Политика за поверителност

I. Дефиниции
• 1. Лични данни са всяка информация, свързана с идентифицираното физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по едно или повече признаци, специфични за физическата, физиологичната, генетичната, умствената, икономическана, културната или социалната идентичност на това физическо лице
• 2. Администратор е Дружеството, когато то само или съвместно с други определя целите и средствата за обработването на лични данни. Дружеството няма да бъде администратор, когато то действа сато обработвещ лични данни.
• 3. Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
• 4. Получател на лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Понятието не включва публичните органи, които могат да получават лични данни в рамките на конкретното възнаграждение в съответствие с правото на Република България или на Европейския съюз. Получатели на лични данни са още и обработващите лични данни на Дружеството, както и лицата от трети държави, получаващи лични данни по силата на трансфер на лични данни.
• 5. Регистър с лични данни означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
• 6. Съгласие на субекта на данните означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изразяване или ясно потвърждаващо действие, което изразява съгласието му, свързани с неговите лични данни, за да бъдат обработени.
• 7. Нарушението на сигурността на личните данни означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до личните данни, които се предават, съхраняват или обработват по друг начин.
• 8. Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространение или друг начин, по които данните стават достъпни, поддържане или комбиниране, ограничаване, изтриване или унищожаване.
• 9. Други понятия – когато в настоящата Политика ще бъдат използвани понятията, чието значение не е изяснено в тази точка и евентуалното съображение по отношение на съответното значение, те ще бъдат тълкувани и тълкувани съгласно прилаганите нормативни актове.
При обработването на лични данни ”Лийз Ауто” ООД спазва всички приложими към дейността му нормативни актове по защита на личните данни, включително, но не само, Регламент (ЕС) 2016/679 („Регламент“) и Закона за защита на личните данни, защото за нас сигурността на личните данни на нашите потребители e от първостепенно значение.II. Принципи
• При обработка на лични данни Дружеството следва посочените по-долу принципи:
• 1. Законосъобразно, добросъвестно и прозрачно обработване на лични данни. С цел спазване на принципа на законосъобразност на обработването на лични данни следва да е изпълнено поне едно от следните условия: 1.1. субектът на данните да е дал съгласие за обработване на личните му данни за една или повече конкретни цели; 1.2. обработването да е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; 1.3. обработването да е необходимо за спазването на законово задължение, което се прилага спрямо Дружеството; 1.4. Обработването да е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице; 1.5. Обработването да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Дружеството; 1.6. Обработването да е необходимо за целите на легитимните интереси на Дружеството или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
• 2. Прозрачност - Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.
• 3. Личните данни се събират от Дружеството съобразно правилата, посочени в настоящата Политика.
• 3. Обработване на личните данни за конкретни, изрично указани и легитимни цели. - Личните данни не се обработват по-нататък по начин, несъвместим с горепосочените цели. Личните данни следва да бъдат подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
• 4. Сигурност и защита на личните данни - личните данни следва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
• 5. Поддържане на точността на личните данни - личните данни следва да бъдат точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват
• 6. Задържане на личните данни за срок не по-дълъг от необходимия за постигане на целите, за които се обработват данните – Дружеството съхранява личните данни във форма, която позволява идентифицирането на субекта на данните за период не по-дълъг от необходимото за целите, за които се обработват личните данни.
• 7. Когато Дружеството обработва лични данни за други цели, различни от тези, за които първоначално са били събрани личните данни, и когато такава обработка не се извършва въз основа на съгласието на субекта на данните или на правото на Република България или на Европейския съюз, Дружеството се уверява, че обработката за други цели е съвместна с първоначалната цел, за която са били събрани личните данни, като отчита всички връзки между тези цели и целите на предвиденото по-нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване, съгласно параграф 50 на Регламента за защита на личните данни и наличието на подходящи гаранции, включително криптиране и псевдонимизация, ако последната е приложима.
• 8. Отчетност - Дружеството носи отговорност и е в състояние да докаже спазването на горепосочените принципи.
III. Субекти на данни лични данни
• Дружеството обработва лични данни на следните категории лица:
• • Потребители на сайта, които подават запитване за оферта за лизинг;
• • Кандидати за лизинг, одобрили оферта за лизинг.
• Дружеството обработва личните данни на своите клиенти, до колкото е необходимо за: - възникване на правоотношение, изпълнение на задължение или упражняване на право по възникнало правоотношение; - след прекратяване на правоотношението, ако някои или всички дейности по обработване са наложени на Дружеството да бъдат извършвани по силата на закона или за целите на разрешаване на правен спор; - други основания, предвидени в нормативен акт.
• Дружеството гарантира, че всички негови клиенти, които получават лични данни от Дружеството по силата на правоотношение, ще осигурят поне минимално ниво на защита на личните данни.
IV. Лични данни, обработвани от Дружеството
• При извършване на дейсността си дружеството обработва следните данни:
• ● три имена;
• ● телефон за връзка;
• ● информация за доход;
• ● копие на лична карта;
• ● подпис
V. Основания за обработване на лични данни
• Всяко лице, което може да бъде идентифицирано въз основа на информация, притежавана от Дружеството, ще се счита за субект на лични данни. Основанията, на които Дружеството може да обработва лични данни, са както следва:
• 1. Съгласие
• Когато Дружеството обработва лични данни по силата на даденото от субекта на личните данни съгласие, последното следва да бъде дадено чрез ясен утвърден акт, с който се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страната на субекта на данните за обработка, свързани с неговите лични данни. За тези цели Дружеството може да използва:
• ● писмена декларация
• ● декларация, подадена по електронен път
• ● устна декларация
• ● отметка на полето при посещение на уебсайта на Дружеството
• ● избиране на технически настройки
• ● друго заявление, което ясно показва, че субектът на данните е съгласен с предложената обработка на неговите лични данни
• Дружеството няма да счита мълчанието, предварително отметнати полетата или липсата на действието като съгласие.
• Съгласието ще обхваща всички дейности по обработка, извършени за една и съща цел или цели. Когато обработката преследва повече цели, Дружеството ще следва да има получено съгласие за всички тях. Ако съгласието на субекта на данните трябва да се даде след търсенето по електронен път, Дружеството ще изпрати ясно търсене, което е сбито и не нарушава изключително използването на услугата, за която се предвижда.
• Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, Дружеството ще представи искането за съгласие по начин, който ясно да го отличава от другите въпроси, в разбираема и леснодостъпна форма, като използва ясен и прост език.
• Субектът на данни има право по всяко време да оттегли съгласието си. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.
• Преди да даде съгласие Дружеството информира субекта на данни за това. Дружеството осигурява, че оттеглянето на съгласие е също толкова лесно, колкото и даването му.
• Дружеството ще има право да обработва лични данни тогава, когато е необходимо за изпълнение на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключване на договор.
• 2. Законово задължение
• В случай че съществува едно или повече законови задължения, които се прилагат спрямо Дружеството в качеството му на администратор, Дружеството ще има право да обработва лични данни за изпълнение на конкретно законово задължение.
• 3. Жизненоважни интереси
• Дружеството ще има право да обработва лични данни на субекта на лични данни в случай, че е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице.
• 4. Задача от обществен интерес
• Ако обработването е необходимо, за да бъде изпълнена задача от обществен интерес Дружеството ще има право да обработва личните данни за целите на конкретната задача.
• 5. Легитимни интереси
• За целите на легитимните интереси на Дружеството то ще има право да обработва лични данни на конкретни субекти на лични данни, освен ако пред такива интереси преимущество имат интересите или основните права и свободи на субектите на данните, които изискват защита на личните данни, по-специално когато темата на данните е дете.
VI. Права на субекта на личните данни
• Съгласно настоящата Политика и действащото европейско и национално законодателство за защита на личните данни Субектът на данни разполага със следните права:
• 1. Право на информираност.
• Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:
• ● данните, които идентифицират Дружеството като администратор на данни и координатите за връзка с него;
• ● целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
• ● съответните категории лични данни;
• ● получателите или категориите получатели на личните данни, ако има такива;
• ● срока, за който ще се съхраняват личните данни,
• ● съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;
• ● правото на жалба до надзорен орган;
• ● съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
• Кoгато Дружеството възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, то предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено по-горе.
• Субектът на данни има право да получи потвърждение дали се обработват негови лични данни, достъп до тях и информация относно начина на обработването им и правата му във връзка с това. Такъв достъп може да осъществи по всяко време, чрез попълване на онлайн искане, което е поместено на Сайта на дружеството.
• 2. Право на коригиране.
• Субектът има право да иска коригиране на неговите лични данни, в случай че те са непълни или неточни. Посоченото право може да се упражни по всяко време чрез попълване на онлайн искане, което е качено на сайта на Дружеството
• 3. Право на изтриване (право „да бъдеш забравен“).
• Субектът има право да поиска изтриване на данни, освен в случаите, в които за тяхното обработване е налице съществено основание и/или законово задължение.
• С цел подсигуряване на надеждността на услугите и предпазване от загуба на данни по технически причини, в Сайта се прилага политика на резервираност на данните. Максималният период за актуализация (изтриване на данни) от всички резервни копия е 30 дни.
• 4. Субектът на данни има право да поиска ограничаване на обработването на лични данни, когато се прилага едно от следното:
• a) точността на личните данни се оспорва от субекта на данните, за срок, който позволява на Дружеството да провери точността на личните данни;
• б) обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• в) Дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
• г) субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
• Когато обработването е ограничено, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.
• Когато субект на данните е изискал ограничаване на обработването, Дружеството го информира преди отмяната на ограничаването на обработването.
• 5. Право за уведомяване на трети лица.
• В случай че е приложимо, Субектът има право да поиска от Дружеството да уведоми третите лица, когато то е предоставило лични данни на субекта, по отношение на коригиране, изтриване или ограничаване на обработването.
• 6. Право на преносимост на данните.
• Субектът има право да получи личните данни, които го засягат и които е предоставил, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от страна на Дружеството, в случай че обработването е основано на съгласие или договорно задължение или обработването се извършва по автоматизиран начин.
• 7. Право на оттегляне на съгласие.
• Субектът има право, по всяко време, да оттегли съгласието си, което е дал във връзка с обработването на лични данни на основание неговото съгласие. Такова оттегляне не засяга законосъобразността на обработването въз основа на даденото съгласие до момента на оттеглянето му.
• 8. Право на възражение.
• Субектът има право да възрази по отношение на данни, обработвани на базата на легитимен интерес.
• В случай на постъпване на такова възражение Дружеството ще разгледа искането на субекта на лични данни и ако е основателно, ще го изпълни. Ако Дружеството счита, че съществуват убедителни законови основания за обработването или че то е необходимо за установяването, упражняването или защитата на правни претенции, ще информирa субектът за това.
• 9. Право на жалба до надзорен орган.
• Субектът има право да подаде жалба до надзорния орган, ако счита, че обработването на лични данни, отнасящи се до него, нарушава приложимото законодателство по защита на личните данни. Надзорният орган в Република България е Комисията за защита на личните данни с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2.
• За да упражни Субектът горепосочените права, с изключение на правото да подаде жалба до надзорен орган, е необходимо да попълни искане – образец, поместено на Сайта на Дружеството.
• В случай че субектът упражнява тези права явно неоснователно или прекомерно, по-специално поради своята повторяемост, ”Лийз Ауто” ООД си запазва правото да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или да откаже да предприеме действия по искането.
VII. Цели при обработване на лични данни
• ”Лийз Ауто” ООД събира, използва и обработва информацията, описана по-горе, за целите, предвидени в настоящата Политика, които могат да бъдат свързани с/със:
• a. Действия, предхождащи възникването на правоотношение;
• b. Изпълнение на правоотношението;
• c. Прекратяване на правоотношението;
• d. Изпълняване на законови изисквания във връзка със съхранението, отчитането и предаването на документи, съдържащи лични данни и свързани с прекратеното правоотношение.
• e. Когато личните данни се обработват за целите на легитимния интерес на Дружеството, действията, които Дружеството извършва, се изразяват в съхраняване и анализиране на личните данни за целите на действия, предхождащи възникването на потенциално правоотношение, както следва:
• • за изготвяне и предоставяне на оферта за сключването на договора за лизинг на автомобил – идентификационните лични и личните данни за контакт се обработват, за да бъдат предоставени най-относими предложения на лизингови дружества;
• • информирането на субекта на лични данни за услуги, които Дружеството предоставя, с оглед потенциално сключване на договор за лизинг на автомобил.
• • сключване на договор за лизинг на автомобили
• • отправяне към субекта на лични данни на предложения и препоръки на базата на информацията, която е споделена с Дружеството в процеса по основната му дейност;
VIII. Съхранение на лични данни
• Личните данни се водят и съхраняват от Дружеството на хартиен и/или електронен носител на информация. При съхранение на личните данни на технически носител се спазват политиките и процедурите на Дружеството, съответно тези на Обработващия лични данни за информационно-техническа (ИТ) сигурност.
IX. Срок на съхранение на личните данни
• При съхранението на данни Дружеството прилага генералния принцип за съхранение на данни в минимален обем и за срок не по-дълъг от необходимото за изпълнение на договорите, подсигуряване на тяхната сигурност и надеждност и изискванията на закона.
• Регистрационни данни (като три имена, имейл адрес, телефон за връзка, информация за доход) – За целия период склчюения договор за лизинг и до 5 /пет/ години от прекратяване на договора.
• Копие на документ за самоличност (лична карта) – За целия период сключения договор за лизинг и до 5 /пет/ години от прекратяване на договора.
• Бисквити – До 6 /шест/ месеца от последното ползване на Услугите. За описание на използваните бисквити виж “Политика за използване на Бисквити”.
• В случай на възникнал правен спор или производство, налагащо запазване на данни и/или искане от компетентен държавен орган, е възможно запазване на данни за по-дълъг от посочените срокове до окончателно приключване на възникналия спор или производство пред всички инстанции. Посочените срокове могат да бъдат променени, в случай че бъде установено различно изискване за запазване на информацията съгласно действащото законодателство.
• Резервираност (Backup). С цел подсигуряване на надеждността на Услугите и предпазване от загуба на данни по технически причини, в Сайта се прилага политика на резервираност на данните. Максималният период за актуализация (вкл. изтриване на данни) на всички резервни копия е 30 дни.
X. Разкриване на лични данни
• Дружеството разкрива лични данни на трети лица по силата на законово основание.
• Дружеството може да разкрива лични данни на:
• - Държавни органи – когато е налице законово задължение и искане за разкриване, когато разкриването се налага с цел изпълнение на на едно или повече законови задължение или в друг предвиден от законодателството случай.
• - На държавни органи за целите на наказателното производство – когато Дружеството е задължено от правоохранителни органи да предостави лични данни за целите на образуване или при вече образувано наказателно производство, независимо от неговия характер. Разкриването в този случай следва да е в рамките и ограниченията, предвидени в действащото законодателство.
• - Разкриване на други администратори - Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по настоящия регламент, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността може да се посочи точка за контакт за субектите на данни. Горепосочената договореност, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данните. Независимо от условията на горепосочената договореност, субектът на данни може да упражнява своите права във връзка със защитата на личните данни по отношение на всеки и срещу всеки от администраторите.
• - Разкриване на обработващи лични данни - когато на обработващия се възлагат дейности по обработването, администраторът следва да използва само такива обработващи лични данни, които предоставят достатъчни гаранции, че ще предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Извършването на обработването от обработващ лични данни е уредено в Допълнително споразумение към Договор за...... от ......., който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни. Обработващият лични данни не включва друг обработващ лични данни без предварителното конкретно разрешение на Дружеството. В случаите на общо писмено разрешение от Дружеството, обработващият данни винаги информира Дружеството за планирани промени за включване или замяна за други лица, обработващи данни, като по този начин предоставя на Дружеството възможност да оспори тези промени.
XI. Отговорност на персонала при обработвне на лични данни
• Всички служители на Дружеството са отговорни за осигуряване на законосъобразното обработване и/или защита на личните данни. Служителите на Дружеството, които са обработващи лични данни и на които са възложени действията по обработката на личните данни, са потребители (получатели) на личните данни.
• Потребителите имат оторизиран достъп до определения регистър/и с лични данни, водени от Дружеството, необходим за изпълнението на техните задължения.
• Служителите обменят личните данни по между си при спазване на принципите за защита на личните данни, заложени в настоящата Политика.
XII. Точност на информацитята
• ”Лийз Ауто” ООД не носи отговорност за верността на предоставяните от Субекта данни, не извършва проверки в този смисъл и не гарантира действителната самоличност на физическите лица, предоставили данните.
• Във всички случаи на съмнения от страна на Субекта, на установена измама и/или злоупотреба, Дружествптп следва да бъде уведомено незабавно.
• Субектът се задължава при предоставяне на каквато и да е информация в Сайта да не нарушава правата на други лица във връзка със защитата на техните лични данни или други техни права.
XIII. Нарушения на сигурността на личните данни
• С оглед осигуряване на възможно най-добра защита на данните на, Дружеството прилага всички необходими организационни и технически мерки, предвидени в Общия регламент относно защита на данните и Закона за защита на личните данни, както и най-добрите практики от международни стандарти.
• За максимална сигурност при обработка, пренос и съхранение на личните данни, Дружеството може да използва допълнителни механизми за защита като криптиране, псевдонимизация и др.
• При случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин, освен предвидения в настоящата Политика, ще бъде налице нарушение на сигурността.
• С оглед осигуряване реализирането на правата на субекта на личните данни, залегнали в европейското и нациоалното законодателство, както и в изпълнение на задълженията на дружеството в качеството му на администратор на лични данни, Дружеството приема ПРОЦЕДУРА ПО УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ, в която подробно са описани мерките, които следва да бъдат предприети при нарушение на сигурността на личните данни.
• Бисквитки
• За функционирането на Сайта е необходимо ползването на бисквити. Във връзка с това е приета и Политика за използване на „Бисквитки“. Обработване на лични данни, събрани чрез проследяване на интернет потреблението, се извършва съгласно Политиката за бисквитките.