ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

ДЕКЛАРАЦИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

„Кредит Мол“ ООД („Дружество“, „Администратор“) осъзнава необходимостта от прилагането на адекватна защита на личните данни на субектите на данни, като се стреми да уважава неприкосновеността на личния живот. Настоящата Декларация за защита на личните данни („Декларация“) е създадена, за да помогне на субектите на данни да разберат по какъв начин и за какви цели Дружеството обработва, използва и защитава личните им данни.

За целите на своята дейност, Дружеството обработва лични данни в строго съответствие с Регламент (ЕС) 2016/679 („Общ регламент за защита на данните“, ‘GDPR’), Закона за защита на личните данни и други приложими нормативни актове и Декларацията.

С настоящата Декларация се предоставя информация относно:

Определения

Обхват на настоящата Декларация

Данните, които идентифицират Администратора и координатите за връзка с него

Категории лични данни

Субекти на данни, чиито лични данни се обработват

За какви цели се обработват личните данни

На какво правно основание се обработват личните данни

Получатели на личните данни

Сроковете за съхранение на личните данни

Права на субектите на данни и начин за упражняването им

Даване на съгласие и оттегляне на съгласие

Право на жалба до надзорния орган

Мерки за сигурност на личните данни

Определения:

„Лични данни“ означава всяка информация, свързана с конкретно физическо лице или физическо лице, което може да бъде пряко или непряко идентифицирано;

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства;

„Администратор“ означава „Кредит Мол“ ООД, което само или съвместно с други определя целите и средствата за обработването на лични данни;

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;

„Потребител“ означава физическо или юридическо лице, което е ползвател на услугите на Дружеството;

„Субект на данни“ означава потребител – физическо лице или представител на юридическо лице, когато се обработват негови лични данни;

„Посетител“ означава физическо лица, което достъпва до Интернет страницата без да ползва услугите на Дружеството;

„Интернет сайт/страница“ означава следният домейн – www.creditmall.bg;

„Услуга“ означава посочените на интернет страницата услуги за посредничество от Дружеството, включително изпращането на запитвания за оферти и консултации.

Обхват на настоящата Декларация

Настоящата Декларация за защита на личните данни се прилага в отношенията между „Кредит Мол“ ООД от една страна и потребителите, които ползват услугите на Администратора, от друга. Декларацията има за цел да информира субектите на данни за техните права в съответствие с чл. 12 и следващите от Регламент (ЕС) 2016/679.

Данните, които идентифицират Администратора и координатите за връзка с него

Администратор на личните данни е „Кредит Мол“ ООД с ЕИК 207154818, с адрес: гр. София, р-н „Лозенец“, бул. „Черни връх“ № 1, ет. 2, електронна поща: office@creditmall.bg, тел. +359 885 955 348. „Кредит Мол“ ООД е вписано като кредитен посредник в регистъра на кредитните посредници, регистрирано по реда на чл. 51 и следващите от Закона за кредитите за недвижими имоти на потребители, поддържан от Българската народна банка, с регистрационен номер BC1000104.

Категории лични данни

Дружеството събира пряко от субектите на данни следните категории лични данни:

• При кандидатстване за работа през секция „Кариери“ на интернет сайта:

Когато субект на данни кандидатства за работа в Дружеството, той предоставя данни, съдържащи се в неговата автобиография (CV) като: имена, дата на раждане, адрес по местоживеене, електронна поща, телефонен номер, образователна и квалификационна степен и други данни, включени в автобиографията по негова собствена преценка.

• При отправяне на искане към Администратора за консултация:

Субект на данни може да отправи запитване за консултация до Администратора през Интернет сайта с цел получаване на информация за Услугите на Дружеството и за кандидатстването за отпускане на кредит от кредитни институции. В този случай Администратора събира следните лични данни от субекта на данни: имена, телефонен номер и IP адрес. Субектът на данни попълва поле с пояснения, в което посочва искането си за консултация.

• При ползване на Услугите на Дружеството:

При ползване на Услугите на Дружеството от субект на данни, последният предоставя на Администратора имена, ЕГН/ЛНЧ, номер на лична карта, дата на издаването ѝ, местоживеене, телефонен номер, електронна поща, подпис и IP адрес. Предоставянето на Услугите може да се извърши чрез сключването на договор за посредничество между Дружеството и субекта на данни.

• При предоставяне на преддоговорна информация/оферти от кредитните институции:

За целите на предоставянето на преддоговорна информация/оферти от кредитните институции Дружеството събира от субекта на данни следните лични данни: три имена, ЕГН/ЛНЧ, местоживеене, електронна поща, телефонен номер, семейно положение, данни за месторабота/работодател и длъжност, данни за доходи, имуществено състояние и подпис. В съответствие с чл. 6, ал. 2 от Закона за кредитите за недвижими имоти на потребители Администраторът на лични данни изисква посочената информация от субекта на данни.

• При извършване на оценка за кредитоспособността на субекта на данни:

При извършването на оценка за кредитоспособността на субекта на данни от съответната кредитна институция и за целите на изработване на обвързващо предложение, субектът на данни предоставя следните категории лични данни: имена, ЕГН, паспортни данни, постоянен адрес и местоживеене, данни за семейно положение, данни за сключен граждански брак, данни за липса на данъчни задължения в съответствие с чл. 87, ал. 6 от ДОПК, данни за съдлъжник и/или ипотекарен длъжник, данни доказващи доходите като: служебна бележка от работодател, копие от трудов договор, данъчни декларации, счетоводни отчети, граждански договори, извлечения от банкови сметки, документи от НОИ относно осигурителен доход и пенсионни доходи и други данни за доходи от търговска дейност. На основание глава V от Закона за кредитите за недвижими имоти на потребители Дружеството може да изисква посочените лични данни от субекта на данни и да ги предоставя на съответната кредитна институция, чиято преддоговорна информация/оферта субектът на данни е избрал.

• При изпращане на запитване към Администратора през контактната форма на интернет страницата:

Когато субект на данни изпрати запитване до Администратора през контактната форма с него, находяща се на Интернет страницата, той предоставя имена, телефон, електронна поща, коментар към своето запитване и IP адрес.

• За Посетителите на Интернет страницата:

Посетителите могат да разглеждат интернет страницата и да ползват функционалностите ѝ съобразно осигурения им достъп. Администраторът събира IP адресите на Посетителите.

• Търговски партньори/контрагенти:

Дружеството обработва лични данни на търговски партньори/контрагенти или на техните представители за целите на търговската си дейност. В тези случаи Администраторът обработва лични данни като: имена, ЕГН, паспортни данни, адрес, телефонен номер, електронна поща, банкови сметки и подпис.

• Защита на правни интереси:

В случай на възникнали правни спорове Дружеството може да обработва следните категории лични данни на субекти на данни, а именно: имена, ЕГН, паспортни данни, електронна поща и други данни предоставени от субекта на данни, свързани с предоставяне на Услуги от Администратора на лични данни. 

• Маркетингови цели:

Администраторът може да обработва лични данни за маркетингови цели, когато е приложимо, включително чрез предоставяне на бюлетин на субекта на данни. В този случай той събира по подходящ начин от субектите на данни имена, електронна поща или телефонен номер. В случай, че субектът на данни желае да се абонира за бюлетина на Дружеството, той предоставя електронна си поща.

Когато лични данни са предоставени от субекта на данни на Администратора на лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването Дружеството ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.

Субекти на данни, чиито лични данни се обработват

Администраторът обработва лични данни на следните категории субекти на данни:

• Потребители;
• Посетители на Интернет страницата;
• Търговски партньори/контрагенти.

За какви цели се обработват личните данни

Дружеството обработва лични данни за следните цели:

• За целите на сключването и изпълнението на договор, по който субектът на данните е страна. Това включва случаите, но не само, при ползване на Услугите на Дружеството, при сключването на договор с търговски партньори/контрагенти;
• За предоставянето на консултации, преддоговорна информация и изготвяне на оценка на кредитоспособността на субекта на данни;
• За маркетингови цели и предоставянето на бюлетин;
• За защита на легитимни интереси на Администратора, включващи административни дейности като: правно обслужване и информационно обслужване и анализ на потреблението, информационна сигурност и други.

На какво правно основание се обработват личните данни

Дружеството обработва лични данни на субекти на данни въз основа на следните законосъобразни основания:

• Обработването е необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
• Обработването е необходимо за спазването на законово задължение, което се прилага спрямо Администратора. Такова задължение се съдържа в Закона за счетоводството, ДОПК, НПК, Регламент (ЕС) 2016/679, Закона за защита на личните данни, както и в изпълнение на Закона за кредитите за недвижими имоти на потребители и други;
• Обработването е необходимо за целите на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни;
• Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

Получатели на личните данни

Дружеството може да сподели лични данни на субекти на данни със следните категории получатели:

• Държавни институции и органи с властнически правомощия, когато по закон Администраторът е длъжен да предостави личните данни – МВР, ДАНС, НАП, КЗЛД, прокуратура и други;
• Търговски партньори на Администратора, в качеството им на обработващи лични данни, за поддръжка на информационната, доставчици на куриерски услуги, правни кантори, счетоводни кантори и други;
• Служители на Администратора, които обработват лични данни в съответствие с възложените им служебни/трудови функции съгласно длъжностна характеристика и трудов договор.

Интернет страницата на Дружеството може да включват линкове към уеб сайтове на трети страни, приставки и приложения. Кликването върху или активирането на тези връзки може да позволи на трети страни да събират или споделят данни за субекта на данни. Дружеството не контролира тези уеб сайтове на трети страни и не е отговорно за техните декларации за защита на личните данни. Когато субектът на данни излезе от Интернет страницата на Администратора на лични данни, той следва внимателно да прочете декларацията за защита на личните данни за всеки посещаван от него уеб сайт.

Дружеството въвежда подходящи технически и организационни мерки за защита, за да гарантира правата и свободите на субектите на данни в съответствие с принципа за „цялостност и поверителност“. По-специално Администраторът избира подходящи получатели, които са предприели необходимите гаранции за защита на предоставени им лични данни и с оглед на съществуващите рискове да осигурят съответното ниво на сигурност, включително когато е целесъобразно:

• Псевдонимизация и криптиране на личните данни;
• Способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
• Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
• Процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Администраторът може да предоставя лични данни в страни извън Европейския съюз. Предоставянето на лични данни в този случай може да се извърши при спазване на изискванията съгласно глава V от Регламент (ЕС) 2016/679 и приложимите международни споразумения между Европейския съюз и трети страни. За тази цел Дружеството може свободно да предава лични данни в страни извън Европейския съюз, за които има решение на Европейската комисия за адекватно ниво на защита на личните данни. Същото важи и за случаите, при които Дружеството е сключило договор със стандартни клаузи за предаването на лични данни на трети държави, приети с решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021г.

Срокове за съхранение на лични данни

„Кредит Мол“ ООД съхранява лични данни в съответствие с принципа на „ограничение на съхранението“. По-специално за горепосочените цели Дружеството ще съхранява:

• Лични данни на контрагенти се съхраняват в сроковете съгласно общата погасителна давност;
• Лични данни, съдържащи се в счетоводни документи, се съхраняват за сроковете, определени в Закона за счетоводството, Данъчно-осигурителния процесуален кодекс и други нормативни актове;
• Лични данни на потребители, които са сключили договор за кредит, се съхраняват за срока на договора за кредит и съобразно общата погасителна давност;
• Лични данни на потребители, които използват услугите на Дружеството, но не са сключили договор за кредит, се съхраняват докато се ползват услугите на Дружеството и съобразно общата погасителна давност;
• Лични данни предоставени въз основа на съгласие се съхраняват докато съгласието не бъде оттеглено.

Права на субектите на данни и начин за упражняването им

Субектите на данни, чиито лични данни се обработват от Администратора, имат:

• Право на достъп до лични данни, включително информация за:

- целите на обработването;

- съответните категории лични данни;

- получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни;

- когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

- съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

- правото на жалба до надзорен орган;

- когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

- съществуването на автоматизирано вземане на решения, включително профилиране, ако е приложимо.

Дружеството не извършва профилиране или автоматизирано вземане на решение.

• Право на коригиране:

• субектът на данни има право да поиска от Администратора да коригира без ненужно забавяне неточните лични данни, свързани с него.

• Право на изтриване (право „да бъдеш забравен“):

Субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

• личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• субектът на данните оттегля своето съгласие, върху което се основава обработването на данните;
• субектът на данните възразява срещу обработването;
• личните данни са били обработвани незаконосъобразно;
• личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
• личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

• Право на ограничаване на обработването:

Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

• точността на личните данни се оспорва от субекта на данните, за срок, който позволява на Администратора да провери точността на личните данни;
• обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
• субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 от Регламент (ЕС) 2016/679 в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните.

• Право на преносимост на данните:

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото личните данни са предоставени, когато:

• обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) от Регламент (ЕС) 2016/679 или на договорно задължение съгласно член 6, параграф 1, буква б) от Регламент (ЕС) 2016/679; и
• обработването се извършва по автоматизиран начин.

• Право на възражение срещу обработването.

Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е) от Регламент (ЕС) 2016/679, включително профилиране, основаващо се на посочените разпоредби.

Горепосочените права може да се упражнят като се изпрати заявление в електронна форма на office@creditmall.bg, подписано с квалифициран електронен подпис съгласно Закона за електронния документ и електронните удостоверителни услуги. Също така може да бъде подадено писмено заявление на място в офиса на Дружеството на адрес: гр. София, р-н „Лозенец“, бул. „Черни връх“ № 1, ет. 2.

Даване на съгласие и оттегляне на съгласие

Дружеството може да поиска съгласие от субектите на данни като законосъобразно основание за обработване на лични данни за една или повече цели. Някои от тези цели например може да бъдат за профилиране, свързано проследяване, поведенческа реклама или други. В тези случая Дружеството ще поиска съгласието на субекта на данни, за да има законово основание да обработва личните му данни, за което ще го извести своевременно по подходящ начин. Личните данни може да включват повече категории от изброените по-горе, като в съгласието изрично се посочват необходимите категории лични данни за обработване за съответната цел.

Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание на волята на субекта на данните. Съгласието може да бъде оттеглено по всяко време по начините, описани по-горе за упражняване на права от субектите на данни.

Право на жалба до надзорния орган

В съответствие с Общия регламент за защита на данните и Закона за защита на личните данни, субектите на данни имат правото да подадат жалба до Комисията за защита на личните данни на адрес: гр. София, бул. „Проф. Цветан Лазаров“ № 2.

Мерки за сигурност на личните данни

Администраторът предприема необходимите мерки за сигурност на личните данни. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в заключени шкафове в офиса на Дружеството, като само упълномощени лица имат достъп до тях. Данни в електронна форма се съхраняват при спазване на изискванията за информационна сигурност и ограничение на достъпа.