Политика за поверителност
Дружеството ни е с наименование „КРЕДИТ ДИЗАЙН“ ЕООД, ЕИК 206870437, със седалище и адрес на управление: гр. Бургас, ул. Александровска 16, ет.2 офис 21;
Какво представлява настоящата политика?
Ние осъзнаваме необходимостта от прилагането на адекватна защита за личните Ви данни. С настоящата политика искаме да Ви информираме за личните данни, които събираме, кой и как ще ги обработва, за какво ги използваме, за колко време ще ги съхраняваме, и какви мерки за защита сме предприели, за да ги пазим. Молим да се запознаете внимателно с настоящия документ преди да предоставите личните си данни.
Кой обработва личните Ви данни?
www.creditdesign.bg е уебсайт с фокус върху сделки с недвижими имоти и е собственост на „КРЕДИТ ДИЗАЙН“ ЕООД, ЕИК 206870437, наричано по-долу за краткост „Администратор“. Дружеството ни е управлява и представлява от Геновева Василева Михайлова.
Като „Администратор“ на личните Ви данни отговаряме за обработването и съхранението им съобразно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година (Общия регламент за защита на личните данни) и българското законодателство.
Връзка с Администратора може да бъде осъществена по някой от следните начини: Писмено на адреса на управление на дружеството или чрез предоставените от нас контакти на сайта ни, както и чрез контактната форма, достъпна чрез раздел „Контакти“ на уебсайта.
В кои случаи обработваме личните Ви данни?
Ние обработваме личните Ви данни единствено и само в случай че Вие сами ни ги предоставите. Ползването на информацията от уебсайта http://www.creditdesign.bg не изисква предоставянето от Ваша страна на лични данни. Въпреки това, уебсайтът съдържа опции, които позволяват: да се свържете с нас във връзка с необходимостта ви от кредитиране. В случай, че направите това „КРЕДИТ ДИЗАЙН“ ЕООД, ЕИК 206870437 обработва Вашите лични данни като Администратор.
Какви категории лични данни обработваме?
http://www.creditdesign.bg/ е сайт, чрез който може да се свържете с нас, в случай че имате намерение да ползвате банково кредитиране. Ако желаете да се възползвате от тази възможност, трябва да предоставите ваши данни чрез контактната ни форма и ние ще се свържем с Вас. Чрез попълването на формуляра за контакт Вие следва да ни предоставите двете си имена и електронната поща, а по желание и телефонен номер, на който можем да се свържем с Вас.
Какви са целите на обработката на личните Ви данни?
Обработваме личните Ви данни за следните цели:
За да Ви предоставим услугите, предлагани чрез сайта ни;
За да реализираме дейността си по кредитно посредничество;
За да отговорим на Вашите запитвания, отправени до нас чрез контактната ни форма;
За други цели, когато законодателството ни задължава да извършваме това обработване или когато сме получили Вашето изрично съгласие в тази насока.
На какви основания обработваме личните Ви данни?
Обработваме личните Ви данни, въз основа на някое от следните основания основания: дадено съгласие за обработка на лични данни за една или повече конкретни цели; обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора в лицето на „КРЕДИТ ДИЗАЙН“ ЕООД; обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни. При всички случаи, ще обработваме личните Ви данни, на основания, предвидени в чл. 6 от РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година.
Използваме ли бисквитки?
Сайта не използва бисквитки.
На кого можем да предоставим личните Ви данни?
Дружеството дава достъп до вашите лични данни на следните категории получатели, намиращи се в рамките на Европейския съюз.
a) Трети лица доставчици на услуги, на които са възложени дейности по обработването и които са надлежно назначени за обработващи лични данни, когато това се изисква от действащото законодателство, доставчици на спомагателни за или поддържащи услугите на „КРЕДИТ ДИЗАЙН“ ЕООД услуги и в този контекст лица, предоставящи IT услуги, експерти, консултанти и т.н.;
б) Свързани лица в качеството им на администратори или обработващи лични данни;
в) Компетентни органи с оглед спазване на приложимото законодателство.
Може да споделяме Вашите лични данни с горепосочените категории получатели, но само ако същите са предприели необходимите гаранции и мерки да осигурят съответното ниво на сигурност. Ние не прехвърляме предоставените ни лични данни от субектите на данни на трети страни извън Европейския съюз. Прехвърлянето на лични данни в този случай може да се извърши само след като предварително Ви уведомим писмено и посочим конкретното основание за прехвърлянето.
Колко дълго ще съхраняваме личните Ви данни?
Ние ще съхраняваме вашите лични данни за периода, необходим за изпълнение на целите, за които са били събрани данните, както е описано в тази Политика за поверителност.
В края на периода на запазване, вашите лични данни ще бъдат или заличени, или анонимизирани.Данните, събрани при първоначален контакт с лицето се съхраняват за период от 5 години. Данните, които са предоставени при подаване на обява чрез сайта ни се съхраняват за период от 5 години. При сключване на посреднически договор данните се съхраняват за период от 5 години след прекратяване на договора; Данните за местоположение се съхраняват за период от 5 години.
Какви права имате в качеството си на субект на лични данни?
Право на информация:
Всеки субект на данни има правото да изисква информация относно вида лични данни, обработвани от „КРЕДИТ ДИЗАЙН“ ЕООД, които го засягат лично. Тази информация следва да бъде предоставена независимо от мястото, където личните данни се обработват. Субектът на данни може да отправи всякаква подобна заявка за информация към Администратора. Администраторът, трябва да съдейства на субекта като му предостави, по възможност, обработваните за него лични данни в желания от него формат, който трябва да бъде структуриран, в широко използван и пригоден формат за машинно четене. Тази информация се предоставя на субекта съгласно приета от „КРЕДИТ ДИЗАЙН“ ЕООД Процедура за предоставяне на информация на субекта на лични данни.
Субектът на данни има право на информация за целите на обработване на личните му данни, която му се предоставя при събиране на личните му данни и при последваща промяна на целите на обработване.
Искане за корекция:
Ако съхраняваните лични данни са некоректни или непълни, субектът на данни може да изиска те да бъдат коригирани. Субектите на данни са отговорни за предоставянето на коректни лични данни на Администратора. В допълнение към това, субектът на данните следва да информира Администратора относно всякакви релевантни промени в личните му данни, като промени в адреса или името на субекта.
Ограничаване на използването:
Във всеки момент от обработването на личните данни, субектът на данни може да поиска от Администратора да ограничи използването на личните му данни за част или всички цели на обработването, за което субектът е дал съгласие.
Отказ на искане за информация, корекция или ограничаване на обработването на лични данни:
Ако искането за информация, корекция или ограничаването на обработването бъде отказано, субектът на данни ще бъде информиран относно причината за съответния отказ. Отказът се прави във вида на подаденото искане от субекта и следва да бъде мотивиран.
Право на изтриване („право да бъдеш забравен“)
Всяко лице има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да ги изтрие без ненужно забавяне. При упражняване на това право от страна на субекта на данни, Администраторът указва на субекта по какъв начин изтриването ще засегне отношенията между тях занапред. Искането се разглежда от отговорника за защита на лични данни в дружеството, който се произнася с мотивирано становище дали искането на Субекта е допустимо или не.
Право на възражение:
Всеки субект на данни има право да възрази срещу обработването на лични данни, отнасящи се до него. Администраторът прекратява обработването на лични данни, освен ако не докаже, че съществува законово основание за продължаване на обработването.
Освен това, всеки субект на данни има право да възрази, ако личните му данни се ползват за рекламни цели (директен маркетинг) или за цели, свързани с проучване на пазара или общественото мнение. В този случай личните данни следва да бъдат блокирани и да не бъдат използвани за съответните цели.
7. Оттегляне на съгласие за обработване на лични данни: Субектът на лични данни има право да оттегли съгласието си за обработване на личните му данни по всяко време с отделно искане, отправено до Администратора. Администраторът указва на субекта по какъв начин изтриването ще засегне отношенията между тях занапред.
8. Въпроси и жалби (средства за правна защита): Субектът на данни има право да подава жалби/искания до Администратора по въпроси, свързани с обработването на личните му данни, на които Администраторът реагира в съответствие с приета процедура (Процедура за начините на комуникация при жалби и искания от субекта на данни).
Сигурност на личните данни:
„КРЕДИТ ДИЗАЙН“ ЕООД, осигурява сигурността на личните данни съгласно принципите, заложени в ОРЗД/ЗЗЛД, като взема подходящи и достатъчни административни, технически и организационни мерки, за да осигури защита на данните от загуба, кражба, злоупотреба, както и от неоторизиран достъп, разкриване, промяна или унищожаване.
• Общи принципи, свързани с обработването и сигурността на личните данни:
Допустимост на обработването на данните: Обработването на лични данни е допустима единствено ако субектът на данните се е съгласил с това, ако е налице законово задължение за обработка на данните, при сключване или изпълнение на договор, когато е необходимо за защита на жизненоважни интереси на физическото лице или легитимният интерес на Администратора, при положение че той не противоречи на законните интереси на физическото лице. Допустимостта на обработването на личните данни е предпоставка за предаване на лични данни.
Съгласието следва да бъде декларирано в писмена форма или въз основа на други законово допустими средства, а субектът на данните трябва да бъде уведомен предварително относно целта на обработването и възможността за предаване на лични данни на трети страни. Върху предоставянето на съгласие се поставя акцент, когато се включва в други декларации, така че да бъде ясно за субекта на данните.
Предвидена цел: Лични данни могат да бъдат събирани единствено за изчерпателно изброените цели и не могат да бъдат обработвани за цели, различни от предвидените. Целта на събиране и обработване на данните трябва да бъде съобразена от Администратора при допълнително обработване и съхраняване на такива данни. Промени в целта са допустими единствено със съгласието на субекта на данните или ако това е разрешено от местното законодателство на съответната държава, от която са получени личните данни.
Икономия на данните: Обработването на лични данни трябва да бъде необходимо за предвидената цел. Наличните възможности за анонимизация или въвеждане на псевдонимизация за личните данни трябва да се използват на ранен етап, доколкото това е възможно и рентабилно за предвидената защитна цел.
Качество на данните: Личните данни трябва да бъдат фактически верни и, доколкото е необходимо, актуални. Администраторът предприема подходящи и разумни мерки за коригиране или изтриване на неправилните или непълни данни.
Сигурност на данните: Администраторът на данните въвежда подходящи технически и организационни мерки, за да осигури необходимата сигурност на данните. Тези мерки се отнасят в частност до компютрите (сървъри и работни места), мрежите и комуникационните връзки и приложения, като те са инкорпорирани в системата за управление на ИТ сигурността. Подходящи мерки се предприемат за защита на тези данни от изтриване по погрешка, неоторизирано изтриване или изгубване. Пълна информация е представена в Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.
Поверителност на обработването на данните: Единствено оторизиран персонал, който се е ангажирал да спазва изискванията за поверителност на данните, има право да участва в обработването на лични данни. На служителите е забранено да използват такива данни за лични цели или да ги предоставят на неоторизирани дружества и трети страни. Неоторизирани в този контекст означава и използването на лични данни от служители, които не се нуждаят от достъп до такива данни, за да изпълняват служебните си отговорности. Задължението за поверителност продължава да действа и след прекратяване на трудовите/гражданските/служебните правоотношения с Администратора.
Административни и технически мерки за защита на личните данни:
„КРЕДИТ ДИЗАЙН“ ЕООД, използва административни и технически мерки за защита на личните данни, които обработва чрез своите служители или предоставя за обработване на трети лица – обработващи на лични данни. Тези мерки се изразяват в следното:
Всички служители на Администратора са отговорни за гарантирането на сигурността при съхранението на данните, които обработват, както и за това, че данните се съхраняват сигурно и не се разкриват при каквито и да било обстоятелства на трети лица, освен ако Администраторът не е предоставил такива права на тези трети лица въз основата на писмен договор или клауза за поверителност.
Всички лични данни следва да са достъпни само за тези служители, обработващи лични данни, в чиито задължения е включено обработването на конкретните данни, а достъпът се осъществява само в съответствие с приетите вътрешни правила за контрол на достъпа (Процедура относно правилата и правата във връзка с контрола на достъпа до лични данни чрез технически средства).
С цел осигуряване на достатъчна защита на обработваните лични данни, „КРЕДИТ ДИЗАЙН“ ЕООД използва следните технически мерки (защита от вируси, защитна стена, опция за криптиране/шифроване).
Администраторът на лични данни приема вътрешни правила, с които се определят нивата на чувствителност на обработваните лични данни (информация), въз основа на които се създават отделни категории лични данни, които биват обработвани за конкретни цели. Отделните категории лични данни се обособяват в регистри с лични данни. С вътрешните правила се определя както редът за достъп до тези регистри, така и лицата, които имат право да ги достъпват, респективно обработват съхранените в тях лични данни.
Администраторът с вътрешен акт определя реда за контрол на отделянето на лични данни. Тези правила съдържат мерки, които да гарантират, че данните, събирани за различни цели, могат да се обработват отделно от оторизираните служители/лица.
Администраторът взема мерки, гарантиращи защитата на личната информация срещу случайно унищожаване или загуба.
Администраторът определя процедури за възстановяване на наличността на лични данни след физически или технически инцидент. С оглед изпълнение на тези задължения, Администраторът осигурява необходимите технически средства (сървъри, компютърна мрежа, облачно пространство), за които се предприемат защитните мерки по т. 8.3. от настоящия раздел.
Административни и организационни мерки за защита на личните данни:
„КРЕДИТ ДИЗАЙН“ ЕООД, приема процедурни правила, определящи мерките и реда за физически достъп и защита на личните данни, които са задължителни за всички служители, които извършват обработване на лични данни.
Администраторът определя защитени зони за съхраняване на физическите носители на лични данни, достъпът до които се определя съгласно процедурните правила по т. 9.1. от настоящия раздел.
Администраторът въвежда следните мерки за ограничаване на достъпа до физическите носители на данни, чрез поставени ключалки с високо ниво на защита на вратите на офиса на Администратора, както и на вратите, осигуряваща достъп до сградата, в която се намира офиса; заключване на шкафовете, в които се намират хартиените носители на създадените регистри.
Администраторът въвежда политика на „чистото бюро“, с която всички служители, които обработват лични данни се запознават и прилагат. Записите върху хартиен носител не трябва да се оставят там, където могат да бъдат достъпни за неоторизирани лица и не могат да бъдат изваждани от определените защитени помещения без изрично разрешение. Веднага щом хартиените документи вече не са необходими за текущата работа по обработване на лични данни, те следва да бъдат архивирани по съответния ред, а ако липсва основание за тяхното архивиране, следва да бъдат унищожени в съответствие със създадена за това процедура.
Личните данни могат да бъдат изтривани или унищожавани само в съответствие с приетата от Администратора процедура (Процедура за съхраняване и унищожаване на данните). Записите на хартиен носител, чиито срок за обработване е изтекъл, следва да бъдат нарязани (шредирани) и унищожени като „поверителни отпадъци“. Данните върху твърдите дискове на неизползвани персонални компютри трябва да бъдат изтрити или дисковете унищожени, съгласно въведените процедури.
Обработването на лични данни извън обектите на Администратора се осъществява съгласно съответните процедурни правила и е допустимо с изрично писмено съгласие на прекия ръководител на обработващия лични данни или на Администратора.
Отговорник по защита на данните:
„КРЕДИТ ДИЗАЙН“ ЕООД, назначава Отговорник по защита на личните данни (ОЗЛД). Отговорникът е служител на Администратора. Ролята на това лице е да следи за спазването на настоящата Политика в предприятието на Администратора и да гарантират възможността за доказване на съответствието на обработването на лични данни в съответствие със законодателството за защита на личните данни. ОЗЛД разработва и внедрява изискванията за защита на личните данни съгласно разпоредбите на настоящата Политика. ОЗЛД извършва управление на сигурността и риска по отношение на съответствието с настоящата Политика. ОЗЛД отговаря за администриране и обработване на исканията и запитванията, отправени от субекта на данни към Администратора. ОЗЛД дава необходимите разяснения на служителите на Администратора по повод спазване защитата на личните данни. ОЗЛД периодично изготвя и представя отчети на Администратора във връзка с прилагане на настоящата Политика, нормативните разпоредби, уреждащи защитата на лични данни, както и за съответствието на осигурената защита на личните данни в предприятието с нормативните изисквания в тази област.
Съхраняване, унищожаване и инвентаризация на лични данни:
А) Съхраняване:
„КРЕДИТ ДИЗАЙН“ ЕООД, не съхранява лични данни във вид, който позволява идентифицирането на субектите за период, по-дълъг от необходимия за осъществяване на обработването, за което е дадено съгласието на субекта на лични данни и с оглед на целите, за които са били събрани. Съхраняване на лични данни за по-дълъг период е допустимо и без изричното съгласие на субекта на данни, ако е предвидено в нормативен акт на вътрешното законодателство или на правото на Европейския съюз.
Администраторът може да съхранява данни за по-дълъг период от необходимия за извършване на обработването, за което е дадено съгласие и в случаите, когато личните данни ще бъдат обработвани за целите на архивиране в обществен интерес, научни или исторически изследвания и за статистически цели, и само при изпълнението на подходящи технически и организационни мерки за гарантиране на правата и свободите на субекта на данните.
Периодът за съхраняване на всяка категория лични данни, обособена в отделен регистър, се определя в приета от Администратора процедура (Процедура за съхраняване и унищожаване на данните). В тази процедура са посочени критериите, използвани за определяне на периода на съхранение, включително всякакви законови задължения вменени на Администратора по отношение съхранение на данните.
Процедурата за съхранение и унищожаване на данните, както и правилата за унищожаване на информацията върху физически носители се прилагат във всички случаи.
Б) Унищожаване:
Личните данни трябва да бъдат унищожени сигурно, съгласно принципа за гарантиране на подходящо ниво на сигурност. Спазването на процедурата е задължително с оглед гарантиране защитата срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане на данните, като се прилагат подходящи технически или организационни мерки.
В) Инвентаризация:
Администраторът създава процес на инвентаризация на данните като част от своя подход за справяне с възможните рискове при обработване на събираните лични данни. При инвентаризацията на данните и при тяхното обработване се извършва оценка на въздействието на риска на личните данни, чиято методология и елементи са уредени с приета от Администратора Методология за извършване на оценка на въздействието върху защитата на лични данни. Определянето на рисковете съгласно тази методология се прилага и по отношение на обработването, предприето от други организации от името на Администратора.
Администраторът управлява всички рискове, идентифицирани в оценката на въздействието, с цел да се намали вероятността от несъответствие с правилата, въведени с ОРЗД/ЗЗЛД. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да пристъпи към обработване, Администраторът следва да извърши оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. Една обща оценка на въздействието може да разглежда набор от подобни операции по обработване, които представляват подобни високи рискове.
Когато в резултат на Оценката на въздействието е ясно, че Администраторът ще обработва лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, трябва да бъде предадено за преглед от страна на ОЗЛД.
Ако ОЗЛД има сериозни опасения или относно потенциалната вреда или опасност, или относно количеството на съответните данни, то следва да изготви доклад до надзорния орган (КЗЛД).
ОЗЛД, прави периодичен преглед на първоначално инвентаризираните данни, преразглежда вписаната информация в „Регистъра на дейностите по обработване“ с оглед всякакви промени в дейностите на Администратора.
Как може да упражните правата си?
Всяко едно от изброените права, може да упражните като изпратите писмено уведомление отправено до Администратора. Заявлението може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис. Заявлението се подава лично от Вас или от упълномощено от Вас лице, освен ако специален закон не предвижда друго. Заявлението следва да съдържа име, адрес и други данни за идентифициране на съответното физическо лице, описание на искането, предпочитана форма за комуникация и действия по чл. 15-22 от Регламент (ЕС) 2016/679, подпис, дата на подаване на заявлението и адрес за кореспонденция. В случай че заявлението се подава чрез пълномощник, следва да бъде приложено и пълномощно.
Ако имате каквито и да било въпроси относно това как да упражните правата си, се обърнете към нас на g.mihaylova@creditdesign.bg.
Какво става, ако не сте навършили 18 години?
Ние не обработваме лични данни на лица, които нямат навършени 18 години. В случай че ни предоставите Вашите лични данни, Вие декларирате, че навършили 18 години.
Кога можем да променяме настоящата политика?
Администраторът си запазват правото да променя настоящата политика по всяко време, като я актуализира, допълва и изменя. За промените в настоящата политика, може да се информирате на g.mihaylova@creditdesign.bg.
Данни за контакт с отговорника на лични данни:
адрес: гр. Бургас, ул. Трайко Китанчев 47;
мобилен телефон: 0887 52 34 12
електронна поща: g.mihaylova@creditdesign.bg.