Информация относно обработването на лични данни на физически лица от „Банка ДСК“ АД
1.1. „Банка ДСК” АД е търговско дружество, регистрирано в Търговския регистър и регистъра на ЮЛНЦ към Агенция по вписванията с ЕИК 121830616 със седалище и адрес на управление: гр. София, 1000, ул. „Московска” № 19. тел: *2375 / 0700 10 375; факс: (+359 2) 9076 499; e-mail: call_center@dskbank.bg; Интернет страница www.dskbank.bg. В качеството си на Администратор на лични данни, осъществява своята дейност при стриктно спазване на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и Закона за защита на личните данни. Банка ДСК е част от OTP Group, предоставяща финансови услуги на територията Централна и Източна Европа.
Част от Групата в България са дружествата ПОК ДСК Родина, ДСК Лизинг, ОТП Лизинг, ДСК Управление на активи, ДСК Дом и ДСК Венчърс.
Данни за контакт с Длъжностно лице по защита на личните данни: e-mail: DPO@dskbank.bg.
1.2. Настоящата информация се прилага за обработване на лични данни на:
а) лица, които сключват с Банката договор за банково финансиране и/или договор за неговото обезпечаване (поръчителство, залог, ипотека), или които подават искане за сключване на такъв договор, както и лица, които получават персонализирани и неперсонализирани оферти;
б) лица, които сключват договор за продукт и/или услуга на Банката, различен от този по б. „а“, или които подават искане за сключване на такъв договор, вкл. искане за получаване на персонализирани и неперсонализирани оферти;
в) лица, които сключват с Банката договори с еднократно изпълнение, например по които се предоставят еднократни платежни услуги;
г) лица, които подават жалба/искане/предложение, без да са клиенти на Банката;
д) продавач на недвижим имот – при финансиране на купувача на имота, който ще бъде обезпечение по договора за кредит;
е) лица, чиито задължения към друг кредитор се рефинансират с кредит от Банката;
ж) лица, които са подали искане за проверка за наличие на задължения за местни данъци и такси;
з) наследници на лицата по горните точки;
и) представляващи лицата (физически и юридически) по горните точки;
к) лица - неклиенти на банката, чиито данни се обработват във връзка с използване на платежни системи и платежни схеми, в това число и с ползване на Р2Р услуга по мобилен номер.
2.1.1. Банка ДСК обработва следните лични данни и категории лични данни за лица в хипотезите на 1.2., от б. „в“ до „з“:
а) имена, идентификационен номер, дата и място на раждане, гражданство, вид, номер и копие на документ за самоличност;
б) данни за контакт, например: адреси, стационарен/мобилен телефон, електронна поща;
в) демографски характеристики, например: пол, възраст, местоживеене;
г) данни за физическата идентичност – лицеви изображения, глас, почеркови признаци.
д) данни за икономическото състояние, например наличие на кредитни задължения;
е) данъчна и осигурителна информация, например наличие на публични задължения и месторабота.
2.1.2. За лицата по т. 1.2. б. „а“ и „б“, освен данните по т. 2.1.1., Банката обработва и следните техни данни:
а) местоположение;
б) данни за месторабота, длъжност/професия;
в) данни за студент, например: учебно заведение, факултет, факултетен номер, професионално направление, специалност, курс, редовна/задочна форма на обучение;
г) данни за и от ползвани и отказани продукти/услуги на Банката, както и на трети лица, с които Банката има сключен договор;
д) за лица, които са заявили желание или ползват платежни услуги по предоставяне на информация за сметка и за иницииране на плащания - финансова информация за сметки, движения по сметки и наличности при други доставчици на платежни услуги.
е) биометрични данни.
2.2. За целите на банково финансиране, както и за директен маркетинг на продукти и услуги на Банката, освен данните по т. 2.1.1. и 2.1.2., Банка ДСК обработва и следните данни на физическите лица по т. 1.2. б. „а“ и „б“:
а) данни за икономическо състояние, с които Банка ДСК разполага във връзка с ползвани продукти и услуги на Банката, както и данни получени от информационните масиви на НОИ /само при наличие на съгласие на клиента за това/, на ЦКР, на НАП и на Търговския регистър и регистъра на юридическите лица с нестопанска цел, например: доходи, притежавано имущество, кредитна задлъжнялост;
наличие на публични задължения, свързани юридически лица;
б) данни за гражданско състояние, например: семейно положение, в това число получени от информационните масиви на ГД ГРАО (само при наличие на съгласие на клиента за това).
2.3. За представляващите физически и юридически лица Банка ДСК обработва следните лични данни:
а) име и идентификационен номер, б) дата и място на раждане, гражданство, в) данни от документ за самоличност;
г) данни за контакт, например: адреси, стационарен/мобилен телефон, електронна поща;
д) местоположение;
е) данни за месторабота, длъжност/професия;
ж) данни за физическата идентичност – лицеви изображения, глас, почеркови признаци.
2.4. Банка ДСК обработва следните лични данни на действителните собственици на бизнес клиент: име, идентификационен номер, дата и място на раждане, гражданство, документ за самоличност, постоянен адрес.
2.5. За лицата по т. 1.2. б. „к“ Банката обработва следните техни данни: имена и телефонни номера, включени в списък с контакти на мобилно устройство на клиент на Банка ДСК по т. 1.2., б. „б“.
3.1. Личните данни на физическите лица по т.1.2., б. „а“ ,„б“ и „з“ се обработват за целите на:
а) сключване с Банката и изпълнение на договор, по който физическото лице е страна/представляващ друго лице; изпълнение на договор, по който Банката или физическото лице/представляваният встъпва/замества в правата и/или задълженията друго лице, както и за действия, предхождащи и обуславящи сключването на договор;
б) упражняване на законови права и задължения на Банката във връзка със сключването и изпълнението на договорите по б. „а“;
в) реализиране на права и интереси на Банката, които имат обосновано преимущество пред интересите на физическите лица, вкл.
извършване на директен маркетинг и профилиране, чрез прочувания относно предлагани и/или ползвани продукти и услуги, както и чрез отправяне на предложения по телефон, поща или друг директен начин, на продукти и услуги на Банката, за които се приема, че клиентът би могъл да очаква предложения, отчитайки използваните от него продукти и услуги на Банката.
г) директен маркетинг за продукти и услуги на Банката, извън случаите на б. „в“, както и продукти и услуги на трети лица, вкл.
Дъщерни дружества на Банката, предлагани от нея по силата на сключен с тези лица договор – само със съгласие на физическото лице.
д) автоматичен обмен на финансова информация по глава XVI, раздел IIIа от Данъчно-осигурителния процесуален кодекс, като процесът включва автоматизирана обработка на лични данни, чрез прилагане на процедурите за комплексна проверка по ДОПК.
3.2. Във връзка със сключване на договор за банково финансиране и/или договор за неговото обезпечаване (поръчителство, залог, ипотека), освен за целите по т. 3.1., данните на лицата по т. 1.2. б. „а“, б. „б“ и б. „з“ се обработват и за целите на:
а) разглеждане на искане за ползване на финансиране, оценка на обезпечението, извършване на анализ на кредитоспособността, който включва, наред с други проверки, искането и получаването на данни от официални за страната регистри, като например регистри, поддържани от НОИ, ЦКР, НАП, от бази данни на Банката и др., и други подготвителни действия за сключване на договор за финансиране и договори за учредяване на обезпечения;
б) учредяване и подновяване на обезпеченията по договора;
в) сключване и поддържане на имуществена застраховка, когато се изисква такава, съгласно договора, или когато Банката по собствена преценка сключи застраховка на поетия риск.
3.3. Личните данни на представляващите по т. 1.2, б. „и“ се обработват за целите по т. 3.1., б. „а“, „б“ , „д“ , за реализиране на права и интереси на Банката, които имат обосновано преимущество пред интересите на физическите лица, а в случаите на сключване на договор за банково финансиране и/или договор за неговото обезпечаване (поръчителство, залог, ипотека) от името на представляваното лице - и за целите на:
а) разглеждане на искане за ползване на финансиране и други подготвителни действия за сключване на договор за финансиране и договори за учредяване на обезпечения;
б) учредяване и подновяване на обезпеченията по договора;
в) сключване и поддържане на имуществена застраховка, когато се изисква такава, съгласно договора, или когато Банката по собствена преценка сключи застраховка на поетия риск.
3.4.1 Банката обработва лични данни на физически лица по т.1.2., от б. „в“ до „ж“, за следните цели:
а) сключване и изпълнение на договор с Банката с еднократно изпълнение, по който физическото лице, за което се отнасят данните, е страна или е сключило в качеството на представляващ друго лице, вкл. за действия, предхождащи и обуславящи сключването на такъв договор;
б) извършване на подготвителни действия за сключване на договор за банково финансиране за рефинансиране на кредитни задължения на физическото лице, чиито данни се обработват;
в) изискване и получаване на данни от официални за страната регистри (напр. на НАП за наличие на публични задължения), отнасящи се до собственика на недвижим имот, например при финансиране на купувача на имота, като имотът ще бъде и обезпечение по договора за кредит;
г) проучване на поставени в жалба/искане/предложение въпроси и изготвяне на отговор;
д) изпълнение на законови права и задължения на Банката.
3.4.2. Банката обработва лични данни и категории лични данни по т. 2.1.2, буква „е“ само за следните цели:
а) за целите на отдалечено идентифициране при първоначална регистрация за достъп до електронни канали и ползване на продукти и услуги на Банката през мобилно приложение, единствено след получено изрично съгласие от субекта на данни.
б) за целите на подписване на документи пред служител на Банката с електронна писалка при получено съгласие от субекта на данни.
3.4.3. Банката обработва лични данни по т. 2.5. за целите на използване на платежни системи и платежни схеми, в това число и с ползване на Р2Р услуга по мобилен номер.
3.5. Личните данни на действителните собственици на бизнес клиент се обработват за целите на тяхната идентификация и прилагане на мерките срещу изпирането на пари и финансирането на тероризма, в изпълнение на законови задължения на Банката.
3.6. С цел охрана и при спазване на нормативните изисквания се извършва видеонаблюдение в поделенията.
4. Обработването на личните данни се извършва на основание:
а) сключен договор с Банката или с трето лице, чрез Банката, по който физическото лице е страна или представляващ друго лице, вкл. за действия, предхождащи и обуславящи сключването на договор и предприети по искане на физическото лице; или б) предоставено съгласие на физическото лице, или в) реализиране на права и интереси на Банката, които имат обосновано преимущество пред интересите на физическите лица, или г) изпълнение на законови задължения на Банката.
5.1. Личните данни на физическите лица по т. 1.2., б. „а“, б. „б“ и „з“, както и данните на представляващи физически и юридически лица, събирани и обработвани от Банката, могат да бъдат предоставяни на следните категории получатели на лични данни:
а) лица, на които са възложени действия по изработване, печатане, комплектоване, доставка (вкл. чрез SMS/Viber съобщения или по електронен път) на писмена кореспонденция и/или информационни материали на Банката;
б) лица, на които са възложени действия по издаване на банкови карти;
в) лица, с които Банката е сключила договор за съвместно създаване и обслужване на продукти и/или предоставяне на услуги;
г) лица, чиито услуги Банката използва при предоставяне на инвестиционни и допълнителни услуги на клиенти;
д) лица и институции, с които Банката е сключила договор за гарантиране на портфейли от кредити и/или отделни кредити на клиенти;
е) лица, на които е възложено по силата на договор с Банката да й оказват съдействие във връзка с управлението и събирането на вземанията й;
ж) лица, на които Банката предлага да продаде вземанията си;
з) лица, на които Банката е възложила да връчва уведомления за предсрочна изискуемост по договори за кредит или друга форма на финансиране (напр. нотариуси, ЧСИ);
и) външни контактни центрове;
й) търговци, които по силата на договор с Банката посредничат при предоставянето на кредитни или други банкови продукти и услуги;
к) други дружества от корпоративната група, към която Банката принадлежи (OTP Group), ако е необходимо за целите на вземане на решение, администриране и контрол във връзка с предоставянето и изпълнението на услугите, предлагани от Банката, или дружествата;
л) лица, на които във връзка с обработването за посочените в т. 3 цели, Банката е възложила обработването на личните данни по организационни причини, различни от посочените по-горе, например: разработване и поддръжка на системи на Банката; съхранение на данните; контрол на достъпа до помещенията на Банката и др.;
м) органи, институции, регулирани пазари, на които Банката е член, както и други лица - във връзка с реализиране и защита правата и интересите на Банката или, на които Банката е длъжна да предостави лични данни по силата на законова разпоредба;
н) платежни организации и системи, обслужващи безналични плащания и преводи, включително и с платежни инструменти, както и външни доставчици, през приложения на които се дигитализират банкови карти, издадени от Банка ДСК, когато субектът на данни е пожелал услугата по дигитализиране.;
о) на доставчици на платежни услуги по предоставяне на информация по сметка, доставчици на платежни услуги по иницииране на плащания и доставчици, предоставящи платежна услуга по потвърждение за наличие на средства при използване на платежен инструмент, които се интегрират към системите на Банката по предвидения законов ред за това;
п) застрахователи, с които Банката има сключен договор, и техни партньори с цел сключване, поддържане и реализиране на имуществена застраховка, както и лица, на които Банката възлага оценка на обезпечения.
5.2.1. Личните данни на лицата по т. 1.2., от б. „в“ до „ж“ и б. „к“, събирани и обработвани от Банката, могат да бъдат предоставяни на следните категории получатели на лични данни:
a) органи, институции, регулирани пазари, на които Банката е член, както и други лица - във връзка с реализиране и защита на права и интереси на Банката (напр. помирителни комисии, съд) или, на които Банката е длъжна да предостави лични данни по силата на законова разпоредба;
б) лица, на които са възложени действия по изработване, печатане, комплектоване, доставка (вкл. чрез SMS/Viber съобщения или по електронен път) на писмена кореспонденция;
в) външни контактни центрове;
г) други дружества от корпоративната група, към която Банката принадлежи (OTP Group), ако е необходимо за целите на вземане на решение, администриране и контрол във връзка с предоставянето и изпълнението на услугите, предлагани от Банката, или дружествата;
д) платежни организации и системи, обслужващи безналични плащания и преводи, включително и с платежни инструменти, .
e) лица, на които Банката възлага извършването на оценки на недвижими имоти.
5.2.2. В зависимост от конкретната хипотеза, личните данни на физическите лица по т. 1.2., от б. „в“ до „з“ и б. „к“ могат да бъдат предоставени на Банка ДСК от самите субекти на данни или чрез следните групи трети лица:
а) личните данни на физическите лица, чиито задължения ще бъдат рефинансирани, се получават чрез кредитоискателя, от кредитора на лицата.
б) личните данни на физическите лица, получатели на средства в Банката (напр. при изплащане на дивиденти, аренди, обезщетения и др.), се получават от наредителя на превода, с който Банката е в договорни отношения за предоставяне на услуги, свързани с изплащане на дължими суми на получателя.
в) личните данни на наследници на клиенти на Банката могат да бъдат получени от други наследници, нотариуси, изпълнители на завещания, органи ангажирани със събирането на вземания на банката в рамките на техните законови правомощия.
г) личните данни на физическите лица по т. 1.2., б. „и“ могат да бъдат получени от институции или юридически лица, предлагащи достъп до публично достъпни регистри като Търговски регистър и регистър на юридическите лица с нестопанска цел и други подобни.
д) личните данни на физическите лица по т. 1.2., б. „к“ се получават от клиент на Банка ДСК по т. 1.2., б. „б“.
6. За целите на преценяване от Банката на възможностите за ползване на продукти и услуги на Банката, на това кои са най- подходящите за клиента продукти и услуги, както и на конкретните условия за ползване на тези продукти и услуги, личните данни на лицата могат да бъдат предмет на автоматизирана обработка, в резултат на която се взема автоматизирано решение.
Автоматизираната обработка е и начин за оценка на кредитоспособността на лицата. В последния случай тя включва извършване на различни проверки, включително в официални за страната регистри, както и бази данни на Банката, които, на база предварително зададени критерии, водят до положително или отрицателно решение за ползване на банков продукт или услуга. Този тип обработване на данните е необходимо и за целите за изготвяне на маркетингови оферти за ползване на банкови продукти.
Лични данни на лицата могат да бъдат предмет на автоматизирана обработка и във връзка с прилагането на мерки срещу изпиране на пари и финансиране на тероризъм. Този тип обработване е необходим за спазване на изискванията на приложимото законодателство в тази област и води до вземане на решение за встъпване или прекратяване на делови взаимоотношения и предотвратяване на измами.
При приложено автоматизирано вземане на решение, лицата по т. 1.2., б. „а“ и б. „б“ имат право да изразят гледната си точка по решението, да го оспорят, както и да поискат човешка намеса в процеса по вземане на решение.
7.1. Предоставянето на личните данни е доброволно, когато тези данни са необходими за сключването на договор с Банката. В случай че данните не бъдат предоставени, Банката няма да бъде в състояние да предостави продукт или услуга. При вече установени търговски или професионални отношения с Банката, предоставянето на лични данни може да представлява договорно или законово изискване. В тези случаи непредоставянето на данните може да доведе до прекратяване на сключения договор или на установените търговски отношения.
Последиците от непредоставяне на съгласие са посочени в документа, в който се дава съгласието или се посочват изрично от Банката преди даване на съгласието.
7.2. Банката не разглежда анонимни жалби/искания/предложения.
8.1. Субектите на данни имат право на достъп, право да поискат коригиране, изтриване или ограничаване обработването на отнасящите се до тях и обработвани от Банката лични данни, както и да възразят срещу обработването на данните им, когато се обработват на основание реализиране на права и интереси на Банката, които имат обосновано преимущество пред интересите на физическите лица.
8.2. Субектите на данни имат право да получат данните от Банката във вида и по начина, определени в закона и да ги прехвърлят на друг администратор. Субектите на данни имат право да поискат от Банката пряко да прехвърли данните им на друг администратор, когато това е технически осъществимо.
8.3. Субектите на данни могат по всяко време да възразят срещу обработването на техни лични данни за целите на директния маркетинг, както и да оттеглят дадените от тях съгласия, по един от следните начини:
1. Чрез обаждане на тел. 0700 10 375
2. Чрез изпращане на e-mail: call_center@dskbank.bg 3. Във всяко едно поделение на Банката 4. През секция Обратна връзка в електронните канали на Банка ДСК, в случай че имат сключен договор за достъп до тях.
Оттеглянето на даденото съгласие не засяга законосъобразността на обработването на личните данни преди оттеглянето. Въпреки оттегляне на съгласието, личните данни могат да бъдат обработвани от Банката за други цели, ако е налице основание за обработване на данните по т. 4, различно от съгласието.
8.4. Физическите лица могат да упражнят правата си по т. 8.1. и т. 8.2. на посочените в т. 1.1. (Длъжностно лице по защита на личните данни) и т. 8.3. адреси за кореспонденция след надлежна идентификация, както и през електронните канали на Банка ДСК. При упражняване на права по електронна поща исканията следва да бъдат подписани с квалифициран електронен подпис (КЕП).
9. Физическите лица могат да упражнят правото си на жалба до Комисията за защита на личните данни, която е надзорен орган в областта на защитата на лични данни.
Комисия за защита на личните данни:
Адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2
Електронна поща: kzld@cpdp.bg Интернет страница: www.cpdp.bg
10. Банка ДСК съхранява събраните лични данни в следните срокове:
а) когато данните се обработват на основание искане за ползване на продукт/услуга - за максимален срок до 5 г. от подаване на искането за сключване на договор, ако искането не бъде одобрено;
б) когато данните се обработват на основание сключен договор - за срок от 5 г. от началото на календарната година, следваща годината на прекратяването на отношенията; при прехвърляне на вземане – 5 г. след погасяването на вземането към цесионера, но не по- рано от 5 г. от окончателно приключване на всички съдебни производства, свързани с него; 5 г. от началото на календарната година, следваща годината на прекратяването на отношенията между Банката и купувача на недвижимия имот - в случаите на обработване данните на продавач на недвижим имот;
в) когато данните се обработват на основание получено съгласие - до оттегляне на съгласието;
г) когато данните се обработват за реализиране на права и интереси на Банката, които имат обосновано преимущество пред интересите на физическите лица – до погасяване на правото и/или отпадане на интереса;
д) срок от 5 г. след предоставяне на съответната еднократна услуга;
е) срок от 3 г. след изготвяне на отговор на подадени жалба/искане/предложение;
ж) срок от 5 г. от началото на календарната година, следваща годината на прекратяването на отношенията между Банката и лицето, което е рефинансирало чуждо кредитно задължение - в случаите на обработване на данните на физически лица, чиито кредитни задължения са били рефинансирани.
з) максимален срок от 6 години за записи на разговори с Контактен център.
и) срок от 2 месеца за записи от осъществено видеонаблюдение.
к) срок от 5 г. от началото на календарната година, през която е извършен превода.
След изтичане на посочените срокове, ако не е налице друго основание за обработване на данните, те ще бъдат изтрити. С цел получаване и анализиране на информация, свързана с ползвани продукти и услуги, както и подобряване на обслужването, Банката може да изтрие само част от данните. В тези случаи тя продължава да съхранява такава част от данните, която не позволява физическите лица да могат да бъдат последващо идентифицирани.
Актуализирана на: 01.10.2023 г.