзорен орган: Комисия за защита на личните данни – независим публичен орган, създаден от държава членка, съгласно чл. 51 от ОРЗД.
Цел Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните – ОРЗД) за защита на данните, който има пряко действие и предполага изменение в законодателството на страните – членки в областта на защитата на личните данни. Неговата цел е да защитава правата и свободите на физическите лица и да гарантира, че личните данни не се обработват без тяхно знание и когато е възможно, че се обработват с тяхно съгласие.
Разпространение Всички служители в „Мъни Плюс Мениджмънт“ ЕООД, които събират, записват, организират, структурират, съхраняват. адаптират или променят, извличат, консултират, разкриват чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждат или комбинират, ограничават, изтриват или унищожават лични данни, във връзка с изпълняваната служебна дейност.
Обхват Материален обхват (чл. 2 от ОРЗД) – ОРЗД се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни (например ръчно и на хартия), които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.
Териториален обхват (чл. 3 от ОРЗД) – правилата на ОРЗД важат за всички администратори на лични данни, които са установени в ЕС, които обработват лични данни на физически лица, в контекста на своята дейност. Прилага се и за администратори извън ЕС, които обработват лични данни с цел да предлагат стоки и услуги или ако наблюдават поведението на субектите на данни, които пребивават в ЕС.
Принципът, е че правилата на ОРЗД „следват” личните данни на субектите които се намират в Европейския съюз.
Достъп до актуалната версия Чрез интранет страницата на „Мъни Плюс Мениджмънт“ ЕООД, раздел „Защита на личните данни в „Мъни Плюс Мениджмънт“ ЕООД“;

Понятия

Лични данни Всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по елин или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, както и всяка друга информация, която се определя от приложимото право като лични данни;
Специални категории лични данни (чувствителни данни) Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни, отнасящи се до здравето, или данни относно сексуалния живот на физическо лице или сексуална ориентация, както и всички друга лични данни, които се определят от приложимото право като специални;
Администратор Всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
Обработващ лични данни Означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (чл. 4. т 8 от ОРЗД);
Обработване Означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Субект на данни Всяко живо физическо лице на което личните данни са съхранявани от администратора;
Съгласие на субекта на данните Всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
Дете Всяко лице на възраст под 16 години въпреки, че възрастта може ла бъде друга, съгласно правото на държавата-членка Обработката на лични данни на едно дете е законна, само ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или е упълномощен да даде съгласието си.
Профилиране Всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси. надеждност, поведение, местоположение или движение;
Нарушение на сигурността на лични данни Нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
Основно място на установяване Седалището на администратора в ЕС е мястото, в което той взема основните решения за целта и средствата на своите дейност по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването;
Получател Физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не Същевременно публичните органи, които мотат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за зашита на данните съобразно целите на обработването;
Трета страна Всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

ГЛАВА I
ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. (1) Настоящата политика за защита на личните данни (наричана „Политиката“) има за цел да гарантира, че личните данни се обработват в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Общ регламент относно защитата на данните (ОРЗД), който регулира обработването на лични данни на физически лица в рамките на ЕС от физическо лице, дружество или организация. Закона за защита на личните данни (ЗЗЛД) и приложимите нормативни актове, регламентиращи зашита на личните данни.
(2) Политиката се прилага за обработване на лични данни изцяло или частично с автоматизирани средства, както и за обработването с други средства, които са част от Единния регистър на данни в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД който включва всички категории дейности по обработване чрез информационни системи или с други средства
(3) Политиката не се прилага за данни, обработвани от служители на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД поради причини от чисто личен характер, или за дейности, извършвани у дома при условие, че няма връзка с професионална или служебна дейност.
(4) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД декларира, че спазва основните права и положения, свързани с процеса по събиране и обработване на лични данни за конкретната цел и във всеки конкретен случай.

Чл. 2. (1) При обработването на лични данни се спазват следните принципи
1. Законосъобразност: данните се обработват при наличие на някое от следните основания:
а) Правно задължение: обработването е необходимо, за да може администраторът да изпълни законово задължение (без да се включват договорни задължения);
б) Договор: обработването е необходимо за изпълнението на договор, по който субектът на лични данни е страна, или за предприемане на конкретни стъпки прели сключването на такъв договор;
в) Съгласие: лицето следва да е дало ясно съгласие за обработването на личните данни за конкретна цел и операцията за обработване;
г) Важни интереси: обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
д) Обществена задача: обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени па администратора, а задачата или функцията има ясна правна основа;
е) Законни (легитимни) интереси: обработването е необходимо с цел защита на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни (например когато субектът на данни е дете или се касае до специални категории лични данни);
2. Добросъвестност на субектите на данни: следва да се предостави определена информация, необходима във всеки конкретен случай и за всяка конкретна цел. по разбираем, кратък и достъпен начин;
3. Прозрачност: всяка информация във връзка с обработването да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки Този принцип се отнася в особена степен за информацията, която получават субектите на данни за администратора, целите на обработването и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват; 4. Ограничение на целите: данните са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по ¬нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно чл. 89, §1 от ОРЗД за несъвместимо с първоначалните цели;
5. Свеждане на данните до минимум: обработването да е адекватно (подходящо) на конкретната цел. за която се обработват данните;
6. Точност: гарантира, че данните са точни и са поддържани в актуален вид, както и своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
7. Ограничение на съхранението: да се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по- дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно чл. 89, § I от ОРЗД при условие, че бъдат приложени подходящите технически и организационни мерки с цел да бъдат гарантирани правата и свободите на субекта на данните;
8. Цялостност и поверителност: да са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;
9. Отчетност: гарантира спазването на задълженията, произтичащи от извършването на оценки на въздействието върху защитата на личните данни и от предварителната консултация с надзорния орган. Води се Регистър на дейностите по обработване на лични данни и се попълват съответните уведомления от администратора до надзорния орган; (2) При всички положения администраторът трябва да докаже, че има правно основание, за да обработва личните данни на субектите.

ГЛАВА II
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ

Раздел I
Оценка на въздействието

Чл. 3. (1) Оценката на въздействието върху защитата на данните (ОВЗД) е процес, при който администраторът преценява нивата на рисковете за правата и свободите на субектите на данни, а именно степента на въздействие, което нарушаването на поверителността, цялостността или наличността на личните данни би оказало влияние върху конкретно физическо лице или група физически лица в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица.
(2) Администраторът извършва ОВЗД с цел определяне на:
1. Адекватно ниво на технически и организационни мерки за защита на личните данни, което отговаря на обработваните лични данни и въздействието при нарушаване на защитата им;
2. най-ефективния начин за спазване на задълженията на служителите в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД за защита на данните;

Чл. 4. (1) ОВЗД трябва да съдържа най-малко следната информация:
1. Описание на операциите по обработване и целите, включително, когато е приложимо, законните интереси, преследвани от администратора;
2. Оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целта;
3. Оценка на рисковете за правата и свободите на субектите на данни, конто е вероятно да възникнат от обработването (и по-специално произхода, естеството, особеностите и тежестта на тези рискове);
4. Мерките, предвидени за справяне с рисковете, включително предпазни мерки за сигурност и механизми за гарантиране на зашитата на личните данни и доказване на спазването на разпоредби те на ОРЗД;
5. Оценката за въздействие може да се отнася за повече от един проект.
(2) При извършване на ОВЗД администраторът изисква становището на ДЛЗД.

Раздел II
Оценка на риска при обработката на лични данни

Чл. 5. (1) Всички дейности, осъществявани от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, които предвиждат обработка на лични данни, са предмет на предварителна оценка на риска;
(2) Всяко от административните звена в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД което обработва лични данни, идентифицира рисковете, свързани със защитата на лични данни, за възникване на нарушение на сигурността на данните както и възможното влияние при евентуалното им възникване. При оценката на риска се определят 3 нива на риска – нисък (приемлив), среден (изисква внимание), висок (неприемлив). Оценката на риска се извършва най-малко веднъж годишно и се ръководи от ДЛЗД в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД.

Чл. 6. При определянето на степента на риска администраторът трябва да вземе предвид:
1. Критериите за вероятен „висок риск“ на чл. 35. § 3 от ОРЗД;
2. Общите положения на Стратегията за управление на риска в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
3. Съответните рискови области (стратегически рискове, оперативни рискове, политически рискове, икономически рискове, рискове за репутацията, правни, регулаторни рискове, рискове за сигурността и т. н. );
4. Всички отношения на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД с външни субекти (други организации, контрагенти по договори, граждани и др.).

Чл.7. (1) В зависимост от определеното ниво на въздействие администраторът извършва:
1. Приоритизация на идентифицираните рискове в зависимост от резултатите от оценката им;
2. Определяне на стойността и рейтинга на всеки риск;
3. Определяне на адекватно ниво на защита, включващо техническите и организационни мерки, които трябва да предприеме за тяхното ограничаване.
(2) В зависимост от рисковете и идентифицираното ниво на въздействие се определя съответно ниво на защита – ниско, средно или високо, както и организационните и технически мерки, адекватни на така определеното ниво.

Раздел III
Предварителни консултации с надзорния орган

Чл. 8. (1) Задължителна предварителна консултация с надзорния орган е необходима, когато
1. Оценката на въздействието върху защитата на данните покаже, че предвиденото обработване ще породи висок риск и;
2. Администраторът не може да предприеме ефективни мерки за ограничаването му.
(2) Предварителна консултация може да не бъде проведена, ако администраторът счита, че идентифицираният риск може да бъде смекчен с разумни средства по отношение на наличните технологии и разходите за изпълнение.

ГЛАВА III
ОРГАНИЗАЦИОННИ И ТЕХНИЧЕСКИ МЕРКИ ЗА ЗАЩИТА НА СИГУРНОСТТА НА НАЛИЧНИТЕ ДАННИ В „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД

Раздел IV
Организационни мерки

Чл.9. (1) За защита на сигурността на личните данни Администраторът:
1. Със своя Заповед определя длъжностно лице по защита на данните (ДЛЗД) в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
2. Извършва оценка на въздействието върху защитата на данните;
3. Задължава всички служители, които обработват лични данни да спазват изискванията за поверителност на личните данни, до които имат достъп, съгласно правилата на ОРЗД, настоящата Политика и отговорностите на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД като Администратор на лични данни.
(2) Администраторът организира обучение на персонала за обработване на лични и чувствителни лични данни и за извършване на оценка на въздействието върху защитата на данните в отделните административни звена на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД.
(3) При оценяването на подходящите организационни мерки ДЛЗД взема предвид следното:
1. Нивата на подходящо обучение на служителите в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
2. Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
3. Редовна проверка на персонала за спазване на съответните стандарти за сигурност,
4. Контрол на физическия достъп до електронни и хартиено базирани записи.
5. Спазване на правилото за „чисто работно място“;
6. Начина на съхраняване на данните от служителите;
7. Ограничаване на използването от служителите на лични устройства на работното място.

Чл. 10. (1) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД изисква гаранции от трети лица – обработващи лични данни, че са в състояние да осигурят необходимата защита на личните данни;
(2) При влизане в договорни отношения с обработващи лични данни се включват договорни клаузи, според които обработващите лични данни трябва да гарантират, че предоставят достатъчни технически и организационни мерки за защита на сигурността и поверителността на личните данни и че ще действат спорел указанията на Администратора.

Раздел V
Технически мерки

Чл. 11. (1) Техническите мерки за зашита на лични или чувствителни лични данни включват:
1. Класифициране на данни;
2. Предотвратяване на загуба на данни;
3. Криптиране;
4. Получаване на изрично съгласие за всяка конкретна цел;
5. Ограничения при пренос на данни и въвеждане на технологии, които позволяват на субектите на данни да упражняват своите права за достъп;
6. Коригиране и заличаване на лични данни;
7. Начини на защита чрез използване на пароли;
8. Автоматично заключване при не използване на работните станции в мрежата;
9. Премахване/ограничаване на права на достъп за USB и други преносими носители с памет;
10. Антивирусен софтуер и защитни стени за блокиране на зловреден софтуер;
11. Защитата на преносими устройства, които напускат помещенията на организацията, като лаптопи и други;
12. Осигуряване сигурността на локалните и широкообхватните мрежи;
13. Осигуряване на технологии за подобряване на поверителността;
14. Внедряване на подходящи услуги за съхранение и споделяне на облак, когато активно блокират или обезкуражават използването на неоторизирани услуги и отговарят за правата за достъп, коригиране и заличаване на субектите на данни, определени от ОРЗД;
15. Активно наблюдение на действията за споделяне, за да се сведе до минимум вероятността от нарушаване на данните.
(2) Всички служители, оправомощени да обработват лични данни, са длъжни да спазват следните мерки за защита на данните:
1. На хартиен носител:
а) Личните данни на хартиен носител се съхраняват в специални помещения, или заключени каси/шкаф, в зависимост от вида на данните, при спазване на мерки за достъп до помещението;
б) Когато личните данни трябва да бъдат прехвърлени на хартиен носител, те трябва да бъдат предадени директно на получателя срещу подпис или изпратени с препоръчана поща с обратна разписка;
в) Когато някоя лична информация трябва да бъде заличена по някаква причина (включително когато са направени копия, които вече не са необходими), тя се унищожава като се нарязва на шредер машина, след което се изхвърля;
2. На електронен носител съгласно правила, определени в Политиката за информационна сигурност на информационни системи в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД и съпътстващите я документи, утвърдени от Управителите и Директора на Дирекция ИТ. Набелязаните технически мерки се прилагат и за защита на личните данни.

Чл. 12. Неспазването на техническите и организационни мерки за защита на данните и останалите вътрешни актове, свързани със защита на данните, е основание за търсене на дисциплинарна отговорност от виновните служители.

Раздел VI
Документиране на дейностите по обработване. Регистър на обработванията на данни

Чл. 13. (1) В „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД се поддържа Регистър на дейностите по обработванията на данни, достъпът до който се осъществява съгласно функционален принцип;
(2) Регистърът по ал. 1 съдържа следната информация:
1. Името и координатите за връзка на Администратора и ДЛЗД;
2. Целите на обработването;
3. Описание на категориите субекти на данни и на категориите лични данни;
4. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
5. Когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, както е посочено в член 49, параграф 1, алинея втора, документация за подходящите гаранции;
6. Предвидените срокове за изтриване на различните категории данни;
7. Общо описание на техническите и организационни мерки за сигурност.
(3) При нововъзникнала дейност по обработка на лични данни административното звено, което извършва обработването, следва да уведоми ДЛЗД, като представи необходимата информация по ал. 2.

Чл. 14. Служителите на Администратора, които обработват лични данни от негово име, осигуряват сигурността при обработването и съхраняването на данните от тяхна страна, включително гарантират, че няма да разкриват данните на трети страни, освен ако Администраторът не е дал такива права на гази трета страна за достъп до данните.

Чл. 15. При обработката на данни чрез видеонаблюдение, при което се извършва запис чрез технически средства за видеонаблюдение, се спазват Правилата за извършване на видеонаблюдение в обектите на администратора.

Раздел VII
Профилиране

Чл. 16. (1) Профилирането е автоматизирано обработване на лични данни с цел, оценяване на определени лични аспекти, свързани с дадено лице, включително за анализиране или прогнозиране на поведението му, изпълнение на професионалните му задължения, икономическото му състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
(2) В случай, че Администраторът използва лични данни за целите на профилирането, следва да са изпълнени следните условия:
1. Да бъде предоставена ясна информация, поясняваща профилирането, включително значението и вероятните последици.
2. да се използват подходящи статистически или математически процедури;
3. да се въведат технически и организационни мерки, необходими за минимизиране на риска от грешки, за да се позволи лесното им отстраняване и да се предотврати дискриминационното въздействие.

Раздел VIII
Разкриване на данни

Чл. 17. (1) Личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, приятели, държавни органи, ако има основателно съмнение, че не се изискват по установения ред. Всички служители трябва да следят дали искането от трета страна за разкриване на лични данни за друго лице е свързано или не с нуждите на дейността, извършвана от администратора.
(2) Всички искания от трети страни за предоставяне на данни трябва да бъдат подкрепени с подходяща документация и всички такива разкривания на данни трябва да бъдат координирани с ДЛЗД, което да даде становище.
(3) В качеството си на орган по назначаването Управителите предоставят лични данни на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на служителите и/или изпълнители по граждански договори. В тези случаи личните данни включват трите имена и единен граждански номер и служат за идентификация на лицето, в чиято полза се извършва плащането.
(4) Във връзка с използването на куриерски услуги – приемане, пренасяне, доставка и адресиране на пратки до физически лица, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД посочва следните данни две имена, адрес, област, наименование на населеното място с пощенски код.
(5) Личните данни се предоставят на компетентните органи при и по повод упражняване на техните законови и властови правомощия.

Раздел IX
Преносимост

Чл. 18. (1) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД отговаря за прехвърлянето на данните без затруднения и гарантира, че те се предават със съответното ниво на комуникационна сигурност.
(2) Субектите на данни имат право да поискат:
1. копие от личните данни, които са предоставили на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
2. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД да прехвърли тези данни на друг Администратор посочен от субекта, без възпрепятстване;
(3) Преносимост се прилага само за тези данни, за които:
1. Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
2. Обработването им е било необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
3. Обработването им е било извършено по автоматизиран начин;
4. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД е получил информация за субекта на данни от друг администратор, който е решил да упражни правото си на преносимост, като в тези случаи „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД се явява администратор по отношение на новоприетите данни.

Чл. 19. (1) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД приема и съхранява само данните, които са необходими и относими към определена дейност. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД не приема и не обработва лични данни „по подразбиране”, дори когато са получени от друг администратор след искане за прехвърлянето им. както и не съхранява всички получени данни.
(2) Ако получените данни съдържат данни за трети лица, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД съхранява данните под контрола на субекта заявител. Тези данни се обработват само за определената цел.

Чл. 20. При постъпване на искане за предаване или за прехвърляне на лични данни към друг Администратор, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД обработва искането на субекта при спазване на следните правила:
1. Всяко постъпило искане незабавно се изпраща на ДЛЗД, което проверява за ясни и неоспорими доказателства за самоличността на субекта на данни под формата на лични документи, клиентски номер, електронна карта или друг еднозначен идентификатор:
2. ДЛЗД проверява дали посочените от субекта данни са получени на основание съгласие, изпълнение на законово правомощие или функция, или договор и дали са обработени по автоматизиран начин. Ако не са изпълнени тези изисквания, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД има право да откаже да удовлетвори искането;
3. Когато исканите данни засягат трето лице/а, ДЛЗД преценява дали предаването на данни на друг администратор на лични данни би навредило на правата и свободите на други субекти на данни;
4. ДЛЗД извършва проверка дали подготвените за предаване/ прехвърляне лични данни са само и точно тези, които субектът на данни е поискал да бъдат предадени, респ. прехвърлени;
5. Поисканата информация се предоставя на субекта на данни в структуриран, широко използван и машинно четим формат, който позволява ефективно повторно използване на данните;
6. При предаване на данните на друг администратор на данни „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД ги препраща в оперативно съвместим формат. В случай, че са налице технически пречки, които възпрепятстват директното им прехвърляне, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД съобщава тези пречки на субекта на данните;
7. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД предоставя исканата информация в рамките на един месец от датата на заявката. Ако заявката е сложна, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД може да удължи тази времева рамка максимум до три месеца от датата на предявяването й. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД информира субекта на данни за причините за забавянето чрез имейл, телефон и др. в рамките на един месец от първоначалното искане;
8. ДЛЗД поддържа записи за исканията за прехвърляне на данни в Регистъра на исканията, включително всички, свързани с преносимостта дати.

Раздел X
Съхраняване и унищожаване на лични данни

Чл. 21. При съхранение на лични данни „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД:
1. Прилага основния принцип за съхранение на лични данни в минимален обем и за срок не по-дълъг от необходимото или определеното от закона време за съответните категории данни;
2. Осигурява тяхната сигурност, надеждност и изискванията на съответния закон;
3. Заличава личните данни след изтичането на съответния срок;
4. Може да запази лични данни за по-дълъг от съответния срок до окончателното приключване на възникнал правен спор или производство, налагащо запазване на данни, и/или по искане на компетентен орган.

Чл. 22. (1) Лични данни в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД се съхраняват при спазване на Вътрешните правила за организацията на хартиения и електронния документооборот и контрола по изпълнение на задачите в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД и се унищожават при спазване на Вътрешните правила за организацията и дейността на фирмения архив на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД:
1. По искане на субекта на лични данни, когато то е прието за основателно;
2. По предложение на ръководителите на административни звена, в които се събират или обработват лични данни, когато се прецени, че е отпаднала нуждата от обработване и съхранение.
(2) При унищожаване на лични данни от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД:
1. Всяка календарна година със заповед на Управителите се определя състав на комисия, която да извършва анализ на личните данни съхранявани в кредитните досиета в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД от гледна точка на сроковете за съхраняването им;
2. В състава на комисията се включва поне един представител от административните звена, които събират и обработват лични данни, както и служител на архива на Дружеството;
3. При вземане на решение от комисията за унищожаването на лични данни съхранявани в кредитните досиета се изготвя предложение до Управителите, което се съгласува с ДЗЛД и ръководителите на административни звена, в които се събират или обработват лични данни;
4. След резолюция на Управителите, личните данни съхранявани в кредитните досиета се унищожават, като се изготвя протокол, който съдържа:
а) Вида на личните данни;
б) Водещото звено, в което са обработвани или съхранявани личните данни;
в) Вида на обработката на лични данни (за какво са събрани и обработвани);
г) Броя на унищожените записи с лични данни;
д) Трите имена на субектите с унищожени лични данни.
(3) Унищожаването на данни се извършва по следните начини:
1. При данни на хартиен носител:
– чрез нарязване в специални машини за унищожаване на документи – шредер, в които се унищожат както оригиналните документи, така и копията към тях;
– чрез унищожаване на документите посредством оторизирана фирма за унищожаване на документи след сключване на съответния договор;
2. При данни на електронните носители – чрез изтриване както в системата, в която се съхраняват или мястото им във файловия сървър на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, така и в архивните копия, които са направени от дирекция „Информационни системи“;
(4) След изготвяне на протокола от комисията, същия се представя на Управителите за утвърждаване, като едно от копията се предава на ДЛЗД за съхранение.

ГЛАВА IV
ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Чл. 23. Длъжностното лице по защита на данни (ДЛЗЛД) се определя със Заповед на Управителите и има следните основни отговорности:
1. Изпълнява задачи, свързани със защита на личните данни, съгласно Закона за защита на личните данни, Регламент (ЕС) 2016/679 и съобразно настоящата Политика;
2. Взема участие на заседанията на ръководството на Администратора, на които се обсъждат въпроси от областта на защита на личните данни и съветва Администратора за доказване на съответствието със законодателството в областта на защита на данните и добрите практики;
3. Наблюдава спазването на Общия регламент относно защитата на данните (ОРЗД) и на други разпоредби за защитата на данни на равнище ЕС или държава членка и на политиките на Администратора по отношение на защитата на личните данни. При констатирани несъответствия докладва на Управителите, като прави предложения за подобряване на процедурите по отношение на защитата на личите данни в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
4. Поддържа Регистър на дейностите по обработванията на данни, Регистър на исканията от субекти на данните и Регистър на инцидентите;
5. Сътрудничи с Комисията за защита на личните данни (КЗЛД) и действа като точка за контакт по всички въпроси, свързани с обработването на лични данни;
6. Оказва съдействие по въпроси, свързани с упражняването на правата по защита на лични данни;
7. Отчита се пряко пред собствениците и Управителите на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД.

ГЛАВА V
ОБРАБОТВАЩ ЛИЧНИ ДАННИ

Чл. 24. (1) Всички служители и външни изпълнители и техни подизпълнители, които обработват лични данни от името на Администратора „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, са обработващи лични данни по смисъла на ОРЗД;
(2) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД избира само външни изпълнители, които могат да осигурят техническа, физическа и организационна сигурност и които отговарят на поставените изисквания по отношение на всички лични данни, които ще обработват. При прекратяването на договор с изпълнител/подизпълнител съответните лични данни следва да бъдат унищожени или върнати на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
(3) Когато „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД разреши на външния изпълнител да възложи обработката на лични данни на подизпълнител, външният изпълнител трябва да забрани на подизпълнителя (и следващите подизпълнители, ако има такива) да превъзлага дейността по обработка на данни на подизпълнители без писменото разрешение на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
(4) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД има право да извършва редовни проверки на системите за сигурност на външния изпълнител през периода, в който той има достъп до личните данни;
(5) Звеното в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, което осъществява текущ контрол и приема резултатите от изпълнението на договори, редовно извършва преглед на съответния договор, за да провери дали се обработват лични данни. Тези проверки се извършват, дори ако дейността по обработка на лични данни не е основната причина за сключване на договора.

Чл. 25. Изпълнители от страни извън ЕС могат да бъдат избрани само при положение, че е изпълнено поне едно от следните специфични условия:
1. Ако изпълнителят или държавата, в която пребивава или сее установен, или са били идентифицирани като осигуряващи адекватно ниво на защита на личните данни в решение за адекватност от страна на Европейската комисия;
2. Ако са налични задължителни фирмени правила за предаване на данни извън ЕС, за да се гарантират правата на субектите, и тези правила са одобрени от Комисията за защита на личните данни;
3. Когато споразумението с изпълнителя е одобрено от надзорния орган.

ГЛАВА VI
ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

Чл. 26. (1)Субектът на лични данни има следните права съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни по отношение на обработване на личните данни:
1. Съгласно чл. 15 от Регламент (ЕС) 2016/679, има право да получи от Администратора потвърждение дали се обработват личните им данни и ако това е така, да получат достъп до своите лични данни.
2. Съгласно чл. 16 от Регламент (ЕС) 2016/679 има право да поискат от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с тях. Като се имат предвид целите на обработването, имат право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
3. Съгласно чл. 17 от Регламент (ЕС) 2016/679, че могат да изискват от „Мъни Плюс Мениджмънт“ ЕООД заличаване и изтриване на свързаните с тях лични данни без ненужно забавяне. Администраторът има задължението да изтрие без ненужно забавяне личните данни (право „да бъдеш забравен”), при спазване на разпоредбите на приложимото право на Република България. „Мъни Плюс Мениджмънт“ ЕООД има правото да откаже заличаване на свързаните с тях лични данни при наличие на правно основание да продължи обработването на личните им данни.
4. Съгласно чл. 18 от Регламент (ЕС) 2016/679, че могат да изискват от „Мъни Плюс Мениджмънт“ ЕООД, обработването на личните им данни, които са събрани, обработвани и съхранявани от Администратора на лични данни, да бъдат ограничени.
5. Съгласно чл. 20, параграф 1 и 2 от Регламент (ЕС) 2016/679, че имат право да получат личните си данни, които са предоставили на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и имат правото да прехвърлят тези данни на друг администратор без възпрепятстване от администратора.
6. Съгласно чл. 21, от Регламент (ЕС) 679/2016, че имат право, по всяко време и основания, свързани с конкретна ситуация, на възражение срещу обработване на личните данни, отнасящи се до тях, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби.
7. Съгласно чл. 22, от Регламент (ЕС) 679/2016, че имат право, да откажат да бъдат обект на решение, основаващо се единствено само на автоматизирано обработване включително профилиране, което поражда правни последствия или ги касае значително.
8. Съгласно чл. 77, 78 и 79 от Регламент (ЕС) 679/2016, че имат право, да осъществят това си право и чрез подаване на жалба до Комисията за защита на личните данни при нарушения на Регламент (ЕС) № 2016/679 и право на ефективна защита срещу Администратора „Мъни Плюс Мениджмънт“ ЕООД или обработващ техните лични данни на адрес: Гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg, Телефон: 02/91-53-519.
(2) Субектът на лични данни може да отправи искане до Администратора, в което указва вида на искането и описание на данните. В искането задължително се посочва самоличността на субекта, която да го идентифицира сигурно и еднозначно (данни от лични документи, клиентски номер, електронна идентификационна карта и т. н.);
(3) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД документира и доказва, че субектът на данните е оттеглил съгласието си за обработката на личните му данни, а когато обработката има множество цели, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД документира и доказва оттеглянето на съгласието за всяка отделна цел.

Чл. 27. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД осигурява условия, които да гарантират упражняването на правата по предходния член от субектите на лични данни, като:
1. Задължително проверява идентификационните данни, за да се увери, че искането е подадено от субекта, като данните да го идентифицират;
2. Документира датата на получаване на искането;
3. Произнася се по искането;
4. Изпраща отговор на подателя, в които го информира за правото на жалба до Комисията за защита на личните данни, като едновременно го информира и за правото за защита по съдебен ред.

Чл. 28. (1) Подаването на искания/ заявления, оплаквания и жалби може да се извърши и чрез електронна поща, контролирана и проверявана от ДЛЗД в случай, че документът е подписан с електронен подпис и може да идентифицира субекта на лични данни. В този случай всички приложения към искането следва да са представени в електронен вид и заверени с електронен подпис;
(2) В случай, че искането/заявлението от субекта на данни не бъде получено от ДЛЗД, то искането/заявлението му незабавно се препраща за:
1. Вписване в Регистъра на исканията от субекти на данните;
2. Обработка чрез идентифициране (търсене) на личните данни във всички хранилища на данни и всички съответни системи за архивиране, включително всички архивирани файлове (автоматични или ръчни архиви) на всички папки на електронната поща и техните архиви лично или чрез съответните звена в „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, които обработват данните;
3. Обработване на данните с цел, отстраняване на евентуална идентификационна информация за трети лица при предаването на копие от информацията, когато искането е за достъп до информация;
4. Изготвяне на проект на отговор от името на администратора до субекта на данните, най-късно до един месец от датата на получаване на искането за достъп;
5. Вписване в Регистъра на исканията на данните за подадения отговор;
(3) При искания на субекти на данни за коригиране, изтриване, ограничаване или при възражение по отношение на обработваните лични данни, които са приети са основателни, ДЛЗД следи за изпълнението на взетото решение като:
1. Участва в документирането по премахване на личните данни от системите и прекратяване на операциите по обработката им;
2. Участва в документирането за всяко извършено коригиране, изтриване или ограничаване на обработването на всеки получател, на когото личните данни са били разкрити.
(4) Когато исканията на субекти на данни са явно неоснователни или прекомерни поради своята повторяемост, ДЛЗД може мотивирано да предложи на администратора:
1. Да откаже да предприеме действия по искането като изложи причините за не предприемане на действията или отказа;
2. Да наложи разумна такса, предвид административните разходи за предоставяне на информацията или комуникацията и да разгледа искането.

Чл. 29. Субектите на данни могат да подадат до „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД и:
1. Оплаквания относно начина на разглеждане на искането им за достъп до данните;
2. Оплаквания относно начина на разглеждане на искането/жалбата им;
3. Жалба срещу всяко решение, взето след подадено искане/жалба.

Чл. 30. Ограничения на правата на субектите са допустими с цел, да се гарантира:
1. Националната сигурност и отбраната;
2. Обществената сигурност;
3. Предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;
4. Важни цели от широк обществен интерес;
5. Важен икономически или финансов интерес на ЕС или на държава-членка, паричните, бюджетните и данъчните въпроси;
6. Общественото здраве и социалната сигурност;
7. Защитата на независимостта на съдебната власт и съдебните производства;
8. Предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентирани професии;
9. Функция по наблюдението, проверката или регламентирането, свързана с упражняването на официални правомощия в определени от закон случаи;
10. Защитата на субекта на данните или на правата и свободите на други лица;
11. Изпълнението по гражданскоправни искове.

Чл. 31. За да се упражнят права, субекта на данните следва да подаде според желанието си и попълни Бланки-заявления по чл. 15, 16, 17, 18, 20 и 21 от Регламент (ЕС) 2016/679 до Управителите на Дружеството, съдържащи минимум следната информация:
1. Име, адрес, телефон и други данни за идентификация, като номер на договор за дадения казус или за друга услуга ако има казус;
2. Описание на искането;
3. Предпочитана форма за предоставяне на информацията;
4. Подпис, дата на подаване на искането/заявлението и адрес за кореспонденция. Подаването на искането/заявлението е безплатно и може да се изтегли според желанието от сайта на Дружеството. Може да изберете дали да го изпратите до адреса на управление на Дружеството: гр. София, 1766, ул. „Рачо Петков Казанджията“ 4, ет. 6, вх. Б или на адреса на териториалните офиси в страната, лично или чрез упълномощено лице, както и по електронен път на един от следните e-mail адреси: info@moneyplus.bg и/или dpo@moneyplus.bg. Ако упълномощено лице подава заявлението, към него се прилага изрично и нотариално заверено пълномощно. Ако заявлението се подава по електронен път се изисква да бъде подписано с електронен подпис. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД изготвя писмен отговор и го съобщава лично – срещу подпис или изпращайки го чрез куриерска фирма с обратна разписка, като се съобрази с предпочитаната от клиента форма на предоставяне на информацията, без ненужно забавяне. В случай, че „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД не отговори на искането за достъп до лични данни в предвидените срокове или клиента не е удовлетворен от получения отговор и/или счита, че са нарушени права, свързани със защитата на личните данни, има възможност да упражните правото си на защита по съдебен или административен ред.

ГЛАВА VII
ОБРАБОТВАНЕ НА СПЕЦИАЛНИ КАТЕГОРИИ ЛИЧНИ ДАННИ

Чл. 32. (1) Администраторът обработва специални категории лични данни, когато това се налага и произтича от закон.
(2) Условията за обработване на специални данни са:
1. Получаване на изрично писмено съгласие от субекта на данни за една или повече конкретни цели, освен когато законодателството на ЕС или националното законодателство предвижда, че забраната не може да бъде отменена от субекта на данните. Съгласието трябва да бъде дадено свободно, конкретно, информирано и недвусмислено и се ограничава само до обработването за целите, за които е дадено.
2. Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото и осигурителното право;
3. Обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните физически или юридически не е в състояние да даде съгласието си;
4. Обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
5. Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на право раздаващи органи;
6. Обработването е необходимо по причини от важен обществен интерес на основание правото на ЕС или националното законодателство, което е пропорционално на преследваната цел. В този случай се зачита същността на правото на защита на данните и се предвиждат подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;
7. Обработването е необходимо за целите на превантивната или трудовата медицина;
8. Обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно чл. 89, параграф 1 от ОРЗД, на основание правото на ЕС или националното законодателство.

Чл. 33. (1) Получаване на съгласие от дете се изисква, когато обработката на лични данни е свързана с дете на възраст под 16 години, а лицето, което носи родителска отговорност за детето, е предоставило съгласието си от родител/настойник;
(2) Оттегляне на съгласие от родителите на дете се извършва от лицето, което носи родителската отговорност за посоченото дете;
(3) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД доказва, че са направени разумни усилия, за да се установи автентичността на родителската отговорност от носещия родителската отговорност при даване и оттегляне на съгласието за определено дете.

ГЛАВА VIII
КАТЕГОРИИ ЛИЧНИ ДАННИ, КОИТО СЕ ОБРАБОТВАТ В „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД И ЦЕЛИТЕ ЗА КОИТО СЕ ОБРАБОТВАТ

Чл. 34. (1) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД обработва онези лични данни, които са необходими и свързани с дейността на Дружеството, като при това действа в качеството си на администратор или с администратор на лични данни. Независимо от причината, поради която се споделят личните данни, се препоръчва да не се разкриват чувствителна лична информация, като данни относно расов или етнически произход, религия, членство в синдикални организации, сексуална ориентация, здравословен статус и т. н., освен ако това не е необходимо условие, за да бъде предоставена услуга от страна на Дружеството.
(2) В „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД се обработват следните видовете лични данни:
  • Лични данни с цел идентификация и връзка с лицето – три имена, ЕГН, номер на документ за самоличност, гражданство, адрес и телефон, образец от подпис, клиентски номер, номер на банкова сметка, данни за законни представители и съдържащи се в пълномощни, семейно положение и родствени връзки, данни за месторабота и длъжност, данни за сертификат за онлайн банкиране;
  • Лични данни за финансово състояние – имотно състояние, кредитна задлъжнялост, размер на трудово възнаграждение, сключени застраховки, участие в търговски дружества, информация във връзка с използвани продукти на Дружеството;
  • Лични данни на свързани лица – семеен статус и родствени връзки; имена, адрес и имуществено състояние на свързани лица (поръчители, съдружници, членове на семейство); дружествени правоотношения по повод на участия в юридически лица;
  • Лични данни във връзка със специални законови изисквания – когато сме длъжни по закон, събираме данни за конфликт на интереси, за произход на средства, копие на документ за самоличност, данни за свързаност и др.
  • Лични данни при сключване на сделки по телефон – в допълнение на данните за идентификация се събира и запис на гласа и съдържанието на разговора с представител на Дружеството;
  • Други лични данни, които се разкриват – лични данни, съдържащи се във писма или съобщения до Дружеството, в жалби, оплаквания или сигнали.

Обработката на лични данни от страна на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД винаги, е необходима за постигането на някоя от следните цели:
  • идентификация на лицето и неговата представителна власт;
  • подготовка и изпълнение на договорно споразумение, сключено между Дружеството и субекта на данните (например във връзка с искане за отпускане или гарантиране на кредит, осъществяване на платежни операции; извършване на правен и финансов анализ, и съдействие с оглед предоставяне, поддържане и прекратяване на предлагани от нас продукти и услуги;
  • задължително обработване на данни по силата на законово задължение (за предотвратяване на изпирането на пари и финансирането на тероризма, изпълнение на определени данъчни задължения, предаване на данни и проверки в Централния кредитен регистър, НОИ, АПИС, НАП-здравни осигуровки и ИКАР);
  • за изпълнение на задължението ни да предоставяме информация на държавни органи и институции като БНБ, КФН, НОИ, НАП, ДАНС, КПКОНПИ, органи на съдебната система, на прокуратурата и др.;
  • за изпълнение на задълженията ни свързани с борба с измамите, при извършване на дейности по предотвратяване, откриване, подпомагане разследване на измами;
  • за защита на правата и законните интереси на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД при събиране на вземания (вкл. по принудителен ред чрез съдействието на съдебни органи, консултанти и частни съдебни изпълнители), произтичащи от договорни споразумения, сключени от и между „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД и субекта на данните – лично или в качествата му на законен представител, както и при решаване на спорове пред компетентния орган (съд, арбитраж, помирителна комисия, административни органи и др.), във връзка с дейността на Дружеството;
  • за управление на риска на основание легитимен интерес (данни за анализ, оценка, спазване на регулаторни и правни изисквания за капиталова адекватност, предотвратяване на измами, стратегическо планиране и управление на портфолиото на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД);
  • кредитна оценка и рейтинг, профилиране на клиентите; преценка дали отговарят на изискванията за отпускане на кредит по съответната програма за финансиране;
  • статистически анализи и оценки;
  • обработка на жалби;
  • осъществяване на контакт със субекти на данни и техни представители във връзка с банкова сметка, предоставена на Дружеството, във връзка с отправяне на важни съобщения и уведомления;
  • охрана на зони и помещения и контрол на достъпа – обработва се информация, представляваща лични данни чрез системи за видеонаблюдение; при провеждане на дейности в търговските офиси, както и при контрол на входовете и изходите от зоните, защитени от електронни системи за сигурност и контрол;
  • други цели, определени в клиентския договор или в съответните Общите условия за предлаганите от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД услуги (когато такива са налични);

(3) Обработването на лични данни е допустимо при наличие на поне едно от следните основания:
– Съгласие – Съгласието следва да е изрично, свободно изразено, конкретно и информирано съгласие за обработване на личните данни. Когато такова съгласие е необходимо и лицето реши да не го предостави, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД може да откаже предоставянето на съответния продукт/услуга, за който съгласието е било необходимо;
– Договор – Когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на лицето за сключване на договор, не предоставянето на данни ще доведе до невъзможност за Администратора да осигури услугите, за които е изявено желание;
– Законово задължение – На основание чл. 6, т.1, „б“ и „в“ от Регламент ЕС 2016/679, „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД обработва лични данни в качеството си на Администратор, за да спазва законовите си задължения, предвидени в Закона за кредитните институции, Закона за потребителския кредит, Закона за кредитите за недвижими имоти на потребители, Закона за мерките срещу изпирането на пари, Закона срещу финансирането на тероризма, Закона за задълженията и договорите, Гражданския процесуален кодекс, останалата приложима законова и подзаконова нормативна уредба, регламентираща дейността на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, както и действащото в страната финансово, данъчно и счетоводно законодателство;
– Легитимен интерес – Лични данни се обработват при спазване на чл. 6, т.1, от „б“ до „е“ от Регламент ЕС 2016/679, за целите на легитимния интерес на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД в случаите, когато се извършват дейности по борба с измамите, охрана и контрол на достъпа, аудио и видеонаблюдение, аудио и видео записване за целите на охрана, контрол на достъпа и борба с измамите, документиране на проведена комуникация; Когато се предоставят данни на трети страни: при изпълнение на законови или договорни задължения на Администратора, или на друго валидно правно основание; За одитни дейности, за оценка на кредитния риск; За проучване и подобряване на клиентското обслужване на Дружеството, както и целите на маркетингови и пазарни проучвания и анализи;
– Изпълнение на задача от обществен интерес – При изпълнение на задача от обществен интерес, възложена от орган, който изпълнява официални правомощия „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД може да оказва съдействие на държавен орган, като сподели лични данни с цел, предотвратяване или разкриване на престъпление.
(4) Лични данни, обработвани при посещение на интернет сайта Поддържаните от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД електронни страници в интернет използват т. нар. „бисквитки“, с цел оптимално и ефикасно функциониране. При посещение на интернет сайтове на Дружеството, автоматично се събира ограничен набор от лична информация.
(5) Лични данни, обработвани при посещение на място С цел защита на сигурността на лицата, посещаващи помещенията, ползвани от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, се прилагат мерки за физическа охрана, както и наблюдение с камери и контрол на достъпа при провеждане на дейности в офисите, при инкасо, както и при управление и контрол на потоците на входовете и изходите в Централно управление, защитени от електронни системи за контрол. Личните данни, които се обработват са: имена на посетителите, дата и час на достъп до сградата, както и видеоизображение. Тези данни се съхраняват с ограничен достъп и режим на сигурност.
(6) При сключване на сделки по телефон или чрез използване на имейл комуникация Когато се сключват сделки по телефон или чрез използване на имейл комуникация, Дружеството ползва услуги на телефонна централа от мобилен оператор, а разговорите и имейл комуникацията се записват. Когато защитаваме правата и легитимните си интереси и ако използваме услугите на външни консултанти, адвокати, преводачи, одитори, и др., им разкриваме онзи обем от лични данни, който е необходим, за да ни съдействат. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД не разкрива и разпространява лични данни за маркетингови или други цели на трети страни. В останалите случаи и доколкото това е необходимо, лични данни се предоставят единствено на наши доверени партньори – технически доставчици на маркетингови услуги и услуги по уеб дизайн, ИТ поддръжка, доставчици на куриерски услуги, за които сме се уверили, че спазват най-високи стандарти за сигурност на информацията и нейната поверителност. Предоставянето на данни на нашите партньори е необходимо, за да можем да подобрим функционирането на интернет страниците на Дружеството.
(7) Лични данни на лица, които не са клиенти В определени случаи „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД обработва лични данни на физически лица, които не са клиенти, така например:
  • Когато лицето предоставя обезпечение в полза на Дружеството – като в тези случаи събираме лични данни за това лице като имена, ЕГН, данни от документ за самоличност, данни за актуално местоживеене, данни за притежавано имущество, банкови сметки и финансова задлъжнялост;
  • Когато лицето посещава офис на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД (например като придружител) – ще го регистрираме като изискваме две имена и с кого желае среща, дата и час посещението;
  • Когато лицето е посочено като пълномощник/лице за контакт от клиент или служител на Дружеството;
  • Когато „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД е страна по договор, по който клиент е/представлява трето ползващо се лице – ще получим данни за трите имена, ЕГН, данни за номер на сметка, основание;
  • Когато информация за лицето ни бъде споделена от държавен/общински орган, наш клиент (и/или негов служител) или служител на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД;
  • Лични данни, обработвани при кандидатстване за работа;
  • Личните данни, които събираме в процеса на подбор, се използват само и единствено за идентификация на кандидатите с най-близък профил до изискванията за конкретната позиция. След приключване на подбора, предоставената информация се пази в срок от 6 (шест) месеца и се унищожава, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок;
  • Личните данни, които обработваме за целите на подбора, са: име, предишен професионален опит, информация за образование и придобити квалификации, както и друга информация, която е релевантна в конкретния случай и е свързана с конкретна кандидатура за работа.

(7) лични данни на клиенти за целите на директния маркетинг С подписването на декларацията клиента дава своето доброволно, изрично, информирано и недвусмислено съгласие „Мъни Плюс Мениджмънт“ ЕООД, в качеството му на Администратор на лични данни по смисъла на Закон за защита на личните данни и на чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Регламент (ЕС) 2016/679“), на основание чл. 6, параграф 1, буква „а“ от Регламент (ЕС) 2016/679 да обработва, включително и съхранява предоставените от клиента лични данни, а именно: лични данни относно физическата и икономическата му/и идентичност: име, презиме и фамилия, е-мейл, адрес и телефонен номер за целите на директния маркетинг – за предлагане на стоки и услуги на Дружеството по поща, по е-мейл, по телефон или по друг директен начин, за статистически проучвания и анализи на Дружеството (включително изпращане на оферти/ търговски съобщения и други във връзка с услугите на Дружеството.

ГЛАВА IХ
ВРЕМЕ ЗА СЪХРАНЕНИЕ НА ВАШИТЕ ЛИЧНИ ДАННИ ОТ „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД

Чл. 35. (1) „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД съхранява лични данни само за необходимия срок, за да постигне целите, посочени в настоящата Политика, както и когато по силата на Закон или международно споразумение е задължена или има право да ги съхранява за по-дълъг период. Срокът на съхранение определяме, като вземаме предвид няколко фактора, включително продължителността на предоставяне на услуги (например при отсрочване и предоговаряне на отпуснатия кредит), ако е необходимо с цел установяване, упражняване или защита на наши правни претенции (например за събиране на просрочени вземания), или дали имаме правно задължение да съхраняваме данните, сроковете са както следва:
– 5 (пет) години при изтичане на определените в Закона за задълженията и договорите, давностни срокове за предявяване на претенции;
– 5 (пет) години за отпуснатите кредити. Законът изисква от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД да съхранява основната информация за клиенти (включително данни за контакти, идентичност, финансови данни и данни за транзакции), като срокът започва да тече от началото на календарната година, следваща годината на прекратяването на сключения договор за потребителски кредит. Личните данни се съхраняват, както на хартиен, така и на електронен носител, включително копирани на резервни електронни копия (backup). След изтичане на горепосочения срок, предоставените от лични данни се заличават.
– 12 (дванадесет) месеца за отказани кредити. Личните данни ще се съхраняват от „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД, като срока започва да тече от депозиране на искането за потребителски кредит.
– 10 (десет) години по Закона за счетоводството за съхранение и обработка на счетоводни данни;
– 5 (пет) години по задължения за предоставяне информация на съд, компетентни държавни органи и др. основания, предвидени в действащото законодателство;
– 5 (пет) години за данните в документите за извършените сделки и операции, както и документите, свързани с установяване и поддържане на търговски или професионални отношения съгласно чл. 171. (1) от ДОПК. За клиентите срокът тече от началото на календарната година, следваща годината на прекратяването на отношенията, а за сделките и операциите – от началото на календарната година, следваща годината на тяхното извършване.
– 12 (дванадесет) месеца за данните получени от Национален осигурителен институт, след постигане на целта, за която същите са обработвани.
– 5 (пет) години за личните данни, обработвани с цел издаване на счетоводни/финансови документи за осъществяване на данъчно–осигурителния контрол. Данните може да се съхраняват след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство не предвижда по – дълъг срок – чл. 38 ЗСч и чл. 38 ДОПК.
– 10 (десет) години за личните данни, включени в счетоводни регистри и финансови отчети, документи за данъчен контрол, одит и последващи финансови инспекции, се съхраняват считано от 1 януари, следващ отчетния период, за който се отнасят. – 60 (шестдесет) дни за записите на телефонните разговори тяхното съхраняване и обработване на аудио записите (заедно с разкриваните в рамките на разговорите лични данни). Записите се извършват за целите на защита на правата и законните интереси на Дружеството и на неговите партньори. „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД съхранява аудио записите и за по-дълъг срок, например за целите на допълнително разследване на престъпления и инциденти. За горепосочените две цели видео и аудио записът се извършва с технически средства и системи без функционалности за автоматизирана обработка на личните данни (включително биометрични такива) на регистрираните в тях субекти, както и без такива за заличаване на лични данни на субектите в записа. Записите също така не гарантират пълното съответствие между самоличността на субектите в записа и субектите, които биха предявили своето право да получат копие от този запис, поради което и с цел защита правата на субектите, участващи в записа, изготвените записи не се предоставят на трети страни с изключение на случаите, когато за това е налице друго законово основание.
– Лични данни, за които липсва изрично законово/надзорно задължение за съхранение, ще бъдат изтривани и унищожавани след постигане на целите, за които личните данни са събрани и се обработват.

ГЛАВА Х
НАРУШЕНИЯ НА СИГУРНОСТТА НА ДАННИТЕ СРЕДСТВА ЗА ПРАВНА ЗАЩИТА СРЕЩУ НАРУШЕНИЯ

Чл. 36. (1) Всички служители на „МЪНИ ПЛЮС МЕНИДЖМЪНТ“ ЕООД са длъжни да докладват на ДЛЗД за всяко нарушение на сигурността на личните данни, свързани с нарушаване на: 1. Поверителността – когато има неразрешено или случайно разкриване на данни или на достъп до лични данни;
2. Достъпността/наличността – при случайна или неразрешена загуба на достъп или унищожаване на лични данни;
3. Интерниста – когато има неразрешено или случайно изменение на личните данни.
(2) При докладвано нарушение ДЛЗД предприема незабавни действия по действителното му установяване и анализ на възможните последици за отделните лица.

Чл. 37. (1) ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до Комисията за защита на личните данни без ненужно забавяне и не по-късно от 72 часа, след като е узнал за нарушението. При необходимост от провеждане на допълнителна проверка е необходимо получаване на съгласие от надзорния орган за срока и начина на предоставяне на допълнителната информация;
(2) ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до субекта на данни, който разполага със средствата за защита и може да търси отговорност за причинените му вреди по реда на Закона за защита на личите данни;
(3) В случаите на установяване на нарушение на сигурността на личните данни от обработващ, същият подава уведомление до администратора на лични данни за нарушение на сигурността в което описва естеството на нарушението, засегнатите данни и субекти, последиците от нарушението, предприетите технически и организационни мерки и изисква от администратора да посочи евентуални допълнителни мерки за сигурност;
(4) ДЛЗД документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него, като същевременно води отделен регистър, в който задължително се вписват:
1. Предполагаемото време или период на възникване;
2. Времето на установяване;
3. Времето на докладване и името на служителя, извършил доклада;
4. Последствията от инцидента;
5. Мерките, които са предприети за отстраняването им. Тази Политика се използва и прилага за Централно управление и търговските офиси на „Мъни Плюс Мениджмънт“ ЕООД. „Мъни Плюс Мениджмънт“ ЕООД има право да актуализира, като изменя и допълва Политиката за защита на личните данни по всяко време в бъдеще, когато обстоятелствата го налагат.

Политика за защита на лични данни

ОБРАЗЦИ на бланки за ползване на права по регламент 2016/679 на ЕС

Представителен пример: При сключен договор за заем с усвоена сума 600 лв. и срок за погасяване 6 месеца, общата дължима лихвата за посочения период на действие на договора за кредита ще бъде 74.13 лв. Общата дължима сума по договора за кредит, при условие, че кредитополучателя изпълнява точно всички свои задължения, определени в договора за кредит, ще бъде 674,13 лв., а ГПР (Годишен процент на разходите) е 49,35%. Минималните срокове на продукта CrediHelp е 3 месеца, а максималният – 12 месеца. Максималният ГПР е 50%.  

НАЦИОНАЛЕН ТЕЛЕФОН

Copyright © 2020