Политика за поверителност

ПРАВИЛА ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ НА УПРАВЛЯВАЩО ДРУЖЕСТВО „КОНКОРД АСЕТ МЕНИДЖМЪНТ“ АД

І. ОБЩИ РАЗПОРЕДБИ И ПРИНЦИПИ

Чл. 1 (1). Настоящите правила се приемат на основание чл. 24, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Регламент 2016/679).

  • Правилата се изготвят и прилагат с  оглед обхвата,  мащаба  и  комплексността на извършваните услуги и дейности от управляващо дружество  (УД)  „Конкорд  Асет Мениджмънт“ АД (наричано по-долу Дружеството или Администраторът) и притежавания от него лиценз.
  • Настоящите правила се прилагат както спрямо служителите на Дружеството, така и спрямо неговите клиенти, ползващи съответните услуги.
  • По смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 и настоящите правила Дружеството се явява администратор на лични данни – юридическо лице, което само или съвместно с други определя целите и средствата за обработването на лични данни.
  • „Конкорд Асет Мениджмънт“ АД е акционерно дружество, учредено в съответствие с Търговския закон, което е вписано в регистъра на търговските дружества при Агенцията по вписванията с ЕИК: 131446496, със седалище и адрес на управление гр. София, район „Възраждане“, бул. „Тодор Александров“ № 117, тел.: 02/ 816 43 70, 02/ 816 43 45, e-mail: office@concord-am.bg; интернет страница: https://concord-am.bg/ . Дружеството притежава лиценз № 1–УД от 19.09.2005 г.  и  лиценз  №  46  –  УД/21.06.2012  г.  за  извършване  на  дейност  като управляващо дружество. Лицe за контакт за УД „Конкорд Асет Мениджмънт” АД: гр. София – Николай Пламенов Механджийски, Главен юрисконсулт и Ръководител отдел „Нормативно съответствие“, е-mail за контакт: mehandzhiyski@concord-am.bg, на който може да се подават жалби и сигнали, свързани с обработването на лични данни.
  • Целите на обработването на лични данни са свързани с идентифицирането на клиенти и контрагенти на Дружеството съгласно Закон за дейността на колективните инвестиционни схеми и на други предприятия за колективно инвестиране (ЗДКИСДПКИ), извършване на оценка за подходяща услуга (уместност и целесъобразност), сключване и изпълнение на договор/ поръчка за записване/ обратно изкупуване на дялове от договорни фондове (ДФ), упражняване на правото на наследяване на дялове от ДФ, както и за изпълнение на нормативните изисквания, установени в Закона за мерките срещу изпиране на пари (ЗМИП), Закона за мерките срещу финансиране на тероризма (ЗМФТ), Закона за Комисия за финансов надзор (ЗКФН), Закона за публичното предлагане на ценни книжа (ЗППЦК), Закона за пазарите на финансови инструменти (ЗПФИ), Данъчно – осигурително процесуален кодекс (ДОПК), или в нормативни актове по прилагането им.

Чл. 2 (1) Дружеството с оглед извършваната от него дейност и в качеството си на администратор гарантира, че спрямо личните данни се прилагат следните принципи:

  1. a) личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност  и прозрачност“);

б) личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели („ограничение на целите“);

в) личните данни подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) личните данни са точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) личните данни са съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е) личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

(2) Служителите на Дружеството, които обработват лични данни, преминават първоначално и периодични обучения относно приложимите правни норми и правила по защита на личните данни.

Чл. 3 (1) Водещ принцип при обработването на лични данни е законосъобразността.

(2) Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

  1. a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на  данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

 

ІІ. ДАВАНЕ НА СЪГЛАСИЕ

Чл. 4 (1) Когато обработването се извършва въз основа на съгласие, „Конкорд Асет Мениджмънт” АД винаги следва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

  • „Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
  • Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език. Никоя част от такава декларация не може да е в нарушение на Регламент 679/2016 и при  противоречие тя не е обвързваща.
  • Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни бива информиран за това.
  • Дружеството не предлага услуги на лица под 18 години, поради което не събира и не обработва лични данни на такива лица, независимо от волята на лицето. Възможно е Дружеството да събере и обработва лични данни на лица под 18 години, или на лица, поставени под запрещение, при извършване на дейността по прехвърляне на дялове от ДФ при наследяване и дарение. При тези случаи обработването се извършва едва след като Дружеството е получило съгласие по реда, предвиден в настоящите правила, от упражняващ родителските права родител или настойник.

ІІІ. ОБРАБОТВАНЕ НА СПЕЦИАЛНИ КАТЕГОРИИ ЛИЧНИ ДАННИ

Чл. 5. (1) Дружеството не обработва лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

(2) Забранява се на всички служители и лица, работещи по договор за него, или негови партньори да обработват лични данни, посочени в ал. 1 по – горе.

Чл. 6 (1) Разпоредбата на чл. 5 не се прилага, ако е налице едно от следните условия:

а) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на ЕС, действащото право на Република България или правото на държава членка се предвижда, че посочената в чл. 5 забрана не може да бъде отменена от субекта на данни;

б) обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на Дружеството администратор или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г) обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че личните данни не се разкриват без съгласието на субектите на данните;

д) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

е) обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;

ж) обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на  защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

з) обработването е необходимо за целите на превантивната или  трудовата  медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор     с медицинско лице.

Обработването по тази буква може да се извършва, когато въпросните данни се обработват от или под ръководството на професионален служител, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.

и) обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи  за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата  и свободите на субекта на данните, по-специално опазването на професионална тайна;

й)обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, което е пропорционално на преследваната цел, зачита същността на правото на  защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

Чл. 7. (1) Събирането на лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност се извършва само за служители на Дружеството, за заемането на чиито позиции се изисква събирането и съхраняването на такива данни от действащото законодателство в Република България (закони, подзаконови нормативни актове, регламенти, наредби на регулаторни органи и други).

(2) Категорията такива служители са членовете на управителни и контролни органи, както и заемащите позиции по нормативно съответствие, управление на риска, ръководители на специализирана служба по ЗМИП, главен счетоводител, вътрешен одитор, лицата, които пряко и непосредствено подписват договори с клиенти от името и за сметката на Дружеството.

ІV. ИНФОРМАЦИЯ, ПРЕДОСТАВЯНА ПРИ СЪБИРАНЕ НА ЛИЧНИ ДАННИ НА СУБЕКТА НА ДАННИТЕ

Чл. 8 (1). Когато лични данни, свързани с даден субект се събират от него, то в момента на получаване на личните данни Дружеството предоставя на субекта на данните цялата посочена по-долу информация:

  1. a) данните, които идентифицират Дружеството-администратор и координатите за връзка с него и, когато е приложимо, тези на представителя на Дружеството;

б) координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г) когато обработването е необходимо за целите на легитимните интереси на Дружеството или на трета страна, се посочват законните интереси, преследвани от Дружеството или от третата страна;

д) получателите или категориите получатели на личните данни, ако има такива;

е) когато е приложимо, намерението на Дружеството да предаде личните данни на трета държава или на международна организация.

Чл. 9 (1). Освен информацията, посочена в чл. 8, ал. 1, в момента на получаване на личните данни Дружеството предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

  1. a) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок. Управляващото дружество съхранява личните данни на субект за целия срок на съществуване на отношенията между страните и 5 години след прекратяването им.

б) съществуването на право да се изиска от Дружеството достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

в) когато обработването се основава на предоставено съгласие от субекта, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено.

г) правото на жалба до надзорен орган.

д) дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени. Субектите на лични данни, чиито данни се събират и обработват от Дружеството, се считат уведомени за това обстоятелство с   текстове   в   Общите   условия   или   договорите,   сключвани   с   клиенти   и/или контрагенти и за факта, че отказът им да предоставят своите лични данни, изискуеми   по   ЗПФИ   и   ЗМИП/ППЗМИП   е   законово   основание   Дружеството   да откаже предоставянето на съответната търсена услуга.

е) съществуването на автоматизирано вземане на решения, включително профилиране и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

  • Когато Дружеството възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, то предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация. На субекта на данните се предоставя информация за целта на това последващо обработване преди то да е извършено. Дружеството може да обработва личните данни на клиентите си за целите установени в ЗДКИСДПКИ, ЗПФИ, ЗППЦК, ЗМИП, ППЗМИП, ДОПК, нормативни актове по прилагането им, както и други пряко приложими нормативни актове или актове на европейското право, уреждащи дейността му. Това са нормативно- установени задължения за Дружеството, чието спазване е задължително за извършването на дейност и предоставянето на услуги от управляващо дружество.
  • Дружеството предоставя информацията, посочена в чл. 8 и 9 по-горе:
  1. a) в разумен срок след получаването на личните данни, но не по-късно от един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

б) ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

в) ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

  • Описание на конкретната информация по чл. 8 и 9, касаеща дейноста на УД е посочена в Приложения № 3 и 4 към настоящите Правила и се предоставя на клиенти и контрагенти срещу подпис или по подходящ начин с оглед установените отношения с насрещната страна.

Чл. 10. (1) Изискванията на чл. 8 и 9 не се прилагат, когато субектът на данните вече разполага с информацията.

(2) Изискванията на чл. 9 не се прилагат, когато и доколкото: а) субектът на данните вече разполага с информацията;

б) предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия;

в) получаването или разкриването е изрично разрешено от правото на Европейския съюз или правото на държава – членка, което се прилага спрямо Дружеството и в което се предвиждат същите подходящи мерки за защита на легитимните интереси на субекта на данните;

г) личните данни трябва да останат поверителни при спазване на задължението за опазване на професионална тайна, което се урежда от правото на Европейския съюз или правото на държава – членка, включително законово задължение за поверителност.

  1. ПРОЗРАЧНОСТ И УСЛОВИЯ ЗА ПРОЗРАЧНОСТ

Чл. 11 (1). Дружеството-администратор предприема необходимите мерки за предоставяне на всякаква информация по чл. 13 и 14 и на всяка комуникация по чл. 15-22 и чл. 34 от Регламента, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен  и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства.

(2) Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Предоставянето на информацията по този начин се документира надлежно от служител на дружеството, чрез съставяне на писмен протокол, който се подписва и от субекта на данните.

Чл. 12 (1). Дружеството предоставя на субекта на данни информация относно действията, предприети във връзка с искане по 15-22 от Регламента, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.

(2) При необходимост срокът по ал. 1 може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

Чл. 13. Ако Дружеството не предприеме действия по искането на субекта на данни, то уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

Чл. 14. (1) Информацията по чл. 13 и 14 и всяка комуникация и действия по чл. 15-22 и чл. 34 от Регламента се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, Дружеството може или:

а) да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б) да откаже да предприеме действия по искането.

  • Дружеството носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.
  • Когато Дружеството има основателни опасения във връзка със самоличността на физическото лице, което подава искане за право на достъп, коригиране, изтриване, ограничавене на обработката или възражение по отоношение на лични данни, Дружеството може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.
  1. ПРАВА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

Чл. 15 (1). Право на достъп на субекта на данните. Субектът на данните има право да получи от Дружеството потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

  1. a) целите на обработването;

б) съответните категории лични данни;

в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е) правото на жалба до надзорен орган;

ж) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з) съществуването на автоматизирано вземане на решения, включително профилирането и в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

 

  • Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции във връзка с предаването.

 

  • Дружеството предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, Дружеството може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

 

  • При предоставянето на копие от лични данни, Дружеството не може да разкрива следните категории данни:

а) лични данни на трети лица, освен ако същите не са изразили изрично си съгласие за това;

б) данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация;

в) друга информация, която е защитена от действащото законодателство.

 

  • Предоставянето на достъп на субекта на данни по настоящия чл. 15 не може да влияе неблагоприятно върху правата и свободите на други лица

 

 

Чл. 16. (1) Право на коригиране. Субектът на данни има право да поиска от Дружеството да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

 

(2) В случаите, когато искане за коригиране от субект на данните бъде удовлетворено, Дружеството уведомява останалите получатели, на които данните са били разкрити, така че да отразят изменението.

 

Чл. 17. (1) Право на изтриване (право  „да  бъдеш  забравен“)  Субектът  на  данни има правото да поиска от Дружеството изтриване на свързаните с него лични данни без ненужно забавяне, а Дружеството има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

  1. a) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б) субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

в) субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;

г) личните данни са били обработвани незаконосъобразно;

д) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС, правото на Република България или правото на държава членка, което се прилага спрямо Дружеството.

 

  • Когато “Конкорд Асет Мениджмънт” АД е направил личните данни обществено достояние и е задължен да изтрие личните данни, то, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

 

  • Разпоредбите на ал. 1 и 2 не се прилагат, доколкото обработването е необходимо за:

а) упражняване на правото на свобода на изразяването и  правото  на информация;

б) спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС, действащото законодателство на Република България или правото на държавата членка, което се прилага спрямо Дружеството или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

в) причини от обществен интерес в областта на общественото здраве;

г) целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;

д) установяването, упражняването или защитата на правни претенции.

 

Чл. 18 (1) Право на ограничаване на обработването. Субектът на данните има право да изиска от Дружеството ограничаване на обработването, когато се прилага едно от следното:

  1. a) точността на личните данни се оспорва от субекта на данните, за срок, който позволява на Дружеството да провери точността на личните данни;

 

б) обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в) Дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

г) субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на Дружеството имат преимущество пред интересите на субекта на данните.

 

(2) Когато обработването е ограничено съгласно ал. 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за ЕС, Република България или държава членка.

 

Чл. 19. Дружеството съобщава за всяко извършено в съответствие с чл. 16, чл. 17, ал. 1 и чл.18 по – горе коригиране, изтриване или ограничаване на обработване  на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Дружеството информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

 

Чл. 20 (1) Право  на  преносимост  на  данните. Субектът на данните има право  да получи личните данни, които го засягат и които той е предоставил на Дружеството, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Дружеството, на когото личните данни са предоставени, когато:

  1. a) обработването е основано на съгласие в съответствие или на договорно задължение съгласно и

б) обработването се извършва по автоматизиран начин.

 

  • Когато упражнява правото си на преносимост на данните по ал. 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

 

  • Упражняването на правото, посочено в ал. 1 от настоящия член не засяга чл.

17 по -горе. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Дружеството.

 

Чл. 21 (1) Право на възражение. Субектът на данните има  право,  по  всяко  време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на:

а) обработване, което е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора или

б) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, включително профилиране, основаващо се на посочените основания.

Дружеството прекратява обработването на личните данни в случаите по настоящата алинея, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и

 

свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

 

  • Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване  на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

 

  • Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

 

  • Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по ал. 1 и 2, което му се представя по ясен начин и отделно от всяка друга информация.

 

  • Субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.

 

Чл. 22. (1) Право  на  човешка  намеса  при  автоматизирано  вземане  на  решения. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за него или по подобен начин го засяга в значителна степен.

  • Разпоредбата на ал. 1 не се прилага, ако решението:

а) е необходимо за сключването или изпълнението на договор между субекта на данни и администратора („Конкорд Асет Мениджмънт” АД);

б) е разрешено от правото на ЕС, действащото законодателство на Република България или правото на държава членка, което се прилага спрямо Дружеството, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в)се основава на изричното съгласие на субекта на данни.

 

  • В случаите, посочени в ал. 2, букви а) и в), „Конкорд Асет Мениджмънт” АД прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

 

  • Решенията по ал. 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1 от Регламент 2016/679, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) от същия Регламент и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.

 

VІІ. ОБЩИ ЗАДЪЛЖЕНИЯ И ОТГОВОРНОСТ НА ДРУЖЕСТВОТО  В  КАЧЕСТВОТО МУ НА АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ

 

Чл. 23 (1). Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, „Конкорд Асет Мениджмънт” АД въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламент 2016/679. Тези мерки се преразглеждат и при необходимост се актуализират от Съвета на директорите (СД).

 

  • Конкретните технически мерки за защита и обработване на лични данни са описани в Приложение към настоящите Правила.

 

  • Пропорционално на дейностите по обработване, посочените в ал.1 мерки

„Конкорд Асет Мениджмънт” АД прилага на подходящи политики за защита на данните.

 

Чл. 24 (1). Като взема предвид:

а) достиженията на техническия прогрес,

б) разходите за прилагане и естеството, обхвата, контекста и целите на обработването,

в) породените от обработването рискове с различна вероятност и г) тежестта за правата и свободите на физическите лица,

Дружеството въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки.

 

  • Мерките по ал. 1 са разработени с оглед на ефективното прилагане на принципите за защита на данните, (например свеждане на данните до минимум) и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на Регламент 2016/679 и да се осигури защита на правата на субектите на данни.

 

  • Дружеството въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

 

Чл. 25 Когато „Конкорд Асет Мениджмънт” АД (администратор на лични данни) има бизнес отношения с друго дружество, което не е установено в Европейския съюз, но от общите им делови отношения се налага да се обработват лични данни на лица от ЕС, то управляващото дружество изисква данни за:

а) представителя на партньорското Дружество, който отговаря за дейността в ЕС и за защита на личните данни;

б) сведения дали обработването на лични данни няма да е спорадично;

 

Чл. 26 (1) Когато обработването се извършва от името на „Конкорд Асет Мениджмънт” АД, то „Конкорд Асет Мениджмънт” АД може да използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент 2016/679 и да осигурява защита на правата на субектите на данни.

 

  • „Конкорд Асет Мениджмънт” АД осигурява че обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на „Конкорд Асет Мениджмънт” АД. В случай на общо писмено разрешение, „Конкорд Асет Мениджмънт” АД осигурява че обработващият данни винаги ще информира Дружеството за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин дава възможност на Дружеството да оспори тези промени.

 

  • Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на ЕС, на Република България или правото на друга държава членка, който е задължителен за обработващия лични данни спрямо „Конкорд Асет Мениджмънт” АД, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на

„Конкорд Асет Мениджмънт” АД. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

  1. a) обработва личните данни само по документирано  нареждане  на Дружеството, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на ЕС, правото на Република България или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира Дружеството за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б) гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по  закон  да  спазват  поверителност;

в) взема всички необходими технически мерки съгласно член 32 от Регламент 2016/679;

г) спазва условията по ал. 2 и 4 за включване на друг обработващ лични данни;

д) като взема предвид естеството на обработването, подпомага Дружеството, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на „Конкорд Асет Мениджмънт” АД да отговори на искания за упражняване на предвидените в Регламент 2016/679 и настоящите правила права на субектите на данни;

е) подпомага Дружеството да гарантира изпълнението на задълженията за сигурност на обработването, уведомяване на надзорни органи, оценка на въздействието и предварителни консултации, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж) по избор на Дружеството заличава или връща на „Конкорд Асет Мениджмънт” АД всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза, Република България или правото на държава членка не изисква тяхното съхранение;

з) осигурява достъп на „Конкорд Асет Мениджмънт” АД до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на Дружеството или друг одитор, оправомощен от Дружеството.

С оглед предвиденото в буква „з” по – горе, „Конкорд Асет Мениджмънт” АД осигурява, че обработващият лични данни незабавно ще уведоми „Конкорд Асет Мениджмънт” АД, ако според него дадено нареждане нарушава Регламент 2016/679 или други разпоредби на Съюза, правото на Република България или на държавите членки относно защитата на данни.

 

  • „Конкорд Асет Мениджмънт” АД осигурява, че когато първоначалният обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на Дружеството, чрез договор или друг правен акт съгласно правото на Съюза, на Република България или правото на държава членка, на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между „Конкорд Асет Мениджмънт” АД и обработващия лични данни, както е

 

посочено в ал. 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на Регламент 2016/679.

„Конкорд Асет Мениджмънт” АД осигурява, че когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред „Конкорд Асет Мениджмънт” АД за изпълнението на задълженията на този друг обработващ лични данни.

 

  • Придържането на обработващия лични данни към одобрен кодекс за поведение или одобрен механизъм за сертифициране може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно ал.1 и 4 от настоящия член.

 

  • Без да се засягат разпоредбите на индивидуален договор между „Конкорд Асет Мениджмънт” АД и обработващия лични данни, договорът или другият правен акт, посочени в ал. 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, включително когато са част от сертифициране, предоставено на Дружеството или обработващия лични данни.

 

  • Договорът или другият правен акт, посочен в ал. 3 и 4, се изготвят в писмена форма, включително в електронна форма.

 

Чл. 27. (1) В случаите, когато „Конкорд Асет Мениджмънт” АД заедно с друг администратор съвместно определя целите и средствата на обработването на лични данни (съвместни администратори) дружеството осигурява, че двамата администратори ще определят по прозрачен начин съответните си отговорности при изпълнение на задълженията си по Регламент 2016/679, и по – специално що се отнася до правата, които има субекта на данните, и съответните  им задължения за предоставяне на информацията по чл. 13 и 14 от Регламент 2016/679. Отношенията между съвместните администратори се уреждат със споразумение, освен ако и доколкото съответните отговорности между тях не са определени от правото на Европейския съюз и правото на държава членка, което се прилага спрямо администраторите. В споразумението може да се посочи и обща точка за контакт за субектите на данни.

 

  • „Конкорд Асет Мениджмънт” АД следва да осигури, че споразумението по предходната ал. 1 надлежно урежда съответните роли и връзка на съвместните администратори спрямо субектите на данни. „Конкорд Асет Мениджмънт” АД осигурява на субекта на данните информация за съществените елементи на споразумението.

 

  • Независимо от условията на споразумението между съвместните администратори, субектът на данните може да упражнява правата си по Регламент 2016/679 по отношение на всеки и срещу всеки от администраторите.

 

Чл. 28. Обработващият лични данни и всяко лице, действащо под ръководството на „Конкорд Асет Мениджмънт” АД или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на „Конкорд Асет Мениджмънт” АД, освен ако обработването не се изисква от правото на Съюза или правото на държава членка.

 

VІІІ. РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ. ИЗКЛЮЧЕНИЯ

 

Чл. 29 (1) „Конкорд Асет Мениджмънт” АД в качеството му на администратор на лични данни, поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

  1. a) името и координатите за връзка на Дружеството и — когато това е приложимо

— на всички съвместни администратори, на представителя на Дружеството- администратор и на длъжностното лице по защита на данните, ако има такива;

б) целите на обработването;

в) описание на категориите субекти на данни и на категориите лични данни;

г) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни – документация за подходящите гаранции;

е) когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж) когато е възможно, общо описание на техническите и организационни мерки за сигурност.

 

  • В случаите, когато „Конкорд Асет Мениджмънт” АД действа като обработващ на лични данни и — когато това е приложимо — представителят на дружеството като обработващ лични данни, поддържа регистър на всички категории дейности по обработването, извършени от името на администратора, съгласно договор сключен с него. В регистъра се съдържат:
  1. a) името и координатите за връзка на обработващия или обработващите лични данни и на Дружеството, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на Дружеството или обработващия лични данни и на длъжностното лице по защита на данните;

б) категориите обработване, извършвано от името на Дружеството;

в) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни – документация за подходящите гаранции;

г) когато е възможно, общо описание на техническите и организационни мерки за сигурност.

 

  • Регистрите, посочени в ал. 1 и 2, се поддържат в писмена форма, включително в електронен формат.

 

  • При поискване, Дружеството и — когато това е приложимо — представителят на Дружеството, осигуряват достъп до регистъра на надзорния орган.

 

  • Задълженията, посочени в ал. 1 и 2, не се прилагат когато дружеството е с по- малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по Регламент 2016/679.

 

ІХ. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ

 

Чл. 30 (1) Като се вземат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, Дружеството и обработващият лични данни

 

прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

а) псевдонимизация и криптиране на личните данни;

б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

 

  • При оценката на подходящото ниво на сигурност се вземат предвид по- специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

 

  • Придържането към одобрен кодекс за поведение или одобрен механизъм за сертифициране, съобразно правилата на Регламент 2016/679 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно ал. 1 от настоящия член.

 

  • Дружеството предприема стъпки всяко физическо лице, действащо под негово ръководство, което има достъп до лични данни, да обработва тези данни само по указание на Дружеството, освен ако от въпросното лице не се изисква да прави това по силата на правото на ЕС, приложимото право на Република България или правото на държава членка.

 

Чл. 31 (1) В случай на нарушение на сигурността на личните данни „Конкорд Асет Мениджмънт” АД, без ненужно забавяне и когато това е осъществимо — не по- късно от 72 часа след като е разбрало за него, уведомява за нарушението на сигурността на личните данни компетентния надзорен орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

 

  • „Конкорд Асет Мениджмънт” АД осигурява че обработващите лични данни ще уведомяват дружеството без ненужно забавяне, след като узнаят за нарушаване на сигурността на лични данни.

 

  • В уведомлението, посочено в ал. 1, се съдържа най-малко следното:

а) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно,  категориите  и  приблизителният  брой  на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б) посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в) описание на евентуалните последици от нарушението на сигурността на личните данни;

г) описание на предприетите или предложените от Дружеството мерки за справяне с нарушението на сигурността на личните данни, включително по

 

целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

 

  • Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

 

  • „Конкорд Асет Мениджмънт” АД документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Документирането се извършва посредством съставяне на протокол, който се подписва от изпълнителния директор на дружеството и ръководителят на отдел

„Нормативно съответствие“.

 

Чл. 32 (1) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, „Конкорд  Асет Мениджмънт” АД, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

 

  • В съобщението до субекта на данните, посочено в ал. 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 31, ал. 3, букви б), в) и г) по – горе.

 

  • Посоченото в ал. 1 съобщение до субекта на данните  не се  изисква,  ако някое от следните условия е изпълнено:
  1. a) „Конкорд Асет Мениджмънт” АД е предприело подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б) „Конкорд Асет Мениджмънт” АД е взело впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в ал. 1 по-горе;

в) съобщаването би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

 

Чл.33 (1) Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, „Конкорд Асет Мениджмънт” АД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

 

  • При извършването на оценка на въздействието върху защитата на данните

„Конкорд Асет Мениджмънт” АД АД иска становището на длъжностното лице по защита на данните.

 

  • Оценката на въздействието върху защитата на данните, посочена в ал. 1, се изисква по-специално в случай че:
  1. a) налице е систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително

 

профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б) мащабно обработване на специални категории данни, посочени в член 9, параграф 1 от Регламент 2016/679 или на лични данни за присъди и нарушения  по член 10 от Регламент 2016/679; или

 

  • Оценката съдържа най-малко:
  1. a) системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б) оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в) оценка на рисковете за правата и свободите на субектите на данни, посочени в ал. 1 по-горе; и

г) мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

 

  • Когато е целесъобразно, „Конкорд Асет Мениджмънт” АД се обръща към субектите на данни ли техни представители за становище относно планираното обработване, без да се засягат търговските или обществените интереси или сигурността на операциите по обработване.

 

  • Когато обработването на лични данни е необходимо за спазването на законово задължение на „Конкорд Асет Мениджмънт” АД съгласно правото на ЕС или приложимото право в Република България, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, ал. 1—4 по – горе не се прилагат.
  • При необходимост Дружеството прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.
  • „Конкорд Асет Мениджмънт” АД се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако „Конкорд Асет Мениджмънт” АД не предприеме мерки за ограничаване на риска.

 

Х. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Чл. 34 (1) Дружеството определя длъжностно лице по защита на данните в следните случаи:

  1. a) основните дейности на Дружеството се състоят в операции по обработване, които поради     своето    естество,     обхват     и/или     цели     изискват     редовно    и систематично мащабно наблюдение на субектите на данни; или

б) основните дейности на Дружеството се състоят в мащабно обработване на специалните категории данни съгласно член 9 от Регламент 2016/679 и на лични данни, свързани с присъди и нарушения, по член 10 от Регламент 2016/679.

При условие, че описаните хипотези не са налице, Дружеството не определя длъжностно лице по защита на данните.

  • Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите.
  • Длъжностното лице по защита на данните може да бъде служител на Дружеството или да изпълнява задачите въз основа на договор за услуги.

В случай че възникне основание за определяне на длъжностно лице по защита на данните, „Конкорд Асет Мениджмънт” АД определя, че функциите ще се  изпълняват от ръководителя на отдел „Нормативно съответствие“.

  • При възникване на основание за определяне на длъжностно лице по защита на данните „Конкорд Асет Мениджмънт” АД публикува данните за контакт с длъжностното лице по защита на данните и ги съобщава на надзорния орган.

Чл. 35 (1) „Конкорд Асет Мениджмънт” АД гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

  • Управителния органи и всички служители на „Конкорд Асет Мениджмънт” АД подпомагат длъжностното лице по защита на данните при изпълнението на неговите задачи, като дружеството осигурява ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържа неговите експертни знания.
  • Управителният орган на „Конкорд Асет Мениджмънт” АД прави необходимото длъжностното лице по защита на данните да не получава никакви незаконосъобрази указания или влияние във връзка с изпълнението на неговите задачи по ал. 2. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от „Конкорд Асет Мениджмънт” АД за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на Дружеството – Съвета на директорите.
  • Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно действащото законодателство и Регламент 2016/679.
  • Длъжностното лице по защита на данните е длъжно да спазва пълна професионална тайна или поверителност на изпълняваните от него задачи в съответствие с правото на ЕС, правото на Република България или правото на държава членка.
  • Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Управителния орган на „Конкорд Асет Мениджмънт” АД предприема необходимите стъпки тези задачи и задължения да не водят до конфликт на интереси.

Чл. 36. (1) Длъжностното лице по защита на данните изпълнява най-малко следните задачи:

  1. a) информира и съветва управителния орган и всички служители на „Конкорд Асет Мениджмънт” АД, които извършват обработване, за техните задължения по силата на Регламент 2016/679 и на други разпоредби за защитата на данни на равнище ЕС или съгласно правото на Република България;

б) наблюдава спазването на настоящия Регламент 2016/679 и на други  разпоредби за защитата на данни на равнище ЕС или съгласно правото на Република България и на политиките на „Конкорд Асет Мениджмънт” АД по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в) при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;

г) сътрудничи с надзорния орган;

д) действа като точка за контакт за надзорния орган по въпроси, свързани с обработването и по целесъобразност да се консултира по всякакви други въпроси.

(2) При изпълнението на своите задачи длъжностното лице по защита на данните надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.

 

ХІ. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Чл. 37. Предаването на лични данни, които се обработват или да предназначени за обработване след предаване на трета държава или на международна организация, се извърша само при условие че са спазени всички изисквания на Регламент 2016/679, и при спазване на изискванията на глава V от Регламент 2016/679, включително при последващо предаване а на данните от третата държава или международната организация на друга трета държава или международна организация. „Конкорд Асет Мениджмънт” АД осигурява също така, че нивото на защита на физическите лица, осигурено от цитирания регламент, да не се излага на риск и да се запази и при предаване на данните.

Чл. 38. Предаване на лични данни на трета държава или международна организация може да има, ако „Конкорд Асет Мениджмънт” АД извърши проверка и надлежно установи, че Евройпеската Комисия е решила, че тази трета държава, територия или един или повече конкретни сектори в тази трета  държава, или международна организация, осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение и „Конкорд Асет Мениджмънт” АД може да го извърши.

Чл. 39 (1) При липса на специален акт на Европейската Комисия по чл. 38 по – горе за адекватно ниво на защита, „Конкорд Асет Мениджмънт” АД може да предава лични данни на трета държава или на международна организация, само ако е предвидило подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита.

(2) Подходящите гаранции, посочени в ал. 1, могат да бъдат предвидени, без да се изисква специално разрешение от надзорния орган, посредством:

  1. a) задължителни фирмени правила по чл. 47 от Регламент 2016/679; б) стандартни клаузи за защита на данните;

в) стандартни клаузи за защита на данните, приети от надзорен орган;

г) одобрен кодекс за поведение, заедно със задължителни ангажименти с изпълнителна сила на администратора в третата държава да  прилага подходящите гаранции, включително по отношение на правата на субектите на данни; или

д) одобрен механизъм за сертифициране, заедно със задължителни и изпълними ангажименти на администратора в третата държава да прилага подходящите гаранции, включително по отношение на правата на субектите на данни.

Чл. 40 (1) „Конкорд Асет Мениджмънт” АД не предава лични данни на свои клиенти или служители на трети лица, от които и да е държави, ако тези лица не отговарят на изискванията, установени в Регламент 2016/679.

(2) При липса на решение относно адекватното ниво на защита или на подходящи гаранции съгласно член 39 по-горе, включително задължителни фирмени правила, предаване или съвкупност от предавания на лични данни на трета държава се извършва само при едно от следните условия:

  1. a) субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции.

б) предаването е необходимо за изпълнението на договор между субекта на данните и „Конкорд Асет Мениджмънт” АД или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните.

в) предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;

г) предаването е необходимо поради важни причини от обществен интерес;

д) предаването е необходимо за установяването, упражняването или защитата на правни претенции;

е) предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

ж) предаването се извършва от регистър, който съгласно правото на Съюза или правото на държавите членки, е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.