Политика за поверителност | Rilla - управлявай парите си с лекота

Политика за поверителност

I. Въведение

Ние от Rilla се ангажираме да защитим поверителността на Вашите лични данни като се придържаме стриктно към приложимото законодателство в областта на защита на данните при всяко действие по обработка на личните Ви данни.

Тази Политика за поверителност („Политиката“) ще Ви даде информация за това какви данни обработваме, когато влизате в мобилното приложение Rilla или на нашия уебсайт www.rilla.one и изполвате наши продукти и услуги, целите и основанията за тази обработка, както и Вашите права относно обработваните от нас лични данни съгласно Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО, по-долу наричан GDPR.

В настоящата Политика „Rilla„, „ние“, „нас“ или „наш“ означава „Ейприл Сървисиз“ ООД и Съвместните администратори, описани по-долу, а „Вие“, „Ваш“ или „потребител“ означава ползвателите на нашите продукти и услуги.

Моля да прочетете внимателно тази Политика. Когато достъпвате до нашия уебсайт, използвате приложението и/или нашите продукти и услуги, потвърждавате, че сте се запознали с нея.

Понякога можем да изменяме тази Политика, за да спазваме приложимите закони или да отговаряме на променящите се бизнес изисквания. Насърчаваме Ви периодично да преглеждате тази страница за най-новата информация, свързана с практиките ни за поверителност. Всеки път, щом направим промяна в Политиката, ние ще Ви уведомяваме за възможните последици от промяната без излишно забавяне на нашия уебсайт, в приложението или по имейл адрес.

Уведомяваме, че всеки потребител е длъжен да ни информира незабавно за промените в личните си данни, както и за тяхната неточност или невалидност на личните данни, като ни представи верни и валидни лични данни на посочените по-долу координати за връзка.

1. Обща информация

Някои понятия от значение за по-доброто разбиране на Политиката

„Лични данни“ – всяка информация, която се отнася до физическо лице и която, самостоятелно или в съчетание с друга информация, може да доведе до неговата идентификация или го идентифицира – например име и пощенски адрес.

„Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

„Субект на личните данни“ – живо физическо лице, което е идентифицирано или идентифицираумо посредством обработваните лични данни.

„Обработване на лични данни“ – всяко действие, което извършваме или можем да извършим с Вашите лични данни, включително, но не само, тяхното събиране, съхранение, анализ или унищожаване.

„Администратори на лични данни“ – лице, което определя целта на обработката на Вашите данни, на едно от предвидените в закона основания, както и средствата, с които се извършва тази обработка – например техническата инфраструктуа, и отговаря за задълженията по отношение на сигурността и защитата на Вашите лични данни.

„Съвместни администратори“ – двама или повече администратори, които съвместно определят целите и средствата на обработването. По смисъла на настоящата Политика това са „Ейприл Сървисиз“ ООД, „Ейприл Файнанс“ ЕАД „Изи Пеймънт Сървисиз“ ООД и „Мениджмънт Файненшъл Груп“ АД, както и дружествата от групата на MFG, наричани по-нататък, за краткост “Съвместните администратори“.

„Обработващ лични данни“ – трето лице, което обработва Ваши лични данни по наше възлагане, при което Съвместните администратори стриктно са определили целта на обработката, средствата, с които тя се осъществява, и са проверили дали лицето отговаря на изискванията на Общия регламент за защита на личните данни. Такъв обработващ може да бъде например агенция, която отговаря за маркетингова кампания на администраторите и създава доклади за нейната успеваемост и резултати, или например дружество – доставчик на услуги за идендификация.

„Нарушение на личните данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

„Дигитални активи“ – уебсайта на платформата Rilla www.rilla.one, управлявана от „Ейприл Сървисиз“ ООД („уебсайтът“), както и мобилното приложение на платформата.

„Група от дружества в „Management Financial Group“ („MFG“) – група от дружества, притежавани и/или контролирани, пряко или непряко, от „Мениджмънт Файненшъл Груп“ АД, учредено и съществуващо според законите на Република България, с ЕИК 203753425. За целите на настоящата Политиката под „Дружества от групата на MFG” се има предвид само тези, регистрирани и опериращи на територията на Р. България. Можете да намерите повече информация за всички дружества от Групата на MFG тук.

2. Кои сме ние?

Rilla е създадено от няколко дружества, които се явяват съвместни администратори на Вашите лични данни, и това са:

2.1. „Ейприл Сървисиз“ ООД, ЕИК 205969592, със седалище и адрес на управление: гр. София 1324, бул. Джавахарлал Неру № 28, АТЦ „Силвър център“, ет. 2, ап. 40-46 – собственик на електронната платформа „Rilla“. Сред основните дейности на „Ейприл Сървисиз“ е да популяризира продукти и услуги на съвместните администратори.

2.2. „Ейприл Файнанс“ ЕАД, ЕИК 206010462, със седалище и адрес на управление: гр. София 1324, бул. Джавахарлал Неру № 28, АТЦ „Силвър център“, ет. 2, ап. 40-46 – небанкова финансова институция, вписана в Регистър на финансовите институции по чл. 3а от ЗКИ, поддържан от БНБ. Основната дейност на „Ейприл Файнанс“ ЕАД в отношенията си с „Ейприл Сървисиз“ ООД, е отпускане на кредити на физически лица.

2.3. „Изи Пеймънт Сървисиз“ ООД, ЕИК 204112059, със седалище и адрес на управление: гр. София 1324, бул. Джавахарлал Неру № 28, АТЦ „Силвър център“, ет. 2, ап. 40-46 – лицензирано от БНБ дружество за електронни пари. Дружеството е доставчик на платежни услуги по смисъла на Закона за платежните услуги и платежните сметки (ЗПУПС) и е издател на платежни инструменти „Дебитна карта“ и „Кредитна карта“. Дружеството е вписано в публичния Регистър на БНБ на лицензираните дружества за електронни пари в Р. България, както и на техните клонове и представители по чл. 19 от ЗПУПС, и е член на Mastercard и Национална картова схема.

2.4. „Мениджмънт Файненшъл Груп“ АД, ЕИК 203753425, със седалище и адрес на управление: гр. София 1324, бул. Джавахарлал Неру № 28, АТЦ „Силвър център“, ет. 2, ап. 40-46 – небанкова финансова институция, вписана в Регистър на финансовите институции по чл. 3а от ЗКИ, поддържан от БНБ. Основната роля на „Мениджмънт Файненшъл Груп“ АД в отношенията с останалите съвместни администратори е поддържане на отношения с доставчици на идентификационни, комуникационни и други услуги, използвани от дружествата в групата на MFG.

Описаните по-горе дружества са сключили споразумения за съвместни администратори, както следва:

Помежду си, за реализиране на съвместен продукт и/или услуга, със следните основни характеристики:

Съвместните администратори обработват лични данни на потребители и трети лица във връзка с и съобразно изискванията и ограниченията за осъществяване на основната си дейност съгласно разпоредбите на българското законодателство и по конкретно, но не само, ЗКИ, ЗПУПС, ЗМИП, ППЗМИП, Наредба № 26 от 23.04.2009 г. за финансовите институции, Наредба № 22 от 16.07.2009 г. за ЦКР и всички други приложими нормативни актове, съгласно които Съвместните администратори следва да обработват лични данни;
В случаите, когато в хода на обработката на лични данни по предходното изречение, се налага обмяна на личните данни, тази обмяна се реализира автоматично чрез специализирани софтуери;
Техническите, организационните и другите мерки за защита на личните данни, които Съвместните администратори прилагат, са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. За определяне на подходящо ниво на техническите и организационните мерки и защита всяка от страните самостоятелно извършва оценка на въздействието върху обработваните от нея лични данни и определя приложимото ниво на защита, съгласно нормативно установените критерии;
Съвместните администратори самостоятелно гарантират сигурността на личните данни, които обработват, и ги защитават от случайно или незаконно унищожаване, или от случайна загуба, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване, и предприемат необходимите специални технически и организационни мерки за защита и извършват периодичен преглед и актуализация на водените регистри с лични данни и на прилаганите мерки.

С дружествата от групата на МФГ за следните цели:

Превенция на измами и оценка на кредитоспособност като съвместните администратори обменят помежду си лични данни относно наличието и броя на кредитите, вклчително към свързани лица, просрочие по плащането на тези кредити, преминаването им във фаза на принудително изпълнение, пълно неизпълнение на задълженията за плащане;
Предлагане и/или предоставяне на продукти и финансови услуги на другите съвместни администратори, дружества от групата на MFG и техни партньори, включително услуги по издаване на гаранционни сделки, застраховки, алтернативно финансиране, кредити и други финансови продукти;
За идентификация, комплексна проверка и изпъление на законови задължения, съвместните администратори обменят помежду си, лични данни, съдържащи се в справки, направени в официални публични източници на информация относно: документи за самоличност; трудови правоотношения и доходи; наличие на банкова сметка в съответна банка на територията на Република България; наличие на обстоятелствата по чл. 36, ал. 2 и ал. 5 ЗМИП; кредитоспособност; информация, събрана в съответствие с изпълнение на законовите изисквания по Закона за потребителския кредит; друга информация, свързана с изпълнение на законови задължения на Дружеството. Тази обработка се извършва съобразно законодателните изискванията и ограничения за осъществяване на основната търговска дейност на дружествата чрез съхранение на определена за целта информационна инфраструктура при спазване на технически и организационни мерки за сигурност.

Обмяната и обработката на личните данни, събрани от потребителите на Rilla при регистрацията им в мобилното приложение, при кандидатстването за кредит, в процедурата идентификация и/или оценка на кредитоспособността, съгласно описанието по настоящата т.2, става автоматично, чрез специализиран софтуер и/или по електронен път в защитена среда, при съблюдаване на технически и организационни мерки за защита на информацията.

3. Връзка с нас

Можете да се свържете с нас на следните координати за контакт:

Адрес за комуникация: гр. София, бул. Черни връх 102Д, ет. 5

Уебстраница: www.rilla.one

Телефон: +359 (0) 700 20 240 (без допълнително таксуване)

e-mail: hello@rilla.one

Ако имате въпроси относно обработката на лични данни, след като прочетете нашите Политика за поверителност и Политика за бисквитки, можете да се свържете с нашето Длъжностно лице за защита на личните данни на dpo@rilla.one.

Ако искате да анулирате Вашия акаунт в Rilla или имате други въпроси относно него, моля не се колебайте да се свържете с нашия екип за поддръжка на support@rilla.one.

4. Вид, цел и основание на обработката на личните данни

Използваме Вашите лични данни, за да можем да предоставим най-доброто обслужване, да Ви разкажем за продукти и услуги, които може да Ви интересуват, и да изпълним нашите законови задължения.

Видът, целите и законните основания за тази обработка са, както следва:

Вид лични данни	Цел на обработката	Правно основание на обработката съгласно GDPR
Имена	Идентификация на потребителя и други изисквания за комплексна проверка съгласно Закона за мерките срещу изпирането на пари и Закона за мерките срещу финансирането на тероризма („изисквания/мерки за комплексна проверка“); Оценка на кредитоспособност и управление на кредитния риск	Изпълнение на законови задължения; Легитимен интерес
	Картопроизводство (при щамповане на името на картодържателя на картата)	Изпълнение на задължения по договор
	Установяване и поддържане на отношения чрез регистрация на потребителски акаунт и създаване на профил и предоставяне на заявените услуги	Преддоговорни отношения и/или сключване на договор и изпълнение на задължения по действащ договор
	Осъществяване на контакт с кредитоискателя; Оценка на кредитоспособност по чл.16 Закона за потребителския кредит (ЗПК); • Сключване на договор за заем; • Предоставяне на поискана услуга; • Изпълнение на задължения по сключен договор за паричен заем; • Обработка и отговор на запитвания, оплаквания и жалби;	Изпълнение на законови задължения
Единен граждански номер	Идентификация и други изисквания за комплексна проверка; Оценка на кредитоспособност и управление на кредитния риск	Изпълнение на законови задължения
Дата и място на раждане; гражданство/а;	Идентификация и други изисквания за комплексна проверка	Изпълнение на законови задължения
Адрес – постоянен	Идентификация и други изисквания за комплексна проверка	Изпълнение на законови задължения
Адрес – постоянен	Установяване и поддържане на отношения и предоставяне на заявените услуги	Изпълнение на задължения по договор
Копие на официален документ за самоличност в електронна форма и всички данни от него, включително снимка и подпис	Идентификация и други изисквания за комплексна проверка Осигуряване на платежните трансакции	Изпълнение на законови задължения
Адрес за доставка	Доставка на платежни карти и други пакети, предлагани чрез услугите	Изпълнение на задължения по договор
Мобилен телефонен номер, за провеждане на телефонни разговори или изпращане на кракти текстови съобщения, включително чрез електонни приложения за комуникация	Регистрация в приложението, комуникация при предоставяне на заявените услуги	Преддоговотни отношения и/или Изпълнение на задължения по договор
	Идентификация чрез приложение „iDenFy“	Изпълнение на законови задължения
	Осъществяване на маркетинг активности на съвместните администратори, дружествата от групата на MFG и техни партньори, включително Предлагане на продукти и услуги Участие в актуални маркетингови кампании и проучвания	Съгласие
E-mail адрес	Регистрация в приложението, комуникация при предоставяне на заявените услуги	Преддоговорни отношения и/или изпълнение на задължения по договор
E-mail адрес	Осъществяване на маркетинг активности на съвместните администратори и дружествата от групата на MFG, включително: Предлагане на продукти и услуги Участие в актуални маркетингови кампании, анкети и проучвания Изпращане на известия за актуализации или бюлетини	Съгласие
Данни от Централен кредитен регистър за наличие на финансови задължения, кредитна история и друга информация, когато кандидатсвате за паричен заем	Оценка на кредитоспособност и управление на кредитния риск Проверка на предоставените данни от кредитоискателя; Прилагане на други мерки за комплексна проверка против изпиране на пари и финансирането на тероризма; Установяване и предотвратяване на други финансови измами	Изпълнение на законово задължение
Данни от регистър на НОИ -като професия, работно място, месечен доход или организация, към която принадлежите, когато кандидатствате за паричен заем	Предотвратяване на измами; Проверка на верността на предоставени данни от кредитоискателя; Прилагане на мерки за комплексна проверка против изпиране на пари Оценка на кредитоспособност и управление на кредитния риск	Изпълнение на законово задължение Съгласие
Резултати от проверки на заявените от кредитоискателя лични данни в базите данни на съвместни администратори	Оценка на кредитоспособност и управление на кредитния риск Проверка верността на предоставени данни от кредитоискателя Прилагане на други мерки за комплексна проверка против изпиране на пари и финансирането на тероризма Установяване и предотвратяване на финансови измами	Легитимен интерес Изпълнение на законово задължение
Резултати от проверки на идентификационните данни на кредитоискателя в консолидирани бази данни на лица, свързани с тероризъм или финансиране на терористична дейност или със съмнения за свързаност с тероризъм и/или терористични организации	Прилагане на мерки против изпиране на пари и финансиране на терорзизъм	Изпълнение на законово задължение
Данни, включително общодостъпна информация от социални медии и други общодостъпни източници, събирани с цел проверка на лице, имащо качеството на видна политическа личност („ВПЛ“) – обществена функция, заемана служба, политически мнения и членства, лични данни относно свързани с ВПЛ лица, както и на лица, за които има вероятност да попадат в тези категории	Прилагане на мерки за разширена комплексна проверка	Изпълнение на законово задължение
Данни за образование, професионална квалификация, имуществено състояние и друга иформация, когато кандидатсвате за паричен заем	Оценка на кредитоспособност и управление на кредитния риск	Изпълнение на законово задължение
Документ за потвърждение на адрес (например копие от сметка от доставчик на комунални услуги в електронна форма) или други данни за проверка, които можем да поискаме в зависимост от конкретния случай	Прилагане на допълнителни мерки за комплекстна проверка с цел предотвратяване на измами; Оценка на кредитоспособност; Защита на наши права	Изпълнение на законови задължения; Легитимен интерес
Данни за валидност на документ за самоличност от сайта на МВР или от система „RegIX“ за обмен на данни от регистри (Registry Information eXchange system)	Прилагане на мерки за комплексна проверка	Изпълнение на законови задължения
Данни от проверки на банкова сметка в Регистър за банковите сметки и сейфове към БНБ	Предотвратяване на измами, идентификация по ЗМИП, удостоверяване верността на декларираните данни	Изпълнение на законови задължения;
Семейно положение	Оценка на кредитоспособността и управление на кредитния риск	Изпълнение на законови задължения;
Информация за други кредити	Оценка на кредитоспособност и управление на кредитния риск	Законово задължение
Имуществено състояние на кредитоискател информация за притежаван автомобил и/или жилище, сметка на телефон	Оценка на кредитоспособност и управление на кредитния риск	Сключване и/или /изпълнение на договор
Финансова информация, включително, но без ограничения – данни на банкови сметки, платежни карти (във формата на криптиран тоукън), банкови извлечения, баланс по сметката, история на трансакциите, данни за доверени бенефициенти, обороти по сметки и друга необходима финансова информация. Съобщения, изпратени или получени при плащане, технически данни за устройството, използвано за организиране на плащането и използвания метод на плащане	Извършване на платежни услуги. Зареждане на платежна сметка (чрез функция „Top-up” или чрез банков превод); Разплащания между потребители на Rilla; Нареждане на изходящ превод към сметка в друга българска банка/платежна институция. Издаване и управление на дебитна карта (виртуална или физическа); Отпускане и усвояване на кредитни продукти; Плащане на задължения на потребители на Rilla от трето лице	Изпълнение на законови задължения; Изпълнение на задължения по договор / Ползване на допълнителна услуга
Гласови данни и аудио записи от телефонни разговори	· Комукация във връзка с договора и предоставянето на услуги и арантиране правата и интересите на потребителя и на Rilla; · Предотвратяване на измами, спорове, както и доказване предмета на разговора; Извършване на оценка на качеството на предоставяните услуги и маркетингови кампании на дружества от групата на МФГ;	Легитимен интерес
Ваш образ и лицево разпознаване, включително, предавани на живо в реално време	Осъществяване на контакт чрез софтуер за осъществяване на идентификация или чрез опция за заснемане с цел идентификация и комплексна проверка (извършват се чрез приложение „iDenfy“ ); Прилагане на мерки за комплексна проверка	Съгласие Изпълнение на законово задължение
Записи от комуникация с потребителя през форми за контакт, запитвания или чат-разговори	Комуникация с потребителя, клиентско обслужване и водене на архиви на изискана и предоставена информация	Легитимен интерес
Данни за вход в платформата, включелно потребителско име, парола и друга информация за регистрация	Създаване на акаунт и профил в платформата Rilla, ползване на услугите. Съдействие при ползването на услугите	Сключване и изпълнение на договор; Легитимен интерес
Информация, съхранявана на Вашето устройство, за геолокация и списък с контакти, ако ни дадете разрешения за достъп до тях	По-съдържателно използване на услугите, налични в Rilla	Съгласие
IP адрес, данни за устройство	Прилагане на мерки за комплексна проверка; Осъществяване на обслужване чрез мобилно приложение	Изпълнение на законово задължение Легитимен интерес
Данни на лице за контакт, ако сме поискали такива, и резултати от проверки на данните на лицето за контакт, в бази данни на Съвместните администратори	Подсигуряване на контакт с потребителя с цел изпълнение на задълженията му по договор за паричен заем	Легитимен интерес
лични данни, предоставени от потребителя във връзка с отправяне на запитване, оплакване и/или жалба, включително във връзка с обработка на личните данни	Обработка и отговор на искания за упражняване на права, запитвания и жалби	Изпълнение на законово задължение Легитимен интерес

В допълнение към личната и финансовата информация (която не винаги ще бъде задължително да предоставяте), ние можем също да събираме информация за устройството, което използвате (включително IP адрес, операционна система и вид браузър), Вашето взаимодействие с пазара и нашия уебсайт или приложение, както и данни относно ефективността на изпращането на имейли. Използваме тази информация по няколко причини, включително за провеждането на директен маркетинг, за управление на пазарни решения, подобряване на обслужването на клиентите и за статистически цели. Повече информация относно тези процеси, можете да откриете в нашата Политика за бисквитките.

Събираме и съхраняваме и следната информация, за да изпълним законовите си задължения:

копия от нашата кореспонденция с Вас, както и други данни, които събираме във връзка с Вашите дейности на уебсайта, както и в приложението;
подробна информация за посетителите на нашия уебсайт за целите на обобщаване на статистическите данни или целите на отчитането;
коментари, направени в блогове и дискусионни форуми, относно Rilla.

В случаите, в които обработването на Вашите лични данни е основано на наш легитимен интерес или на дадено от Вас съгласие, имате право по всяко време да възразите срещу такова обработване или да оттеглите съгласието си (вижте повече в Раздел III по-долу). Възразяването срещу подобно обработване или оттеглянето на Вашето съгласие няма да се отразят негативно при сключването на договор за предоставяне на наши услуги или продукти, освен ако това съгласие е необходимо за сключването и/или изпълнението на договор с Вас.

6. Общи принципи при обработване на лични данни и срокове на съхранение

6.1. Добросъвестната обработка на личните данни на потребителя в съответствие с начините и степента, предвидени в приложимото законодателство, е основен принцип, възприет и следван от администраторите по тази Политика.

В изпълнение на този принцип прилагаме всички изисквани от закона мерки за надлежна проверка и мерки за сигурност при обработването на личните данни на потребителя, за да гарантираме, че това се извършва само заради определена цел, както и че личните данни на потребителя са адекватно защитени срещу непреднамерено или неразрешено използване, разкриване или унищожаване.

Съвместните администратори са установили структури по предотвратяване на злоупотреби и пробиви в сигурността, а също са определили Длъжностно лице за защита на данните, коeто подпомага процесите по опазване и обезпечаване сигурността на Вашите данни.

Това означава например, че данните се съхраняват само на хартиен и/или електронен носител и в криптирана форма, както и че цялата информация за потребителите се изтрива, след като вече няма причина и основание да ги обработваме. С цел максимална сигурност при обработка, пренос и съхранение на Вашите данни, може да използваме допълнителни механизми за защита като псевдонимизация и други.

6.2. Личните данни се съхраняват за сроковете, необходими за постигане на целите, за които са събрани, а именно:

а) когато данните се обработват на основание искане (заявка) за сключване на договор – за минимален срок от 2 години от подаване на заявката, ако последната не бъде одобрена и не се сключи договор, или по време на разглеждане на заявката потребителят се откаже от подаването й и заяви, че не желае процесът по разглеждане да продължи;

Събраните данни от проверка в Регистъра на Банковите сметки и сейфове към БНБ и регистър на Централен кредитен регистър на лицето, чието искане не е одобрено или процесът по разглеждане на заявлението не е продължил докрай, ще бъдат съхранявани за срок от 5 години от подаване на заявката.

Събраните данни от проверка в регистър на НОИ на лицето, в случаите в които процесът по кандидатстване и сключване на договор не е продължил докрай,, ще бъдат съхранявани за срок от 2 години от подаване на заявката.

б) когато данните се обработват на основание сключен договор – за срок от 5 години, считано от датата на прекратяване на договора;

в) когато данните се обработват единствено на основание получено съгласие – до изричното оттегляне на съгласието;

г) Образите, лицевите разпознавания, включително такива, предавани на живо, както и записите от телефонни разговори, се пазят в защитени архиви за срок не по-кратък от 5 години от провеждане на разговора, като достъп до тези лични данни на потребителите имат лицата, които поддържат информационните ни системи;

д) когато данните се обработват за упражняване и защита на наши права и интереси, които имат обосновано преимущество пред интересите на физическите лица (като например телефонни разговори) – до погасяване на правото и/или отпадане на интереса (например в случай на съдебни дела и/или други процедури, включително проверки от компетентните надзорни органи).

е) когато данните се обработват във връзка с упражняване на права по Регламент (ЕС) 2016/679 и по Закона за защита на личните данни – в срок до две години от окончателното приключване на производството във връзка с упражняване на правата на субектите на данни и реализирането на средства за правната им защита.

Всички останали лични данни ще бъдат съхранявани до изтичане на давността за това, след което ще бъдат изтрити. Изключение от този принцип ще е налице, когато например законодателен акт ни задължава да ги съхраняваме за по-дълъг период.

В случай, че след постигането на нашите цели решим да съхраняваме обработените лични данни за статистически цели, това ще бъде направено под формата на съхранение на анонимни данни, които не могат да Ви идентифицират по никакъв начин. С цел получаване и анализиране на информация, свързана с ползвани финансови продукти и услуги, както и за подобряване на обслужването, можем да изтрием само част от данните. В тези случаи продължаваме да съхранява такава част от данните, която не позволява впоследствие физическите лица да бъдат идентифицирани.

Някои лични данни могат да бъдат изтрити по-рано, ако се сметнат за ненужни, или, ако се изисква от потребителя, освен ако изтриването на такива данни е в противоречие с някое от задълженията ни съгласно приложимите закони.

7. Ще бъдат ли достъпни личните ми данни пред трети лица?

7.1. За да може да предоставяме нашите бизнес продукти и услуги, може да разкрием Вашите лични данни на следните категории трети лица, които въз основа на сключени споразумения за обработка на данни или стандартни договорни клаузи, приети от Европейската комисия за защита на личните данни, могат да се явят обработващи, а именно:

лицата, които поддържат информационните ни системи, намиращи се в България, както и кол центровете за обслужване на клиенти;
изпълнители или посредници, които изпълняват функции от името на администраторите, доставчици на услуги като например доставчикът на услуги за установяване на самоличност “iDenFy” Ltd., с идентификационен номер 304617621, адрес на регистрация Gričiupio g. 7-212, Kaunas, Lithuania, или доставчикът на платежна услуга „Виртуален постерминал“ – „Айкарт“ АД (iCard), партньори за обработка на плащанията и други;
лицата, на които са възложени действия по изработване, печатане, комплектоване, доставка (вкл. чрез SMS-съобщения или по електронен път) на писмена кореспонденция, изходяща от нас към нашите клиенти, включително куриерски фирми и доставчици на комуникационни платформи като услуги (CPaaS);;дружества, на които предлагаме прехвърлянето на вземанията си от клиентите ни кредитополучатели;
дружества, на които възлагаме събирането на кредитни задължения по отпуснатите кредитни продукти;
лицата, които по силата на сключен договор, посредничат при предоставянето на финансови продукти;
дружества, на които е възложено по силата на договор с нас предоставянето на услуги и продукти, свързани с маркетинг и реклама, създаване на маркетингови кампании, анализ на бизнеса и пазара, демографско или друг вид профилиране. В този случай можем да споделяме обобщена информация (информация за нашите потребители, която комбинираме, така че тя вече не идентифицира и не препраща към отделен потребител) и друга анонимизирана информация въз основа на спазване на нормативните изисквания и на нашите законни интереси. Това не представлява обработка на лични данни, тъй като информацията е анонимна.

7.2. Извън разкриването на лични данни в рамките на съвместното администриране, Дружеството обменя в рамките на Групата от дружества в MFG, данни, събрани в хода на комплексната проверка на клиентите, извършвана за целите на изпълнение законовите изисквания за предотвратяване използването на финансовата система за изпиране на пари и финансиране на тероризма, и по-конкретно: изясняване произхода на средствата; разкриване на информация за необичайни и съмнителни сделки и докладването им пред компетентен държавен орган; провеждане на действия за установяване на потенциална свързаност и идентифициране на трети лица, които действат от името или за сметка на клиента по смисъла на чл. 65 от ЗМИП.

7.3. Трети страни, на които трябва да споделим информацията за Вас с цел осъществяване на плащанията Ви, са и кореспондентски банки, Ваши бенефициенти и други.

7.4. Когато това е необходимо за изпълнение на наши законови задължения или защита на наши законови права и интереси, можем да разкрием Вашите лични данни на следните субекти:

съдилища, регулатори, държавни агенции, правоприлагащи органи и други публични органи, институции и учреждения, когато това е необходимо за изпълнение на наши законови задължения (например на Централния кредитен регистър). Личните Ви данни могат да бъдат предоставени и с цел получаването на предварителна информация, необходима за сключването на договор и/или за неговото изпълнение – за извършване на справки и получаване на информация от държавни органи, институции, учреждения и регистри (например – НАП, НОИ, ЦКР, Регистъра на банковите сметки и сейфове на БНБ и други), за оценка на кредитоспособността Ви или за целите на получаване на друг вид предварителна информация, необходима за сключването на договор по Ваше искане);
външни правни консултанти, одитори и други подобни фигури за целите на защита на наши законни права и интереси;
съответни трети страни в случай на преобразуване или реорганизация на предприятията на съвместните администратори. В този случай ние ще Ви уведомим, преди Вашите данни да бъдат прехвърлени на друго юридическо лице и/или станете субект на друга политика за поверителност.

Неупълномощени трети лица нямат достъп до лични данни на потребителите на Rilla и до нашата база данни, съдържаща такива данни.

8. Международен трансфер на лични данни

8.1 Като цяло личната Ви информация се обработва от нас в рамките на Европейския съюз и Европейското икономическо пространство (ЕС и ЕИП), но в определени случаи може да бъде прехвърлена и обработвана извън рамките на ЕС и ЕИП.

8.2. Личните Ви данни могат да се прехвърлят и обработват извън ЕС и ЕИП, когато прехвърлянето е необходимо за сключването или изпълнението на договор, например, когато платежната операция се извършва на трета страна или чрез трета страна партньор (кореспондент) или чрез нашите доставчици на бисквитки и маркетингови партньори с Ваше съгласие (за повече информация виж нашата Политика за бисквитки). Във всички тези случаи се стремим да гарантираме, че са налице адекватни технически и организационни мерки.

9. Обект ли са моите лични данни на автоматизирано вземане на решения, включително профилиране?

9.1. Да, обработваме автоматично Вашите лични данни, включително чрез профилиране, като оценяваме Вашето поведение и други Ваши лични аспекти за целите на предотвратяване на измами, предлагане на нови продукти, статистически анализи или за провеждане на маркетингови кампании и получаването възможно най-подходящи реклами и маркетингови съобщения предвид Вашите личностни характеристики, направени избори и проявени в миналото интереси. В никой от тези случаи профилирането няма да има съществен ефект върху Вас.

9.2. Извън горното, моля да имате предвид, че ще бъдете обект на изцяло автоматизирана обработка, включително профилиране с цел преценка на Вашата кредитоспособност, включително какъв размер на кредит би бил подходящ за Вас.

В този случай имаме задължението да Ви обясним логиката на изцяло автоматичната обработка/профилиране в няколко прости стъпки: личните данни се изследват като съвкупност и поотделно, за статистически значима връзка със събития, определени като високо рискови състояния на клиента – като неплащане, измама. Подбират се критерии, с които се извършва захранване на алгоритми за машинно обучение, като резултатът е обобщен математически модел, който оценява вероятната възможност да се реализира някой от тези рискове за определен клиент. Основанието за подобна обработка ще бъде сключване на договор за паричен заем и изпълнение на законови задължения; предвид броя на исканията за кредит и обема на дейността на част от Съвместните администратори, задължителната по чл. 16 от Закона за потребителското кредитиране оценка на кредитоспособността на практика не би могла да се осъществи по различен начин без това да доведе до прекомерно забавяне.

В този случай, ако съобщеното решение не Ви удовлетворява, имате право да поискате преразглеждане на решението от кредитен експерт със съответните компетенции.

III. Вашите права

Като субект на данни, които данни се обработват от Съвместните администратори, Вие имате права, чието съдържание е изчерпателно описано по-долу.

Следва да имате предвид, че предоставянето на личните данни е доброволно – то е необходимо за сключването на договор за ползване на продукти и услуги. В случай, че данните не бъдат предоставени, няма да можем да Ви предоставим исканите от Вас продукт или услуга.

За да упражните Вашите права, моля попълнете, подпишете и ни изпратете този ФОРМУЛЯР по имейл към dpo@rilla.one. Можете да адресирате искането си до „Ейприл Сървисиз“ ООД, което, съгласно договореностите между съвместните администратори, е единно звено за контакт, или до всеки от останалите администратори.

В случай на допълнителни въпроси, свързани с дейности по обработване на данни или искания за разглеждане на Вашите права, моля пишете ни на dpo@rilla.one .

Отговор по искането Ви ще бъде върнат в рамките на 1 календарeн месец от отправянето му. При наличие на каквито и да било затруднения за своевременно изпълнение на такова искане, срокът за изпълнение може да бъде удължен с още 2 месеца, за което ще Ви уведомим до 1 месец от получаване на искането. С решението си ще даваме или отказваме достъп и/или исканата от Вас информация, но винаги ще мотивираме отговора си.

Упражняването на правата е безплатно и обхваща всички структурирани и неструктурирани данни, както и всички бази данни, поддържани от Съвместните администратори.

Изключения от посочения срок за отговор и безплатния принцип се допускат при искания от един и същ субект на данни с честота, по-голяма от 3 пъти годишно и изискваща мобилизация на значителен административен ресурс от страна на администраторите. В този случай може да наложим разумна такса с оглед извършените административни разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго. Когато имаме основателни опасения във връзка със самоличността на физическото лице, което подава искане за упражняване на правата му по тази точка, пряко отговорното лице незабавно ще се консултира с Длъжностното лице по защита на данните с цел извършване идентификацията на клиента.

Следва да имате също така предвид, че оттеглянето на дадените съгласия не засяга законосъобразността на обработването на личните Ви данни преди оттеглянето. Въпреки оттеглено съгласие, личните Ви данни могат да бъдат обработвани от нас, ако е налице друго от посочените в т. 5 основания за обработка на данните.

Правата, с които разполагате във връзка с обработката на личните Ви данни, са:

1. Право на информация

Като субект на лични данни имате право да получите информация за важни характеристики на обработката на своите лични данни, включително, но не само за нейната цел, срок и основание, за получателите и категориите получатели на лични данни и други. Освен информацията, посочена по-горе, следва да имате предвид, че сте обект на автоматизирано вземане на решения, включително профилиране. Това означава, че данните, които предоставяте, се използват с цел създаването на подходящ „профил“ за Вас и имат за цел да предотвратяват измами, да разнообразят предлаганите от нас продукти, както и да подберат подходяща за Вас реклама, маркетингови и промоционални материали.

1. Право на достъп

Можете да поискате информация какви Ваши лични данни обработваме, както и дали обработваме такива. Можете да поискате достъп до тези данни. Ние ще Ви предоставим извлечение за личните данни, които са в процес на обработване. За допълнителни извлечения може да наложим разумна такса въз основа на административните разходи. Когато подавате искане чрез електронни средства, по възможност ще предоставяме информацията в широко използвана електронна форма, освен ако не сте поискали друго.

1. Право на корекции

Ако обработваме непълни или неверни лични данни от Вас, можете да поискате тяхното коригиране или тяхното допълване по всяко време.

1. Право за изтриване (правото „да бъдеш забравен“)

Можете да поискате изтриването на личните Ви данни в следните случаи:

личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
оттегляте своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
Възразили сте срещу обработването на Вашите лични данни и то не е основано на наш легитимен интерес, или сте възразили срещу обработване на Ваши лични данни за целите на директния маркетинг;
считате, че личните данни са били обработвани незаконосъобразно.

Имайте предвид, че може да има други причини, които да предотвратят незабавното изтриване на Вашите данни, като законови задължения за съхранение, неприключили производства, установяването, упражняването или защитата на правни претенции и пр.

1. Право на ограничаване на обработването

Можете да поискате ограничение на обработването, ако:

точността на Вашите лични данни се оспорва от Вас, за срок, който ни позволява да проверим точността на Вашите лични данни; или
обработването на Вашите данни е неправомерно, но вместо тяхното изтриване, Вие желаете ограничаване на използването им; или
повече не се нуждаем от тези данни (за целта, за която са предназначени), но Вие ги изисквате за установяването, упражняването или защитата на правни претенции; или
Вие сте възразили срещу обработването на Вашите данни в очакване на проверка дали законните ни основания имат преимущество пред интересите Ви като субект на данни.

1. Право на преносимост на данни

Можете да поискате от нас да Ви предоставим личните данни, които обработваме за Вас, във формат, който лесно може да се разчете от компютър и да се пренесе например към друга финансова институция. Това се прилага само, когато:

обработването на конкретните данни се основава на Ваше съгласие или във връзка със сключване и изпълнение на договор; и
обработването се извършва по автоматизиран начин.

1. Право на оттегляне на съгласие

В случаите, в които обработването на Вашите лични данни е на основание на предоставено от Вас съгласие, имате право да оттеглите това съгласие по всяко време като откажете ползването на услугите, които го изискват (например за изпращане на рекламни съобщения), или като се свържете с нас чрез каналите, посочени в тази Политика. Оттеглянето на съгласието Ви няма да има негативни последици за Вас.

1. Право на възражение

Вие можете по всяко време да възразите срещу обработването на Вашите лични данни, ако това обработване се основава на легитимните интереси на трето лице. В този случай ние ще прекратим обработването на Вашите лични данни, ако не можем да обосновем легитимен интерес, който има преимущество над интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, или ако обработването е необходимо за целите на защита на наши законни права. Когато личните данни са обработвани за целите на директния маркетинг, имате право да възразите срещу това обработване по всяко време.

1. Право да подадете жалба

Ако установите, че начинът, по който обработваме Вашите лични данни, е нарушил Вашите права по какъвто и да е начин, можете да подадете жалба до Комисията за защита на личните данни, (гр. София 1592, бул. „Проф. Цветан Лазаров” № , e-mail: kzld@cpdp.bg) в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му. При отказ за достъп до лични данни или корекция на същите, имате право да се обърнете към Комисията за съдействие при упражняване на правата.

Настоящата Политика за защита на личните данни е актуализирана към 20.01.2022 г.