English

Декларация за поверителност


I. Информация за компанията


Инвестбанк АД (Инвестбанк/банката), със седалище и адрес на управление в гр. София, бул. ”България” № 85, с ЕИК 831663282. За допълнителни въпроси, свързани с обработване на лични данни, моля да се свържете с нашето длъжностно лице за защита на лични данни на e-mail: dpo@ibank.bg или на тел: 0700 12 555 за абонати на Vivacom на цената на един градски разговор от цялата страна или 17 555 за абонати на мобилните оператори на ценаспоред тарифния им план.

Инвестбанк е регистрирана като администратор на лични данни с идентификационен № 33115/19.07.2017 г. в регистър, поддържан от Комисията за защита на лични данни. Инвестбанк, в качеството си на администратор на лични данни, извършва своята дейност при стриктно спазване на изискванията на Закона за защита на лични данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, с цел да осигури конфиденциалност и законно обработване на данните на своитеклиенти.

Инвестбанк извършва освен банкова и инвестиционна дейност, заедно със ЗД България и дистрибуция на застрахователни продукти на физически и юридически лица в страната.


II. Основни определения


1. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни заместонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;


2. „Oбработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване,организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.


3. „Aдминистратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.


4. „Длъжностно лице по защита на личните данни" е физическоили юридическо лице, притежаващо необходимата компетентност, което е упълномощено или назначено от администратора със съответен писмен акт, в който са уредени правата и задълженията му във връзка с осигуряване на минимално необходимите технически и организационни мерки за защита на личните данни при тяхното обработване.


III. Права на субектите на данни


Физическите лица, на които се обработват лични данни от Инвестбанк, имат следните права, които могат упражнят чрез подаване на заявление на хартиен носител или по e-mail (електронна поща - dpo@ibank.bg), адресирано до лицето по защита на лични данни в Инвестбанк, като посочат своите имена и данни за обратна връзка с цел получаване на писмено съобщение.


1. Право на достъп на физическите лица (субекти на данни). Субектът на данните има право да получи от банката потвърждение дали се обработват лични данни, свързани с него,и ако това е така, да получи достъп до данните и следнатаинформация: целите на обработването; съответните категории лични данни; получателите или категориите получатели, предкоито са или ще бъдат разкрити личните данни; когато е възможно,предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок; правото на жалба до надзорен орган; когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник; съществуването на автоматизирано вземане на решения, включително профилиране, или поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

2. Право на коригиране на личните данни на физическите лица(субекти на данни). Всеки субект на данни има право да поиска от банката да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.


3. Право на изтриване на личните данни (право „да бъдеш забравен“) е правна възможност на субекта на данни да поиска отбанката изтриване на свързаните с него лични данни, а банката има задължението да изтрие без ненужно забавяне личните данни, когато е приложима някоя от посочените по-долухипотези:

а) личните данни повече не са необходими за целите, за коитоса били събрани или обработвани по друг начин;

б) субектът на данните оттегля своето съгласие, върху което сеосновава обработването на данните, и няма друго правно основание за обработването;

в) субектът на данните възразява срещу обработването и нямазаконни основания за обработването, които да иматпреимущество;

г) личните данни са били обработвани незаконосъобразно;


4. Право на ограничаване обработването на личните данни.


Субектът на данните има право да изиска от банката ограничаванена обема на обработваните негови данни в следните случаи:

а) точността на личните данни се оспорва от субекта на данните.В този случай ограничаването на обработването е за срок, койтопозволява на банката да провери точността на личните данни;

б) обработването е неправомерно, но субектът на данните не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в) банката не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на свои правни претенции;

г) субектът на данните е възразил срещу обработването в очакване на проверка (тест за балансиране) дали законните основания на банката имат преимущество пред неговите интереси.


5. Право на възражение и автоматизирано вземане на индивидуални решения Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, включително профилиране. Банката прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или продължава обработването за установяването, упражняването или защитата на правни претенции. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засягав значителна степен.


6. Право за оттегляне на съгласие, което е предоставено за обработване на лични данни за цели, описани в Декларация за съгласие. Оттеглянето може да се изпълни чрез писмено заявление в банковите офиси.


7. Право за подаване на жалба до Комисия за защита на лични данни – субектът на данни може да подаде жалба до регулаторния компетентен орган срещу действия на Инвестбанк по повод обработване на негови лични данни. Заявленията по т.1-7. се подават лично или от изричноупълномощено от клиента лице, чрез нотариално заверено пълномощно. Заявление може да бъде отправено и по електронен път, по реда на Закона за електронния документ и електронния подпис. Инвестбанк се произнася по клиентско искане в 30-дневен срок от неговото подаване. Когато е обективно необходим поголям срок – с оглед събиране на всички искани данни и това сериозно затруднява дейността на банката, този срок може да бъде удължен до 60 дни. С решението си Инвестбанк дава или отказва достъп и/или исканата от заявителя информация, новинаги мотивира отговора си.


IV. Видове лични данни, които се обработват в банката


Инвестбанк може да обработва лични данни на субектите наданни относно физическа идентичност, социална идентичност илиикономическа/финансова идентичност. Данните могат да бъдатсъбрани от субекта на данни, трети страни или могат да бъдат създадени в процеса на банковото обслужване. Когато банката обработва лични данни за целите на предоставяне на продукти иуслуги, за тяхното погасяване, за изпълнение на Ваши заявки за услуги, както и с цел да изпълни нормативни задължения, това обработване е задължително за изпълнение на тези цели. Без да бъдат предоставени тези данни, банката не би могла да предостави информация за съответните услуги и да сключи с клиент договор за продукт или услуга.

1. Инвестбанк може да обработва различни данни за идентификацията Ви – имена; пол; дата на раждане; националност (гражданство); постоянно пребиваване; настоящ адрес; други данни от документ за самоличност; клиентски номер; ЕГН; данъчен номер; квалификации, професия, предишен професионален опит.

2. Банката може да обработва ваши лични данни (включително при използване на услугата blink P2P, след получаване на Вашето съгалсие):

- данни за идентификация;

- контактни данни, включително списък с имена и телефонни номера от вашия списък с контакти (Контакти) във вашето мобилно устройство;

- друга информация, съставляваща лични данни по смисъла на GDPR

Тези данни се обработват и споделят поради необходимостта от установяване на еднозначно съответствие между регистриран мобилен номер на наредител/получател и номера на платежната му сметка при обслужващия доставчик на платежни услуги.

3. Обработване на данни при предоставяне на правилен съвет и услуги:

- финансовите услуги, които ползвате (сметки, кредитни продукти, застраховки, депозити и влогове; инвестиции във финансови инструменти); движения и баланс по сметки;потенциален интерес към продукти на банката; история на финансова информация и съвети, предоставени в предходни периоди. Банката може да използва тези данни, за да анализира по-ефективно кой платежен, кредитен или застрахователен продукт е най-подходящ за Вас;

- семейно положение; състав на домакинство;

- общо финансово положение с цел предоставяне на подходящсъвет, ако е необходим за подобряване на статута Ви (общиактиви, имущество и други);

- здравен статус във връзка с предлагане на застрахователни продукти, свързани с кредити;

- обратна връзка, коментари и предложения, минали жалби. Информацията е необходима за подобряване услугите на банката.

4. Инвестбанк може да обработва данни от публични официални регистри и данни, събрани от трети страни. Информацията се използва с цел да се провери точността на съхраняваната информация в банката и да се подпомогне процеса на оценка на кредитоспособност и кампании за директен маркетинг на банкови продукти и услуги.

5. Инвестбанк може да записва телефонните разговори с Вас с цел подобряване на услугите, осигуряване на сигурност на процеса и като доказателство за спазване на инструкциите от обслужващите служители. Банката съхранява записите на телефонните разговори като доказателство за период, необходим за решаване на спорни ситуации при обслужването. Записи от телефонните разговори включват комуникацията с телефонния център за обслужване, както и с централно управление при текущо обслужване на клиенти.

6. Инвестбанк използва охранителна система за наблюдение в и около финансовите центрове, както и помещения където извършва основната си дейност. Инсталираната система и нейната дейност е в съответствие с изискванията на действащото законодателство относно ползване на охранителна техника. Охранителните камери са обозначени с ясно визуализиран стикер. Записаните изображения може да послужат като доказателство за уреждане на конкретни отношения, свързани с разкриване на престъпление и идентифициране на нарушител, свидетел или mжертва.


V. Получатели на лични данни, пред които са или може да

бъдат разкрити личните Ви данни


Личните данни основно се обработват от служители на Инвестбанк. Във връзка с изпълнението на основната си дейност Банката може да получава и прехвърля лични данни на други администратори с цел изпълнение на договорно задължение или спазване на задължение по специален закон. Банката не предоставя клиентски лични данни на трети лица, преди да се е уверила, че са взети всички технически и организационни мерки за защита на тези данни като се стреми да осъществява строг контрол за изпълнение на тази цел. В този случай Инвестбанк остава отговорна за конфиденциалността и сигурността на клиентските данни.

1. Списък с администратори на лични данни, на които банката прехвърля/получава данни:Българска народна банка; Национална агенция за приходите;Национален осигурителен институт; Комисия за защита на личниданни; Комисия за финансов надзор; Комисия за защита на потребителите; Национален статистически институт; Агенция за финансово разузнаване, ДАНС; Съд; Прокуратура; Следствие; Министерство на вътрешните работи; Централен депозитар;Българска фондова борса; Външни одитори.

2. Списък с други администратори, с които Инвестбанк има договорни отношения във връзка с изпълнение на дейността си:

- Рекламни агенции за изготвяне на промоционални условия побанкови продукти и свързани с тях игри и томболи

- Колекторски агенции за подпомагане на дейността на банката при събиране на дългове по кредити

- Застрахователи при предлагане на банкови продукти или предлагане на други застрахователни продукти

- Доставчици за предоставяне на информационни и комуникационни технологии за развитие и поддръжка набанковите системи.

- Адвокати и адвокатски дружества

- Нотариуси

- Централен кредитен регистър – при оценка на кредитоспособност

- Картови платежни оператори – Борика АД и международни картови организации – VISA, Mastercard при изпълнение на картови разплащания.

- Оператори на платежни системи и банки-кореспонденти – при изпълнение на банкови преводи

- Доставчици на електронни удостоверителни услуги, когато документ, свързан с предоставяне на продукт или услуга, се подписва с електронен подпис

- Охранителни фирми, притежаващи лиценз за извършване на частна охранителна дейност във връзка с обработване на видеозаписите от обекти на Инвестбанк и/или осигуряване на пропускателния режим в обектите

- Дружества за налични парични преводи и други доставчици на оперативни услуги и на тясно свързани с предоставяните от Банката платежни услуги.


VI. Целите на обработването, за което личните данни са предназначени, както и правното основание за обработването

(1) Цели, при които личните данни се обработват въз основа на задължения на банката по закон

1. С оглед спазване на мерките срещу изпиране на пари и

финансиране на тероризма, съгласно ЗМИП, ЗМФТ и Правилника за прилагането им:

- клиентска идентификация и верификация на клиентски лични данни;

- изготвяне на клиентски профил въз основа на оценка на риска;

- осъществяване на контрол за превенция срещу изпиране на пари и финансиране на тероризма чрез действия за разкриване, разследване и докладване на съмнителни транзакции.

2. С оглед спазване на изискванията на ЗПФИ, ЗПМСПЗФИ и Наредба №38 на КФН:

- изготвяне на клиентски профил за доставяне на услуги, свързани с финансови инструменти чрез въпросник за рисков профил.

- осъществяване на контрол за превенция, разкриване, разследване на случаи, както и вземане на бъдещи мерки за привеждане в съответствие с регулаторните изисквания и действащото законодателство.

- упражняване на контрол с цел превенция и разкриване на пазарни злоупотреби с финансови инструменти.

3. Отчети към държавни регулаторни органи – за изпълнение на автоматичния обмен на финансова информация съгласно FATCA споразумението и Common reporting standard (CRS) Банката изготвя месечни отчети до НАП, съдържащи лични данни на нейни клиенти физически лица. Обработването на данните се извършва в съответствие с Данъчно–осигурителен процесуален кодекс.

4. Задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс и други свързани нормативни актове, във връзка с воденето на правилно и законосъобразно счетоводство;

5. Предоставяне на информация на Комисията за защита на потребителите или трети лица, предвидени в Закона за защита на потребителите;

6. Предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 от 27 април 2016 година и др.

(2) Цели, свързани с обработване на лични данни в изпълнение на договорни задължения

1. Относно изготвяне на договори по искане на клиенти, чиитоданни се обработват – за подписване на договор за банкова услуга, на банката са необходими клиентски данни (за идентификация и контакт със субекта на данните). В зависимост от характера на различните услуги и банкови продукти, банката може да изиска и допълнителни данни.

2. Тестване на банкови продукти/услуги – с цел подписване на подходящ договор и предлагане на банкова услуга, която да отговаря на нуждите на своите клиенти, банката използва лични данни, предоставени от клиента. Банката организира симулацияна продажба на банкови продукти/услуги, с цел да предложи най-изгодни цена и условия за продажбата, на базата на което клиент може да сравни офертата и да избере най-подходящ продукт.

3. Ползване на банкови продукти/услуги – Инвестбанк обработва лични данни на своите клиенти с цел да осигури подобри условия по време на жизнения цикъл на съществуващи банкови продукти/услуги и изпълнение на преводи и плащания.

4. Верификация и проверка на клиентски данни в Централен кредитен регистър, кредитни бюра, НЗОК, НОИ, НБД Население към МРРБ. Банката получава лични данни от посочените регистри с цел да направи задължителна проверка за предлагане на своите продукти и услуги, като използва автоматизирани алгоритми за да определи кредитен рейтинг чрез извършване на първоначални и/или текуща кредитна оценка на клиентската платежоспособност, при закупуване и ползване на банкови или застрахователни продукти и услуги. За целите на определяне на кредитния рейтинг Инвестбанк използва данните за платежната Ви история. Алгоритъмът цели да прецени доколко е вероятно редовно да заплащате в срок дължимите суми по ползваните продукти и услуги и доколко е вероятно един клиент да бъде или да стане неплатежоспособен. В случай на нисък кредитен рейтинг или липса на оценка, банката може да отложи подписването на договора или да поиска допълнителни гаранции за плащане.

(3) Цели, при които обработването на лични данни е въз основа на съгласие на клиента

1. Директен маркетинг на продукти и услуги, организиран от банката – организиране и провеждане на рекламни кампании за предлагане на банкови продукти и услуги чрез всеки официален канал, включително банкови офиси, телефонен център, електронна поща, SMS, телефон и онлайн канали.

2. Индивидуален/персонален подход за директен маркетинг и профилиране с търговски цели – създаване на клиентски профил с цел доставяне на нова услуга или продукт, която е предназначена за конкретни нужди и клиенти. За обработването на клиентски лични данни банката може да използва частично автоматизирани алгоритми и методи с цел постоянно подобряване на своите продукти и услуги, за придаване на по-лично отношение към клиентите, за адаптиране на продуктите и услугите ни към клиентските нужди по най-добрия възможен начин или за изчисляване. Този процес се нарича профилиране.Съгласието за обработване на лични данни е уредено в предмета на отделна Декларация за съгласие на клиенти.


(4) Цели, при които банката обработва лични данни въз основа на защита на законни интереси на банката


1. Статистически цели – Инвестбанк има законен интерес даобработва клиентски лични данни с цел да опише статистически обобщения и отчети, необходими за предоставяне към БНБ относно Регистъра за банкови сметки и сейфове съгласно Наредба №12. За тези цели обобщените данни, получени отклиентски лични данни се съхраняват и могат да бъдат използвани.

2. Установяване, упражняване или защита на правата на банката – Инвестбанк обработва лични данни с цел да защити своите права пред компетентни съдилища и органи за разглеждане на жалби и с помощта на външни адвокати и адвокатски дружества. Целта е относима, когато се ползват даннивъв връзка с жалби, молби и съдебни решения в съдебни дела.

3. Тестване на софтуерни програми и платформи, вътрешен портал и обучения – Банката може да използва лични данни, когато създава или актуализира софтуерни приложения на банковите информационни системи, като същевременно прилага

принципите за минимизация и псевдонимизация на данните.

4. Вътрешна отчетност, анализ и развитие на предлаганите продукти и услуги – Инвестбанк използва клиентски данни за подобряване на пазарната си позиция, като предлага нови и подобри и иновативни продукти, както и за подобряване на вътрешните процеси.

5. Оценка на риска за превенция и разкриване на измами – Инвестбанк обработва клиентски данни за защита от измами или престъпни деяния. Банката има право да отказва да обслужва високо рискови клиенти, които могат да навредят на добрата й репутация. Въз основа на конкретни факти и вътрешни процедури, банката извършва оценка на потенциален риск от измама.

6. Управление на обслужването и взаимоотношенията с клиентите – Инвестбанк ползва клиентски лични данни, за да предлага индивидуален подход, базиран на събраната информация и създаден клиентски профил. Клиентските лични данни може да бъдат групирани по определен критерий чрез различни дистрибуционни канали в банката с цел подобряване на информационния достъп до каналите и техните възможности.

7. Кредитно и застрахователно рисково профилиране – личните данни на клиенти се използват за оценка на риска при кредитни и застрахователни предложения с цел намаляване на риска.

Обработването на лични данни за посочените цели е необходимо за защита на законни интереси на Инвестбанк, в качеството на администратор на лични данни, където интересите са свързани с нормалното протичане на основната й дейност. При необходимост Инвестбанк може да изготви тестове за оценка на преимущество между законните интереси на банката и интересите, правата и свободите на субектите на данни за всяка цел по т.1-7.


VII. Период на съхранение на личните данни

Съгласно приложимото законодателство, банката прекратява обработката на лични данни, за целите, свързани с договорното правоотношение, след прекратяване на договора, но не ги изтрива преди изтичане на 5 години от прекратяване на договора или до окончателно уреждане на всички финансови задължения и изтичане на нормативно определените задължения за съхраняване на данните, като задължения по Закона за платежните услуги и платежните системи. За съхраняване и предоставяне на информация за целите на разкриване и разследване на престъпления и превенция изпирането на пари и финансиране на тероризма за срок от 5 години. Относно задължения, съгласно Закона за счетоводството за съхранение и обработка на счетоводни данни (10 години), изтичане на определените в Закона за задълженията и договорите давностни срокове за предявяване на претенции (5 години), задължения за предоставяне на информация на съда, компетентни държавни органи и др. основания, предвидени в действащото законодателство (5 години). Клиентите следва да имат предвид, че Инвестбанк няма да изтрие или анонимизира техни личниданни, ако те са необходими за висящо съдебно, административнопроизводство или производство по разглеждане на жалба пред банката.

VIII. Защита на лични данни


За осигуряване на адекватна защита на данните на кредитната институция и нейните клиенти, банката прилага всички необходими организационни и технически мерки, предвидени в Закона за защита на личните данни, както и най-добрите практики от международни стандарти (ISO 27001, TOGAF®, OWASP, ITIL и

др.), банкови практики и др. Инвестбанк е установила структури по предотвратяване на злоупотреби и пробиви в сигурността, определила е Длъжностнолице за защита на данните, както и Комисия за защита на данните,които подпомагат процесите по опазване и обезпечаванесигурността на клиентските данни. С цел максимална сигурностпри обработка, пренос и съхранение на клиентски данни, банкатаизползва допълнителни механизми за защита като криптиране, псевдонимизация и др.


IX. Актуалност и промени на Декларация за поверителност (политика за защита на лични данни)


С цел гарантиране прилагането на най-актуалните мерки зазащита и с цел спазване на действащото законодателство, банката ще актуализира редовно настоящата Декларация заповерителност. Ако промените, които направи, са съществени, може да публикува съобщение за направените промени вофициалния интернет сайт, мобилни приложения и телефоненцентър. Инвестбанк приканва своите клиенти редовно да се информират относно грижите от страна на банката за защита наличните данни, които събира и обработва.

Тази Декларация за поверителност (респ. политика за защита на личните данни) е актуализирана за последен път прeз месец януари 2024.