ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
НА БЪЛГАРСКАТА АСОЦИАЦИЯ НА ЛИЦЕНЗИРАНИТЕ ИНВЕСТИЦИОННИ ПОСРЕДНИЦИ
Настоящата Политика за защита на личните данни има за цел да осведоми членовете на Българската асоциация на лицензираните инвестиционни посредници
(БАЛИП) и техните ръководители и служители („членовете“), контрагентите, партньорите и служителите на БАЛИП, както и курсистите на БАЛИП (всички колективно обозначавани като „субекти на данни“), за това как БАЛИП третира личните данни на субектите на данни, с които БАЛИП има отношения, в качеството му на администратор на лични данни, а също и за това как субектите на данни биха могли да контролират своите предпочитания и настройки във връзка с това третиране. Основни цели на обработката на данни от БАЛИП е осигуряване на адекватна защита на личните данни и сигурност на данните при комуникация на БАЛИП със субектите на данни.
Какво регламентират тези Правила за защита на данните и на какво законово основание: От 25 май 2018 година в България започва да се прилага Общ регламент за защита на личните данни (GDPR). Той е приет от Европейския съюз и целта му е да уеднакви политиките на държавите-членки на ЕС, свързани със събирането и използването на лични данни.
Друга негова цел е да гарантира правото на гражданите на неприкосновеност, да защити личните им данни, за да даде повече сигурност срещу злоупотреби с личната информация. Събирането, обработката и съхраняването на данните от БАЛИП цели защита на личните данни на членове, контрагенти и партньори, и служители на БАЛИП и законосъобразното и съгласно изискванията за професионализъм предоставяне на услуги и осъществяване на дейности, в най-добър интерес на членовете и субектите на данни и реализация на членствени, търговски и трудовоправни отношения, въз основа на законовите изисквания, договорни разпоредби и/или предоставено от субектите на данни съгласие за обработка на личните им данни.
Новият регламент идва с редица изисквания и принципи, включително тези съгласно чл. 5 от GDPR, които БАЛИП спазва. Сред тях са:
- БАЛИП информира субектите на данни какви данни използва.
- БАЛИП информира субектите на данни защо ги използва.
- БАЛИП иска съгласието на субектите на данни, за да използва данните.
- БАЛИП дава възможност да се променя съгласието за различни цели.
- БАЛИП гарантира правото субектите на данни да поискат коригиране на данните, тяхното изтриване, както и лицата да „бъдат забравени“. В допълнение, БАЛИП може да предостави данните за сваляне или да ги трансферира, ако субектите на данни уведомят БАЛИП и се легитимират по съответните начини.
- БАЛИП посочва всички трети лица/други компании, с които обменя личните данни. Всички данни, благодарение на които може да бъде идентифициран даден потребител, се считат за лични данни. Такива могат да бъдат идентификационни и контактни данни като имейл, имената, дата и място на раждане, ЕГН или друг персонален идентификационен код, IP адрес, мобилен телефон, адрес на живеене и др.
Други данни, които БАЛИП може да събира са: данни за произхода на средства и партньорски бизнес отношения, данни, изисквани за целите на ЗМИП и ЗМФТ, данни за участие в обучителни събития, както и други лични данни, които не са задължителни за предоставяне от страна на субекта на данни при установяване на отношения с БАЛИП.
На уеб сайта на БАЛИП може да се събира и информация относно:
- Идентификатор на браузъра, с висока степен на уникалност;
- История на посетените страници, включително и вторична обработка, с цел установяване на предпочитанията към определени типове съдържание;
- История на направените от субекта на данни търсения в страницата на БАЛИП;
- Данни, събирани от прочитане на бисквитки. Когато потребителите използват услугите на БАЛИП от неговия уеб сайт – четат новини, гледат видео, използват мейл и други, сред данните, които помагат на БАЛИП да разбере как услугите му работят по най-добрия начин, са бисквитките. Те представляват малки текстови файлове, които се изпращат от уеб сървъра към използвания браузър и се съхраняват на устройството на субекта на данни, за да може сайтът да го разпознава. Има два вида бисквитки – постоянни и временни или „сесийни“ бисквитки. Постоянните бисквитки се съхраняват като файл на компютъра или мобилно устройство на субекта на данни за по-дълъг период от време. Сесийните бисквитки се съхраняват временно в компютъра на субекта на данни, когато посещава сайт на БАЛИП, но се изтриват в момента, в който се затвори страницата. Повечето бисквитки не съдържат чувствителна информация за субектите на данни или лични данни, с които може да се идентифицират пряко субектите на данни. Целите, за които се използват бисквитките, са най-основно следене на поведението на субекта на данни в следните направления:
- Проследяване на секции в сайта, които субектът на данни посещава;
- Колко време отделя в сайт;
- Колко време гледа дадено видео;
- Рекламите, които е видял и/или с които е взаимодействал;
- Кога посещава сайта на ИП.
Основни положения, свързани с бисквитките, които ползвателите на сайта на БАЛИП трябва да знаят:
1. БАЛИП използва бисквитки на сайта си, за да ви предостави най-добри условия за пълноценното му ползване. Вие можете да намерите повече информация на сайта за бисквитките или алтернативно – да ги изключите в настройките.
2. Информацията за бисквитките се запазва във вашия браузър и осъществява функции като разпознаването ви, ако вие се върнете на сайта и екипът на БАЛИП придобива представа кои раздели и рубрики от сайта вие намирате за най-интересни и полезни. Вие може да коригирате всички настройки за бисквитки, като отворите разделите в лявата страна.
3. Стриктно необходими бисквитки. Стриктно необходимите бисквитки трябва да бъдат по всяко време функционални, за да може екипът на БАЛИП да запази предпочитанията ви за настройките на бисквитките. Ако вие изключите тези бисквитки, екипът на БАЛИП няма да може да запази предпочитанията ви. Това означава, че при всяко влизане в сайта вие трябва да включите или изключите бисквитките.
4. Бисквитки на трети страни.
Този сайт използва Google Analytics, за да събира анонимна информация като брой посетители на сайта и най-популярни страници.
Ако запазите тази бисквитка, това помага на екипа на БАЛИП да подобри своя сайт.
Права на субектите на данни съгласно GDPR:
- Право на достъп до личните данни: субектът на данни има право да получи потвърждение от БАЛИП дали се обработват лични данни за субекта на данни и, ако случаят е такъв, има право на достъп до личните данни и информация.
- Право на поправка на лични данни: ако субектът на данни открие, че личните данни, които се обработват за него, са неточни, като субектът на данни има право да накара БАЛИП да коригира тези лични данни.
Право на изтриване на лични данни (правото „да бъдете забравени“): при определени обстоятелства, като например ако личните данни са обработени незаконно или е оттеглено съгласието (ако обработката на личните данни е базирана на съгласие), тогава субектът на данни има право да поиска и да получи изтриване на личните му данни. - Право на ограничаване на обработването: при определени обстоятелства, като например ако субектът на данни се съмнява в точността на личните му данни или е възразил на легитимната цел за обработка на личните данни, има право да поиска БАЛИП да ограничи обработката на личните данни, докато не бъде намерено решение.
- Право на възражение срещу обработването: при определени обстоятелства, като например ако субектът на данни се съмнява в легитимния интерес на БАЛИП да обработва личните му данни, има право да възрази по съображения, свързани с конкретната ситуация, срещу подобно обработване.
- Право на преносимост на данни: ако личните данни се обработват с автоматични средства по съгласие или с цел изпълнение на договорни отношения, субeктът на данни има право да поиска БАЛИП да му предостави личните му данни в машинно четим формат за прехвърляне към друг контрольор на данни.
Право на подаване на жалба в контролен орган: субeктът на данни има право да подаде жалба по отношение на обработката на личните му данни от БАЛИП в съответния контролен орган.
На кого се споделят и разкриват личните данни
БАЛИП не дава право на използване, не продава, не разкрива и не споделя информация за субектите на данни (лични данни по смисъла на GDPR) с други лица или с несвързани компании, освен когато това се налага, за да предостави заявени от суебктите на данни действия и когато субeктите на данни са предоставили разрешение, или в някоя от следните хипотези:
- Информацията се предоставя на доверени партньори и контрагенти, които работят по възлагане от страна на БАЛИП въз основа на договорни отношения и по силата на конфиденциални споразумения. Тези лица и компании могат да използват такава информация, за да има възможност БАЛИП да осъществява дейност, сключва сделки, провежда курсове за обучение на брокери и инвестиционни консултанти и предоставя улуги. Въпреки това тези лица и компании нямат правото самостоятелно да споделят тази информация. Тези лица и компании са, без изброяването да е изчерпателно: счетоводители, одитори, консултанти, преподаватели на курсовете за брокери и инвестиционни, които БАЛИП и Българската асоциация на управляващите дружества (БАУД) организират, БАЛИП в качеството му на съорганизатор на курсовете за брокери и инвестиционни консултанти (само членове на Управителен съвет, главен секретар и главен счетоводител на БАЛИП), системен администратор и др.
- Информация в изпълнение на законосъобразните предписания на съдебни разпореждания по легитимни заявки от оправомощени органи (по силата на Закона за електронните съобщения, Наказателно-процесуалния кодекс, Наказателния кодекс и др.), в т.ч. регулатори, съдилища, съдебни изпълнители, ДАНС, НАП, ЗЗЛД, нотариуси, синдици, ликвидатори и пр. други обработващи данни, като БАЛИП в такива случаи предприема действия да осигури такива обработващи данни да обработват данни за членове, контрагенти и партньори, служители и курсисти на БАЛИП съгласно нормативните изисквания, указанията на БАЛИП и при определени мерки за сигурност на данните.
Ако субектите на данни не искат БАЛИП да изпраща информацията към някои от контрагентите и партньорите на БАЛИП, може да оттеглят съгласие по следния начин: чрез електронна поща на адреса на лицето за контакт на БАЛИП.
Защита на информацията
Ако е приложимо, когато се съхранява информацията при БАЛИП, тя се запазва физически на собствени (вариант: на трети лица) сървъри, колокирани в центрове за съхранение на данните на територията на Република България.
При подбор на партньори на БАЛИП за сървърна колокация се прави детайлна проверка на тяхната сертификация.
БАЛИП ограничава достъпа до информация за субектите на данни от страна на служители на БАЛИП, освен в случаите, в които са налице разумни основания да оперират с тази информация с цел да се предоставят услуги или във връзка с изпълняваните работни задължения от тези служители.
Колко време се съхранява информацията?
Съхраняването на данните продължава, докато БАЛИП разполага с основание за тяхното съхранение.
Прилагат се следните срокове за съхраняване на различните типове лични данни според тяхната цел, а именно:
- Сключени договори – за срока на договора и 5 години след това.
- Фактури и платежни нареждания – 10 години от издаване.
- Ведомости – 50 години.
- За целите на измерване на потребителското поведение на сайта на БАЛИП – според периода на валидност на записването на съответната бисквитка;
- По отношение на графичните данни се прилага Законът за електронните съобщения и данните се съхраняват в рамките на 6 месеца. Тези данни се предават на специализираните органи и институции само при спазени законови разпоредби и с надлежно основание.
Организационни, физически и ИТ мерки за сигурност
БАЛИП гарантира в рамките на приложимите закони, че личните данни са защитени с подходящи технически и организационни мерки срещу неразрешен достъп, незаконна обработка или разкриване, случайна загуба, промяна или унищожаване. БАЛИП ще прилага организационни, физически, ИТ и други необходими мерки за сигурност, за да осигури защитата на личните данни и да следи обработката на клиентските данни. Тези мерки за сигурност включват, наред с другото, следните дейности:
- Прилагане от страна на БАЛИП чрез своите вътрешни правила на изискванията за обработка, регистриране и записване на лични данни, както и процедури за проверка на спазването на тези изисквания.
- Упълномощаване на служителите на БАЛИП да имат достъп в базите данни на субектите на данни само за необходимите данни, които биха били в съответствие с изпълняваните задачи.
- Налагане на задължение за поверителност на служителите на БАЛИП, обработващи лични данни.
- Забрана на неразрешена и незаконна обработка на данни (включително записване, промяна, заличаване, четене, копиране, (предаване), неразрешен пренос на записи и всякаква друга неразрешена употреба на данни.
- При предаване на данни чрез технически средства за предаване на данни или при превоз на записи се прилагат адекватни мерки за сигурност, включително кодиране на данни при необходимост.
БАЛИП разработва правила за архивиране, съхраняване и унищожаване на лични данни и документи, които съдържат такива данни.
Контакти:
Администратор: БАЛИП, ЕИК 121447087, адрес: София, ул. „Лъчезар Станчев“ № 5, Софарма Бизенс Тауър, ет. 12 13, тел. +359 895799585.
Лице за контакти: Евгений Жишев; e-mail: jichev@balip.bg
Приложение № 1:
1. Специфични правила за курсисти:
1.1. Преди да започне комуникация с курсистите, от същите трябва да се получи декларация, че дават своето съгласие БАЛИП да обработва личните им данни съгласно изискванията на Закона за защита на личните данни и Регламент (ЕС) 2016/679. Те също трябва да декларират, че са запознати с:
§ целта и средствата на обработка на личните данни;
§ доброволния характер на предоставянето на данните и последиците от отказа за предоставянето им;
§ правото на достъп, на коригиране и на изтриване на събраните данни;
§ получателите или категориите получатели, на които могат да бъдат разкрити данните.
1.2. На сайта на БАЛИП се публикуват тези правила, като се изброяват и правата на субектите на данни:
§ Право на достъп до личните данни: субектът на данни има право да получи потвърждение от БАЛИП дали се обработват лични данни за субекта на данни и, ако случаят е такъв, има право на достъп до личните данни и информация.
§ Право на поправка на лични данни: ако субектът на данни открие, че личните данни, които се обработват за него, са неточни, като субектът на данни има право да накара БАЛИП да коригира тези лични данни.
§ Право на изтриване на лични данни (правото „да бъдете забравени“): при определени обстоятелства, като например ако личните данни са обработени незаконно или е оттеглено съгласието (ако обработката на личните данни е базирана на съгласие), тогава субектът на данни има право да поиска и да получи изтриване на личните му данни.
§ Право на ограничаване на обработването: при определени обстоятелства, като например ако субектът на данни се съмнява в точността на личните му данни или е възразил на легитимната цел за обработка на личните данни, има право да поиска БАЛИП да ограничи обработката на личните данни, докато не бъде намерено решение.
§ Право на възражение срещу обработването: при определени обстоятелства, като например ако субектът на данни се съмнява в легитимния интерес на БАЛИП да обработва личните му данни, има право да възрази по съображения, свързани с конкретната ситуация, срещу подобно обработване.
§ Право на преносимост на данни: ако личните данни се обработват с автоматични средства по съгласие или с цел изпълнение на договорни отношения, субeктът на данни има право да поиска БАЛИП да му предостави личните му данни в машинно четим формат за прехвърляне към друг контрольор на данни.
§ Право на подаване на жалба в контролен орган: суебктът на данни има право да подаде жалба по отношение на обработката на личните му данни от БАЛИП в съответния контролен орган.
1.3. От курсистите се събират на този етап лични данни като име, е-мейл и IP адреси за нуждите на осъществяването на комуникация с тях и за целите на изпращане на съобщения, уведомления, отговори на запитвания и въпроси, графици, процедури за провеждане на курса и изпитите пред КФН и други материали и документи, свързани с курсовете, пробния изпит и изпитите пред КФН.
1.4. Курсистите се уведомяват, че личните им данни без тяхно съгласие няма да се предоставят на други получатели. Личните им данни като имена и е-мейл адреси могат да се предоставят на преподавателите на БАЛИП и БАУД, за да могат да изпълняват обучителните си функции, като в договорите с преподавателите се предвиждат клаузи за защита на личните данни на курсистите и конфиденциалност.
1.5. Когато и ако курсистите пожелаят да се запишат за курса и да извършат плащане на таксата, с тях се сключват договори, при което от тях може да се събират и други лични данни като ЕГН, детайли на банкова сметка, телефонен номер.
1.6. Фактурите и договорите се съхраняват на адреса на управление на БАЛИП или на друго място, определено от Председателя на УС на БАЛИП. Съобщения, уведомления кореспонденция и мейл листи се съхраняват от главния секретар.
2. Специфични текстове за служители:
2.1. Със служителите се сключват анекси към трудовите и граждански договори, в които страните се уговарят за защитата на личните данни и конфиденциалност. От служителите се събира информацията по т. 1.3 и 1.4, както и данни за осигурителен доход, стаж, образование и квалификация и други данни, свързани с трудовото, данъчно, осигурително законодателство.
2.2. Трудовите и граждански договори се съхраняват на адреса на управление на БАЛИП или на друго място, определено от Председателя на УС на БАЛИП.
3. Специфични текстове за контрагенти, партньори и преподаватели:
3.1. С контрагенти, партньори и преподаватели се сключват договори или анекси към съществуващи договори, в които страните се уговарят за защитата на личните данни и конфиденциалност.
3.2. От контрагенти, партньори и преподаватели се събира информацията по т. 1.3 и 1.4, както и данни за осигурителен доход и други данни, свързани с данъчното, осигурителното и търговското законодателство.
4. Специфични текстове за членове:
4.1. От членовете трябва да се получи декларация, че дават своето съгласие БАЛИП да обработва личните им данни съгласно изискванията на Закона за защита на личните данни и Регламент (ЕС) 2016/679. Те също трябва да декларират, че са запознати с:
§ целта и средствата на обработка на личните данни;
§ доброволния характер на предоставянето на данните и последиците от отказа за предоставянето им;
§ правото на достъп, на коригиране и на изтриване на събраните данни;
§ получателите или категориите получатели, на които могат да бъдат разкрити данните.
4.2. От членовете на УС на БАЛИП се дава съгласие да бъдат качени имената им и снимките им на сайта на БАЛИП.
4.3. За членовете на БАЛИП се прилага т. 1.3.
4.4. Личните данни като име, е-мейл и IP адреси се използват за осъществяване на комуникация с членовете, както и за целите на изпращане на съобщения, уведомления, проекти на писма и изпратени и получени от БАЛИП писма, становища, предложения и коментари по законодателни актове, за събиране на статистика и друга информация, свързана с управляващите дружества в качеството им на членове на БАЛИП, както и всякакви материали и документи, свързани с дейността на БАЛИП и функционирането на капиталовия и финансовия пазар.
4.5. Личните данни без съгласие на членовете няма да се предоставят на други получатели. За целите на вътрешна комуникация и обмен на мнения и контакти между членовете на БАЛИП и техните ръководители и служители („членове“) е-мейл адресите на членовете може да се изпращат до другите членове, като ще бъдат създадени групи, за да се ограничи ненужното изпращане на множество е-мейл адреси.
Приложение № 3: процедура за уведомяване на регулатора за нарушения и документиране на нарушения на сигурността на личните данни – прилага се процедурата по чл. 33 от GDPR.
Приложение № 4: техника за криптиране на е-мейли.
Предаването на информация чрез обичайната електронна поща не винаги е напълно защитено. БАЛИП ще полага усилия за защита на личните данни, но не е налице пълна гаранция за сигурността на личните данни, които се предават по електронната поща; изборът от клиента на БАЛИП за предаване на лични данни, получаване на потвърждения и отчетност е по собствен избор на клиента и на негов риск. След като получи информация за клиента, БАЛИП предприема процедури и технически мерки за сигурност и предотвратяване на неоторизиран достъп. Това може да включва криптиране на файлове, даване на персонален ключ на субекта на данни (чрез SMS или по друг способ), даване на пароли на файлове, изпращане на информация за пароли и други данни чрез сигурни мобилни приложения, уговорени с клиента, като Whatsapp, Viber или на ръка, както и други мерки и технологични решения).