Защита на личните данни

 

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИ ДАННИ

 

 „Адванс Терафонд“ АДСИЦ, със седалище и адрес на управление: гр.София, ул.“Златовръх“ №1, вписано в ТР на АВ към Министерство на правосъдието с ЕИК 131418187 (наричано по-нататък Дружеството) е администратор на лични данни, съгласно Регламент 2016/679 на ЕС и Закона за защита на личните данни.

Данни за контакт: 02/4008-332, e-mail: atera@karoll.bg

По силата на чл.18 от Закона за дружествата със специална инвестиционна цел „Адванс Терафонд“ АДСИЦ осъществява експлоатацията и поддръжката на придобитите недвижими имоти съгласно Договор за обслужване с „Карол Финанс“ ЕООД, ЕИК131421411 („Обслужващо дружество“). В тази връзка „Адванс Терафонд“ АДСИЦ се явява администратор на лични данни, които обработва със собствен ресурс или по силата на договорни отношения с Обслужващото дружество.

Събирането и обработването на лични данни се осъществява само при спазване на изискванията на местното и европейското законодателство. Всяко обработване на данни е свързано с определена причина и не може да се извършва без ограничение.

Настоящата Политика определя правата на акционерите и контрагентите при обработване на техните лични данни за целите на дейността на Дружеството и реда, по който могат да ги упражнят съгласно законодателството за защита на личните данни.

Ръководството и служителите, които обработват лични данни преминават периодични обучения за поверителност и се запознават с приложимото законодателство.

Операции, извършването на които изисква обработване на лични данни от „Адванс Терафонд“ АДСИЦ като администратор на лични данни и от „Карол Финанс“ ЕООД в качеството на Обслужващо дружество и обработващ лични данни за целите и дейността на „Адванс Терафонд“ АДСИЦ:

1.      При акционерно участие в Дружеството, личните данни се обработват на законово основание, в изпълнение на нормативните задължения, които се прилагат спрямо Дружеството.

2.      Като публично Дружество – емитент на ценни книжа, дружеството има задължение да идентифицира акционерите си във връзка с упражняване на техните акционерни права (напр. право на глас в общото събрание, право на дивидент, право на участие в увеличение на капитала и др.)

3.      Относно лицата  с достъп до вътрешна информация по смисъла на Регламент (ЕС) № 596/2014, техните данни се обработват на законово основание, в изпълнение на нормативните задължения, които се прилагат спрямо публичното Дружеството да води отчетност за тези лица.

4.      При сключване на договор с контратент за изпълнение или предоставяне на определена услуга, личните му данни се обработват на договорно основание, с оглед изпълнението на задълженията и упражняването на правата на Дружеството по договора. Тези лични данни обикновено включват имена, идентификационен номер и данни за контакт на представляващите лица, както и на други лица, посочени за контакт с оглед изпълнението на договора.

5.      Дружеството периодично предоставя по е-мейл на свои настоящи и бъдещи потенциални инвеститори официално оповестена вътрешна информация, за което те изразяват своето предварително съгласие.

6.      Поддръжката на данните в актуален вид изисква те да бъдат периодично актуализирани, коригирани, или потвърдени за тяхната вярност.

ТЕРМИНИ И ОПРЕДЕЛЕНИЯ, ИЗПОЛЗВАНИ В НАСТОЯЩАТА ПОЛИТИКА

 

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; Най-често събираните за горепосочените цели лични данни са: имена, ЕГН, адрес, имейл адрес, телефонен номер, банкова сметка, а в някои случаи и гражданство.

„Администратор“ на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на държава членка. 
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. 
„Обработване на лични данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. 

„Приложимо законодателство“ означава законодателство на Европейския съюз и на Република България, което е относимо към защитата на личните данни.

 „Субект на данни“ означава физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

„Регламент (ЕС) 2016/679“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), обнародван в Официален вестник на Европейския съюз на 4 май 2016 г.

I. ОБЩИ ПРАВИЛА И ПРИНЦИПИ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

Чл.1.  (1) Законосъобразност, добросъвестност и прозрачност - обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни.

(2) Ограничение на целитесъбиране на данни за конкретни, изрично указани и легитимни цели и забрана за по-нататъшно обработване по начин, несъвместим с тези цели.

(3) Свеждане на данните до минимумданните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването.

(4) Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването.

(5) Ограничение  на съхранениетоданните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки.

(6) Цялостност и поверителностобработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки.

(7) Отчетностадминистраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни.

 

II. ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

 

Чл.2. Субектите на лични данни имат следните права относно техните лични данни:

1. Право на достъп;

2. Право на коригиране;

3. Право на преносимост на данните;

4. Право на изтриване (право „да бъдеш забравен“);

6. Право да се иска ограничаване на обработването;

7. Право на възражение срещу обработването на лични данни;

8. Право на субекта на лични данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

 

Чл.3. Право на достъп

            (1) При поискване, „Адванс Терафонд“ АДСИЦ предоставя на субект на лични данни следната информация:

1.1. потвърждение дали Дружеството обработва личните данни на лицето или не;

1.2. копие от личните данни на лицето, които се обработват от Дружеството, и

1.3. обяснение относно обработваните данни.

(2) Обяснението по чл. 3, ал.1, т.1.3 включва следната информация относно обработваните от Дружеството лични данни и се предоставя на субектите на данни посредством уведомление за поверителност:

2.1. целите на обработването;

2.2. съответните категории лични данни;

2.3.получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

2.4.когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

2.5.съществуването на право да се изиска коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

2.6.правото на жалба до надзорен орган;

2.7.когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

2.8.съществуването или липсата на автоматизирано вземане на решения, включително профилиране, и информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;

2.9.когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции във връзка с предаването.

(3) При искане от субекта на лични данни, Дружеството може да предостави копие от личните данни, които са в процес на обработване.

(4) При предоставяне на копие от лични данни, Дружеството не може да разкрива следните категории данни:

4.1. лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това;

4.2. данни, които представляват търговска тайна, банкова тайна или конфиденциална инфор­мация;

4.3. друга информация, която е защитена съгласно приложимото законодателство.

Чл.4. (1) Предоставянето на достъп на субекти на лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на Дружеството.

(2) Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, Дружеството може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп.

(3) Дружеството преценява за всеки отделен случай дали дадено искане е явно неоснователно или прекомерно.

(4) При отказ за предоставяне на достъп до лични данни, Дружеството аргументира отказа си и информира субекта на данни за правото му да подаде жалба до КЗЛД.

Чл.5. Право на коригиране

(1) Субекти на данни могат да поискат личните им данни, обработвани от Дружеството, да бъдат коригирани, в случай че последните са неточни или непълни.

(2) При удовлетворено искане за коригиране на лични данни, Дружеството уведомява другите получатели, на които са били разкрити данните (например държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.

Чл.6. Право на изтриване (право „да бъдеш забравен“)

(1) При поискване от страна клиент, Дружеството е задължено да изтрие лични данни, ако е налице някое от следните основания:

1.1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

1.2.субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;

1.3.субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;

1.4.субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;

1.5.личните данни са били обработвани незаконосъобразно;

1.6.личните данни трябва да бъдат изтрити с цел спазването на правно задължение на Дружеството;

            (2) Дружеството може да откаже да изтрие личните данни, доколкото обработването е необходимо:

2.1.за спазване на нормативно разписано задължение на Дружеството;

2.2.за установяването, упражняването или защитата на правни претенции.

Чл.7. Оттегляне на съгласие:

(1)               В редките случаи, в които събиране, обработване и прехвърляне на личните данни за определена цел се извършва въз основа на съгласие, субектът на лични данни има право по всяко време да оттегли съгласието си относно този конкретен вид обработване. След като в Дружеството се получи уведомление, че съгласието е оттеглено, то ще престане да обработва за целта или целите, с които първоначално се е съгласил, освен ако не съществува друга основателна причина да извършва това по закон.

 

            Чл.8. Право на ограничаване на обработването

            (1) Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следното:

1.1.точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

1.2.обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

1.3.администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

1.4.субектът на данните е възразил срещу обработването на основание легитимния интерес на Дружеството и тече проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

(2) Дружеството може да обработва лични данни, чието обработване е ограничено, само за следните цели:

2.1. за съхранение на данните;

2.2. със съгласието на субекта на данните;

2.3. за установяването, упражняването или защитата на правни претенции;

2.4. за защита на правата на друго физическо лице, или

2.5. поради важни основания от обществен интерес.

(3) Когато субект на данните е поискал ограничаване на обработването и е налице някое от основанията по ал.1 по-горе, Дружеството го информира преди отмяната на ограничаването на обработването.

Чл.9. Правото на преносимост на данните

(1) Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Дружеството, в структуриран, широко използван и пригоден за машинно четене формат.

(2) При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо.

(3) Субектът на личните данни може да упражни правото на преносимост в следните случаи:

3.1. обработването е основано на съгласието на субекта на личните данни;

3.2. обработването е основано на договорно задължение;

3.3. обработването се извършва по автоматизиран начин.

(4) Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.

 

Чл. 10. Право на възражение

(1) Субектът на данните има право да възрази срещу обработване на негови лични данни от Дружеството, ако данните се обработват на едно от следните основания:

1.1. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

1.2. обработването е необходимо за цели, свързани с легитимните интереси на Дружеството или на трета страна;

1.3. обработването на данни включва профилиране.

(2) Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Чл.11. Право на възражение срещу лични данни за целите на директния маркетинг:

(1) Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг.

(2) Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

II. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВАТА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

 

Чл.12.  Субектите на лични данни могат да упражнят правата съгласно тази Политика като подадат искане за упражняване на съответното право.

 

Чл.13.  Искане за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:

1.1. По електронен път на следния имейл адрес: atera@karoll.bg

1.2. На място в офиса на Дружеството: гр. София, ул. Златовръх №1

1.3. По пощата на адреса на управление: гр.София, ул. Златовръх №1

 

Чл.14. Искането за упражняване на права на лични данни следва да съдържа следната информация:

1.1. Идентификация на лицето - име и ЕГН

1.2. Контакти за обратна връзка - адрес, телефон, електронна поща

1.3. Искане - описание на искането

 

Чл.15. Дружеството предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок до един месец от получаване на искането.

 

Чл.16. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.

 

Чл.17. Дружеството не е задължено да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните.

 

Чл.18. Дружеството може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.

 

Чл.19. Когато искането е подадено с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е посочил друг начин в искането си.

 

Чл.20. Всеки субект на лични данни има право да сезира Комисията за защита на личните данни при нарушение на правата му по Регламент (ЕС) 2016/679 и Закона за защита на личните данни в срок до една година от узнаване на нарушението, но не по-късно от пет години от извършването му.

 

Чл.21. Отделно от горното всеки субект на лични данни има право да обжалва действията и актовете на администратора и обработващия по съдебен ред по общите правила за подсъдност.

 

III.СПОДЕЛЯНЕ НА ЛИЧНИ ДАННИ

 

Чл.22. Дружеството предоставя обработваните от него лични данни в качеството му на администратор на държавни органи и органи по надзор в изпълнение на техни функции, възложени със закон, при осигуряване на необходимата степен на защита в зависимост от използвания метод.

 

Чл.23. (1) Предвид дейността на Дружеството, то сключва писмени споразумения с контрагенти за предоставяне и получаване на различни видове услуги, които се явяват обработващи лични данни или получатели на лични данни. При спазване на законовите изисквания е възможно Дружеството да разкрие предоставените лични данни на следните неизчерпателно изброени лица в качеството им на контрагенти:

1.   Посредници по силата на сключени договори за посредничество, адвокатски кантори или други доставчици на консултантски услуги, инвестиционни посредници, Централен депозитар, банки за обслужване на плащания, регистрирани одитори, доставчици на куриерски услуги. В случай, че Дружеството разкрие лични данни на някое от горепосочените лица, трябва да има основателна причина за това и въз основа на договорка получателите на личните данни да осигурят адекватно ниво на защита;

2.   Трети лица, на които по силата на закон е делегирало част от функциите си съгласно чл.18 от Закона за дружествата със специална инвестиционна цел;

3.   Други дружества в групата на „Карол“: Разкриване на лични данни в този случай се извършва при спазване на приложимото българско и европейско законодателство;

(2) Тези лица обработват или получават лични данни от името и/или по възлагане на Дружеството. Те нямат право да обработват предоставените им лични данни за цели, различни от изпълнението на работата, която им е възложена. Дружеството предприема необходимите мерки, за да осигури, че ангажираните обработващи и получатели на лични данни спазват стриктно законодателството за защита на личните данни, както и че същите са предприели подходящи технически и организационни мерки за защита на личните данни.  

IV. СРОК ЗА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ

Чл.24. Дружеството съхранява личните данни за период, не по-дълъг от необходимото за постигане на съответните цели. Данните се съхраняват при отчитане на сроковете за съхранение на счетоводна информация, данъчен контрол, давностни срокове (в това число и за предявяване на съдебни претенции). При определени обстоятелства, ако от Дружеството се изисква по-дълъг срок на съхранение по закон, е възможно лични данни да бъдат съхранени и за по-дълъг период.

V. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

Чл.25. (1) Личните данни, които Дружеството обработва са предмет на редица организационни, физически и технологични мерки, с които се стреми да гарантира сигурността на данните. Приети са необходимите вътрешни правила и политики, служителите и ръководството преминават периодично обучение и са запознати с изискванията относно защитата на личните данни, а обработването е сведено до минимума данни, необходим за постигане на съответните цели.

(2)   Дружеството не използва автоматично вземане на решения или профилиране.

(3)   Въведени са множество мерки за ефективното прилагане на принципите за защита на данните, включително, но не само:

  1. гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  2. мерки в случай на физически или технически инцидент за своевременно възстановяване на наличността и достъпа до личните данни;
  3. вътрешен процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, за да се гарантира сигурността на обработването;
  4. технически и организационни мерки за предотвратяване на случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

VI. ПОЛИТИКА ОТНОСНО БИСКВИТКИTE

 

Чл.26. На уеб сайта на Дружеството може да се събира и информация относно:

1.                  Идентификатор на браузъра, с висока степен на уникалност;

2.                  История на посетените страници, включително и вторична обработка, с цел установяване на предпочитанията към определени типове съдържание;

3.                  История на направените от субекта на данни търсения в страницата на Дружеството.

4.                  Данни, събирани от прочитане на бисквитки. Когато потребителите използват услугите на Дружеството от неговия уеб сайт - четат новини, гледат видео, използват мейл и други, сред данните, които помагат на Дружеството да разбере как услугите му работят по най-добрия начин, са бисквитките. Те представляват малки текстови файлове, които се изпращат от уеб сървъра към използвания браузър и се съхраняват на устройството на субекта на данни, за да може сайтът да го разпознава. Има два вида бисквитки –постоянни и временни или "сесийни" бисквитки. Постоянните бисквитки се съхраняват като файл на компютъра или мобилно устройство на субекта на данни за по-дълъг период от време. Сесийните бисквитки се съхраняват временно в компютъра на субекта на данни, когато посещава сайт на Дружеството, но се изтриват в момента, в който се затвори страницата. Повечето бисквитки не съдържат чувствителна информация за субектите на данни или лични данни, с които може да се идентифицират пряко субектите на данни. Целите, за които се използват бисквитките, са най-основно следене на поведението на субекта на данни в следните направления:

·         Проследяване на секции в сайта, които субектът на данни посещава;

·         Колко време отделя в сайт;

·         Колко време гледа дадено видео;

·         Рекламите, които е видял и/или с които е взаимодействал;

·         Кога посещава сайта на Дружеството.

 

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

 

§ 1. Настоящата политика е приета с протокол от заседание на Съвета на директорите на „Адванс Терафонд“ АДСИЦ, проведено на 09.05.2018г. 

§ 2. На настоящата политика се извършва преглед периодично, минимум веднъж годишно, като се актуализира при необходимост с решение на Съвета на директорите на „Адванс Терафонд“ АДСИЦ.