Документи
Политика за защита на личните данни
Максо България АД (по-долу "XTRA", "Дружеството" или "Администраторът"), с ЕИК 204611425, със седалище и адрес на управление: гр. София 1463, бул. "Витоша" № 146, Бизнес център "България", сграда А, ет. 4; телефони за контакт - 0700 200 21 . Дружестовото оперира с търговската марка XTRA (Xtra), със Сайта xtra.bg и е-мейл за контакт: support@xtra.bg.
1. Принцип на прозрачност и информираност – Дружеството събира, обработва и съхранява твоите
лични данни при ясни и прозрачни условия. За нас е важно ти да си уведомен/а защо и как извършваме тези процеси;
2. Принцип на съгласие – XTRA може да събира, обработва и съхранява личните ти данни за целите на директния маркетинг, само ако си предоставил съгласие;
3. Принцип на ограничено събиране – Дружеството събира твои лични данни в минимален обем, за целта и срока, за които са необходими;
4. Принцип на ограничено използване, разкриване и съхранение – XTRA не използва твои лични данни за цели, различни от тези, за които са били събрани, освен с твое съгласие и когато предвидено в настоящата политика;
5. Принцип на сигурност и опазване – личните ти данни са защитени с технически и организационни мерки за сигурност в съответствие с чувствителността на информацията.
Събираме информация по три начина:
1. Когато ти ни предоставяш информация, например при подаване на заявление за договор за потребителски кредит (включително при наши партньори), чрез социални мрежи, при телефонно обаждане, при кореспонденция по поща, по е-мейл, в чатбот или чрез други средства;
2. Автоматично – когато използваш Сайта, мобилните ни приложения, продукти и услуги;
3. Когато получаваме твои данни от трети лица, например ЦКР при БНБ, МВР, данни от регистрите на НОИ и други държавни органи. Част от събирането на данни може да се извършва и чрез получаване на твои биометрични данни като начин за идентификация при влизане в профила ти на Сайта чрез твое мобилно устройство (телефон, таблет, лаптоп), както и данни, получени с помощта на бисквитки и подобни технологии.
Данните се събират и обработват при използване на Сайта, мобилни приложения, при използване на нашите услуги или когато комуникираме с теб. Можем да събираме неизчерпателно: имена, ЕГН, идентификационен номер, дата на раждане, пол, адрес, е-мейл, телефон, данни за заетостта, IP адрес, ID на устройството, местоположение, финансова и платежна информация, включително и данни за задълженията ти.
Лични данни, които клиентите предоставят.
Дружеството събира различна информация и лични данни, които ни предоставяш:
1. Когато подаваш заявление за договор за потребителски кредит, предоставяш данни при създаването и поддържането на твой електронен профил в системата и Сайта на XTRA, когато администрираме твой договор за потребителски кредит или при използване на нашия Сайт или мобилни приложения;
2. Когато се свържеш с нас за наши продукти или услуги, пазим гласов запис на твоите телефонни разговори или когато използваш биометричните си данни като начин за идентификация при влизане в профила ти на Сайта през твое мобилно устройство;
3. Когато участваш в наши промоции или проучвания, правиш коментари в профили на XTRA в социалните мрежи и др.
Личните данни могат да включват неизчерпателно: име, презиме, фамилия, ЕГН, адрес, е-мейл, телефонен номер, тип на заетост, данни за работодател, данни за семейно положение, телефонен номер, месечен осигурителен доход, финансова информация, номер на банкова сметка, лично описание, гласово записване (входящи и изходящи повиквания), снимка или изображение с документа за самоличност („селфи“), копие на документ за самоличност, международен паспорт в случай на второ гражданство, данни за гражданство, подпис, клиентски номер, създаден от Дружеството за идентифициране и създаването на електронен профил в системата на XTRA, както и за идентифициране на заявление и/или сключен договор за потребителски кредит, електронна кореспонденция, включително получена на или изпратена в или чрез електронен профил в системата на XTRA, информация за кредитна или дебитна карта, в случай че избереш да заплащате своите задължения чрез директен дебит, биометрични данни като начин за идентификация при влизане чрез мобилен устройство в профила ти на Сайта, данни за пълномощник, друга информация, която Вие ни предоставяте, като ние записваме, обработваме и съхраняваме получените данни. Възможно е и да записваме комуникацията по телефон.
Лични данни, които събираме автоматично.
При посещението ти на Сайта и при използване на наше мобилно приложение Дружеството може автоматично да събере следната информация:
1. Техническа информация, включително типа на устройството, адреса на интернет протокола (IP) и доставчика на интернет услуги (ISP), използвани за свързване на устройството ти с интернет, информация за вход, тип и версия на plug-in браузъра, настройка на часови зони, операционна система и платформа, разделителна способност на екрана, местоположения на устройствата, включително конкретни географски местоположения, например чрез GPS, Bluetooth или WiFi сигнали, кодиране на шрифтове и др.;
2. Информация за посещението ти, включително пълните URL, поредицата от кликвания към през и от Сайта (включително дата и час); продуктите, които си гледал/търсел; (напр. HTML страници, графики и т.н.), време за отговор на страницата, грешки в Сайта, продължителност на посещенията на определени страници, информация за взаимодействие със страници (като превъртане, кликвания и преместване на мишката върху определени елементи) и методите, използвани за достигане до и излизане от страниците, дата/час и/или данни за кликванията, съдържанието, което виждаш или с което взаимодействате, както и всеки телефонен номер, използван за обаждане на наш номер за обслужване на клиенти.
Лични данни, които получаваме от трети страни.
Можем да изискваме справки за теб от трети страни като БНБ, МВР и др. при спазване на изискванията на Закона за защита на личните данни и Регламент 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. Когато е необходимо, ще поискаме твоето предварително съгласие. Получаването на личните данни в общия случай е при подаване на заявление за сключване на договор за потребителски кредит, като Дружеството може да:
1. Извършва оценка на твоята кредитоспособност и финансово състояние, минали и текущи задължения, тип заетост, като прави справки в съответни регистри (включително регистри, съдържащи информация за доходите, кредитната история, задължения към трети лица, адреси, валидност документи за самоличност, превенция на измами, изпиране на пари и финансиране на тероризъм и установяване на видни политически личности), агенции, финансови институции и публично достъпни източници;
2. Получава информация, включително лични данни от банки, финансови и платежни институции относно твои транзакции, направени в полза на Дружеството;
3. Получава информация, включително лични данни от други компании и търговски партньори Дружеството, с които си сътрудничим при промоции или проучвания, в които участваш;
4. Получава информация, в т.ч. лични данни, които си предоставил на кредитни посредници и наши бизнес партньори, когато кандидатстваш за услуги.
XTRA обработва личните данни основно с цел разглеждане на заявления за сключване на договор за потребителски кредит, както и за да спазим изискванията на законодателството за идентификация и оценка на кредитоспособността, за да предоставяме услуги, за да подобряваме продуктите и услугите си, за да помагаме на клиентите и да изпращаме известия, оферти и промоции, за да защитаваме наши права и законни интереси.
XTRA обработва данните ти по договор за потребителски кредит или групов договор за застраховка, за да администрираме изпълнението му, включително с цел да предоставим заемната сума. Използваме личните данни по-специално за следните цели:
1. За да изпълним наши законови задължения, да те идентифицираме и потвърдим самоличността ти. Идентификацията може да включва и използването на технологии за разпознаване на лица, глас, пръстови отпечатъци или други биометрични технологии, както и онлайн идентификационни системи;
2. За да ти направим електронен профил в системата на XTRA, чрез който подаваш заявление за договор за потребителски кредит, получаваш уведомления, удостоверения за погасен дълг, копие на кредитна документация и др.;
3. За да обработим заявление за сключване на договори за потребителски кредит и да предоставяме други услуги;
4. За да изпълним законови задължения да оценим кредитоспособността ти, преди да сключим договор за кредит;
5. За да изпълним законови задължения да предотвратяваме изпиране на пари, финансиране на тероризъм, измами и други престъпни дейности. Това включва изготвяне, поддръжка, актуализиране и съхраняваме на данни от типа "Опознай своя клиент", проверки на риска, мониторинг и докладване на транзакции при необходимост;
6. За да изпълним други нормативни задължения по Закона за предоставяне на финансови услуги от разстояние, Закона за потребителския кредит, Закона за мерките срещу изпирането на пари, Закона за мерките срещу финансирането на тероризма, закони регламентиращи счетоводната дейност и др.;
7. За да се свържем с теб в рамките на преддоговорните или договорните отношения;
8. За да администрираме изпълнението на договора за потребителски кредит, ако такъв бъде сключен, да предоставим заемната сума, осигуряване на комуникация по договора и др.;
9. За да управляваме и подобряваме качеството на Сайта, неговата безопасност и да гарантираме, че съдържанието му се визуализира на устройството ти по най-добрия начин;
10. Ако имаме твоето съгласие, да рекламираме продукти и услуги на Дружеството и на други дружества от нашата група, като можем да рекламираме през Сайта, по е-мейл, SMS или друг комуникационен канал;
11. За да спазваме други законови изисквания, приложими към Дружеството.
Обработваме лични данни и на основание наши легитимни интереси, освен когато твои интереси и права имат преимущество пред легитимния интерес на Дружеството. Нашите легитимни интереси включват осигуряване на комуникация по различни канали, подобряване качеството на нашите комуникации и взаимодействия с клиентите, измерване, анализ и разбиране на ефективността на комуникацията и маркетинга, подготовка и извършване на продажби на вземания по Договори за потребителски кредит, подобрения на сигурността и функционалността на Сайта и др.
Ние предоставяме твои лични данни на определени категории трети лица, за да ти предложим качествено, бързо и комплексно обслужване и нашите продукти и услуги да покриват очакванията ти, за да разработим нови продукти и услуги, за да направим проверка на кредитоспособност и оценка на риска, с цел събиране на вземания, както и за да спазим съответните нормативни изисквания. Можем да разкрием лични данни на други компании от групата на Дружеството за вътрешни административни цели или при наличие съгласие за маркетинг, както и трети страни за изпълнение на поетите задължения по договор за потребителски кредит. По-конкретно, може да предоставим твои лични данни на лица, които:
• предоставят услуги от наше име, за да те идентифицираме и удостоверим твоята идентичност;
• подпомагат бизнес дейностите ни като хостинг и разработване на Сайта, разработване и поддръжка на информационни системи;
• подпомагат дейността ни чрез оценка на рискове и разкриване на измами, превенция на изпирането на пари и финансирането на тероризма;
• събират на вземания и извършват обслужване на клиенти по възлагане;
• предоставят куриерски или други съобщителни услуги;
• изготвят анализи за използването на услугите ни, подпомагане на маркетинговите ни дейности (рекламни агенции, агенции за връзки с обществеността и др.);
• предоставят други услуги за целите на подобряване на дейността ни и качеството на продуктите и услугите, както и за изпълнението на наши задължения по закон или по договора за потребителски кредит.
Може да се предоставим лични данни на трети лица и в следните случаи:
• за целите на идентификация и превенция на изпиране на пари и финансиране на тероризма;
• за целите на разследване и предотвратяване на измами и за съдействие с цел намаляване на кредитния риск;
• по всяко време, когато сме законово задължени, можем да разкриваме информация за това, че сте използвали нашите услуги, както и когато вярваме, че разкриването е необходимо за защита на нашите права, за защита на твоята безопасност или безопасността на други физически лица, за предотвратяване и разследване на измами или за да отговорим на искания от държавни органи;
• при неизпълнение или лошо изпълнение на задължения за погасяване на суми по договор за потребителски кредит можем да предоставим твои данни на наши доставчици на услуги по събиране на вземания, кредитни бюра, както и доставчици на правни услуги;
• при обработване и събиране на директни дебити или други плащания по договора за потребителски кредит заем може да споделим лични данни с трети лица – доставчици, обработващи платежни услуги;
• за подобряване и оптимизираме Сайта си можем да споделим твоите лични данни с аналитици и доставчици на търсачки;
• при прехвърлянето или учредяване на залог върху вземания на Дружеството.
Не предоставяме твои лични данни на трети лица, преди да се уверим, че са взети технически и организационни мерки за защита на данните. В този случай ние оставаме отговорен Администратор за конфиденциалността и сигурността на данните ти.
Личните данни могат да обработвани (включително съхранени) и на места извън Европейското икономическо пространство - например САЩ при наличие на твое изрично съгласие. Данните, които прехвърляме, може да бъдат споделени с доставчици на услуги. Това може да включва процеси като събиране на данни за използването на Сайта, услуги във връзка с рекламни цели (включително реклами, базирани на поведението), съдействие при нужда от услуга или продукт или друго. Дружеството предприема всички разумни действия, за да осигури сигурността на личните ти данни. Например, използваме споразумения със стандартни договорни клаузи на Европейската комисия, за да гарантираме, че данните са защитени.
Дружеството разчита на модерни технологии и следва практики, препоръчвани от международни организации като IEEE, PCI DSS и ISO. Използваме SSL сертификат, като в Сайта са вградени най-съвременни технологии под формата на 256-битова криптирана връзка, която гарантира сигурността на личните данни. Компютърната мрежа на XTRA е изградена според препоръките на PCI DSS. Информационните системи за обработване на данни, включително лични такива, са базирани на регулярно одитиран софтуер. С цел пълна проследимост и навременна реакция се поддържат журнални записи с информация за всеки достъп и извършени операции спрямо лични данни от Дружеството. Попълването на журналите е напълно автоматизирано и е неотменима част от обработването на данните. Дружеството чрез вътрешни правила е установило технически и организационни мерки, които предвиждат условия и ред за събиране, обработване и съхраняване на хартиен носител на личните данни на клиенти и контрагенти, както и стриктни правила за осъществяване на контрол относно спазването им, осигуряващ най-всеобхватна защита от нежелан достъп.
Съхраняваме личните ти данни за определен период от време, посочен в приложимото законодателство, след като си изпълнил своите задължения по договор за потребителски кредит или ако такъв не е сключен – от подаване на заявлението за договор за кредит. В тези случаи личните данни ще бъдат съхранявани за период от 5 години, считано от 1 януари на годината, следваща годината, когато договорните задължения са изцяло изпълнени или когато заявлението за кредит е отказано или анулирано. Съхраняваме личните данни и с цел да гарантираме правните си интереси при спорове или разследвания, както е определено в съответните законови разпоредби за давността или за проверките на кредитоспособността и файловете от типа "Опознай своя клиент". Сроковете обикновено са в интервала от 5 до 10 години, а за счетоводни и данъчни цели – обикновено 10 години от 1 януари на годината, следваща годината на предоставените лични данни. Въпреки това, ние обикновено съхраняваме личните данни не по-дълго, отколкото е разумно необходимо, предвид целите, за които са събрани, обикновено за изпълнение на договори, упражняване на наши законни интереси или съобразно законоустановените срокове за съхранение.
При правен спор, производство и/или искане от компетентен държавен орган е възможно Дружеството да обработва твои данни за по-дълъг срок от посочените до окончателно приключване на възникналия спор/производство.
Cookies (бисквитки) са малки текстови файлове, които се запазват на твоя компютър или мобилно устройство, когато посещаваш Сайта. Те събират информация за начина на използването на Сайта с цел подобряване ефективността му и ни позволяват да запаметяваме предпочитанията ти, за да не се налага да ги въвеждаш всеки път, когато посещаваш Сайта или преминаваш от една страница към друга.
За да получиш повече информация относно бисквитките, използвани от Сайта, моля да се обърнеш към Дружеството или да посети: xtra.bg/cookies.
Имаш следните права във връзка със събирането, обработването и съхраняването от Дружеството на твоите лични данни:
1. Право на информация - право да изискваш Дружеството да предостави информация за съхраняваните твои лични данни - за техния произход, получатели или категории получатели, на които те се предават, както и целта на съхранението;
2. Право на достъп – право да получиш потвърждение дали Дружеството обработва твои лични данни, право на достъп до тях, както и информация относно обработването им;
3. Право на коригиране – право да поискаш Дружеството своевременно да коригира и/или допълни съхраняваните неточно твои лични данни;
4. Право на изтриване (правото "да бъдеш забравен") – право да поискаш Дружеството да заличи (изтрие) или блокира личните ти данни, обработването на които не отговаря на изискванията на Закон за защита на личните данни и Регламент 2016/679. Част от правото "да бъдеш забравен" е и задължението Дружеството да уведоми третите лица, на които тези данни са били разкрити, за всяко такова заличаване или блокиране, с изключение на случаите, когато това е невъзможно и/или изисква прекомерни усилия;
5. Право на ограничаване на обработването – право да изискаш Дружеството да ограничи обработването на данните ти, когато:
5.1. оспорваш верността на данните, за периода, в който Дружеството трябва да провери верността им;
5.2. обработването на личните данни е без правно основание, но вместо Дружеството да ги изтрие, искаш тяхното ограничено обработване;
5.3. подал си възражение за обработването на личните данни, в очакване на проверка дали основанията на Дружеството са законни.
6. Право на преносимост на данните – право да получиш личните си данни, които се отнасят до теб, в структуриран, популярен формат, пригоден за машинно четене, както и да използваш тези данни за друг администратор по своя преценка;
7. Право на възражение – по всяко време имате право да:
7.1. възразиш срещу обработването на данните ти от Дружеството при наличие на законово основание за това. Когато възражението е основателно, правото на XTRA да обработва личните данни отпада;
7.2. възразиш срещу обработването на данните ти от Дружеството за целите на директния маркетинг.
8. Право да не бъдеш обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране - право да поискаш човешка намеса от страна на XTRA при обработване на данните, право да оспориш решението на Дружеството и право да изложиш гледната си точка;
9. Право на оттегляне на съгласие – право да оттеглиш по всяко време даденото от теб съгласие за събиране, обработване и съхраняване от XTRA на личните данни, когато те се обработват на основание съгласие (например за маркетинг цели). Оттеглянето на съгласието не засяга законосъобразността на обработката на лични данни до неговото оттегляне, както и няма да има отражение върху съхранението и обработката на личните данни от Дружеството в случаите, когато има друго правно основание за съхранението и обработката - законово задължение да се обработват тези данни, обработка в изпълнение на сключен договор или друго.
10. Право на жалба до надзорен орган. Ако считаш, че нормативната уредба относно обработването на личните ти данни е нарушена, молиш да се свържеш. Разбира се, имаш право да подадеш и жалба до надзорен орган, който в Република България е Комисията за защита на личните данни, с адрес: гр. София 1592, бул. "Проф. Цветан Лазаров” № 2, телефон 02/91-53-518; електронна поща: kzld@cpdp.bg. Повече за дейността на Комисията може да откриеш на cpdp.bg.
1. Упражняването на гореописаните права се извършва чрез искане/заявление до Дружеството, съдържащо най-малко данни за име, адрес, телефон и други данни за идентификация, описание на искането, предпочитана форма за предоставяне на информацията, подпис;
2. Подаването на искането/заявлението е безплатно. Можеш да избереш да го изпратиш до Дружеството на адрес: гр. София, бул. „Витоша“№ 146 (сграда А), Бизнес център „България“ лично или чрез упълномощено лице, както и по електронен път на един от следните e-мейл адреси: support@xtra.bg и/или dpo@xtra.bg. Ако заявлението се подава от упълномощено лице, към него се прилага и нотариално заверено пълномощно;
3. Срокът за разглеждане на искането/заявлението и произнасяне по него е 30 дни, който срок може да бъде продължен с още 30 дни;
4. Дружеството ще изготви писмен отговор и ще ти го съобщи лично – на е-мейла ти (ако искането е по е-мейл) или на хартиен носител чрез куриерска фирма на посочения от теб адрес. Ще се съобразим с предпочитания от теб начин на предоставяне на информацията;
5. Когато данните не съществуват или предоставянето им е забранено със закон, достъп до тях ще бъде отказан;
6. В случай че Дружеството не отговори на твое искане за достъп до данни в срок или не си удовлетворен/а от получения отговор и/или считаш, че са нарушени правата ти, можеш възможност да упражните правото си на защита по съдебен или административен ред съгласно раздел IX по-горе.
Настоящата политика е приета с Решение на Съвета на директорите на Максо България АД от 19.09.2022 г., на която дата същата е публикувана на Сайта на Дружеството.