Компанията Айкарт и съответствието й с Общия регламент за защита на личните данни (Регламент (ЕС) 2016/679)

Нашият ангажимент към вас и към защитата на вашите данни

Считано от 25 май 2018 Регламент (ЕС) 2016/679, наричан по-нанататък „Регламент“, влиза в сила и се прилага във всички държави-членки на Европейския съюз и на Европейската икономическа зона. Регламентът има за цел да хармонизира различните законодателства, касаещи защитата на данните в страните-членки и да доведе до по-стандартизирана защита за всички граждани на Европейския съюз. Ние в Айкарт приветстваме тази законодателна промяна, защото винаги сме се стремили да защитим личните данни на своите клиенти по най-оптимален и иновативен начин.

Организационна готовност в Айкарт

Защитата на личните данни на нашите клиенти е от изключителна важност за нас. През последните няколко месеца нашият екип е работил съвестно и последователно, така че изискванията за съответствие, наложени от Регламента, да бъдат изпълнени в най-кратки срокове.

Длъжностно лице по защита на личните данни, отдел „Защита на личните данни“ и провежданите от тях обучения

Всички служители на Айкарт преминават обучения на тема „Защита на личните данни“, като тези обучения протичат както под надзора на отговорния за това отдел „Защита на личните данни“, така и под наблюдението на отдел „Законово съответствие“ и на външно адвокатско дружество. Новоназначените служители участват в обучения, в които им се дава информация за действащото законодателство и най-добрите практики в областта на защитата на личните данни. След това въвеждащо обучение те преминават веднъж годишно през последващи такива и задълбочават знанията си. Назначили сме длъжностно лице по защита на данните, което ръководи отдел „Защита на личните данни“ в съответствие с изискванията на Регламента.

Вътрешни политики

Вътрешните политики, процедури и инструкции са обновени в съответствие с Регламента.

Личните данни, които ние събираме

В нашата политика за поверителност е описано подробно какви лични данни събира и обработва нашата компания. Ние обработваме лични данни на базата на различни правни основания, признати от Регламента – за спазването на законово задължение; в изпълнение на договор, по който субектът на данните е страна; въз основа на легитимен интерес; въз основа на дадено от субекта съгласие.

Как използваме събраните лични данни?

Ние използваме, съхраняваме и обработваме лични данни на наши клиенти, за да предоставим, разберем, подобрим и развием нашите услуги, да създадем и поддържаме сигурна среда, за целите на нашия легитимен интерес и за да изпълним законовите си задължения. По-подробна информация може да намерите в политиката ни за поверителност.

Защо правим снимка на нашите клиенти и техните документи за самоличност и в съответствие ли е това с действащото законодателство?

Във връзка с нашите законови задължения по Закона за мерките срещу изпирането на пари и по Закона за мерките срещу финансирането на тероризма, ние трябва да потвърдим самоличността на потребителите, които си откриват сметка при нас и на тези, които откриват сметка за юридическо лице (бизнес профили, където има поле „потребител, създаващ акаунта“).

Тъй като имаме това законово задължение за идентификация и верификация, ние изискваме от клиентите си определени документи и данни, които те не винаги могат да качат сами в профила си. Поради тази причина и в съответствие с най-добрите практики ние извършваме тази идентификация онлайн посредством видео чат. Правим го изцяло за удобство на нашите клиенти.

Законът за мерките срещу изпирането на пари и Законът за мерките срещу финансирането на тероризма в широк смисъл изискват финансовите институции и други организационни структури, за които има риск да бъдат използвани като средство за изпиране на пари или на финансов тероризъм, да вземат следните мерки:

1) да идентифицират клиентите си, което означава, че институцията е задължена да поиска от тях да предоставят личните си данни

2) да потвърдят истинността на индентифицирането, което означава, че институцията трябва да провери дали предоставените лични данни не са фалшифицирани, откраднати, подправени, откраднати и пр.

Когато по-горните действия не са извършени на принципа „лице в лице“, а през онлайн приложение, ние сме длъжни да направим така, че потвърждаването на истинността на идентифицирането да стане посредством поне две технически мерки. В този смисъл функционалностите на видео чата и заснемането на клиентите ни и техните документи за самоличност са на този етап най-бързият, най-удобният за потребителите и едновременно с това съгласуван със закона начин да предоставяме услугите си на клиентите си.

Оценка на въздействието върху защитата на личните данни

Ние сме провели подобен обзор на всички дейности по обработването на данни – по продукти и по отдели. Анализирали сме основанията за обработване, периодите на съхранение, техническите и правни механизми, които защитават правата и свободите на нашите клиенти и сме се уверили, че всяка дейност по обработването е на 100% в съответствие със закона.

Криптиране и съхранение на личните данни

Ние поемаме ангажимента да се уверим, че на личните данни, които обработваме, са направени необходимите защити и че те се съхраняват в криптирана форма на сървъри, разположени в Специални центрове за данни клас А в Европа.

Периоди на съхранение

Като финансова институция ние имаме задължение по Директивата за платежни услуги и законодателството за мерките срещу изпирането на пари да пазим личните данни на нашите клиенти за период от 5 години след прекратяване на правоотношението с тях.

Корекция на лични данни

Клиентите на Айкарт имат право по всяко време да поискат от компанията ни коригиране на техни неточни или непълни лични данни, които ние обработваме. Писменото искане за това може да бъде изпратено на dpo@icard.com

Достъп до лични данни

Клиентите ни могат по всяко време да поискат и да получат копие от данните за тях, които ние обработване. Писменото искане за това може да бъде изпратено на dpo@icard.com

Изтриване на лични данни

Ние съхраняваме личните данни на нашите клиенти доколкото това е необходимо за изпълнение на договор между нас, както и за целите на спазване на приложимото право. Клиентите ни могат по всяко време да поискат тяхната сметка в Айкарт и свързания с нея профил да бъдат изтрити. Ние обаче ще запазим техните лични данни в продължение на 5 години след прекратяването на отношенията ни в съответствие със закона.

В случай, че законовите срокове за съхранение са вече изтекли, личните данни на клиентите ще бъдат изтрити без забавяне. Писменото искане за изтриване може да бъде изпратено на dpo@icard.com. По-подробна информация може да намерите в политиката ни за поверителност

Преносимостта на лични данни като право на клиентите ни

Нашите клиенти имат право да получат копие на личните си данни, които ние обработваме, в структуриран, широко използван и пригоден за машинно четене формат, който позволява многократна употреба. Могат да трансферират лични си данни от един администратор до друг и да прехвърлят личните си данни директно между администратори без усложнения. За допълнителна информация, моля, проверете нашата политика за поверителност.

Оттегляне на съгласието и ограничаване на обработването на лични данни

Когато клиентите ни са предоставили съгласието си за обработването на лични данни от нас, те могат да го оттеглят по всяко време, като променят настройките на профила си или като ни изпратят съобщение, в което посочват кое съгласие искат да оттеглят. В този случай трябва да се има предвид, че оттеглянето на съгласието не засяга законосъобразността на каквито и да е обработващи дейности въз основа на такова съгласие преди оттеглянето му, както и обработването, което извършваме на останалите законови основания по смисъла на Регламента за защита на личните данни. За допълнителна информация, моля, проверете нашата политика за поверителност.

Бизнес профили

Моля, обърнете внимание, че дружествата (компаниите) не са субекти на лични данни по смисъла на Регламента. Собствениците на такива дружества, които използват услугите на Айкарт и имат бизнес профили могат да упражнят правата си, но само по отношение на техните лични данни. Информацията за дружеството, включително за рисковия му профил и за проверките за съответствие, не се регулира от разпоредбите на Регламента.

С кого споделяме лични данни

В някои случаи може да споделим лични данни с членове от корпоративното семейство на Айкарт (свързани предприятия) с цел да предоставим услугите, които нашите клиенти са поискали и за да предотвратим потенциални незаконни действия, измами и други нарушения на нашите политики. Възможно е също да споделим лични данни с наши доставчици, които ни подпомагат в предоставяне на услугите, продуктите и/или платформите – по начин, по който ние сметнем за подходящ. За допълнителна информация, моля, проверете точка 3 от нашата политика за поверителност.

Децата и нашите услуги

Нашите услуги не са предназначени за лица, ненавършили 18 години, освен ако изрично не сме уговорили друго в политика за поверителност или друг правен документ. Ако получим фактическа информация, че сме събрали лични данни на лице, ненавършило 18 години, ние незабавно ще ги изтрием, освен ако не сме законово задължени да ги запазим.

Лични данни на клиентите след прекратяване на договора им/закриване на профила им

Моля, обърнете внимание, че като финансова институция ние сме задължени по Директивата за платежни услуги и законодателството за мерките срещу изпирането на пари да пазим личните данни на нашите клиенти за период от 5 години след прекратяване на правоотношението с тях. Възможно е определени данни да бъдат съхранявани за по-дълъг период от време, в случай на съдебни дела и/или други процедури, включително проверки, извършвани от компетентните надзорни органи.

Проверка на доставчиците

Всички доставчици, с които работим в момента, са преминали подробно проучване и проверка, за да се уверим, че отговарят на изискваниятаза сигурност и поверителност на данните, очертани от Регламента. За да поддържаме това ниво на сигурност, такива проверки ще се правят и за всички следващи доставчици, с които ще работим. В случаите, когато прехвърляме, съхраняваме и обработваме лични данни извън Европейската икономическа зона (ЕИЗ), ние предварително сме се уверили, че са взети подходящи предпазни мерки, които да осигурят адекватно ниво на защита.

Когато работим с дружества извън ЕИЗ, ние се уверяваме, че те са или регистрирани в Privacy-Shield-списъка (или участват в друго подобно споразумение/инстумент), или са ни предоставили подробно разяснение на предпазните мерки, които вземат, за да защитят личните данни на своите клиенти.

Реакция при инциденти

Нашите процедури за реакция при инциденти са създадени и тествани така, че потенциални нарушения в сигурността да се идентифицира и да се довеждат до знанието на отговорните служители, които се заемат с разрешаването им. Те също така гарантират, че служителите следват определен протокол при действията по разрешаването , както и че преприетите стъпки са документирани и са преглеждани редовно от екипа по Информационна сигурност. В допълнение към това, ние сме обновили съществуващите политики и процедури, за да включим информация за действията по уведомяване на компетентните органи при нарушение на сигурността, свързано със загуба или неразрешено използване на лични данни.

Съответствие по отношение на „Бисквитките“

Ние използваме „Бисквитки“ и други технологии, когато потребителите посещават нашите интернет сайтове и мобилни приложения. Правното основание на това използване е съгласието на нашите потребители. Те могат по всяко време да оттеглят съгласието си за приемане на „Бисквитки“ и други подобни технологии като ги изтрият в настройките на браузъра си. Повече информация относно изтриването и блокирането на „Бисквитки“ може да намерите на страница http://www.aboutcookies.org/how-to-delete-cookies/

Нашите лицензии и регистрации

Айкарт АД е регистрано като дружество за електронни пари и е лицензирано от БНБ в съответствие с Директивата за платежни услуги – лицензионен номер 4703-5081, пълноправен член на MasterCard, VISA, JCB, AMEX, UnionPay, Bancontact, Borica и други платежни системи.

Ние предоставяме финансови услуги в целия ЕС и в ЕИЗ. Можете да намерите регистрационния ни номер в съответния компетентен орган, например фирмите от Великобритания могат да бъдат намерени в Регистъра за финансови услуги: https://register.fca.org.uk/shpo_searchresultspage?search=icard&TOKEN=3wq1nht7eg7tr