Защита на личните данни

Информация на ОББ АД за обработване на лични данни

Защитата на Вашите лични данни е важна за нас. Ние сме предприели необходимите организационни и технически мерки, за да обработваме личните Ви данни по законосъобразен, подходящ и прозрачен начин. В настоящата информация на ОББ за обработване на лични данни е пояснено какви Ваши лични данни ще обработваме, за какви цели и на какви основания, на какви получатели бихме могли да ги предоставим, за какви срокове ги съхраняваме.

Препоръчваме Ви да прочетете настоящата информация внимателно, за да научите повече подробности за начина, по който се обработват личните Ви данни в качеството Ви на клиент, потенциален клиент, лице, свързано с наш клиент, съконтрагент, лице за контакт, представляващ юридическо лице или друга заинтересована страна. Без значение за какви цели и на какви основания се обработват личните Ви данни, ОББ ще се отнася към тях с еднаква грижа. Настоящият документ съдържа също информация за Вашите права и начините, по които можете да ги упражнявате.

Възможно е ОББ да актуализира настоящата информация за обработване на лични данни, като последната й версия може да намерите на cyberstudy.ubb.bg. ОББ ще Ви уведоми за всички съществени промени в настоящата информация на интернет сайта си или чрез друг комуникационен канал.

Повече информация за българското законодателство относно защитата на личните данни можете да намерите на интернет сайта на Комисията за защита на личните данни: www.cpdp.bg

1. За компанията

ОББ АД (наричана по-долу ОББ/Банката), ЕИК 000694959, гр. София, бул. „Витоша“ № 89Б. За въпроси, свързани с обработването на лични данни, моля свържете се с лицето, отговарящо за защита на личните данни, на имейл dpo@ubb.bg.

ОББ АД е Администратор на лични данни и в качеството си на такъв осъществява своята дейност при стриктно спазване на изискванията на Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни с оглед осигуряване на поверителност и законосъобразно обработване на личните Ви данни.

ОББ АД е част от KBC Груп. KBC Груп е банково-застрахователна група от дружества, които в условията на сътрудничество създават и дистрибутират банкови, инвестиционни и застрахователни продукти и предлагат свързани с тези продукти финансови услуги.  Към КВС Груп в България принадлежат още и следните дружества: ДЗИ – Общо застраховане, ДЗИ – Животозастраховане, ОББ Асет мениджмънт, ОББ Интерлийз АД, ОББ – Застрахователен Брокер ЕАД,ОББ Факторинг ЕООД и ОББ – Център мениджмънт ЕООД. Основните целеви групи на KBC Груп са клиенти физически лица, малки и средни предприятия, и корпоративни клиенти. КВС Груп оперира основно в Белгия, Чехия, Словакия, Унгария, България и Ирландия.

В общия случай ОББ АД е администратор по отношение на личните данни на нейни клиенти.

Възможни са хипотези, в които ОББ действа в качеството на обработващ на лични данни за други администратори на данни, например:

–        Като застрахователен агент от името на други юридически лица в рамките на KBC Груп – ДЗИ – Общо застраховане, ДЗИ – Животозастраховане,

–        При продажба на продукти на ОББ Асет мениджмънт и КБС Асет Мениджмънт

В тези случаи, при осъществяване на съответната дейност ОББ АД обработва данните на застраховани лица и на клиенти, ползващи продуктите на ОББ Асет мениджмънт или КБС Асет Мениджмънт, като следва инструкциите на администраторите на личните данни.

2. Определения

а.  „Лични данни” е всяка информация, отнасяща се до физическо лице /Субект на данни/, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез идентификатор като: име, единен граждански номер, информация за местонахождение, пол,  адрес, телефонен номер, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

б. „Обработване на лични данни“ е всяко действие или съвкупност от действия, извършвани с лични данни чрез автоматизирани или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

3. Права на субектите на данните

В случай че Вие сте лице, чиито лични данни се обработват от ОББ, съгласно Общия регламент за защита на личните данни, в сила от 25.05.2018 г., Вие имате следните права, които можете да упражните като посетите офис на банката.

а. Право на достъп – По Ваше искане в качеството Ви на Субект на данните, Банката е длъжна да Ви предостави информация за категориите лични данни, свързани с Вас, които се събират и обработват от нея, както и за целите, за  които се обработват, за получателите или категорията получатели, на които се предоставят личните Ви данни, за източниците, от които са получени данните, извън случаите, когато  те са събрани директно от Вас.

б. Право на коригиране – по Ваше искане в качеството Ви на Субект на данни Банката е длъжна да коригира неточните и/или да попълни непълните лични данни, свързани с Вас. В такива случаи Банката уведомява всяка трета страна, на която са разкрити личните Ви данни, за всички корекции и допълнения на личните Ви данни.

в. Право на ограничаване на обработването на данни – по Ваше искане Банката може да ограничи обработването на данни, свързани с Вас, при наличие на някое от следните условия:

–        в случай че оспорвате точността на данните, които Банката обработва за Вас – за срок, необходим за проверка на точността им;

–        при установяване, че обработването на данните е незаконосъобразно, но желанието Ви е данните да не бъдат изтрити, а вместо това да се ограничи тяхното използване;

–        по Ваше желание, в случай че Банката не се нуждае повече от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на правни претенции;

–        Вие сте възразил/а срещу обработването съгласно член 21, параграф 1 от Общия регламент относно данните и очаквате резултатите от проверката за това дали  законният интерес на Банката има преимущество пред интересите Ви като субект на данните.

г. Право на изтриване („правото да бъдете забравен“) – по Ваше желание, Банката може да изтрие Ваши лични данни, в общия случай, когато липсва или е отпаднало основанието за тяхното обработване, или съществува законово основание за тяхното изтриване. Молбата Ви за изтриване на данните Ви може да бъде оставена без уважение, в случай че важни обстоятелства налагат продължаване на обработването. Преценката за това се прави индивидуално, за всеки отделен случай при отчитане на конкретните обстоятелства. В този случай Банката уведомява всяка трета страна, на която са разкрити личните Ви данни, за всички заличавания, които е направила, както и за случаите на преустановяване на обработването на личните Ви данни.

д. Право на преносимост на личните данни – В качеството Ви на Субект на данните Вие имате право да поискате да получите свързаните с Вас лични данни, които сте предоставили на ОББ, в обичайно използван, структуриран и пригоден за машинно четене формат, и имате право да предадете/прехвърлите тези данни на друг Администратор, без ОББ в качеството си на администратор на лични данни, на когото сте предоставили данните си, да Ви създава пречки, когато основанието за обработването на личните данни е съгласие или договорно задължение, и обработването на личните Ви данни се извършва по автоматизиран начин.

е. Право на възражение – В качеството Ви на Субект на данните, Вие имате право да подадете възражение срещу  обработването на Вашите лични данни, когато обработването на данните Ви е на основание законен интерес на Банката. ОББ разглежда възражението и Ви предоставя становището си в писмена форма в 30-дневен срок, освен ако не се налага удължаване на срока, за което Банката ще Ви уведоми своевременно. След разглеждане на възражението, Банката принципно преустановява обработването на личните Ви данни, и уведомява всички заинтересовани страни, на които са предадени личните данни, за постъпилото възражение и за предприетите мерки в тази връзка. В някои случаи обаче, Банката има неоспоримо законово основание да продължи обработването на личните Ви данни дори и след получаване на възражението Ви (например в случаите на съдебни дела, наблюдение при съмнения за измама и др.). В тези хипотези ОББ се свързва с Вас, за да Ви изясни причините, поради които ще продължи да обработва личните Ви данни. В случай че възражението Ви касае обработването на лични данни за директен маркетинг, Банката безусловно ще преустанови обработването им за тази цел.

ж. Право да оттеглите съгласието си за обработване на личните данни за целите, посочени в Декларацията за съгласие. Оттеглянето можете да извършите с подаване на Декларация за отказ по образец, предоставена в офисите на Банката.

з. Право на жалба до Комисията за защита на личните данни (КЗЛД) – В качеството Ви на Субект на данни имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД) срещу действия на ОББ във връзка с обработването на личните Ви данни.

В случаите когато като субект на данните упражнявате правата си, е необходимо да изготвите детайлно описание на искането си в подаденото до Банката заявление по образец, наличен във всеки банков клон от мрежата на ОББ. При упражняване на правата Ви е необходимо ОББ да провери самоличността Ви, за да не се окаже, че някой друг се опитва да се представи за Вас. За целта Банката може да Ви поиска лична карта или друг идентификационен документ, когато Ви предоставя исканата от Вас информация. Правата могат да бъде упражнени и чрез трето лице, което е изрично упълномощено да подава и да подписва документи от Ваше име като Субект на лични данни.

Вие можете да задавате в писмен вид различни по своето естество въпроси, свързани с обработването на личните Ви данни от Банката, както в обслужващия Ви офис, така и по електронен път на dpo@ubb.bg.

В случай че не сте съгласни със становището на ОББ по подаденото запитване или желаете да получите повече информация, моля посетете уеб страницата на Комисията за защита на личните данни: www.cpdp.bg, където бихте могли да подадете жалба.

В случаите когато ОББ е получила личните Ви данни от трети лица, напр., Централен кредитен регистър, поддържан от Българска Народна Банка (www.bnb.bg), или от ЕСГРАОН, поддържан от Министерство на регионалното развитие и благоустройство  и ги обработва за свои цели, Вие можете да подадете жалба срещу действията на тези трети лица директно до тях.

Упражняването на правата Ви не може да бъде противопоставено на предоставянето на личните Ви данни на компетентните органи за предотвратяване, разследване и разкриване на престъпления или за предотвратяване и разследване на изпирането на пари, ембарго и антитерористични действия.

4. Видове обработвани лични данни

ОББ може да обработва различни видове лични данни, свързани с физическата, социалната или икономическата Ви идентичност. Данните могат да бъдат получени от Вас като субект на данните, от трети лица, или могат да бъдат генерирани от Банката във връзка с обслужването Ви като клиент.

4.1. ОББ може да обработва различни типове данни, в зависимост от целта на обработването, като например:

А) Основни данни (Basic data)

За да Ви предложим стандартни продукти и услуги, сходни или свързани с ползваните от Вас /т.нар. basic marketing  – за повече информация виж т.6.4.к от настоящия документ/:

–        три имена

–         телефонен номер – мобилен/фиксиран/домашен/служебен

–         имейл адрес

–         постоянен адрес (улица, номер, пощенски код, град, държава)

–         настоящ адрес (улица, номер, пощенски код, град, държава)

–         информация за ползвани от Вас продукти в ОББ АД и други банки във връзка с кандидатстване за кредитни продукти, както и при ползване на услугата „Достъп до мои сметки в други банки“ 

Посочените данни са основните данни, които ОББ обработва, за да Ви идентифицира в качеството си на Ваша обслужваща банка. Банката ще използва само контактните Ви данни, за да Ви отправи  предложение за закупуване на стандартни банкови продукти, съответни на очакванията Ви, тъй като има интерес да Ви оферира в качеството си на Банка.

Б) Разширени данни (Extended data):

Банката може да обработва някои или всички от посочените по-долу категории разширени данни („Extended data”) за постигане на описаните по-долу цели, единствено когато разполага с основание за това. 

а) за да Ви идентифицира:

–        три имена

–        място на раждане/държава

–        дата на раждане

–        националност (гражданство)

–        пол

–        категория на управление (шофьорска книжка)

–        постоянен адрес (улица, номер, пощенски код, град, държава)

–        настоящ адрес (улица, номер, пощенски код, град, държава)

–        един предходен (стар) адрес

–        данни от лична карта/ друг документ за самоличност (паспорт/шофьорска книжка)

–        клиентски номер

–        номер от национална регистрация/ЕГН

–        данъчен номер/данъчен адрес

–        IP адрес на компютър, от който се достъпват банкови сметки

–        месторабота

–        Вашата квалификация, занятие и професионален опит, както и източник на доходи

–        рисков профил

–        Вашето семейно положение

б) за да се свържем с Вас:

–         телефонен номер – мобилен/фиксиран

–         имейл адрес

–         постоянен адрес (улица, номер, пощенски код, град, държава)

–         настоящ адрес (улица, номер, пощенски код, град, държава)

–         подобни данни на лица за контакт, свързани с Вас.

в) за да Ви предостави правилна консултация и услуги:

–         Вашите продукти, номера на сметки, Вашите финансови продукти (плащания, кредити, застраховка, спестявания, инвестиции)

–         движение и салдо по Вашите сметки – този тип данни ще бъдат обработвани, съгласно изискванията и ограниченията на приложимото законодателство.

–         Вашият потенциален интерес към продукти на ОББ

–         История на данните за Вашата финансова информация и консултация, която сме Ви давали в миналото

–         Вашият клиентски профил, създаден въз основа на информация за платежни операции, транзакции по Ваши сметки, във Вашия инвестиционен портфейл, с Вашата карта, баланси и салда по сметки и др.), ОББ може да анализира Вашето поведение и да идентифицира Вашите нужди. Банката може да използва този профил, за да анализира по-ефективно кои банкови и/или застрахователни продукти са най – подходящи за вас.

–         Вашето семейно положение, членове на Вашето домакинство

–         Вашето финансово състояние – ОББ може да Ви предложи по-подходящ съвет, ако е наясно с Вашето общо финансово състояние (Вашите общи активи, имущество, доход и др.).

–         Данни за Вашата кредитна задлъжнялост, събрани от информационните масиви на Централния кредитен регистър (ЦКР), както и данни за размера на осигурителния Ви доход, за осигурителя и друга информация за осигурителния Ви статус, получени от Националния осигурителен институт (НОИ). Данните са необходими на Банката, за да прецени кредитоспособността Ви, за да Ви бъдат предлагани подходящи банкови продукти и услуги.

–         Вашата квалификация, знания и професионален опит, заемана длъжност.

–         Вашето здраве – в качеството на обработващ от името на ДЗИ – Общо застраховане или ДЗИ –  Животозастраховане ОББ може да обработва  информация  във връзка със сключени застраховки (например, за да сключи застраховка „Живот“). Прилагат се строги процедури за обработването на тази информация в обема, необходим за постигане на целта на обработването и при наличие на валидно правно основание за това. Като страна по Групови застрахователни полици, сключени с ДЗИ, ОББ АД действа в качеството си на застраховащ за целите на сключване на конкретния застрахователен договор, респективно като администратор на лични данни на застрахованите лица – клиенти на Банката, които предоставя на застрахователя.

Възможно е във връзка с преструктуриране и отсрочване на Ваши задължения по кредити за периода на извънредно положение, обявено с решение на Народното събрание на Република България във връзка с пандемия на COVID-19 ОББ да обработи лични данни за Вашето здравословно състояние, но само след предоставено от Вас изрично писмено съгласие за обработване на данните Ви за конкретната цел.

–         Обратна връзка, коментари и предложения, предходни оплаквания. Те определено могат да помогнат на ОББ да Ви предложи по-добро обслужване в бъдеще.

4.2. Публични данни и данни, придобити чрез трети лица

ОББ понякога обработва публична информация, като например:

–         от официални публични регистри (напр. Търговски регистър, Лакорда, Апис), които носят отговорност за съхранението на тази информация по законен ред. Публичните данни могат да бъдат обработвани за целите, изброени от ОББ в този документ, за да се провери точността на информацията в базата данни на Банката.

–         ОББ може също да получава Ваши лични данни от трети лица – клиенти, контрагенти, партньори или служители на Банката:

  • от членове на Вашето семейство, напр. при деклариране на обстоятелства, които биха могли да представляват конфликт на интереси, при събиране на просрочени вземания;
  • от кредитни посредници за изготвяне на предложение за кредит или
  • от свързани с Вас лица съгласно § 1, т. 4 и т. 5 от Допълнителните разпоредби на Закона за Кредитните институции лица,
  • от кредитоискатели, когато ипотекарните длъжници не сключват договор за кредит, а данните им са необходими за изготвяне на ипотечните договори;
  • от администратори на Банката във връзка с деклариране на конфликт на интереси съгласно чл. 51 от Закона за кредитните институции;
  • от клиенти юридически лица – в случаите на изплащане на трудово възнаграждение на служители на юридическото лице, дивиденти на акционери в юридическото лице и др.
  • от клиенти на застрахователен продукт, присъединени по групова полица, сключена между ОББ и застрахователно дружество – в случаите на застраховане на трето физическо лице от страна на клиент;

4.3. Местоположение/локация

В случай че желаете да посетите офис на ОББ или искате да си насрочите среща със служител на ОББ, данни за Вашето местоположение ще бъдат използвани, за да намерите най-близкия офис на ОББ или за да си уговорите среща представител на Банката. Тези данни се обработват единствено, ако разрешите достъп до Вашата локация на ползваното от Вас устройство (компютър, мобилен телефон, таблет и т.н.). В случай че не желаете ОББ да обработва данни за Вашето местоположение, молим да промените настройките на Вашето персонално устройство.

4.4. Телефонни обаждания

При осъществяване на основната си дейност Банката може да записва и прослушва разговорите с Вас. Подобни действия се налагат с цел обезпечаване сигурността на процесите, доказване на дадени от Вас указания, обучение на персонала, както и подобряване на качеството на продуктите и услугите. Записите на телефонните разговори се съхраняват с цел  доказване на дадени от клиента инструкции. Записите включват телефонни разговори с Контактния център или дилърския офис на Дирекция „Пазари и инвестиционно банкиране“.

4.5. Видеоизображения от камери за сигурност

ОББ може да използва СОТ и камери за видеонаблюдение в и около помещенията на Банката. ОББ спазва изцяло законоустановените изисквания за монтиране и ползване на камери за видеонаблюдение. Ако в офис на Банката има монтирани камера за видеонаблюдение, Вие ще бъдете уведомен чрез стикер, разположен на видимо място. Записите от видеокамерите в и извън офисите на ОББ (посочени със стикер) се пазят един месец. Те могат да се съхраняват за по-дълго време в случаите, когато:

–         записите ще бъдат използвани като доказателство за конкретни взаимоотношения, за извършено  престъпление или нередност;

–         записите ще бъдат използвани като доказателство за щета или за да се идентифицира престъпник, нарушител на обществения ред, свидетел или жертва.

4.6. Детайли за транзакции

ОББ обработва данни за Ваши транзакции, включително размер и основание на плащането, местоназначение, данни за наредител / получател на плащането и др. Възможно е Банката да ги предава на други български и чуждестранни финансови институции, които изпълняват указания за плащане или сетълмент, с цел изпълнение на транзакцията.

Банката може също да обработва  тези Ваши данни, включително да ги предоставя на други български или чуждестранни финансови институции (банки кореспонденти), за да предотврати или установи изпиране на пари, финансиране на тероризма, измами или други незаконни практики.

4.7. Данни за непълнолетни / малолетни лица и лица, поставени под пълно / ограничено запрещение

В случай че Банката обработва данни за непълнолетни / малолетни лица и лица, поставени под пълно / ограничено запрещение, такова обработване се извършва на базата на изрично писмено съгласие при условията на Закона за лицата и семейството, както следва:

– за лица до 14 години (малолетни) – с писмено съгласие на пълнолетното лице, носещо родителската грижа (родител, настойник);

– за лица от 14 до 18 години (непълнолетни) – с писмено съгласие на непълнолетното лице и потвърждение на лицето, носещо родителска грижа (родител, настойник.

– за лица, поставени под пълно запрещение – с писмено съгласие на законния представител /настойник/ на лицето, поставено под пълно запрещение.

– за лица, поставени под частично запрещение – с писмено съгласие на лицето, поставено под частично запрещение, и потвърждение на неговия законен представител (попечител).

4.8. Данни, събирани чрез корпоративния сайт на Банката

ОББ обработва данни на свои клиенти и посетители на корпоративния сайт на Банката cyberstudy.ubb.bg, постъпили чрез формите за обратна връзка, сигнали и запитвания, калкулатори и заявления за срещи.

Такива данни могат да включват според случая:

–         три имена, единен граждански номер (в зависимост от нуждите на самата форма за връзка полето би могло да е задължително, алтернативно с възможност за посочване на клиентски номер вместо това или незадължително);

–         видео-изображения – за целите на провеждани видео обаждания, като запис на видео-разговорите не се съхранява;

–         телефон / адрес / имейл адрес/ други данни за контакт;

–         информация за качеството Ви на клиент / лице, което не е клиент на ОББ;

–         допълнителна информация, предоставена по преценка на субекта на данни (под формата на прикачени файлове / свободни полета/по време на видео разговор).

ОББ Ви информира, че като Субект на данни Вие носите отговорност за съдържанието и допустимостта на представяне на допълнителна информация по Ваша преценка. Съветваме Ви преди предоставяне на информация, която съдържа данни и на трети лица, предварително да ги информирате за намерението си. Съгласно изискванията на Закона за защита на личните данни, когато субектът на данни предостави на Банката лични данни без правно основание или в противоречие с принципите на Регламента, в срок един месец от узнаването ОББ ги връща на Субекта на данни, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава.

ОББ обработва получените чрез корпоративния сайт лични данни за необходимия за обслужването срок и само за целите на конкретното запитване / сигнал / заявление, а видео-изображенията – за времето на провеждане на видео-среща по инициатива на клиента или Банката, без съхранение на запис от срещата. . Данните се предоставят доброволно от субекта на данни след запознаване с настоящата Информация и при наличие на съответното правно основание се обработват от Банката (напр. видео-изображенията се обработват единствено след съгласие на клиента)

5. Получатели на лични данни

Личните данни, в общия случай, се обработват от служители на ОББ. Обработването на лични данни може да бъде  извършено и от други лица, обработващи лични данни, с които Банката има сключен договор за тази цел и които изпълняват дейности, представляващи част от услугите, предоставяни от Банката. При наличие на законно основание личните данни могат да бъдат предоставяни на други администратори, които да ги ползват за свои законни цели.

а. Администратори на лични данни, на които ОББ може да предоставя лични данни:

–         БНБ (Българска народна банка)

–         КЗЛД (Комисия за защита на личните данни)

–         КЗП (Комисия за защита потребителите)

–         Централен кредитен комитет / регистър

–         Национална агенция по приходите

–         Национален осигурителен институт

–         Национална здравноосигурителна каса

–         Оператори на картови и платежни услуги и системи като Борика АД, VISA, Mastercard, Бисера, Рингс

–         външни одитори, които имат сключени договори с ОББ

–         САД ”Финансово разузнаване”, Държавна агенция „Национална сигурност”, Криминално-разузнавателна служба

–         Правораздавателни органи /съд , прокуратура, следствие/

–         Висш съдебен съвет /ВСС/

–         Централен депозитар

–         Българска фондова борса

–         Комисия за финансов надзор

–        Министерство на вътрешните работи (МВР)

–         Комисията за противодействие на корупцията и за отнемане на незаконно придобитото имущество (КПКОНПИ)

–        Гаранционни фондове и финансови институции като Европейския инвестиционен фонд, Националния гаранционен фонд, Европейската банка за възстановяване и развитие, Европейската инвестиционна банка, Европейската сметна палата, Европейската комисия и други органи на Европейския съюз, които имат одитни и контролни функции, Фонд мениджър на финансови инструменти в България. Посочените институции могат да достъпват данните Ви в качеството на клиент или трето лице, свързано с кредитното правоотношение с цел мониторинг на изпълнение на задълженията по споразумения, сключени между Банката и съответната институция.

–        Цесионери, с които Банката сключва договори

–        Куриери и пощенски оператори

–        Мобилни оператори

–        Външни адвокати и правни кантори, които имат сключени договори с ОББ;

–         Други дружества от КВС Груп,  в качеството им на администратори на лични данни –

–         Търговски дружества, с които Банката има сключени договори за откриване на сметка на служителите за изплащане на трудови възнаграждения (пейрол)

–         Доставчици на квалифицирани удостоверителни услуги (напр. Евротръст Технолоджис АД

В случай на промени в списъка на администраторите на лични данни, на които се предоставят лични данни, ОББ ще актуализира настоящия документ.

б. Обработващи Вашите лични данни са:

Физически или юридически лица, публичен орган, агенция или друга структура, които обработват лични данни от името на администратора.

Като част от КВС Груп, ОББ може да възлага определени действия по обработването на данните на други обработващи от Групата. Някои от тези действия по обработването на данните, възлагани от ОББ са свързани с контролните и помощните функции като:

–         финансова отчетност

–         съответствие

–         риск

–         маркетинг

–         ICT мениджмънт

–         вътрешен одит

–         изследователски екип, който разработва модели за подобряване на услугите и продуктите.

ОББ може директно или индиректно да ползва и други обработващи, с които е сключила договор,  като:

–         лица, на които са възложени действия по изработването, окомплектоването и доставката на информационни бланки на банката;

–         лица, оказващи съдействие на банката във връзка с обслужването и събирането на вземания;

–         застрахователи за сключване и обслужване на лични и/или имуществени застраховки;

–         лица, на които Администраторът е възложил обработването на лични данни по организационни причини;

–         доставчици на продукти и услуги за Банката;

–         дружества , предоставящи информационни и комуникационни технологии за улесняване на работата на операционните системи и услуги (IBM, Microsoft и др.);

–         дружества, осигуряващи поддръжка на операционни системи на Банката;

–         СМС доставчици, различни от мобилните оператори;

–         Агенции за пазарни проучвания

–         дружества, които по възлагане на Банката от нейно име и за нейна сметка отправят търговски оферти чрез технически средства за комуникация – доколкото за такова предлагане е налице правно  основание

–         фирми, специализирани в архивирането на дигитална информация и достъп

–         дружества от KBC Груп в рамките на или извън Европейската икономическа зона (ЕИЗ) за извършване на дейности по възлагане на Банката (в случаите на изнасяне на (част от) дейност („аутсорсинг“).

в. Получатели извън Европейското икономическо пространство (ЕИП)

Възможно е някои от изброените по-горе получатели да са установени извън Европейското икономическо пространство. Банката препраща личните данни до държави, които не са  членове на Европейското икономическо пространство (трети страни), при условие, че е осигурено адекватно ниво на защита на личните данни съгласно местното и европейско законодателство и  предоставените лични данни са достатъчно защитени в съответната трета държава и при получено одобрение от Комисията за защита на личните данни. Вашите лични данни могат да се предоставят на трети страни извън ЕИП, които не се третират като държави с адекватно ниво на защита на личните данни, при условие че в сключените между страните споразумения за обработване и трансфер на лични данни се предвидят стандартни договорни клаузи, одобрени от Европейската комисия и след като бъде извършена детайлна оценка на въздействието на трансфера върху правата на субектите на лични данни. ОББ ще предприеме всички необходими мерки за защита на Вашите лични данни, ако обработването им налага предоставянето им на трети страни в или извън Европейското  икономическо пространство.

6. Цели при обработването на лични данни

Личните данни, събрани от Банката в качеството й на Администратор на лични данни, се обработват за различни цели и на различни законови основания, както следва:

6.1. Цели, при които основание за обработването на личните Ви данни е задължение, произтичащо от закон:

а. Установяване на самоличността Ви като клиент на Банката и достоверността на Вашите лични данни – основание за обработване на данните за тази цел са Законът за мерките срещу изпиране на парите и Правилникът за прилагането му.

б. Профилиране на клиентите на Банката въз основа на оценка на риска – Профилирането на клиентите си Банката осъществява съгласно Закона за мерките срещу изпирането на пари и Правилника за прилагането му (на база цитираните нормативни актови Банката осъществява одобрение и мониторинг на клиенти и транзакции съгласно  рисковия профил).

в. Осъществяване на контрол с цел предотвратяване изпирането на пари, ембарго и антитерористични действия – Обработването на данните Ви е свързано с предприемани от Банката мерки и действия за предотвратяване, разкриване, разследване и докладване на подозрителни сделки към д-я „Финансово разузнаване“ по Закона за мерките срещу финансиране на тероризма, Закона за мерките срещу изпиране на парите и Правилника за прилагането му.   

г. Профилиране на клиенти с цел предоставяне на услуги, свързани с финансови инструменти  (акции, облигации, деривати, дялови участия и др.) – Банката извършва профилиране на клиентите си въз основа на въпросник за създаване на рисков профил с цел предоставяне на инвестиционни услуги съгласно изискванията на Закона за пазарите на финансови инструменти и Наредба № 38 за изискванията към дейността на инвестиционните посредници.

д. Осъществяване на контрол с цел предотвратяване на случаи на неспазване на Закона за пазарите на финансови инструменти и Наредба № 38 за изискванията към дейността на инвестиционните посредници – контролът включва всякакви действия за предотвратяване, разкриване, разследване и по-нататъшно прилагане на необходимите мерки при разглеждане на  казуси по неспазване на Закона за пазарите на финансови инструменти и Наредба № 38 за изискванията към дейността на инвестиционните посредници. Тези действия биха могли да се основават на профили на клиенти, изготвени при предоставяне на инвестиционни услуги съгласно Закона за пазарите на финансови инструменти и Наредба № 38 за изискванията към дейността на инвестиционните посредници.

е. Осъществяване на контрол с цел предотвратяване и разкриване на пазарни злоупотреби. Банката обработва данните Ви с оглед предприемане на действия за предотвратяване, разкриване, разследване и по-нататъшно прилагане на необходимите мерки при разследване на случаи на предполагаеми пазарни злоупотреби съгласно Закона за предотвратяване на пазарни злоупотреби с финансови инструменти.

ж. Отчетност пред държавните и контролни органи – данъци, изисквания на Акта за спазване на данъчното законодателство във връзка със задгранични сметки (FATCA=Foreign Account Tax Compliance Act) и промените в Данъчно-осигурителния процесуален Кодекс (ДОПК), свързани с автоматичния обмен на финансова информация в областта на данъчното облагане (CRS=Common Reporting Standard). Във връзка с посочените изисквания събираните Ваши лични данни ще бъдат обработвани за счетоводни и данъчни цели в изпълнение на изискванията за отчетност пред компетентните органи на основание задължения, произтичащи от закона. Възможно е изготвянето на задължителните отчети пред регулатора БНБ да бъде възложено на трета страна – обработващ, с когото Банката сключва писмен договор в съответствие с изискванията на Регламента. В договора с такава трета страна задължително е предвидено при наемане на подизпълнител, чието местоположение е извън ЕИП, Банката да бъде предварително уведомявана  и такова превъзлагане да се извършва само въз основа на изрично съгласие от страна на Банката за всеки отделен случай, както и след предвиждане на съответните технически и организационни мерки за сигурност и защита на личните данни, които се обработват за конкретната цел.

з. Осъществяване на контрол с цел ограничаване на инциденти, свързани със сигурността и операционните рискове във връзка с предоставяните от Банката платежни услуги по Закона за платежните услуги и платежните системи (ЗПУПС) – Банката обработва Ваши лични данни, в това число IP адрес, с оглед предприемане на действия за предотвратяване, разкриване и по-нататъшно прилагане на необходимите мерки и механизми за мониторинг и контрол на случаи на предполагаеми инциденти, съмнения за неразрешени платежни операции и/или операции с цел измама по Закона за платежните услуги и платежните системи (ЗПУПС).

и. Оценка на кредитоспособността Ви – в случай че кандидатствате за кредит, Банката е задължена съгласно Закона за потребителския кредит и Закона за кредитите за недвижими имоти на потребители да оцени кредитоспособността Ви и да Ви предостави кредит, съобразен с Вашите възможности за изпълнение на задълженията Ви по договора за кредит. За да бъде коректна оценката на  кредитоспособността Ви, Банката ще извърши справка в базите данни на НОИ, ЦКР, ЕСГРАОН.

6.2. Цели, за които обработването на личните Ви данни се извършва на основание изпълнение на договор

а. Изготвяне на договори по Ваше искане – за да сключи договор с Вас, в качеството Ви на клиент, ползващ банков продукт /сметка, депозит, кредит, банкова карта/ или на съконтрагент по договор за услуга, Банката трябва да разполага с Ваши конкретни лични данни (напр. име, рождена дата, ЕГН, номер на лична карта), както и данни за осъществяване на контакт с Вас. Възможно е Банката да Ви изиска и допълнителна информация, обусловена от естеството на услугите, предмет на договора.

б. Изготвяне на ипотечни договори (законна или договорна ипотека) – за да изготви нотариален акт за договорна ипотека, обезпечаваща ползван от Вас кредит или молба за законна ипотека Банката трябва да разполага както с Ваши, така и с лични данни на ипотекарните длъжници (напр. имена, ЕГН, номер на личната карта, адрес). Възможно е Банката да изиска и допълнителна информация, обусловена от необходимостта на изготвянето на документа.

в. Симулативна продажба на продукт/услуга на Банката – за да сключи с клиент подходящ за него договор и да му предложи услуги, съобразени с нуждите му, Банката трябва да разполага с негови конкретни лични данни. За тази цел, въз основа на предоставени от Вас конкретни лични данни, Банката симулира продажба на определен продукт и услуга, за да предложи определени цена и условия за закупуването, вследствие на което Вие като клиент/кредитоискател ще имате възможност да сравните и изберете най – подходящата за Вас оферта (необвързваща оферта, служеща за преценка на собствените Ви възможности за закупуване на определени продукти). 

г. Използване на продукти/услуги – ОББ обработва личните данни на клиентите в различните си канали с цел осигуряване ползването на закупените от клиентите продукти и услуги на Банката (напр. обработва данни за платежна операция с оглед изпълнение на нареден от Вас като клиент паричен превод).

д. Осъществяване на правата на Банката по договор за кредит – ОББ обработва личните Ви данни на основание сключения с Вас договор за кредит, за да осъществи правата си на кредитор и да събере вземането си по кредита. ОББ обработва личните данни на съдлъжниците, за да осъществи контакт с тях при осъществяване на правата си като кредитор, в случай че не може да ги реализира спрямо кредитоискателя.

е. Продажба на застрахователни продукти на ДЗИ – за случаите, в които Банката действа в качеството си на застраховащ по групова полица, сключена между Банката и ДЗИ. В тези хипотези Банката чрез постигане на индивидуална договореност с клиент (застраховано лице) извършва присъединяване на същия по груповата полица. Едновременно с клиента към полицата могат да бъдат присъединени и трети застраховани лица, които клиентът желае да застрахова. Като резултат личните данни, необходими за присъединяване към груповата полица, могат да бъдат предоставени лично от субекта на данни или от трети лица, които сключват застраховката за тях. При предоставяне на данните на трети лица индиректно, Банката извършва съответната оценка на въздействието и оценка на риска за сигурността на обработваните лични данни. 

6.3. Цел, за която обработването на лични данни се извършва на основание получено от Вас като клиент съгласие:

а. Банката да обменя личните Ви данни с другите дружества на КБС в България и да получава Ваши лични данни от информационните масиви на Централен кредитен регистър към БНБ (ЦКР) и Национален Осигурителен институт (НОИ), за да Ви създаде точен клиентски профил и да Ви предложи персонализирани банкови, застрахователни и инвестиционни продукти и услуги

 

Съгласно чл.4, т.4 (Определения) от Общия регламент на ЕС относно защитата на данните „ПРОФИЛИРАНЕ“ означава автоматизирано обработване на лични данни, което се изразява в ползването на личните данни за извършване на оценка и/или анализ на  аспекти относно здравето, личните предпочитания, надеждност, поведение, местоположение, професионални задължения, икономическо състояние на физическото лице, субект на личните данни. Профилирането и обработването на личните данни за тази цел дава информация за нуждите и възможностите на конкретния клиент. То може да има като резултат включването Ви в листата за продажбена кампания за конкретен продукт. За да Ви бъде приложен този специфичен аналитичен подход, е необходимо Вашето съгласие.

 

В случай че сте ни предоставили Вашето съгласие, ОББ ще обработва всички Ваши разширени данни („extended data“), за гореописаната цел. Подробна информация за разширените лични данни можете да откриете на стр. 4-5 от настоящия документ.

б. Банката да Ви предостави достъп до банковите Ви сметки в други банкови институции на територията на Република България, с които ОББ е постигнала договореност за това (услуга „Достъп до мои сметки в други банки“) – въз основа на Вашето изрично писмено съгласие ОББ ще Ви осигури възможност за достъп до Ваши сметки в други български банки през единна онлайн базирана платформа, достъпвана чрез определени по Ваш избор персонално потребителско име и парола.

в. Банката обработва лични данни за целите на временно преструктуриране и отсрочване на Ваши задължения по кредити за периода на извънредно положение, обявено с решение на Народното събрание на Република България във връзка с пандемия на COVID-19 – въз основа на Вашето изрично съгласие, предоставено чрез подписване на нарочна декларация по образец ОББ обработва личните Ви данни с цел преструктуриране на задълженията Ви по ползвани от Вас кредитни продукти. В случай че искането Ви не бъде уважено, декларацията ще бъде съхранявана за срок до отмяна на извънредното положение.

6.4. Цели, за които обработването на лични данни се извършва на основание защита на законни интереси на администратора:

а. Създаване на аналитични модели – ОББ изгражда аналитични модели за подпомогне развитието на услугите за своите клиенти и за да оценява предлаганите услуги. Събраните данни на всички или голяма група клиенти, се групират по определен признак с цел изграждане на модели/установяване на зависимости/съотношения/алгоритми без да се засягат интересите на индивидуалния клиент и без да се предприемат действия по отношение на него (напр. създаване на кредитен рейтинг на клиента). За създаването на такива модели ОББ използва „псевдонимизирани“ лични данни, т.е. данни, които са маскирани по такъв начин, че да не могат да доведат до идентифициране на конкретен клиент без за това да е необходима допълнителна информация.

б. Исторически, статистически или научни цели – ОББ има законен интерес да обработва Вашите лични данни с цел изготвяне на статистически справки и отчети, осъществяване на научна и развойна дейност, извършване на исторически прегледи и предвиждания за развитие на икономиката, финансовата индустрия, нуждите на клиентите и др. За тези цели се ползват агрегирани данни, получени въз основа на записите на конкретни лични данни на клиентите.

в. Изпращане на съобщения за ползваните продукти и услуги – Банката обработва личните Ви данни с цел изпращане на съобщения за ползваните от Вас продукти и услуги чрез телефонни обаждания, имейли, sms, писма и др. Съобщенията касаят само вече ползвани от Вас продукти и услуги, не са свързани с постигане на конкретни маркетингови цели и не съдържат оферта за нови услуги.

г. Съдебни спорове – Установяване, упражняване и защита на правата на ОББ – ОББ обработва данните на клиентите си с цел защита на своите права в съда/в съдебни процедури, при уреждане на претенции, включително с помощта на външни адвокати/юристи и др. Касае се за случаи, в които личните Ви данни се обработват във връзка с администриране на информация относно съдебни спорове, съдебни заповеди, молби и съдебни решения.

д. Тестване на промени в софтуерни приложения, демонстрационни платформи и вътрешни портали за провеждане на обучения – Банката използва личните Ви данни за тестване, създаване или актуализиране на софтуерни приложения за работа с операционни системи на Банката с цел:

–         тестване на промени в кодовете на софтуерните приложения в различна среда за тестване/приемане (напр. усъвършенстване на дистрибуционните канали или осигуряване на по – надеждна защита на събраните лични данни)

–         тестване на софтуерни приложение в защитена среда. В този случай е възможно тестването да бъде възложено на външен доставчик, с когото Банката има сключен договор. В договора  изрично са уговорени правата и задълженията на страните, включително са предвидени съответните технически и организационни мерки за сигурност и защита на личните данни, които се обработват за конкретната цел.

–         разрешаване на инциденти – проиграване на инциденти

–         демонстрационни платформи

–         обучение на служители

е. Вътрешна отчетностанализ и развитие на предлаганите продукти и услуги – ОББ използва личните данни на своите клиенти с цел подобряване на своята пазарна позиция чрез предлагане на нови или по-добри услуги и иновативни продукти и оптимизиране на вътрешнобанковите процеси. Възможно е изготвянето на отчети, които се използват за анализ на пазарните позиции на Банката да бъде възложено на трета страна – обработващ, с когото Банката сключва писмен договор в съответствие с изискванията на Регламента. В договора с такава трета страна задължително е предвидено при наемане на подизпълнител, чието местоположение е извън ЕИП, Банката да бъде предварително уведомявана  и такова превъзлагане да се извършва само въз основа на изрично съгласие от страна на Банката за всеки отделен случай, както и след предвиждане на съответните технически и организационни мерки за сигурност и защита на личните данни, които се обработват за конкретната цел.

ж. Борба с  измамите – ОББ обработва личните данни на клиентите с цел защита срещу измами или престъпни действия от тяхна страна. ОББ има право да не обслужва високорискови клиенти, които излагат репутацията й на риск.  Въз основа на определени факти (напр. фалшива лична карта, определено поведение на клиент) Банката прави оценка на риска от потенциална измама. За извършване на подобна оценка могат да послужат определени показатели на съответния клиентски профил, както и всяка друга информация (например открадната лична карта, избор на държава за електронно банкиране), представляваща индикатор за потенциална измама. Мерките за предотвратяване и разкриване на измами се осъществяват в контекста на изпълнение на вътрешните правила за сигурност, осъществяване на контрол, осигуряване на надеждна защита на информацията, съхранявана на физически и електронни носители, както и в онлайн банкирането (включително компютърни “кибер” престъпления).

з. Управление на връзките с клиенти – ОББ обработва личните Ви данни с цел предлагане на индивидуален подход на базата на предоставената информация и създадения клиентски профил. Личните данни на клиентите, съхранени в различни бази данни, биха могли да се групират по определен признак и да се обработват през различните канали (директни канали, контактни центрове, банкови офиси и клонове) в Банката, като целта на групирането им е да се улеснят и усъвършенстват  тези канали за достъпване на информация.

и. Кредитно и застрахователно рисково профилиране – ОББ обработва личните Ви данни за изграждане на кредитни и застрахователни рискови профили с цел намаляване на риска при предлагане на кредитни/застрахователни продукти и услуги на клиентите.

йДиректен маркетинг на стандартни продукти и услуги на ОББ: Предлагане на продукти и услуги на Банката, както и включването Ви в проучвания във връзка с предлаганите продукти и услуги чрез някой от каналите, вкл. офисите на банката, контактния център, имейл, SMS, телефон, онлайн канали. Банката ще Ви предложи свои продукти и услуги и ще ви включи в проучвания за тях само ако сте неин клиент и в тази връзка основателно можете да очаквате, че тя ще обработва личните Ви данни, за да ви предлага нови и по-добри продукти и услуги, сходни или свързани с ползваните от Вас. За тези случаи Банката ще използва само Вашите Основни данни („Basic data”) съгласно т. 4.1. А по-горе в настоящия документ.

к. Обмен на данни с дружества в рамките на Групата на KBC във връзка с дейности, които ОББ е изнесла и възложила за изпълнение на друго дружество в рамките на Групата (аутсорсинг на дейност) – за целите на изготвяне задължителни финансови отчети съгласно Закона за счетоводството и приложимото национално и европейско законодателство.

л. Съхранение на данни в архивни системи на Банката – за ОББ е налице обоснован законен интерес да съхранява архивни данни в системи на Банката, които са изведени от активна експлоатация и се ползват за справочни цели в рамките на непрекратени отношения с клиенти.

м. Подпомагане на установяването и предотвратяването на измами в кредитният процес за МСП и Корпоративен сегмент – за да се предпази от финансови загуби, както и да запази своя финансов, оперативен и репутационен имидж, ОББ трябва да осигури сигурен и прозрачен кредитен процес. Поради това от решаващо значение за Банката е да се предпази от всякаква измамна дейност чрез установяване на ефективно управление на риска от измама в кредитния процес. За гарантиране на посочените по-горе интереси ОББ обработва определен набор от информация, включително лични данни на клиенти (ФЛ) и ФЛ – съдружници / представляващи в клиенти ЮЛ, които данни се събират и обработват с финалната цел да подпомогнат успешната превенция и предотвратяване на злоупотреби и измами

н. Оценка на риска при събиране на проблемни вземания – ОББ има законен интерес да обработва лични данни на клиенти/служители в процеса по осъществяване на контрол, управление и събиране на рискови (проблемни) експозиции и свързани проблемни кредити. Целта на действия, извършвани в съответствие с изискванията на българското законодателство, е максимална събираемост на вземанията на Банката, във възможно най-кратки срокове, с възможно най-малко разходи.

***

Осъществяването на тези цели е необходимо за защита на законните интереси на ОББ като администратор на лични данни, които интереси са свързани с основната й дейност като Банка. ОББ е провела тестове, за да определи баланса между законните си интереси да обработва личните Ви данни за всяка от целите, описани в т.6.4. и Вашите интереси и основните права и свободи като субекти на личните данни, и е заключила, че законните й интереси като администратор на лични данни не нарушават Вашите интереси, основните права и свободи.

7. Срок на съхранение на личните данни

ОББ използва Вашите лични данни, когато ОББ има ясна цел предвид. Когато целта отпадне, ние не съхраняване данните.

Основанието за съхранение на Вашите данни се корени в законовия срок за съхранение (който често е десет години след приключване на съответното правоотношение). Срокът може да е по-дълъг, когато е необходимо, за да упражним наши права. Когато няма законово определен срок, периодът може да е по-кратък.

За някои цели един по-дълъг хоризонт от време може да е необходим, като напр. за провеждането на проучвания и рискови и маркетинг модели. Някои заключения стават по-ясни, когато се анализират през по-дълъг период от време. Това може да доведе до сроковете за съхранение да бъдат удължени до петнадесет години след стандартните срокове. В тези случаи ОББ ще прекъсва връзката със субекта възможно най-бързо и ще работи само с агрегирани данни.

Лични данни на потенциални клиенти се използват от ОББ за срок от пет години, освен ако междувременно не е имало контакт с лицето. В този случай нов пет годишен срок започва да тече от датата на последния контакт с лицето. Потенциалните клиенти винаги могат да поискат данните им да бъдат заличени.

Навсякъде, където в настоящата Информация на ОББ АД за обработване на лични данни и в декларацията за съгласие на клиента фигурира ОББ или Банката, за „Банката“ следва да се счита Обединена българска банка АД и евентуалните й правоприемници в случаите на преобразуване.