Защита на личните данни

„КАРОЛ КАПИТАЛ МЕНИДЖМЪНТ“ ЕАД

ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

 

 

Управляващо Дружество „Карол Капитал Мениджмънт“ ЕАД, ЕИК 131134055, със седалище и адрес на управление гр. София, бул. Христо Ботев 57, с адрес за кореспонденция гр. София, ул. Златовръх 1, e-mail: kcm_finance@karoll.bg (Управляващото Дружество или Дружеството) е администратор на лични данни, съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни.

Управляващо Дружество „Карол Капитал Мениджмънт“ ЕАД обработва лични данни в изпълнение на законоустановено задължение за идентификация на лицата по смисъла на Закона за мерките срещу изпирането на пари /ЗМИП/, Закона за дейността на колективните инвестиционни схеми и други предприятия за колективно инвестиране /ЗДКИСДПКИ/, Закона за пазарите на финансови инструменти /ЗПФИ/ и актовете по прилагането им. В случай на отказ на физическото лице да предостави личните си данни Дружеството е длъжно да откаже сключването на договор и предоставянето на съответната услуга съгласно приложимото законодателство. В случай на вече установени отношения Дружеството е длъжно да ги прекрати.

Настоящите правила („Правила“) определят условията и реда, по който физическите лица, чиито лични данни се обработват от Управляващо Дружество „Карол Капитал Мениджмънт“ ЕАД могат да упражняват правата си съгласно законодателството за защита на личните данни.

Използваните в настоящите Правила термини имат следното значение:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Приложимо законодателство“ означава законодателство на Европейския съюз и на Република България, което е относимо към защитата на личните данни;

„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„Субект на данни“ означава физическо лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Регламент (ЕС) 2016/679“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), обнародван в Официален вестник на Европейския съюз на 4 май 2016 г.

 

I. ОБЩИ РАЗПОРЕДБИ

Чл.1 (1)„Карол Капитал Мениджмънт“ ЕАД обработва и защитава личните данни, събрани при изпълнение на дейността му честно, законосъобразно и за целите, за които са събрани

(2) Целите на обработката на личните данни включват освен предоставяне на основните услуги на Управляващото дружество като сключване и изпълнение на договори за управление на индивидуален портфейл от пари и/или финансови инструменти без специални нареждания на клиента; договори за покупка и продажба на дялове на договорните фондове, управлявани от „Карол Капитал Мениджмънт“ ЕАД, договори за покупка и продажба на дялове на дистрибутираните от „Карол Капитал Мениджмънт“ ЕАД фондове, договори за предоставяне на инвестиционни консултации, администриране на дялове, правни и счетоводни услуги във връзка с управление на активите и всички дейности, включени в лиценза на Дружеството

 (3) Управляващото дружество обработва лични данни на субектите и в изпълнение на нормативни задължения като

Чл.2 (1) Служителите на Дружеството, които обработват лични данни за целите, изброени в чл.1, ал.2 като част от трудовите си задължения, спазват следните принципи при обработка на лични данни на клиенти:

  1. Личните данни се обработват законосъобразно и добросъвестно.
  2. Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели.
  3. Личните данни, които се събират и обработват са съотносими, свързани с и ненадхвърлящи целите, за които се обработват.
  4. Личните данни са точни и при необходимост се актуализират.
  5. Личните данни се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват.
  6. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.
  7. Личните данни се обработват по начин, който да гарантира ниво на сигурност, включително защита срещу неразрешено и незаконосъобразно обработване, случайна загуба, унищожаване или повреждане.

Чл. 3 (1) Личните данни, които обикновено се събират и обработват във връзка със сключване и изпълнение на задължения по горепосочените договори, са следните:

(2) Непоискана информация, предоставена от клиенти, съдържаща лични данни се изтрива.

Чл.4 (1) Предвид дейността на Управляващото дружество, то сключва писмени споразумения с контрагенти за предоставяне и получаване на различни видове услуги, които се явяват обработващи лични данни или получатели на лични данни. При спазване на законовите изисквания и единствено с цел предоставяне на желаната от клиента услуга е възможно Управляващото дружество да разкрие предоставените лични данни от клиенти на следните неизчерпателно изброени лица:

  1. Лицензирани чуждестранни и/или местни дружества и лица, доставчици на услуги (доставчици на електронни удостоверителни услуги, в случай на използване на електронен подпис за подписване на документи;• адвокатски кантори или други доставчици на консултантски услуги, инвестиционни посредници в България и ЕС и техни представители, Банки-депозитари, куриерски фирми, регистър на транзакциите в България или в чужбина). В случай, че Управляващото дружество разкрие лични данни на някое от горепосочените лица, трябва да има основателна причина за това и въз основа на договорка получателите на личните данни да осигурят адекватно ниво на защита;
  2. Трети лица, на които по силата на закон е делегирало част от функциите си съгласно лиценза, който притежава;
  3. Охранителни фирми, притежаващи лиценз за извършване на частна охранителна дейност във връзка с обработване на видеозаписите от офисите на Управляващото дружество и/или осигуряване на пропускателния режим в обектите;
  4. Други дружества в групата на „Карол“: Разкриване на лични данни в този случай се извършва при спазване на приложимото българско и европейско законодателство;
  5. Агенти - Управляващото дружество работи с широка мрежа от агенти, за да може да предостави услуги близко до клиентите. За целта, лични данни на клиента могат да бъдат споделяни (обикновено директно от самите клиенти) на агентите ни.
  6. Лица, извън ЕС при изрично предварително съгласие на клиента.

(2) Тези лица обработват или получават лични данни от името и/или по възлагане на Управляващото дружество. Те нямат право да обработват предоставените им лични данни за цели, различни от изпълнението на работата, която им е възложена. Управляващото дружество предприема необходимите мерки, за да осигури, че ангажираните обработващи и получатели на лични данни спазват стриктно законодателството за защита на личните данни.

Чл.5 Управляващото дружество съхранява отделните документи, съдържащи лични данни на клиенти, които администрира за целите на сключване и изпълнение на договори, както следва: договори, приложения, декларации, поръчки, потвърждения, сделки и други документи, които са съществена част от него – до минимум 5 години след изтичане на периода, в който лицето е престанало да бъде клиент на Управляващото дружество, при отчитане на сроковете за съхранение на счетоводна информация. При определени обстоятелства, ако от нас се изисква по-дълъг срок на съхранение по закон, (например с оглед Закона за мерките срещу изпирането на пари) е възможно Дружеството да съхрани Вашите лични данни и за по-дълъг период.

 

II. ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

Чл.6 Клиентите на Управляващото дружество, субектите на лични данни имат следните права относно предоставените лични данни във връзка с дейността на Дружеството:

  1. Право на достъп.
  2. Право на коригиране.
  3. Право на изтриване (право „да бъдеш забравен“).
  4. Право да се иска ограничаване на обработването.
  5. Право на преносимост на данните.
  6. Право на възражение срещу обработването на лични данни.
  7. Право на субекта на лични данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

Право на достъп
Чл.7 (1) При поискване, Управляващото дружество предоставя на клиента субект на лични данни следната информация:

(2) Обяснението по ал.1 включва следната информация относно обработваните от Управляващото дружество лични данни:

(3) При искане от субекта на лични данни, Управляващото дружество може да предостави копие от личните данни, които са в процес на обработване.

(4) При предоставяне на копие от лични данни, Управляващото дружество не може да разкрива следните категории данни:

Чл. 8 (1) Предоставянето на достъп на клиенти до лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на Дружеството.

(2) Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, Дружеството може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп.

(3) Управляващото дружество преценява за всеки отделен случай дали дадено искане е явно неоснователно или прекомерно.

(4) При отказ за предоставяне на достъп до лични данни, Управляващото дружество аргументира отказа си и информира субекта на данни за правото му да подаде жалба до Комисия за защита на личните данни. Правото на коригиране

Чл.9 (1) Субекти на данни могат да поискат личните им данни, обработвани от Управляващото дружество, да бъдат коригирани, в случай че последните са неточни или непълни или актуализирани.

(2) При удовлетворено искане за коригиране на лични данни, Управляващото дружество уведомява другите получатели, на които са били разкрити данните (държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.

Право на изтриване (право „да бъдеш забравен“)
Чл.10 (1) При поискване от страна на клиент, Управляващото дружество е задължено да изтрие личните му данни при наличие на някое от следните основания:

Право на ограничаване на обработването
Чл.11 (1) Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следното:

(2) Управляващото дружество може да обработва лични данни, чието обработване е ограничено, само за следните цели:

(3) Когато субект на данните е поискал ограничаване на обработването и е налице някое от основанията по ал.2 по-горе, Управляващото дружество го информира преди отмяната на ограничаването на обработването.

Правото на преносимост на данните
Чл.12 (1) Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Управляващото дружество, в структуриран, широко използван и пригоден за машинно четене формат.

(2) При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо.

(3) Субектът на личните данни може да упражни правото на преносимост в следните случаи:

(4) Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.

Право на възражение
Чл. 13 (1) Субектът на данните има право да възрази срещу обработване на негови лични данни от Управляващото дружество, ако данните се обработват на едно от следните основания:

(2) Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

(3) Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг и трябва да оттегли даденото съгласие.

(4) Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява, освен ако не е необходимо за изпълнение на сключения договор между клиента и Управляващото дружество. Право на човешка намеса при автоматизирано вземане на решения

Чл. 14 В случаите, когато Управляващото дружество взима автоматизирани индивидуални решения, включващи или изключващи профилиране, които пораждат правни последствия за физически лица или ги засягат в значителна степен по подобен начин, тези лица могат да поискат преразглеждане на решението с човешка намеса.

 

III. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВАТА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

Чл.15 (1) Клиентите субекти на лични данни могат да упражнят правата съгласно тези Правила като подадат лично заявление на упражняване на съответното право до Управляващото дружество.

(2) Заявлението може да бъде подадено и от упълномощено лице с изрично нотариално заверено пълномощно, което се прилага, освен ако специален закон не изключва тази възможност. Чл.16 Заявленията за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:

  1. По електронен път на следния имейл адрес kcm_finance@karoll.bg
  2. В писмен вид на място в офис на Управляващото дружество на адрес гр. София, ул. Златовръх 1 ;
  3. В писмен вид по пощата на адреса на Централно управление на Управляващото дружество: гр.София, бул.“Христо Ботев“ № 57 или гр. София, ул. Златовръх 1.

Чл.17 (1) Заявлението за упражняване на права на лични данни следва да съдържа следната информация:

  1. Идентификация на лицето – име, ЕГН, адрес, клиентски номер и други данни за идентификация;
  2. Описание на искането;
  3. Форма за комуникация;
  4. Подпис, дата на заявлението и адрес за кореспонденция.

(2) Управляващото дружество може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.

Чл.18 Управляващото дружество предоставя информация във връзка със заявлението за упражняване на правата на субектите или мотивиран отказ за исканите действия в срок до 30 дни от получаване на искането, който може да бъде удължен с още 2 месеца с изрично предупреждение на заявителя.

Чл.19 Когато заявлението е подадено с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е посочил изрично друг начин в заявлението си.

Чл. 20 Всеки субект на лични данни има право да сезира Комисията за защита на личните данни при нарушение на правата му по Регламент (ЕС) 2016/679 и Закона за защита на личните данни в срок съгласно ЗЗЛД.

Чл.21 Отделно от горното всеки субект на лични данни има право да обжалва действията и актовете на администратора и обработващия по съдебен ред пред компетентния съд.

 

IV. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ 

 

Чл.22 (1) Личните данни, които Дружеството обработва са предмет на редица организационни, физически и технологични мерки, с които се стреми да гарантира сигурността на данните. Приети са необходимите вътрешни правила и политики, служителите и ръководството преминават периодично обучение и са запознати с изискванията относно защитата на личните данни, а обработването е сведено до минимума данни, необходим за постигане на съответните цели.

(2) Дружеството не използва автоматично вземане на решения.

(3) Въведени са множество мерки за ефективното прилагане на принципите за защита на данните, включително, но не само:

  1. гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  2. мерки в случай на физически или технически инцидент за своевременно възстановяване на наличността и достъпа до личните данни;
  3. вътрешен процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, за да се гарантира сигурността на обработването;
  4. технически и организационни мерки за предотвратяване на случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

 

V. ИНФОРМАЦИЯ, СЪБИРАНА ЧРЕЗ БИСКВИТКИ

Интернет страницата на Дружеството www.karollcapital.bg събира стандартна информация за интернет логовете, включително Вашия IP адрес, вид браузър и език, време на достъп и референтни уебсайт адреси. С цел уебсайтът да бъде добре поддържан и за да се гарантира по-добра навигация, Дружествот или неговите доставчици на услугата, могат да използват “бисквитки” (cookies) (малки текстови файлове, съхранявани в браузъра на потребителя) или интернет маяци (web beacons) (електронни изображения, които позволяват на уебсайта да брои посетителите на определена страница, и да достъпва определени „бисквитки“) за събиране на обобщени данни. Управляващото дружество не събира и съхранява индивидуални (необобщаващи) “бисквитки”. Достъпът на Дружеството е само до обобщена информация за “бисквитки” за функционални цели.

VI. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ 1. На настоящите правила се извършва преглед периодично, минимум веднъж годишно, като се актуализира при необходимост с решение на Съвета на директорите на Управляващо дружество „Карол Капитал Мениждмънт“ ЕАД.