Защита на личните данни
„КАРОЛ КАПИТАЛ МЕНИДЖМЪНТ“ ЕАД
ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Управляващо Дружество „Карол Капитал Мениджмънт“ ЕАД, ЕИК131134055, със седалище и адрес на управление гр. София, бул. Христо Ботев 57, с адрес за кореспонденция гр. София, ул. Златовръх 1, e-mail: kcm_finance@karoll.bg, отговорник за защита на лични данни – Христина Габровска, тел. 02/ 4008 300(Управляващото Дружество или Дружеството) е администратор на лични данни, съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни.
Управляващо Дружество „Карол Капитал Мениджмънт“ ЕАД обработва лични данни в изпълнение на законоустановено задължение за идентификация на лицата по смисъла на Закона за мерките срещу изпирането на пари /ЗМИП/, Закона за дейността на колективните инвестиционни схеми и други предприятия за колективно инвестиране /ЗДКИСДПКИ/, Закона за пазарите на финансови инструменти /ЗПФИ/ и актовете по прилагането им. В случай на отказ на физическото лице да предостави личните си данни Дружеството е длъжно да откаже сключването на договор и предоставянето на съответната услуга съгласно приложимото законодателство. В случай на вече установени отношения Дружеството е длъжно да ги прекрати.
Настоящите правила („Правила“) определят условията и реда, по който физическите лица, чиито лични данни се обработват от Управляващо Дружество „Карол Капитал Мениджмънт“ ЕАД могат да упражняват правата си съгласно законодателството за защита на личните данни.
Използваните в настоящите Правила термини имат следното значение:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Приложимо законодателство“ означава законодателство на Европейския съюз и на Република България, което е относимо към защитата на личните данни;
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Субект на данни“ означава физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Регламент (ЕС) 2016/679“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), обнародван в Официален вестник на Европейския съюз на 4 май 2016 г.
I. ОБЩИ РАЗПОРЕДБИ
Чл.1 (1)„Карол Капитал Мениджмънт“ ЕАД обработва и защитава личните данни, събрани при изпълнение на дейността му честно, законосъобразно и за целите, за които са събрани.
(2) Целите на обработката на личните данни включват освен предоставяне на основните услуги на Управляващото дружество като сключване и изпълнение на договори за управление на индивидуален портфейл от пари и/или финансови инструменти без специални нареждания на клиента; договори за покупка и продажба на дялове на договорните фондове, управлявани от „Карол Капитал Мениджмънт“ЕАД, договори за покупка и продажба на дялове на дистрибутираните от „Карол Капитал Мениджмънт“ЕАД фондове, договори за предоставяне на инвестиционни консултации, включват и администриране на дялове, правни и счетоводни услуги във връзка с управление на активите и всички дейности, включени в лиценза на Дружеството,
(3) Управляващото дружество обработва лични данни на субектите и в изпълнение на нормативни задължения като
- задължения за предоставяне на информация на надзорни органи;
- предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 от 27 април 2016 година и др.;
- задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство.
(4) Администраторът не възнамерява да обработва личните данни за цел, различна от тази, за която са събрани. Ако такава обработка се наложи, "Карол Капитал Мениджмънт" ЕАД ще предостави на субекта на данните преди това обработване информация за тази различна цел и всякаква друга необходима информация.
(5) Дружеството не прилага автоматизирано вземане на решения.
Чл.2 (1) Служителите на Дружеството, които обработват лични данни за целите, изброени в чл.1, ал.2 като част от трудовите си задължения, спазват следните принципи при обработка на лични данни на клиенти:
- Личните данни се обработват законосъобразно и добросъвестно.
- Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели.
- Личните данни, които се събират и обработват са съотносими, свързани с и ненадхвърлящи целите, за които се обработват.
- Личните данни са точни и при необходимост се актуализират.
- Личните данни се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват.
- Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.
- Личните данни се обработват по начин, който да гарантира ниво на сигурност, включително защита срещу неразрешено и незаконосъобразно обработване, случайна загуба, унищожаване или повреждане.
Чл. 3 (1)Личните данни, които обикновено се събират и обработват във връзка със сключване и изпълнение на задължения по горепосочените договори, са следните:
- Име, презиме и фамилия;
- Номер на документ за самоличност и дата на издаване; копие на документ за самоличност;
- ЕГН, място на раждане;
- Гражданство/ а;
- Контакти: електронна поща, адрес /постоянен и/или настоящ/ и телефон;
- Банкова информация: номер на банкова сметка;
- Информация, събирана във връзка с договор за управление на индивидуален портфейл от пари и/или финансови инструменти без специални нареждания на клиента - информация относно професионален опит на капиталови пазари, собственост и доходи, други;
- Видеозаснемане, като резултат от видеонаблюдение на офисите на фирмата;
(2) Непоискана информация, предоставена от клиенти, съдържаща лични данни се изтрива.
Чл.4 (1) Предвид дейността на Управляващото дружество, то сключва писмени споразумения с контрагенти за предоставяне и получаване на различни видове услуги, които се явяват обработващи лични данни или получатели на лични данни. При спазване на законовите изисквания и единствено с цел предоставяне на желаната от клиента услуга е възможно Управляващото дружество да разкрие предоставените лични данни от клиенти на следните неизчерпателно изброени лица:
- Лицензирани чуждестранни и/или местни дружества и лица, доставчици на услуги (доставчици на електронни удостоверителни услуги, в случай на използване на електронен подпис за подписване на документи;• адвокатски кантори или други доставчици на консултантски услуги, инвестиционни посредници в България и ЕС и техни представители, Банки-депозитари, куриерски фирми и други). В случай, че Управляващото дружество разкрие лични данни на някое от горепосочените лица, трябва да има основателна причина за това и въз основа на договорка получателите на личните данни да осигурят адекватно ниво на защита;
- Трети лица, на които по силата на закон е делегирало част от функциите си съгласно лиценза, който притежава;
- Охранителни фирми, притежаващи лиценз за извършване на частна охранителна дейност във връзка с обработване на видеозаписите от офисите на Управляващото дружество и/или осигуряване на пропускателния режим в обектите;
- Други дружества в групата на „Карол“: Разкриване на лични данни в този случай се извършва при спазване на приложимото българско и европейско законодателство;
- Агенти - Управляващото дружество работи с широка мрежа от агенти, за да може да предостави услуги близко до клиентите. За целта, лични данни на клиента могат да бъдат споделяни (обикновено директно от самите клиенти) на агентите ни.
- Лица, извън ЕС при изрично съгласие на клиента.
(2) Тези лица обработват или получават лични данни от името и/или по възлагане на Управляващото дружество. Те нямат право да обработват предоставените им лични данни за цели, различни от изпълнението на работата, която им е възложена. Управляващото дружество предприема необходимите мерки, за да осигури, че ангажираните обработващи и получатели на лични данни спазват стриктно законодателството за защита на личните данни.
Чл.5 Трансфер на данните към трета държава
"Карол Капитал Мениджмънт" ЕАД не предава и не предвижда да предава лични данни на трета държава или международна организация извън ЕС или ЕИП, освен на системата MailChimp за разпращане на електронни съобщения.
Седалището на фирмата доставчик на услугите за MailChimp и обработката на данните е в САЩ, като са предвидени стандартни договорни клаузи ( https://mailchimp.com/legal/data-processing-addendum/#8._Data_Subject_Rights_and_Cooperation), като валиден механизъм за защита при трансфер на лични данни.
Чл.6 Управляващото дружество съхранява отделните документи, съдържащи лични данни на клиенти, които администрира за целите на сключване и изпълнение на договори, както следва: договори, приложения, декларации, поръчки, потвърждения, сделки и други документи, които са съществена част от него – до минимум 5 години след изтичане на периода, в който лицето е престанало да бъде клиент на Управляващото дружество. Срокът може да бъде удължен по изрично предписание на надзорния орган Комисия за финансов надзор.
За по-подробна информация относно сроковете за съхранение на всички документи, които Управляващото дружество обработва, можете да се обърнете към Управляващото дружество.
II. ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Чл.7 Клиентите на Управляващото дружество, субектите на лични данни имат следните права относно предоставените лични данни във връзка с дейността на Дружеството:
- Право на достъп.
- Право на коригиране.
- Право на изтриване (право „да бъдеш забравен“).
- Право да се иска ограничаване на обработването.
- Право на преносимост на данните.
- Право на възражение срещу обработването на лични данни.
- Право на субекта на лични данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.
Право на достъп
Чл.8(1) При поискване, Управляващото дружество предоставя на клиента субект на лични данни следната информация:
- потвърждение дали Управляващото дружество обработва личните данни на лицето или не;
- копие от личните данни на лицето, които се обработват от Дружеството, и
- обяснение относно обработваните данни.
(2) Обяснението по ал.1 включва следната информация относно обработваните от Управляващото дружество лични данни:
- целите на обработването;
- съответните категории лични данни;
- получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
- когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
- съществуването на право да се изиска коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
- правото на жалба до надзорен орган;
- когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
- когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции във връзка с предаването.
(3) При искане от субекта на лични данни, Управляващото дружество може да предостави копие от личните данни, които са в процес на обработване.
(4) При предоставяне на копие от лични данни, Управляващото дружество не може да разкрива следните категории данни:
- лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това;
- данни, които представляват търговска тайна, банкова тайна или конфиденциална информация;
- друга информация, която е защитена съгласно приложимото законодателство.
Чл. 9 (1) Предоставянето на достъп на клиенти до лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на Дружеството.
(2) Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, Дружеството може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп.
(3) Управляващото дружество преценява за всеки отделен случай дали дадено искане е явно неоснователно или прекомерно.
(4) При отказ за предоставяне на достъп до лични данни, Управляващото дружество аргументира отказа си и информира субекта на данни за правото му да подаде жалба до Комисия за защита на личните данни.
Правото на коригиране
Чл.10(1) Субекти на данни могат да поискат личните им данни, обработвани от Управляващото дружество, да бъдат коригирани, в случай че последните са неточни или непълни или актуализирани.
(2) При удовлетворено искане за коригиране на лични данни, Управляващото дружество уведомява другите получатели, на които са били разкрити данните (държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.
Право на изтриване (право „да бъдеш забравен“)
Чл.11 (1) При поискване от страна на клиент, Управляващото дружество е задължено да изтрие личните му данни при наличие на някое от следните основания:
- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
- субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
- субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на правно задължение на Управляващото дружество.
(2)Управляващото дружество може да откаже мотивирано да изтрие личните данни, доколкото обработването е необходимо:
- за спазване на нормативно разписано задължение на Управляващото дружество;
- за установяването, упражняването или защитата на правни претенции;
- при наличие на легитимен интерес.
Право на ограничаване на обработването
Чл.12(1) Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следното:
- точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването на основание легитимния интерес на Управляващото дружество и тече проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
(2) Управляващото дружество може да обработва лични данни, чието обработване е ограничено, само за следните цели:
- за съхранение на данните
- със съгласието на субекта на данните;
- за установяването, упражняването или защитата на правни претенции;
- за защита на правата на друго физическо лице;
- поради важни основания от обществен интерес;
- за спазване на нормативно разписано задължение на Управляващото дружество.
(3) Когато субект на данните е поискал ограничаване на обработването и е налице някое от основанията по ал.2 по-горе, Управляващото дружество го информира преди отмяната на ограничаването на обработването.
Правото на преносимост на данните
Чл.13(1) Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Управляващото дружество, в структуриран, широко използван и пригоден за машинно четене формат.
(2) При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо.
(3) Субектът на личните данни може да упражни правото на преносимост в следните случаи:
- обработването е основано на съгласието на субекта на личните данни;
- обработването е основано на договорно задължение;
- обработването се извършва по автоматизиран начин.
(4) Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.
Право на възражение
Чл. 14(1)Субектът на данните има право да възрази срещу обработване на негови лични данни от Управляващото дружество, ако данните се обработват на едно от следните основания:
- обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
- обработването е необходимо за цели, свързани с легитимните интереси на Управляващото дружество или на трета страна;
- обработването на данни включва профилиране.
(2) Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
(3) Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг и трябва да оттегли даденото съгласие.
(2) Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява, освен ако не е необходимо за изпълнение на сключения договор между клиента и Управляващото дружество.
Право на човешка намеса при автоматизирано вземане на решения
Чл. 15 В случаите, когато Управляващото дружество взима автоматизирани индивидуални решения, включващи или изключващи профилиране, които пораждат правни последствия за физически лица или ги засягат в значителна степен по подобен начин, тези лица могат да поискат преразглеждане на решението с човешка намеса.
III. СЛУЖЕБНО ИЗТРИВАНЕ НА ЛИЧНИ ДАННИ ОТ СТРАНА НА АЛД
Чл. 15а. Служебно изтриване на лични данни от страна на АЛД се предприема в случаите, когато личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин. В случай, че поради някаква причина не се сключи договор, а личните данни вече са били събрани и обработенислед изричното съгласие на субекта, АЛД предприема мерки за служебното им изтриване ако в рамките на определен от АЛД срок от събирането на данните, субектът на данните не е предприел действия по подписването на договора въпреки изричното уведомление от страна на АЛД.
IV. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВАТА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Чл.16(1)Клиентите субекти на лични данни могат да упражнят правата съгласно тези Правила като подадат лично заявление на упражняване на съответното право до Управляващото дружество.
(2) Заявлението може да бъде подадено и от упълномощено лице с изрично нотариално заверено пълномощно, което се прилага, освен ако специален закон не изключва тази възможност.
Чл.17 Заявленията за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:
- По електронен път на следния имейл адрес kcm_finance@karoll.net
- В писмен вид на място в офис на Управляващото дружество на адрес гр. София, ул. Златовръх 1;
- В писмен вид по пощата на адреса на Централно управление на Управляващото дружество: гр.София, бул.“Христо Ботев“ № 57 или гр. София, ул. Златовръх 1.
Чл.18(1) Заявлението за упражняване на права на лични данни следва да съдържа следната информация:
- Идентификация на лицето – име, ЕГН, адрес, клиентски номер и други данни за идентификация;
- Описание на искането;
- Форма за комуникация;
- Подпис, дата на заявлението и адрес за кореспонденция.
(2) Управляващото дружество може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.
Чл.19 Управляващото дружество предоставя информация във връзка със заявлението за упражняване на правата на субектите или мотивиран отказ за исканите действия в срок до 30 дни от получаване на искането, който може да бъде удължен с още 1 месец с изрично предупреждение на заявителя.
Чл.20 Когато заявлението е подадено с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е посочил изрично друг начин в заявлението си.
Чл.21 Всеки субект на лични данни има право да сезира Комисията за защита на личните данни на адрес: гр. София, бул.“Проф.Цветан Лазаров“№ 2, уеб сайт: www.cpdp.bg, при нарушение на правата му по Регламент (ЕС) 2016/679 и Закона за защита на личните данни в срок съгласно ЗЗЛД.
Чл.22 Отделно от горното всеки субект на лични данни има право да обжалва действията и актовете на администратора и обработващия по съдебен ред пред компетентния съд.
V. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 1. На настоящите правила се извършва преглед периодично, минимум веднъж годишно, като се актуализира при необходимост с решение на Съвета на директорите на Управляващо дружество „Карол Капитал Мениждмънт“ ЕАД.
§ 2 Настоящите правила са приети с единодушно решение на Съвета на директорите на Управляващо дружество „Карол Капитал Мениджмънт“ ЕАД на 23.05.2018г и изменени с Решение на Съвета на директорите от 10.10.2018г.; от 04.01.2021г. и от 27.08.2021 г.