Настоящата политика за поверителност има за цел да даде яснота относно следните обстоятелства:
- Кои сме ние като администатор?
- Чии лични данни обработва ,,Авто Юнион’’ АД?
- Какви лични данни обработва ,,Авто Юнион’’ АД?
- На какво основание от Общия регламент за защита на личните данни се обработват тези данни?
- За какви цели се обработват тези лични данни?
- Какви са начините на събиране на тези данни?
- Какви са последиците от отказ да бъдат предоставени данните?
- За какъв срок се съхраняват тези данни?
- Кой има достъп до тези данни?
- Какви права имат субектите на данни и как могат да ги упражнят?
I. КОИ СМЕ НИЕ?
Администратор на лични данни е дружеството ,,Авто Юнион’’ АД (,,Дружеството“) с ЕИК 131361786, със седалище и адрес на управление: град София, бул.,,Христофор Колумб’’ № 43, интернет страница: http://avto-union.bg/ , електронна поща: gdpr@avtounion.bg , телефон за контакт: 02 9651 655.
II. ВИДОВЕ ЛИЧНИ ДАННИ И КАТЕГОРИИ СУБЕКТИ НА ЛИЧНИ ДАННИ
1. Дружеството обработва лични данни в качеството си на емитент на облигация, на субекти на лични данни – облигационери физически лица и представители физически лица на облигационерите, както и на пълномощници на облигационери, а именно:
– Идентификационни данни – Три имена, ЕГН/ЛНЧ/друг уникален национален идентификационен номер, а ако няма такъв – дата на раждане; адрес, в книгата на облигационерите
– Финансова информация – брой на притежавани облигации и процентното участие в размера на цялата облигация
– Финансова информация относно изплащане на лихви
– Идентификационни данни относно пълномощниците, съдържащи се в пълномощните им
2. Дружеството обработва лични данни, в качеството си на емитент, на субекти на лични данни – лица на ръководни позиции, тясно свързани с тях лица, лица с достъп до вътрешна информация относно финансовите инструменти, по смисъла на Регламент 596/2014г. относно пазарната злоупотреба, а именно:
– Идентификационни данни – Три имена и ЕГН за лицата на ръководни позиции
– Идентификационни данни – Три имена и ЕГН на тясно свързаните лица
– Идентификационни данни – Три имена и ЕГН и дата на раждане, личен адрес, личен и служебен телефон на лицата с достъп до вътрешна информация
– Финансова информация – информация относно сключени сделки с финансови инструменти
3. Дружеството обработва лични данни в качеството си на предприятие от обществен интерес по смисъла на Закона за независимия финансов одит, на субекти на лични данни – членове на Одитни комитети, а именно:
– Данни относно професионална квалификация – дипломи за придобита магистърска степен, съгласно изискванията на Закон за независимия финансов одит
– Идентификационни данни – Три имена и ЕГН
4. Дружеството обработва лични данни в качеството си на акционерно дружество на субекти на лични данни – членове на управителни, надзорни и контролни органи:
– Данни относно присъди – Свидетелства за съдимост
– Данни относно професионална квалификация и присъди и административни нарушения в проспектите
– Идентификационни данни
5. Дружеството обработва лични данни необходими за сключването и изпълнението на договори с контрагенти, които са физически лица, или са физически лица, които са упълномощени да управляват, представляват или работят за юридическо лице – контрагент на Дружеството, в качеството им на лица за контакт, служители, управители, прокуристи, представители и др.
– Идентификационни данни – три имена, уникален идентификатор;
– Данни за контакт – адрес, електронен адрес, телефонен номер;
– Данни за заемана позиция в рамките на организацията ,представителна власт, срок на правомощията, подпис, други данни генерирани в хода на комуникацията между страните или посредством документи, разменени между тях.
6. Дружеството обработва лични данни за вътрешни административни цели като част от група предприятия като е възможно да получава данни на клиенти и служители на дружества от корпоративната група.
7. Дружеството обработва лични данни на ползватели на официалния уебсайт, например:
– При попълване на форми за запитвания, регистрация , анкети за анализ на клиентската удовлетвореност и всяка форма за контакт, която изисква предоставяне на данни за обратна връзка като име, електронна поща, телефонен номер, данни за автомобил или използвана сервизна услуга, във връзка с която се отправя запитването. Във всички случаи на ползване на уебсайта е възможно събиране на данни чрез бисквитки. Актуална информация за обработване на данни чрез бисквитки е налична на уебсайта в полето „Полезни връзки” и чрез връзка в съобщението за бисквитки, което полвателят вижда при първото си посещение на уебсайта.
– Данни на кандидати за работа в процедури за подбор на персонал, когато използват формата за кандидатстване за работна позиция в някое от дружествата от групата на уебсайта, включително чрез възможност за прикачване на файл с автобиография и изпращане на мотивационно писмо. Различни категории лични данни се обработват за тази цел, съгласно Политиката за поверителност при подбор на персонал.
Определени форми за попълване на Уебсайта могат да съдържат свободни за попълване текстови полета, в които можете да изберете да предоставите информация, която може да представлява лични данни, които се отнасят до Вас или до трето лице. Доколкото предоставянето на такава информация не е задължително, то лични данни, за които не е налично правно основание за обработване от страна на Администратора ще бъдат изтривани до 1 месец от получаването им.
III. ОСНОВАНИЯ ЗА ОБРАБОТКА
1. Личните данни на облигационерите и пълномощниците на обигационери – обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, свързано с упражняване на представителна власт, и за спазване на законово задължение, което се прилага спрямо администратора, съгласно Търговски закон, ЗППЦК;
2. Личните данни на лицата на ръководни позиции, тясно свързаните с тях лица и лицата с достъп до вътрешна информация относно финансовите инструменти – обработването е необходимо за спазване на законово задължение, което се прилага спрямо администратора – Регламент 596/2014г относно пазарната злоупотреба;
3. Личните данни на членовете на одитните комитети – обработването е необходимо за спазване на законово задължение, което се прилага спрямо администратора, съгласно Закона за независимия финансов одит;
4. Личните данни на членовете на управителните и надзорните органи – обработването е необходимо за изпълнение на договор, по който субектът на данни е страна( договори за управление и надзор), и за спазване на законово задължение, което се прилага спрямо администратора, съгласно Търговски закон, ЗППЦК, Регламент (EО) No 809/2004 на относно прилагането на Директива 2003/71/ЕО на Европейския парламент и на Съвета по отношение на информацията, съдържаща се в проспектите, както и формата;
5. Лични данни на контрагенти – обработването е необходимо за изпълнение на договор, по който субектът на данни е страна и за спазване на законово задължение, което се прилага спрямо администратора за спазване на изисквания за данъчно-счетоводно отчитане;
6. Лични данни на ползватели на уебсайта във формуляри за запитвания, контакт с компанията или за кандидатстване за обявена позиция в процедура за подбор на персонал – обработването е необходимо за предоставяне на услуги, съответно информация за услуги и продукти, съответно за предприемане на стъпки по искане на субекта на данни преди сключване на договор; при предоставяне на данни във формуляри за обратна връзка в проучване относно клиентската удовлетвореност относно продукти и услуги на дружествата от групата – легитимен интерес на администратора;
7. Лични данни на ползватели на уебсайта, които са заявили изрично желание чрез отбелязване във форма за съгласие да получават електронни маркетингови съобщения от Дружеството и свързаните с него дружества от групата – субектът е дал съгласие за обработване на данните му за конкретната цел.
IV. ЦЕЛИ НА ОБРАБОТКАТА
Целите на обработката са следните:
– Издаване на проспекти и публично предлагане на финансови инструменти
– Счетоводно отчитане и съставяне на отчети
– Участие в общи събрания на облигационери
– Изплащане на лихви
– Спазване на нормативните разпоредби на Търговския закон, Закона за публичното предлагане на ценни книжа, Закона за независимия финансов одит и Регламент 596/2014г. за мерките срещу пазарна злоупотреба с финансови инструменти и свързани с тях нормативни актове
– Идентифициране на страна, комуникация, изпълнение на насрещни задължения във връзка със сключване и изпълнение на договори, независимо от предмета на договора.
– За вътрешни административни цели в рамките на корпоративната група – администриране на общи системи и процеси за управление на човешките ресурси, включително подбор на персонал, консолидирана счетоводна отчетност, активности, свързани с промотиране на продукти и услуги на дружествата – част от корпоративната група, събиране и анализ на информация за клиентската удовлетвореност, административно-правно обслужване.
– Предоставяне на услуги чрез уебсайта.
– За извършване на директен маркетинг по електронна поща или мобилен телефон, за проучвания на клиентската удовлетвореност относно продуктите и услугите на дружествата от корпоративната група чрез контактни форми и анкети на уебсайта.
V. НАЧИНИ ЗА СЪБИРАНЕ НА ЛИЧНИ ДАННИ
Личните данни се събират:
– Лични данни, които се предоставят от лицата;
– Лични данни, които се получават от други източници;
VI. ПОСЛЕДИЦИ ОТ ОТКАЗ ЗА ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ
Обработването на лични данни за цели, които се основават на изрично съгласие на субекта не е задължително и отказът да бъде предоставено съгласието, съответно данните не може да има никакви последствия.
Когато обработването на данни е необходимо за предоставяне на услуги, следователно е необходимо за изпълнение на договор, по който субектът е страна, предоставянето на данни не е задължително, но отказът от предоставяне на данни може до доведе до невъзможност да бъде получена поисканата услуга, съответно сключен и изпълнен договора.
Изрично съгласие на физическите лица, чиито данни се обработват не винаги е необходимо, ако Администраторът разполага с друго правно основание за обработка на лични данни, например при обработване което се основава на законово задължение, което се прилага спрямо администратора.
VII. СРОК НА СЪХРАНЕНИЕ
Критериите, използвани за определяне на периодите на запазване на вашите лични данни включват продължителността на текущото ни взаимоотношение, нашите правни задължения или правно положение (напр. по отношение на съдебни спорове и/или регулаторни разследвания).
VIII. ДОСТЪП ДО ДАННИТЕ
До Вашите данни имат достъп определените служители на дружеството с оглед изпълнение на възложените им трудови функции.
Вашите данни могат да бъдат предоставяни и на трети лица – обработващи лични данни, на основание сключени с тях споразумения за обработка на данните. Данните ви могат да бъдат предоставени и на компетентните държавни органи с оглед изпълнение на възложените им с нормативен акт правомощия, и по-специално на Агенцията по вписванията, НАП, КФН.
Дружеството предприема всички необходими технически и организационни мерки за защита на личните данни на субектите и гарантира тяхното спазване.
Вашите лични данни се съхраняват и прехвърлят по сигурен начин. Предаване на лични данни на трети държави или еждународни организации е допустимо само при условията на Глава V от Общия регламент за защита на данните.
Приети са всички необходими вътрешни политики и правила, с които служителите са запознати и които гарантират:
– постоянна поверителност, цялостност и устойчивост на процесите по обработка на лични данни;
– предотвратяване на случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.
– своевременно възстановяване на наличността на личните данни в случай на физически или технически инцидент;
– постоянна оценка на ефективността на техническите и организационните мерки за защита на личните данни.
IX. КАКВИ ПРАВА ИМАТ СУБЕКТИ НА ЛИЧНИ ДАННИ И КАК МОГАТ ДА ГИ УПРАЖНЯТ?
1. Субектът на личните данни при поискване има право да получи цялата необходима информация, отнасяща се до обработването на предоставените от неговите лични данни.
2. Субектът на личните данни има право да изиска от Дружеството достъп до, коригиране или заличаване на лични данни или ограничаване на обработването на лични данни, при наличие на предпоставките за това.
3. Субектът на личните данни има право да направи възражение срещу обработването и да подаде жалба до Комисията за защита на личните данни и до компетентния съд при незаконосъобразно обработване на данните.
4. Субектът на личните данни има право да оттегли съгласието си за обработка на личните му данни по всяко време, когато данните са предоставени на основание съгласие, без това да се отразява на законосъобразността на обработката преди оттеглянето.
5. Субектът на личните данни има право да бъде информиран за последствията от непредоставянето на съгласие за обработка на личните му данни.
6. Субектът на личните данни има право да бъде информиран за целите и сроковете на обработването на личните му данни, както и дали Дружеството има намерение да обработва данните за цел, различна от тези, за които са събрани, както и при промяна на целите на обработка.
7. Субектът на личните данни има право да бъде информиран за корекция в индивидуализиращите белези на Дружеството. Информирането се осъществява чрез официалния уебсайт на дружеството и чрез вписването им в Търговския регистър или в друг публичен регистър.
8. Субектът на личните данни има право да получава копие от събраните му лични данни.
9. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора.
10. Субектът на личните данни има право данните му да не бъдат обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, както и правото да бъде информиран за съществуването на автоматизирано вземане на решения, включително профилиране. Субектът на личните данни има право и на съществена информация за използваната логика, значението и последствията от такова обработване на данните – поне в случаите, когато автоматизираното вземане на решения има правни последици за субекта на личните данни или по подобен начин го засяга в значителна степен.
Всички искания за предоставяне на информацията за обработка на данните му, копие от обработваните му данни, за заличаване на лични данни, за преносимост на лични данни, коригиране и оттегляне на съгласие, се оформят в писмен вид, подписват се от субекта на данни и се предават за обработка на Дружеството на електронен адрес: gdpr@avtounion.bg или на адреса на управление на Дружеството.
Дружеството отговаря мотивирано на исканията на субектите, като ги изпълнява, ако са налице основания за това, или постановява мотивиран отказ, при наличие на основания за това, като указва и правото на субектите на възражение до КЗЛД и до компетентния съд.
Исканията ще се считат прекомерни поради своята повтаряемост, ако се отнасят до статични данни, които не подлежат на промяна в рамките на периода от време между исканията, както и ако са динамични данни, подлежащи на промяна, но по отношение на тези данни постъпват повече от две искания в рамките на четири месеца.
X. ИЗПОЛЗВАНЕ НА БИСКВИТКИ
Актуална информация за използването на бисквитки е налична на уебсайта в полето „Полезни връзки” или чрез връзката в съобщението за бисквитки, което ползвателят вижда при първото си посещение на уебсайта.
ДЕФИНИЦИИ
1. „Лични данни” (наричани по-долу за краткост ,,данните’’) са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано чрез име, идентификационен номер, данни за местонахождение, онлайн идентификатори или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това лице.
2. „Обработване на лични данни” означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
3. „Администратор на лични данни” (наричан за краткост,,администраторът’’) означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка.
4. „Регистър на лични данни” означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
5. ,,Обработващ лични данни’’ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
6. „Съгласие на физическо лице” означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
7. ,,Субекти на лични данни’’ (наричани за краткост ,,субектите’’) са физически лица.
8. „Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
9. ,,Лице, което изпълнява ръководни функции“ означава по смисъла на пар.3 т.25 от Регламент 596/2014г. лице в рамките на емитент, на участник на пазара на квоти за емисии или на друг субект, посочен в член 19, параграф 10, което е:
а) член на административния, управителния или надзорния орган на този субект; или
б) служител на висш ръководен пост, който не е член на органите, посочени в буква а), но има редовен достъп до вътрешна информация в пряка или косвена връзка с този субект и правомощието да взема ръководни решения, засягащи бъдещото развитие и перспективите за стопанска дейност на този субект;
10. „Тясно свързани лица“ означава по смисъла на пар.3 т.26 от Регламент 596/2014г.:
а) съпруг/а или партньор/ка, считан(а) по националното право за равностойно на съпруг/а лице;
б) дете на издръжка в съответствие с националното право;
в) роднина, който живее в същото домакинство в продължение поне на една година към датата на съответната сделка; или
г) юридическо лице, тръст или съдружие, чийто ръководни функции се изпълняват от лице, което изпълнява ръководни функции, или от лице, посочено в буква а), б) или в), което е пряко или косвено контролирано от такова лице, което е учредено в полза на подобно лице, или чиито икономически интереси са практически равностойни на тези на такова лице;
11. „Право на достъп“ – субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и до следната информация:
• целите на обработването;
• съответните категории лични данни;
• получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;
• когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
• съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
• правото на жалба до надзорен орган;
• когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
• съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
12. „Право на коригиране“ – субектът на данните има право да поиска от администратора да коригира неточните лични данни, свързани снего. Като се има предвид, че непълните лични данни могат да бъдат попълнени, включително чрез добавяне на декларация.
13. „Право на изтриване“ – субектът на данни има право да поиска от администратора изтриване на свързани с него лични данни, а администраторът има задължението да изтрие личните данни, когато е приложимо някое от следните основания:
• Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин.
• Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и няма друго правно основание за обработването;
• субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;
• личните данни са били обработвани незаконосъобразно;
• личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
14. „Право на ограничаване на обработването“ – субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:
• точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
• обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
• субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
15. „Право да прехвърля данните“ – субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:
• обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и
• обработването се извършва по автоматизиран начин.
• Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
16. ,,Вътрешна информация’’ по смисъла на Регламент 596/2014г. означава: 1. За целите на настоящия регламент вътрешната информация се състои от следните видове информация:
а)точна информация, която не е била направена публично достояние, свързана пряко или косвено с един или повече емитенти или с един или повече финансови инструменти и която, ако бъде направена публично достояние, би могла да повлияе чувствително върху цената на тези финансови инструменти или на свързаните с тях дериватни финансови инструменти;
б) по отношение на стоковите деривати — точна информация, която не е била направена публично достояние, свързана пряко или косвено с един или повече деривати или свързана пряко със свързания спот договор за стоки и която, ако бъде направена публично достояние, би могла да повлияе чувствително върху цените на тези деривати или свързани спот договори за стоки и когато става въпрос за информация, която може основателно да се очаква да бъде разкрита или трябва да бъде разкрита по силата на законовите или подзаконовите разпоредби на равнището на Съюза или на национално равнище, пазарните правила, договорите, обичайните правила или практики на съответните пазари на стокови деривати или спот пазари;
в)по отношение на квотите за емисии или продаваните на търг основани на тях продукти — точна информация, която не е била направена публично достояние, която се отнася пряко или косвено до един или повече такива инструменти и която, ако бъде направена публично достояние, би могла да повлияе чувствително върху цената на тези инструменти или на свързаните с тях дериватни финансови инструменти;
г)за лицата, натоварени с изпълнението на нареждания относно финансови инструменти, тя означава също информация, предадена от клиент и свързана с подадени, но все още неизпълнени нареждания на клиента, свързани с финансови инструменти, която е точна, отнася се пряко или косвено до един или повече емитенти на финансови инструменти или до един или повече финансови инструменти и, ако бъде разкрита публично, би могла да повлияе чувствително върху цената на тези финансови инструменти, цената на свързаните спот договори за стоки или на свързаните с тях дериватни финансови инструменти.
Тази Политика е одобрена и влиза в сила на 25.05.2018 г., изменена и допълнена на 11.05.2020 г., в сила от същата дата.