ВЪТРЕШНИ ПРАВИЛА

за защита на личните данни (GDPR)

и мерки срещу изпирането на пари (ЗМИП)

I. ОБЩА ИНФОРМАЦИЯ

Фирма: „РАВИЛИЯ“ ЕООД

ЕИК: 208693811
Седалище и адрес: гр. София, ул. Крум Попов 15, вх. В, ет. 4
Управител: Юлия Йорданова

Дружеството осъществява посредническа дейност при сделки с недвижими имоти и има качеството на:

• Администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 (GDPR);
• Задължено лице по смисъла на Закона за мерките срещу изпирането на пари (ЗМИП).

Отговорно лице по прилагането на настоящите правила:
Юлия Йорданова

ЧАСТ I

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (GDPR)

1. Категории обработвани лични данни:

Дружеството обработва следните категории лични данни:

• Имена;
• ЕГН / ЛНЧ;
• Данни от лична карта;
• Адрес;
• Телефон;
• Имейл;
• Банкови данни;
• Данни за собственост (нотариални актове);
• Подпис.

2. Цели на обработването:

Личните данни се обработват с цел:

• Сключване и изпълнение на договор за посредничество;
• Организиране на сделки с недвижими имоти;
• Идентификация на клиенти;
• Изпълнение на законови задължения (вкл. ЗМИП и счетоводство);
• Защита при евентуални правни претенции.

3. Правно основание:

Обработването се извършва на основание:

• Изпълнение на договор;
• Законова задълженост;
• Легитимен интерес (за защита при спорове).

4. Срокове за съхранение:

• Документи по сделки – 5 до 10 години;
• Документи по ЗМИП – 5 години след прекратяване на отношенията;
• Данни на потенциални клиенти без сделка – до 1 година.

След изтичане на сроковете документите се унищожават по сигурен начин.

5. Получатели на данните:

Данни могат да бъдат предоставяни на:

• Нотариуси;
• Банки;
• Счетоводител;
• Адвокат;
• Държавни органи при законово изискване.

6. Мерки за сигурност:

Физически мерки:

• Заключващ се шкаф;
• Ограничен достъп до документи;
• Контрол на достъпа до офиса.

Технически мерки:

• Защитен с парола компютър;
• Двуфакторна защита на имейл;
• Антивирусен софтуер;
• Архивиране на данни;
• Ограничен достъп до електронни файлове.

7. Права на субектите на данни:

Клиентите имат право на:

• Достъп;
• Коригиране;
• Ограничаване;
• Възражение;
• Жалба до надзорен орган.

Правото на изтриване може да бъде ограничено при наличие на законово задължение за съхранение (напр. по ЗМИП).

ЧАСТ II

МЕРКИ СРЕЩУ ИЗПИРАНЕТО НА ПАРИ (ЗМИП)

1. Оценка на риска:

Дейността на дружеството се определя като нискорискова, тъй като:

• Не се извършват плащания в брой;
• Работи се основно с местни физически и юридически лица;
• Плащанията се извършват чрез банкови преводи;
• Не се работи с високорискови държави.

Оценката на риска се преразглежда веднъж годишно.

2. Идентификация на клиенти:

2.1 Физически лица

При установяване на делови отношения:

• Проверява се валидна лична карта;
• Изготвя се копие;
• Събират се данни: имена, ЕГН, номер на документ, адрес.

2.2 Юридически лица

Извършва се:

• Проверка в Търговския регистър;
• Идентификация на управителя;
• Установяване на действителен собственик;
• Попълване на декларация за действителен собственик.

3. Съхранение на документи по ЗМИП:

Документите по идентификация се съхраняват:

• 5 години след прекратяване на деловите отношения.

След изтичане на срока се унищожават сигурно (шредиране или защитено изтриване).

4. Съмнителни операции:

При съмнение за необичаен произход на средства или съмнителна сделка се извършва вътрешна оценка и при необходимост се подава сигнал до компетентния държавен орган.

5. Обучение:

Управителят провежда ежегодно самообучение по изискванията на ЗМИП и GDPR и съставя протокол.

ЧАСТ III

ПРОЦЕДУРА ПРИ ПРОБИВ НА ДАННИ

1. Примери за пробив:

• Загубен лаптоп;
• Откраднати документи;
• Хакнат имейл;
• Изпратени документи до грешен получател.

2. Действия:

1. Незабавно ограничаване на достъпа;
2. Оценка на риска за засегнатите лица;
3. Документиране на инцидента;
4. При необходимост – уведомяване на компетентния орган до 72 часа.