Приета с решение на Управителния съвет от 09.06.2016г., изменена с решение на Управителния съвет от 17.05.2018 г. и с решение на УС от 29.09.2022г.
I. Общи положения и определения
Чл. 1. Настоящата политика за защита на личните данни на „Българо-американска кредитна банка“ АД /Банката/ се прилага към Банката и дъщерните й дружества и се основава на изискванията и принципи за защита на личните данни приети с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679 или Общ регламент относно защита на данните).
„Българо-американска кредитна банка“ АД (БАКБ АД или Банката) вписана в Търговския регистър при Агенция по вписванията, ЕИК 121246419, със седалище и адрес на управление: гр. София 1000, район Средец, ул. „Славянска“ № 2 е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 и Закона за защита на личните данни.
В Банката е определено Длъжностно лице за защита на личните данни (Data protection officer) с адрес гр. София 1000, район Средец, ул. Кракра 16; e-mail: dpo@bacb.bg. Длъжностното лице по защита на личните данни отговаря на изискванията на Общия регламент за защита на личните данни и се отчита пряко пред Управителния съвет на БАКБ АД.
Чл. 2. По смисъла на Регламент (ЕС) 2016/679 (Общ регламент за защита на данните) и настоящата Политика, използваните в този документ определения имат следното значение:
(а) Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
(б) Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
(в) Регистър с лични данни означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
(г) Администратор е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на Република България, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз или в правото на Република България;
(д) Субект на данни - е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация, представляваща лични данни пряко или непряко;
(е) Легитимен интерес на БАКБ АД или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данни /клиент/, например с цел предотвратяване на престъпления включително измами, предотвратяване изпиране на пари и финансиране на тероризъм, други законосъобразни цели.
Чл. 3. „Българо-американска кредитна банка“ АД признава неприкосновеността на личността на физическите лица и полага усилия за защита срещу неправомерното обработване на личните данни на физическите лица. В съответствие с действащото законодателство Банката прилага съответните техническите и организационни мерки за защита на личните данни на физическите лица.
Чл.4. Тази политика за защита на личните данни на „Българо-американска кредитна банка“ АД има за цел да информира физическите лица за целите и основанията за обработване на личните данни, правата на субектите на данните, категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволен характер на предоставяне на данните, информацията за правото на достъп и правото на коригиране на събраните данни, съгласно изискванията на Закона за защита на личните данни.
II. Обработване на лични данни
Чл.5. „Българо-американска кредитна банка“ АД като администратор на лични данни обработва лични данни по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки при спазване на следните принципи:
(а) законосъобразно, добросъвестно и прозрачно по отношение на субекта на данните обработване на личните данни (законосъобразност, добросъвестност и прозрачност)
(б) Данните се събират за конкретни, легитимни цели и не се обработват по начин, несъвместим с тези цели („целесъобразност при обработване на личните данни и ограничение на целите“)
(в) пропорционалност и ограничение на обработване на личните данни във връзка с целите, за които се обработват данните („свеждане на данните до минимум“);
(г) точност и актуалност на обработване на лични данни.
(д) ограничение на съхранението за период, не по-дълъг от необходимото за целите, за които се обработват личните данни („ограничение на съхранението“)
(д) Обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“)
Чл. 6. „Българо-американска кредитна банка“ АД обработва лични данни само ако и доколкото е приложимо поне едно от следните условия:
(а) обработването е необходимо за изпълнение на договор с Банката, по който субектът на данните е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор.
(б) обработването е необходимо за спазването на законово задължение, което се прилага спрямо Банката в качеството й на администратор на лични данни.
(в) Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели. В случаите, когато личните данни се обработват единствено на основание дадено съгласие, субектът на данни има правото да оттегли съгласието си по всяко време. Оттегляне на съгласието от субекта на данни не е приложимо в случаите, когато обработването на данните е основано и на т. „а“ и „б“ по-горе.
„Българо-американска кредитна банка“ АД обработва личните данни самостоятелно или чрез възлагане на обработващи данните. Обработващи от името на Банката са и служителите на Банката, чийто права и задължения са надлежно регламентирани във вътрешните актове на Банката.
Чл. 7b Банката, като администратор не обработва лични данни разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическото лице, данни за здравословно състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, освен ако субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели.
III. Цел на обработване на лични данни.
Чл. 8. “Българо-американска кредитна банка“ АД като лицензирана кредитна институция обработва лични данни с цел предоставяне на банкови продукти и услуги и/или извършване на банкови и други търговски сделки съгласно Закона за кредитните институции, включително инвестиционни услуги и дейности по Закона за пазарите на финансови инструменти, с лицата, чиито данни се обработват /субекти на данните/ или с цел разглеждане на възможността за предоставяне на такива услуги на субектите на данните. Предоставянето на лични данни от лицата е доброволно. В случай на отказ от предоставяне на лични данни, „Българо-американска кредитна банка“ АД няма да предостави искания банков или инвестиционен продукт или услуга или да извърши съответната банкова или търговска сделка, доколкото обработването на лични данни в най-голям обем е в изпълнение на законово и нормативно установени задължения на Банката.
Чл. 9. Личните данни, които лицата предоставят на „Българо-американска кредитна банка“ АД при подаване на искане за предоставяне на банков продукт или услуга и/или извършване на банкови и други търговски сделки, се обработват с цел анализиране на това дали тези лица отговарят на условията за предоставяне на този продукт или услуга, както и с цел надлежна идентификация на страните по извършваните банкови и търговски сделки в изпълнение на законово и нормативно установени задължения за Банката.
Чл.10. Обработването на лични данни най-често е в изпълнение на нормативно-установени задължения на Банката, произтичащи от законови изисквания, регламентиращи банковата и друга съпътстваща търговска дейност, финансово-счетоводната дейност, дейностите по превенция на изпирането на пари и финансиране на тероризма, за целите на автоматичния обмен на финансова информация по смисъла на Данъчно-осигурителния процесуален кодекс, пенсионна, здравна и социално осигурителна дейност, дейността по управление на човешките ресурси, и др.
Чл. 11. Освен в случаите, когато е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни, обработване на личните данни е допустимо и когато е необходимо за изпълнение на задължения по договор с Банката, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор с Банката, предприети по искане на лицето или когато физическото лице, за което се отнасят данните, е дало изрично своето съгласие за обработването. Освен описаните случаи, обработване на лични данни на субекти на данни е допустимо при наличие на Легитимен интерес на БАКБ АД или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данни /клиента/, например с цел предотвратяване на престъпления включително измами, предотвратяване изпиране на пари и финансиране на тероризъм, други законосъобразни цели.
Чл.12. Личните данни на субектите се съхраняват в законоустановените срокове съгласно изискванията на приложимите специални закони.
Чл.13. Лицата, ненавършили 18 (осемнадесет) години са субекти на данни с право на по-високо ниво на защита на техните лични данни. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.
IV. Права на субектите на данни (клиентите физически лица, за които се отнасят данните)
Чл. 14. Право на информираност (във връзка с обработването на личните данни на субекта на данни от Банката - физическото лице, което е субект на данни, има право да получи информация* за Банката като администратор на лични данни, както и за обработването на личните му данни. Тази информация включва: данни, идентифициращи Банката както и негови координати за връзка, вкл. координатите за връзка с длъжностното лице по защита на данните; Целите и правното основание за обработването; Получателите или категориите получатели на личните данни, ако има такива; Намерението на администратора да предаде личните данни на трета страна/ трета държава (когато е приложимо); Срока на съхранение на личните данни; Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова); Информация за всички права, които субектът на данни има; Правото на жалба до надзорния орган. *Посочената информация не се предоставя, ако субектът на данни вече разполага с нея.
Чл. 15. Право на достъп до собствените си лични данни – субектът на данните има право да получи от Банката потвърждение дали се обработват лични данни свързани с него и ако това е така да получи достъп до данните и следната информация: Цел на обработване; Съответните категории лични данни; Получателите или категориите получатели на личните данни, ако има такива; Намерението на администратора да предаде личните данни на трета страна (когато е приложимо); Срока на съхранение на личните данни; Съществуване на правото на коригиране на лични данни, както и правото на възражение срещу обработване на лични данни; Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова); Информация за всички права, които субектът на данни има; Правото на жалба до надзорния орган.
Чл. 16. Право на коригиране на лични данни (ако данните са неточни) – субектът на данни има право да поиска от Банката да коригира без ненужно забавяне неточните лични данни свързани с него.
Чл. 17. Право на изтриване на лични данни (право „да бъдеш забравен“) - Субектът на данни може да поиска от Банката изтриване, ако е налице едно от следните условия:
➢ Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
➢ Субектът на данните оттегля своето съгласие, върху което единствено се основава обработването на данните и няма друго правно основание за обработването /обработване по силата на нормативно задължение на Банката, сключен договор с банката/;
➢ Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
➢ Личните данни са били обработвани незаконосъобразно;
➢ Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейски съюз или правото на Република България, което се прилага спрямо Банката в качеството й на администратор;
➢ Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.
Чл.18. Право на ограничаване на обработването от страна на Банката или обработващия лични данни – за възможността от използване на това право, са необходими конкретни условия, като:
➢ Точността/актуалността на личните данни се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който позволява на Банката а провери точността на личните данни;
➢ Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
➢ Банката не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
➢ Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Банката имат преимущество пред интересите на субекта на данните.
Чл.19. Право на преносимост на личните данни между отделните администратори - субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Банката, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Банката, на която личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от Банката към друг администратор, когато това е технически осъществимо.
Чл. 20. Право на възражение спрямо обработването на негови лични данни- субектите на данни имат право да възразят пред Банката срещу обработването на личните им данни, като Банката ще прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг Банката ще прекрати обработването незабавно.
Чл. 21. Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
Чл. 22. Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени – ако субекта на данни счете, че правото му на защита на личните данни и неприкосновеност е било нарушено, то може да подаде жалба пред съответния надзорен орган-Комисия за защита на личните данни или да търси правата си по съдебен ред.
V. Разкриване на лични данни
Чл. 23. “Българо-американска кредитна банка“ АД може да разкрива лични данни на следните категории лица:
(а) Лицата, за които се отнасят данните, а именно: лица, ползващи банкови услуги или продукти или подали искане за ползване на банкови услуги, както и лицата, които са страни по банкови и/или други търговски сделки и договорни отношения с Банката;
(б) Лица, които имат право на достъп до лични данни по силата на закон или други нормативен акт;
(в) Лица, за които правото произтича по силата на договор, сключен с Банката.
VI. Ред за упражняване на правата
Чл. 24. (1) При упражняване на правото си на достъп физическите лица, имат право по всяко време да поискат от “Българо-американска кредитна банка“ АД:
1. потвърждение за това, дали отнасящи се до тях данни се обработват от Банката, какви са целите на обработването, категориите данни и получателите на тези данни или категориите получатели, на които данните се разкриват;
2. Банката да изпрати до тях съобщение до тях в разбираема форма, съдържащо личните данни, които се обработват и всяка налична информация източника на тези данни;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до физическите лица, поне в случаите на автоматизирани решения по реда на Общия регламент за защита на личните данни и Закона за защита на личните данни;
(2) При поискване, “Българо-американска кредитна банка“ АД предоставя информацията по ал. 1 безплатно.
(3) Физическите лица имат право по всяко време да поискат от “Българо-американска кредитна банка“ АД да:
1. заличи, коригира или блокира техни лични данни, обработването на които не отговаря на изискванията на действащото законодателство
2. Банката да уведоми третите лица, на които са били разкрити личните данни на физическите лица за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни за Банката усилия.
Чл.25.(1) Физическите лица, упражняват правата си като подават писмено заявление до Банката, съдържащо минимум следната информация:
1. име, ЕГН, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията /устно или писмено- на хартиен носител или по електронен път/;
4. подпис, дата, адрес за кореспонденция и телефон.
(2) Подаване на заявлението е безплатно.
(3) При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.
(4) В случай на смърт на физическото лице, правата му се упражняват от неговите наследници като към заявлението се прилага и удостоверение за наследници.
Чл. 26. Заявлението се разглежда и Банката се произнася в 14-дневен срок, а когато с оглед събиране на данни и информация е необходим по-дълъг срок, искането се разглежда и Банката се произнася в срок до1 месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца. Банката информира субекта на данни за всяко такова удължаване в срок от 1 месец от получаване на искането като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.
Чл. 27. Банката предоставя отговор на заявителя като се съобразява с предпочитаната от заявителя форма на предоставяне на информация/устно или писмено- на хартиен носител или по електронен път/.
Чл. 28. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.
Чл. 29. В случай, че заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, заявителят има право да упражни правото си на защита.
VII. Информация за субекта на данни:
Администратор: Българо-американска кредитна банка АД
ЕИК: 121246419
Седалище и адрес на управление: гр. София 1000, район Средец, ул. „Славянска“ № 2
Телефон: 070014488
Е-mail: bacb@bacb.bg
Официален сайт: www.bacb.bg
Длъжностно лице за защита на личните данни в БАКБ АД: Лилия Милева
E-mail: dpo@bacb.bg
Надзорен орган: Комисия за защита на личните данни
Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон: +359 2 915 3519
Е-mail: kzld@cpdp.bg
Официален сайт: www.cpdp.bg
Заключителна разпоредба
Настоящата политика е приета с Решение на Управителния съвет на „Българо-американска кредитна банка“ АД от 09.06.2016г. и е изменена с решение на Управителния съвет от 17.05.2018 г. и решение на Управителния съвет от 29.09.2022г.
Настоящата Политика се прилага в дейността на БАКБ АД и на дъщерните й дружества.
