Политика за поверителност

Политика за поверителност за услугите на „Айрис Солюшънс“ АД

Въведение

Настоящата Политикa за поверителност се прилага от „Айрис Солюшънс” АД („Айрис“, „ние“) като администратор на лични данни при събирането и обработването на лични данни, които се събират при използването на уеб сайта www.irispay.bg („Сайта“/„Нашия сайт“), както и на мобилнoтo приложениe “Iris Multibank Wallet” и на приложението “”IRISPay for Merchants” (заедно наричани „Приложенията“/„нашите Приложения“). Защитата на Вашите лични данни е важна за нас и поради това сме предприели необходимите организационни и технически мерки, за да обработваме личните Ви данни по законосъобразен, целесъобразен и прозрачен начин и да гарантираме Вашите правa. С настоящата политика желаем да Ви дадем информация за вида на личните Ви данни, които обработваме, целите, за които ги обработваме, за какъв срок ги съхраняваме, на кого ги предоставяме и какви са Вашите права във връзка с обработката. Препоръчваме Ви да се запознаете с настоящата политика в качеството Ви на настоящ или потенциален потребител на нашия Сайт или на нашите Приложения, тъй като с предоставянето на личните си данни, Вие се съгласявате с нейните условия. Ако имате въпроси, може да се обърнете към нас на посочените по-долу данни за кореспонденция.

Дефиниции:

„Лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Това може да е информация, свързана с Вашето име, адрес, имейл адрес, както и други лични данни, или съвкупност от такива.

 

„Функционалност” означава всички услуги, които се предоставят чрез Сайта и Приложенията, които са подробно описани в нашите Общи условия;

Информация за администратора

Администратор на лични данни съгласно настоящата политика за поверителност е „Айрис Солюшънс” АД, ЕИК 208455895. Можете да се свържете с нас на:

  • адрес: гр. София, бул. „Цариградско шосе“ 111Б, София Тех Парк, сграда Инкубатор, ет. 1.
  • адрес на електронна поща: bdo@irisbgsf.com.
  • телефон за контакт: +359889209055.

Видове лични данни, които обработваме

Данни, предоставени при регистрация

Когато използвате нашия Сайт www.irispay.bg, както и мобилнoтo приложениe “Iris Multibank Wallet” ние събираме следните Лични данни, предоставени от Вас:

  • Име, презиме, фамилия;
  • Дата и място на раждане (вкл. с посочване на населено място и държава);
  • ЕГН/ЛНЧ или друг уникален идентификационен номер за чужденци, съдържащсе в официален документ, чийто срок на валидност не е изтекъл;
  • Гражданство;
  • Постоянен адрес и държава;
  • Адрес за кореспонденция в България;
  • Вид, номер и валидност на документ за самоличност, дата и място на издаване,орган, издал документа;
  • Идентификатори на банкови/платежни сметки (IBAN, BIC и др.);
  • Телефон;
  • Имейл;
  • Данни дали сте или сте свързани с видни политически личности по смисъла на чл. 36 от Закона за мерките срещу изпирането на пари (ЗМИП).

Приложението „IRISPay for Merchants” не извършва директна регистрация и не събира данни директно. Процесът на регистрация се осъществява чрез уеб портала https://paybyclick.irispay.bg, който се отваря чрез бутон в приложението. При натискане на бутона „Регистрация", приложението автоматично пренасочва към уеб браузър, където имате възможност да попълните регистрационна форма, в която да предоставите следните Лични данни:

  • Име, презиме и фамилия;
  • Имейл адрес;
  • Телефонен номер;

Биометрични данни

Ако устройството, от което осъществявате достъп до приложението IRISPay for Merchants, поддържа биометрично удостоверяване (напр. пръстов отпечатък), можете да активирате тази опция в приложението. Биометричните данни не се предават на сървъри, не се съхраняват от „Айрис Солюшънс” АД и не се споделят с трети страни. Потребителят може да активира или деактивира вход с биометрия по всяко време от таб „Меню” в приложението IRISPay for Merchants.

Технически данни

При използването на нашите услуги автоматично се събират следните технически данни:

  • Тип на устройството (напр. смартфон, таблет);
  • Операционна система и версия (напр. Android 12, iOS 16);
  • Версия на приложението (напр. 1.2.3);
  • IP адрес;

Логове за грешки, които могат да включват:

  • Време и дата на грешката;
  • Описание на възникналата грешка;
  • Стъпки, довели до грешката (напр. неуспешно зареждане на елемент от интерфейса).

Бисквитки

Сайт

Нашият Сайт както и приложението ни “Iris Multibank Wallet” използват „бисквитки”. Те се поставят от софтуер, който работи на нашите сървъри и от софтуер, управляван от трети страни, чиито услуги използваме.

„Бисквитките” са малки текстови файлове, които се създават, когато посещавате някой уеб сайт. Те позволяват съхраняване на информация, събрана на една уеб страница, позволяваща на уеб сайта да Ви предостави персонализиран опит и собственика на уеб сайта със статистически данни за начина, по който използвате уеб сайта, за да може да се подобри. Някои „бисквитки” могат да се съхраняват за определен период от време, като например един ден, или докато затворите браузъра си. Други продължават безкрайно.

Когато посетите за първи път нашия сайт или приложението ни “Iris Multibank Wallet”, ние Ви питаме дали искате да използваме „бисквитки”. Ако решите да не ги приемате, ние няма да ги използваме за Вашето посещение, освен за да запишете, че не сте се съгласили да ги ползвате за друга цел. Ако решите да не използвате „бисквитки” или да предотвратите използването им от настройките на браузъра си, няма да можете да използвате всички функционалности на нашия уеб сайт.

Повечето браузъри позволяват да откажете да приемате бисквитките, както и да ги изтриете, или да предотвратите или ограничите използването им във всеки един момент. Методите за това се различават в зависимост от браузъра. Ако блокирате „бисквитките”, няма да можете да използвате всички функционалности на Сайтa ни.

„IRISPay for Merchants”

Приложението „IRISPay for Merchants” не използва бисквитки.

Цели на обработване на данните

Вашите лични данни се обработват единствено доколкото е необходимо за изпълнение на следните цели:

Осигуряване на достъп до нашите функционалности

  • За удостоверяване на потребителите при вход в Приложенията и Сайта;
  • За предоставяне на персонализиран достъп до функциите на Приложенията и Сайта.

Поддръжка и подобряване на сигурността

  • За защита на Приложенията и Сайта от неоторизиран достъп и кибератаки;
  • За откриване и предотвратяване на злоупотреби или нарушения на сигурността;

Техническа поддръжка и защита срещу измами

  • За анализ и отстраняване на технически грешки и неизправности;
  • За предоставяне на поддръжка на потребителите, ако те срещнат затруднения при използване на приложението;
  • За разследване и предотвратяване на потенциални измами, включително неразрешено използване на акаунти или неправомерни транзакции.

Спазване на нормативни изисквания:

  • предоставяне на платежните услуги, за които имаме лиценз/разрешение от Българската народна банка;
  • извършване на проверки и събиране на информация, съгласно изискванията на Закона за мерките срещу изпиране на пари;
  • изпълнение на задълженията ни съгласно приложимото законодателство, включително регулации за защита на личните данни (GDPR);
  • предоставяне на информация на регулаторни органи или други компетентни институции, когато това се изисква по закон.

Анализ и подобрение на потребителското изживяване:

  • За събиране на данни за използването на Сайта и Приложенията с цел оптимизация и подобрение на функционалностите им;
  • За разбиране на поведението и нуждите на потребителите, за да предлагаме по-добри и интуитивни услуги.

Вашите лични данни няма да бъдат обработвани за цели, различни от изброените по-горе, освен ако не бъде получено изрично съгласие от Ваша страна, включително за маркетинг цели.

Основания за обработване на лични данни:

Обработваме Вашите лични данни на различни основания в зависимост от конкретния вид данни и целите, за които се обработват. Моля да имате предвид, че в определени случаи Вашето съгласие за обработване на лични данни може да не е необходимо, ако „Айрис” разполага с друго правно основание (например, изпълнение на нормативно установени задължения) за обработването на Вашите лични данни. Обработваме Вашите данни на следните основания:

  • на основание сключения между нас договор и легитимния ни интерес, обработваме данните за профила ви, които сте ни предоставили при регистрация в приложението или сайта ни, както и когато осъществявате достъп до профила си;
  • на основание изпълнение на наше законово задължение и изпълнение на сключения между нас договор, можем да обработваме т.нар. транзакционни данни (например, данни за картата, банковата сметка и подробности за историята на транзакциите);
  • на основание наш легитимен интерес и за целите на комуникацията ни с Вас, можем да обработваме т.нар. данни за кореспонденция, които могат да включват съдържанието на комуникацията ни с Вас и метаданните, свързани с осъществената комуникация;

Споделяне на данни

Вашите лични данни не се споделят с трети страни, освен в изрично изброението в тази секция случаи. Понякога Сайтът и/или Приложенията може да съдържат връзки/препратки (хиперлинкове) към други интернет страници. Ние не оперираме със свързаните сайтове и не одобряваме съдържанието, услугите и продуктите на тези сайтове. Съветваме Ви да използвате свързаните сайтове внимателно и с нужното внимание към тяхното съдържание и условия за ползване. „Айрис” не носи отговорност за политиката за поверителност или съдържанието на такива сайтове и Ви съветваме да прегледате техните политики за поверителност. Въпреки това, веднага щом получим информация относно незаконни дейности или незаконна информация в такива интернет страници, ще предприемем незабавни мерки за премахване на електронните препратки (линкове) към тях.

Моля имайте предвид че предоставената от GDPR защита следва предоставените от Вас данни, което означава, че правилата за защита на личните данни продължават да се прилагат, независимо от това къде се намират данните и кой ги обработва. Това важи и когато данните се прехвърлят в държава, която не е членка на ЕС („трета страна").

Възможни случаи на споделяне на лични данни:

  • При изпълнение на законови задължения или регулаторни изисквания, включително с цел предотвратяване на измами;
  • При необходимост от предоставяне на информация на държавни органи или съдебни институции в съответствие със законодателството, включително с цел потвърждаване на самоличността Ви, водене на съдебно, административно или извънсъдебно производоство и др. под.;
  • Може да се наложи да прехвърлим Вашата лична информация на бизнес партньори и доставчици на услуги, намиращи се в територии от или извън Европейското икономическо пространство („ЕИП"). Например, можем да обработваме плащания чрез други организации като банки/платежни институции, картови мрежи и платежни схеми, които са разположени в или извън ЕИП.
  • Когато това е необходимо за осигуряване на функционирането на приложението, включително с цел предотвратяване на измами, може да предоставим ограничен достъп до лични данни на трети лица, с цел поддръжка;
  • При необходимост можем да разкриваме Вашите данни и данни за постъпили запитвания на един или повече от нашите партньори, посочени на Сайта, и/или Приложенията, с оглед изпълнение на предлаганите от нас услуги;
  • В Сайта има препратки/хипервръзки към приложения, които могат да събират лични данни за използването на трети страни, като Google, Facebook, LinkedIn, Instagram, Youtube, Pinterest и други (такива са бутоните за споделяне и харесване на социални мрежи, които са поместени на Сайта);
  • Извън горните хипотези, лични данни могат да бъдат споделени с трети лица, ако сте дали изрично съгласие за това.

Използване на аналитични инструменти (Google Analytics)

Сайтът и Приложенията използват Google Analytics за събиране на данни относно поведението на потребителите и начина, по който Приложенията се използва. Данните, събирани чрез Google Analytics, се използват само за подобряване на приложението и не позволяват идентифициране на конкретни потребители. Тези данни могат да включват информация за:

  • Тип на устройството и операционната система;
  • IP адрес (анонимизиран, ако е приложимо);
  • Продължителност на сесиите и навигация в приложението.

Сигурност на данните

Ние прилагаме съвременни организационни, технически и физически мерки, за да гарантираме сигурността на вашите лични данни. Нашата цел е да предпазим данните от загуба, неправомерен достъп, разкриване или злоупотреба.

Мерките, които прилагаме, включват:

Криптиране на данни

  • Всички данни, предавани от нашия Сайт и нашите приложения към нашите сървъри, са защитени чрез SSL/TLS криптиране.
  • Биометричните данни, използвани за вход (когато това е приложимо), се обработват и съхраняват локално на устройство и не се изпращат към наши сървъри.

Ограничен достъп

  • Достъпът до сървърите, на които се съхраняват данни, е строго ограничен до оторизирани служители и подизпълнители.
  • Всички лица с достъп до данните преминават редовни обучения по защита на информацията и са обвързани с договорни задължения за конфиденциалност.

Регулярно тестване и актуализации

  • Извършваме редовни тестове за уязвимости и сигурност на нашия Сайт и нашите приложения, както и на сървърната инфраструктура.
  • Софтуерните ни системи се актуализират редовно, за да отговарят на последните стандарти за сигурност.

Защита на биометрични данни

  • Биометричните данни, като Face ID или пръстов отпечатък, които могат да се използват за достъп до приложението IRISPay for Merchants, се обработват чрез защитени технологии, вградени в операционната система на устройството. Приложението, респ. „Айрис“, няма достъп до тези данни, които се съхраняват само локално на устройството.

Резервни копия

  • Данните се архивират редовно, за да се гарантира възстановяване в случай на загуба или техническа неизправност. Архивите се съхраняват в защитена среда.

Въпреки предприетите мерки, е важно да отбележим, че нито една система за защита не може да гарантира абсолютна сигурност. Препоръчваме на потребителите да поддържат своите устройства актуализирани и да използват силни пароли за максимална защита.

„Айрис Солюшънс” ООД поема ангажимента да продължава да подобрява мерките за сигурност в съответствие с най-новите технологични постижения и изисквания на регулаторните органи. Вие обаче носите отговорност за поверителността на личните Ви данни за идентификация, като пазите паролите си за достъп. Ако подозирате, че някой е получил неразрешен достъп до потребителската Ви парола или до профила Ви, трябва да промените паролата си незабавно. Ако загубите контрол над профила си, трябва незабавно да уведомите „Айрис“ чрез посочените в настоящата политика данни за контакт.

Срок на съхранение на данните

Личните Ви данни се съхраняват до изтичане на нормативно предвидения срок за тяхното съхранение или до изтичане на нормативно предвидения давностен срок за завеждане на дела, но не повече от 5 (пет) години от отпадане на основанието за обработване.

 

Вие може по всяко време преди изтичане на срока, описан тук, да поискате заличаване на Личните Ви данни (ако данните не се обработват на основание наш легитимен интерес), а ако тяхното пълно заличаване е невъзможно поради нормативно изискване за тхяното съхранение – да поискате тяхното анонимизиране.

Вашите права

 

По всяко време на обработване на Личните Ви данни Вие имате следните права:

 

  1. Право на достъп: Право на достъп до личните Ви данни и предоставяне на информация за целите на обработването, категориите лични данни, получатели, на които се разкриват Лични данни, срокове за съхранение и др.
  2. Право на коригиране: Имате право да поискате от „Айрис“ да коригира без ненужно забавяне неточните лични данни, свързани с Вас;
  3. Право на изтриване (правото „да бъдеш забравен“): Право Личните Ви данни да бъдат заличени при следните основания: личните данни повече не са необходими за целите, за които са били събрани/обработвани; когато се дерегистрирате и изтриете Приложението; когато оттеглите Вашето съгласие, в случаите при които обработването на данни се базира на съгласие; личните данни трябва да бъдат изтрити с цел спазването на законово задължение по правото на Европейския съюз или националното законодателство; когато данните са били обработвани незаконосъобразно; когато сте възразили за тяхното обработване и няма друго основание за обработването им.
  4. Право на ограничаване: Право да искате да се ограничи обработването на личните Ви данни в следните случаи:

– точността на личните данни се оспорва от Вас – ще ограничим обработването им за срок, който позволява ще ни позволи да проверим точността на личните данни;

– установено е неправомерно обработване, но Вие желаете само ограничаване обработването на данните Ви, вместо същите да бъдат изтрити;

– желаете личните Ви данни да се съхраняват, въпреки че „Айрис“ не се нуждае повече от тях за целите на обработването, тъй като ще ги използвате за установяването, упражняването или защитата на Ваши правни претенции; – при отправено от Вас възражение срещу обработването на личните Ви данни ние ще ограничим обработването им за срока на проверката на основателността му.

  1. Право на възражение: Право да изразите несъгласие за получаване на търговски съобщения; право да изразите несъгласие Личните Ви данни да бъдат предоставени на трети лица;
  2. Право на преносимост на данните: Право да получите Личните данни, които сте предоставили на Администратора, в структуриран, широко използван и пригоден за машинно четене формат, като имате правото да прехвърлите тези данни на друг администратор без възпрепятстване от Администратора, когато обработването е основано на наш легитимен интерес или на договорно задължение.
  3. Право на подаване на жалба: В случай че считате, че правата Ви във връзка с обработването на личните Ви данни са нарушени, Вие имате право да подадете жалба до Комисията за защита на личните данни. Актуалните данни за контакт и условията за подаване на жалба към Комисията за защита на личните данни може да намерите на сайта на комисията www.cpdp.bg. Към датата на последната актуализация на това уведомление данните за контакт са: Адрес на Комисията за защита на личните данни: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2; Електронна поща: kzld@cpdp.bg

 

Като Краен потребител Вие можете да упражните по-горе описаните права, в случай че не са достъпни като функционалност чрез Приложението, като подадете писмено заявление на посочените по-горе адрес на Администратора и/или електронна поща. Вашето искане следва да съдържа достатъчно данни, за да може да бъдете безспорно идентифицирани, и координати – адрес, телефон и/или електронна поща за обратна връзка. Администраторът на Лични данни изготвя отговор на подаденото искане в срок от 14 (четиринадесет) дни от неговото получаване.

Всякаква информация във връзка с Вашите права или по други въпроси, свързани със защитата на личните данни, може да получите от Администратора на посочените по-долу канали за комуникация.

Актуализации на Политиката за поверителност

  • По всички останали въпроси, свързани с обработването на лични данни, които не са уредени в този документ, се прилагат разпоредбите на Закона за защита на личните данни и Регламент (ЕС) 2016/679.
  • Администраторът на Лични данни си запазва правото да прави промени в настоящата Политика по всяко време, като осигурява аналогична защита на Личните Ви данни във всички случаи. Промените влизат в сила от публикуването им, освен ако в тях не е посочено друго.
  • Ако имате въпроси относно начина, по който обработваме Вашите лични данни, или ако искате да упражните правата си, моля, свържете се с нас, като използвате данните ни за контакт, посочени по-горе.

 

 

Настоящата политика за поверителност е последно актуализирана на 16.12.2024 г.