rom slo hun
Home Despre noi Ştiri Contact
CONFIDENȚIALITATE

INFORMAŢII PRIVIND PRELUCRAREA DATELORN

În cazul în care Dumneavoastră sunteţi client sau lansaţi o ofertă pentru încheierea unui contract de asigurare

Asiguratorul şi reasiguratorul poate prelucra datele cu caracter personal în timpul valabilităţii contractului de asigurare, reasigurare, respectiv a contractului de mandat, precum şi pe parcursul perioadei în care se pot valida pretenţii în legătură cu contractul de asigurare, reasigurare, respectiv contractul de mandat. Scopul prelucrării datelor poate fi numai încheierea, modificarea sau gestionarea contractului de asigurare, evaluarea pretenţiilor rezultate din contractul de asigurare, sau alte scopuri stabilite de lege. Asiguratorul sau reasiguratorul pot prelucra datele în scopuri diferite de cele menţionate doar cu consimțământul dumneavoastră acordat în prealabil. Din cauza refuzului consimţământului, dumneavoastră nu veţi avea dezavantaje şi în cazul acordării acestuia nu veţi obţine avantaje. Regulile detaliate ale prelucrării datelor cu caracter personal sunt reglementate de regulamentul 2016/679/UE al Parlamentului European și al Consiliului (UE), privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date - în cele ce urmează GDPR - şi de legislaţia maghiară în vigoare, iar asiguratorul a implementat în cadrul acestora dispoziţiile sale privind protecţia datelor.

Temeiul juridic al prelucrării datelor de către asigurator în primul rând constă în interesul pentru îndeplinirea contractului de asigurare (articolul 6 punctul b din GDPR), în al doilea rând în respectarea obligaţiilor legale ale asiguratorului (articolul 6 punctul c din GDPR). Există cazuri când prelucrarea este realizată pe baza intereselor legitime urmărite de asigurator sau de o terţă persoană (articolul 6 punctul f din GDPR).

Prelucrarea datelor cu caracter personal care fac parte dintr-o categorie specială (date referitoare la starea de sănătate) va fi realizată pe baza consimţământului dumneavoastră. În lipsa acestui consimţământ, asiguratorul nu îşi poate îndeplini contractul, din acest motiv, în cele ce urmează - alături de furnizarea informațiilor privind protecția datelor, trebuie să daţi o declaraţie cu privire la acest consimţământ.

Potrivit acestora, Asiguratorul va prelucra datele legate de starea de sănătate şi va transfera aceste date persoanei împuternicite de operator.

Identitatea şi datele de identificare a persoanelor împuternicite de operator, domeniul de aplicare al datelor transferate, precum şi operaţiunile efectuate de persoanele împuternicite de operator vor fi accesibile pe pagina web a asiguratorului.

Persoanele care prelucrează datele medicale pe baza unei autorizări legale sau contractuale vor fi scutite de obligaţia de a păstra secretului medical, alături de un consimţământ special, acordat în scris, în special medicul curant (inclusiv medicul de familie și medicul specialist), expertul, furnizor de servicii medicale sau instituția spitalicească, instituţii publice de sănătate, serviciul de ambulanță etc. În ceea ce privește scutirea, respectiv prelucrarea acestor date, precum şi transferul datelor către persoanele împuternicite de operator, consimţământul dumneavoastră va fi acordat conform celor prevăzute.

În cazul în care contractul a fost încheiat pentru un asigurat şi/sau beneficiar minor, în calitate de reprezentant legal trebuie să-l includeţi în scutirea şi consimţământul acordat pentru prelucrarea datelor.

Declaraţia persoanei care şi-a dat consimţământul poate fi retrasă oricând fără invocarea motivelor. Consecinţele revocării şi dispoziţiile asiguratului privind prelucrarea datelor se regăsesc în condiţiile de asigurare.

În cazul în care dumneavoastră sunteţi interesat

Sunteţi considerat ca fiind interesat în cazul în care

- v-aţi înscris la buletine informative,

- vă prezentaţi la anunţul de angajare,

- la un eveniment vă prezentaţi la

reprezentantul asiguratorului în calitate de interesat şi furnizaţi datele dumneavoastră personale

Declaraţia privind consimțământul, în cazul prelucrării datelor dumneavoastră cu caracter personal - bazată pe o informare detaliată. Declaraţia privind consimţământul pentru prelucrarea datelor poate fi retrasă oricând şi fără invocarea motivelor. Retragerea consimţământului nu afectează legalitatea prelucrării datelor efectuate de către asigurator înainte de retragerea acestuia.

Prelucrarea datelor bazată pe consimţământul voluntar încetează în momentul când încetează scopul prelucrării datelor.

Asiguratorul va efectua profilarea, procesul decizional individual automatizat, respectiv transferul de date exclusiv pe baza unui consimţământ voluntar.

Datele cu caracter personal ale persoanelor care s-au prezentat la anunţul de angajare vor fi păstrate de către Asigurator cel mult 12 luni de la înregistrarea sau colectarea datelor. În cazul în care dumneavoastră solicitaţi în continuare prelucrarea datelor, în acest sens trebuie să înaintaţi o cerere scrisă explicită.

Alte informaţii esenţiale

Sediul principal: 1097 Budapest, Könyves Kálmán körút 11., clădirea B, chiar şi în cazul în care asiguratorul prelucrează date cu caracter personal în cadrul unei activităţi transfrontaliere

Autoritatea de supraveghere: Banca Naţională Maghiară (adresa: 1122 Budapest, Krisztina krt. 6.; număr de telefon: + 36 80 203 776; Email: ugyfelszolgalat@mnb.hu; adresa poştală: 1534 Budapest BKKP Căsuţa poştală: 777.; https://www.mnb.hu

Autoritatea de supraveghere (legat de protecţia datelor): Autoritatea Națională pentru Protecția Datelor și Libertatea Informației (adresa: 1055 Budapest, Falk Miksa utca 9–11., adresa poştală: 1363 Budapest, Pf. 9.; c; datele de contact: Prin telefon: +36 1 391 1400, fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)

Jurisdicţia activităţii transfrontaliere: Autoritatea de supraveghere, alta decât autoritatea de la locul sediului principal, este competentă să trateze plângerile depuse în atenția sa, respectiv are dreptul să acţioneze la o eventuală încălcare a dispoziţiilor GDPR, în cazul în care obiectul cazului se referă exclusiv la un sediu aflat în statul său membru sau afectează în mod semnificativ persoanele vizate numai în statul său membru.

Responsabilul cu protecţia datelor şi datele sale de contact:

Dr. Kozma Dávid, Director adjunct de asistență juridică și de afaceri, responsabil cu protecția datelor
1097 Budapest, Könyves Kálmán körút 11., clădirea B, parter
jog@cig.eu

LISTA COMPANIILOR DE PROCESARE A DATELOR

Faceți clic aici pentru a vedea lista companiilor care se ocupă de procesarea CIG Pannónia Life Insurance Plc.

REGULAMENT PRIVIND PROTECŢIA DATELOR

În cadrul CIG Pannónia Életbiztosító Nyrt, scopul regulamentului constă în conformitatea cu Regulamentul 2016/679 al Parlamentului European și al Consiliului (Ue), privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (regulament general de protecţia datelor - în cele ce urmează în prezenta reglementare Regulamentul GDPR), stabilirea unui regim de răspundere privind prelucrarea datelor cu caracter personal şi validarea drepturilor părților vizate, respectiv toate aspectele legate de acesta.

1.) Aplicarea materială a regulamentului

În cadrul CIG Pannónia Életbiztosító Nyrt. - în cele ce urmează Asigurator - dispoziţiile regulamentului vor fi aplicate pentru prelucrarea datelor cu caracter personal, reglementarea proceselor aferente acesteia, respectiv pentru asigurarea drepturilor părților vizate. Dispoziţiile regulamentului vor fi aplicate în cazul tuturor persoanelor care efectuează pentru Asigurator activitate de prelucrare a datelor sau activitate de prelucrare în comun a datelor. În cazul unor operatori de date sau al persoanelor împuternicite de operatori, în ceea ce privește prelucrarea datelor cu caracter personal, legea prevede aplicarea unor dispoziţii mai stricte decât cele prevăzute de regulamentul GDPR, prin urmare, referitor la aceste date cu caracter personal se vor aplica aceste dispoziţii.

2.) Intrarea în vigoare a regulamentului

Dispoziţiile regulamentului vor intra în vigoare în ziua semnării însă, dispoziţiile acestuia se vor aplica din data de 25 mai 2018.

3.) Temeiul regulamentului

Temeiul regulamentului îl constituie planul de măsuri adaptat în data de 20 decembrie 2017, pe baza evaluării DPIA şi a analizei GAP, efectuat de Field Consulting Zrt. luând în considerare articolul 35 din regulamentul GDPR.

4.) Noţiuni fundamentale

Noţiunile fundamentale de mai jos ale prezentului regulament sunt în concordanţă cu noţiunile fundamentale enumerate în articolul 4 din regulamentul GDPR, cu completările şi dispoziţiile adăugate, după cum urmează:

Profilare: asiguratorul va efectua prelucrarea datelor cu profilare pe baza consimţământului persoanei vizate şi exclusiv în cazul în care aceasta va fi realizată în scopuri de marketing.

Sistem de evidenţă: orice evidenţă electronică sau pe suport de hârtie care conţine sau prelucrează date cu caracter personal aflate sub incidenţa GDPR.

Sediul principal: 1097 Budapest, Könyves Kálmán körút 11., clădirea B, chiar şi în cazul în care asiguratorul prelucrează date cu caracter personal în cadrul unei activităţi transfrontaliere

Autoritatea de supraveghere: Banca Naţională Maghiară (adresa: 1013 Budapest, Krisztina krt. 6.; număr de telefon: + 36 80 203 776; E-mail: ugyfelszolgalat@mnb.hu; adresa poştală: 1534 Budapest BKKP Căsuţa poştală: 777.; https://www.mnb.hu

Autoritatea de supraveghere (legat de protecţia datelor): Autoritatea Națională pentru Protecția Datelor și Libertatea Informației (adresa: 1055 Budapest, Falk Miksa utca 9–11, adresa poştală: 1363 Budapest, Pf. 9.; c; datele de contact: Prin telefon: +36 1 391 1400, fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)

Jurisdicţia activităţii transfrontaliere: Autoritatea de supraveghere, alta decât autoritatea de la locul sediului principal, este competentă să trateze plângerile depuse în atenția sa, respectiv are dreptul să acţioneze la o eventuală încălcare a dispoziţiilor GDPR, în cazul în care obiectul cazului se referă exclusiv la un sediu aflat în statul său membru sau afectează în mod semnificativ persoanele vizate numai în statul său membru.

5.) Principii referitoare la prelucrarea datelor cu caracter personal

În ceea ce priveşte prelucrarea datelor cu caracter personal, Asiguratorul va proceda conform celor prevăzute în articolul 5 din regulamentul GDPR. Aceste dispoziţii sunt completate după cum urmează, respectiv se materializează în modurile de mai jos.

- Legalitate, echitate şi transparenţă

Pe parcursul prelucrării datelor, Asiguratorul va respecta pe deplin dispoziţiile regulamentului GDPR, ale legislaţiei maghiare, precum şi dispoziţiile prezentului regulament. Intră în sarcina fiecărui colaborator al Asiguratorului elaborarea acelor procese şi protocoale, precum şi întocmirea acelor consimţăminte şi declaraţii privind prelucrarea datelor care corespund în totalitate dispoziţiilor prezentei principii fundamentale.

Prelucrarea datelor cu caracter personal de către Asigurator va avea loc cu scopul îndeplinirii contractelor de asigurări, precum şi al îndeplinirii obligaţiilor legale ale asiguratorului. În lipsa acestora, prelucrarea datelor cu caracter personal va fi posibilă doar cu consimţământul informat al persoanei vizate.

În cazul prelucrării datelor bazate pe consimţământ, Asiguratorul va obţine consimţământul persoanei vizate într-un mod verificabil: în scris sau prin convorbire telefonică înregistrată. În cazul prelucrării datelor bazate pe consimţământ, consimţământul voluntar al persoanei vizate poate fi retras oricând, fără justificare, iar persoana vizată va fi informată despre acest aspect concomitent cu înregistrarea datelor.

În ceea ce privește prelucrarea datelor cu caracter personal ale copiilor, bazate pe consimţământ, este necesar consimțământul reprezentantului legal care exercită autoritatea părintească asupra persoanei vizate.

În cazul în care, în urma prelucrării datelor bazate pe consimţământ, Asiguratorul va încheia un contract cu persoana vizată - începând de la lansarea ofertei contractuale sau de la identificarea corespunzătoare a dispoziţiilor privind spălarea banilor referitor la persoana vizată - în ceea ce privește prelucrarea datelor cu caracter personal sunt relevante dispoziţiile contractuale referitoare la prelucrarea datelor cu caracter personal.

În cazul fiecărui mod de prelucrare a datelor persoana vizată trebuie să fie informată despre natura datelor cu caracter personal, prelucrate de către Asigurator, ce fel de date cu caracter personal către cine şi cu ce scop va transmite în vederea prelucrării datelor. Informarea trebuie să fie specificată în primul rând în condiţiile contractuale şi acestea vor fi puse la dispoziţia persoanelor vizate pe platforma de internet al Asiguratorului. Totodată, se va asigura ca persoana vizată la cerere să primească de la Asigurator informaţiile conform regulamentului GDPR, referitoare la prelucrarea datelor sale cu caracter personal şi la drepturile sale în calitate de persoană vizată.

Asiguratorul are dreptul să prelucreze categoriile speciale de date cu caracter personal dacă persoana vizată şi-a dat acordul expres sau prelucrarea este necesară pentru îndeplinirea cerinţelor izvorâte din prevederile legale care reglementează încadrarea în muncă a persoanei vizate. Prelucrarea acestor date au loc în special în cazul contractelor unde evaluarea riscurilor sau plata despăgubirilor, adică întocmirea contractului de asigurare şi pe baza acestuia îndeplinirea serviciilor, depinde de starea de sănătate a persoanei vizate, sau de schimbările survenite în starea de sănătate a acesteia.

Asiguratorul nu prelucrează date cu caracter personal referitoare la determinarea răspunderii penale. Această interdicție nu aduce atingere acelor hotărâri ale autorităţilor care declanşează cerinţele serviciilor asiguratorului.

- limitări legate de scop

Asiguratorul va prelucra datele cu caracter personal doar în scopul desfăşurării activităţii şi pentru îndeplinirea contractelor şi serviciilor sale. Pe parcursul acestora nu va vinde, nu va transfera şi nu va pune la dispoziţia terţelor persoane baze de date care conţin date cu caracter personal.

- reducerea la minimum a datelor

Asiguratorul va prelucra doar atâtea date cu caracter personal câte sunt absolut necesare pentru desfăşurarea legală a activităţii şi gestionarea contractelor sale.

- exactitate

Asiguratorul va lua toate măsurile rezonabile şi necesare în scopul exactităţii şi actualizării datelor cu caracter personal. Va actualiza periodic datele cu caracter personal în conformitate cu prevederile legale, în special cu prevederile legii privind spălarea banilor, de asemenea, va transmite modificările prin sistem, pe baza notificărilor persoanelor vizate.

- limitări legate de stocare

Asiguratorul va sista fără întârziere prelucrarea acelor date cu caracter personal aflate sub incidenţa regulamentului GDPR, în cazul cărora nu mai poate fi determinată limitarea scopului şi legislaţia permite sistarea prelucrării datelor.

- integritate și confidențialitate

Asiguratorul va lua măsurile avansate de securitate tehnice şi organizatorice la un nivel aşteptat de la organizaţiile financiare, care vor asigura în modul prevăzut siguranţa prelucrării datelor cu caracter personal. În acest sens va impune un set de cerinţe faţă de fiecare persoană împuternicită de operator, respectiv faţă de fiecare operator asociat care prelucrează pentru Asigurator date cu caracter personal aflate sub incidenţa regulamentului GDPR, respectiv participă la orice fază a prelucrării datelor.

- responsabilitate

Asiguratorul va realiza structura organizatorică şi sistemul de prelucrare a datelor în aşa fel încât să fie posibilă monitorizarea prelucrării datelor cu caracter personal şi să fie în măsură să urmărească în timpul prelucrării datelor, natura anumitor operaţiuni de prelucrare a datelor şi de către cine au fost prelucrate acestea.

6.) Drepturile persoanelor vizate şi asigurarea acestor drepturi

a.) Transparenţa măsurilor

Asiguratorul va lua măsurile tehnice şi organizatorice pentru a putea furniza persoanei vizate în termenul prevăzut (30 de zile) informaţiile legate de prelucrarea datelor cu caracter personal în scris sau verbal, conform criteriilor stabilite în Regulamentul GDPR.

Informaţiile în scris vor fi furnizate persoanelor vizate înainte de stabilirea raportului contractual şi prelucrarea datelor cu caracter personal:

- în cazul contractelor de asigurare, în momentul completării ofertei contractuale;

- în alte cazuri, în momentul furnizării sau cunoaşterii datelor cu caracter personal.

Informaţiile în scris sunt gratuite. Informaţiile furnizate sunt considerate ca fiind scrise şi în cazul în care sunt trimise sub forma unei scrisori electronice prin intermediul platformei electronice, create pentru persoana vizată.

Furnizarea informaţiilor poate fi refuzată numai în cazurile prevăzute de legislaţie.

Administratorii datelor vor asigura ca dispoziţiile interne care reglementează contactul cu persoanele vizate, respectiv formularele de ofertă şi condiţiile contractuale să cuprindă şi furnizarea informaţiilor. În ceea ce privește persoanele vizate, accesibilitate ușoară la informaţiile de acest gen va fi asigurată de către responsabilul cu protecția datelor prin intermediul paginii web a Asiguratorului.

Condiţia informării verbale privind drepturile persoanelor vizate este stabilirea identităţii persoanei vizate şi existenţa dreptului la informare. În ceea ce privește furnizarea informaţiilor la cererea persoanei vizate, în primul rând răspunde administratorul datelor persoanei vizate, şi în al doilea rând persoana mandatată pentru protecţia datelor (responsabilul cu protecţia datelor)

b.) Informaţii care pot fi puse la dispoziţie dacă datele cu caracter personal au fost obţinute de la persoana vizată

Informaţiile privind protecţia datelor furnizate persoanei vizate trebuie să includă în mod necesar informaţiile fundamentale de mai jos:

- identitatea şi datele de contact ale Asiguratorului în calitate de operator de date;

- identitatea şi datele de contact ale responsabilului cu protecţia datelor;

- scopul prelucrării datelor cu caracter personal, precum şi temeiul juridic al prelucrării acestora (prelucrare de date bazată pe consimţământ, îndeplinire contractuală sau îndeplinirea obligaţiilor legale ale asiguratorului);

- categoriile datelor cu caracter personal vizate.

În momentul obţinerii datelor cu caracter personal pentru a asigura că datele sunt prelucrate în mod echitabil și transparent, persoana vizată va primi următoarele informaţii suplimentare:

- perioada stocării datelor cu caracter personal, iar dacă nu este posibil, criteriile de stabilire a acestei perioade;

- în cazul în care se pot determina interesele legitime ale Asiguratorului sau ale unei terţe persoane, despre existenţa acestui fapt.

- în cazul în care consimţământul persoanei vizate constituie temeiul juridic al prelucrării datelor, despre dreptul de acces la datele cu caracter personal, dreptul la rectificarea, ștergerea, limitarea prelucrării, portabilitatea datelor, dreptul la obiecţii faţă de prelucrarea datelor cu caracter personal, precum şi despre consecinţele retragerii consimţământului acordat pentru prelucrarea datelor;

- dreptul de a depune o plângere la autoritatea de supraveghere;

c.) Dreptul de acces al persoanei vizate

Asiguratorul va asigura accesul permanent la datele cu caracter personal referitoare la persoana vizată şi la informaţiile privind prelucrarea datelor după cum urmează.

- Informaţiile generale legate de prelucrarea datelor, pe pagina web;

- în legătură cu datele cu caracter personal aferente îndeplinirii contractului, în condiţiile contractuale sau în nota informativă privind protecţia datelor, eliberată în acest sens;

- referitor la persoanele vizate în mod concret, despre operaţiunile privind datele cu caracter personal individual, pe baza unei cereri scrise sau verbale.

d.) Dreptul la rectificare

Persoana vizată poate solicita rectificarea datelor sale şi completarea datelor lipsă. În vederea îndeplinirii cererii persoanei vizate, Asiguratorul poate solicita documente de la persoana vizată, pe baza cărora va efectua rectificarea sau completarea fără întârziere, dar cel târziu în termen de 3 zile lucrătoare.

e.) Dreptul la ștergerea datelor („dreptul de a fi uitat”)

Din motive stabilite în regulamentul privind Protecţia datelor, Asiguratorul va şterge fără întârziere, dar cel târziu în termen de 3 zile lucrătoare datele cu caracter personal referitoare la persoana vizată.

Persoana vizată nu va putea să își exercite dreptul la ştergea datelor în cazul în care păstrarea datelor sale cu caracter personal este necesară pentru îndeplinirea obligaţiilor care decurg din contractele Asiguratorului sau din legislaţie, sau păstrarea acestora este bazată pe alte interese legale.

În cazul unui refuz legal, administratorul datelor va solicita opinia responsabilului cu protecţia datelor.

f.) Dreptul la restricționarea prelucrării datelor

Restricţionarea prelucrării datelor poate avea loc pe baza cererii persoanei vizate. În ceea ce priveşte obiectul cererii persoanei vizate, se va solicita rezoluţia responsabilului cu protecţia datelor. În cazul în care, conform acestei rezoluţii, va avea loc restricţionarea prelucrării datelor, administratorul datelor este obligat să marcheze datele cu caracter personal referitoare la persoana vizată pe fiecare dispozitiv de stocare a datelor şi în fiecare evidenţă. Marcarea poate fi realizată prin marcarea în sistemul de evidenţă a numărului de identificare a persoanei vizate sau în cazul documentaţiei pe suport de hârtie, prin aplicarea însemnării pe prima pagină a documentelor.

g.) Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal, respectiv restricționarea prelucrării datelor

Administratorul datelor este obligat să înştiinţeze în scris persoana vizată despre rectificarea, ştergerea sau limitarea datelor.

h.) Dreptul la portabilitatea datelor

Persoana vizată are dreptul să solicite transmiterea datelor sale cu caracter personal într-un format electronic utilizat pe scară largă care poate fi citit automat. Persoana vizată îşi poate exercita acest drept prin derogare de la regulamentul GDPR şi în cazul în care prelucrarea datelor sale de către Asigurator nu sunt bazate pe consimţământului persoanei vizate, cu condiția ca prelucrarea datelor să fie efectuată prin mijloace automatizate.

i.) Dreptul la opoziție și procesul decizional individual automatizat

Persoana vizată se poate opune oricând prelucrării datelor sale cu caracter personal din motive legate de situația sa particulară, în cazul în care temeiul juridic al prelucrării este necesar exclusiv în scopul intereselor legitime urmărite de asigurator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Datele cu caracter personal referitoare la persoana vizată trebuie să fie marcate în cazul în care sunt utilizate în scopul marketingului direct sau sunt transmise din acest motiv către grupul de firme sau către o întreprindere parteneră.

Consimţământul pentru transmiterea datelor se va obţine de la persoana vizată în calitate de partener contractual şi acesta se va marca în sistemul de evidenţă a datelor cu caracter personal Pentru marcare este responsabilă persoana care înregistrează datele.

În cazul prelucrării datelor cu caracter personal, efectuate în scopul marketingului direct, se va atrage în mod explicit atenția persoanelor vizate în momentul primului contact cu acestea, și informaţiile referitoare la acestea vor fi prezentate în mod clar și separat de orice alte informații.

În cazul în care persoana vizată se opune prelucrării datelor cu caracter personal în scopul marketingului direct, datele cu caracter personal nu pot fi prelucrate ulterior în acest scop. Are dreptul de a se opune în orice moment prelucrării datelor în acest mod. Asiguratorul va asocia notificarea obiecţiilor cu notificarea efectuată prin mijloace demonstrabile. Aceste notificări pot fi realizate prin convorbire telefonică înregistrată sau personal, semnalate în scrisoare, fax sau pe portalul pentru clienți.

Asiguratorul va aplica procesul decizional individual automatizat incluzând şi profilarea, în cazul în care persoana vizată şi-a dat acordul expres cu privire la aceasta. Consimţământul persoanei vizate va fi obţinut şi marcat în sistem înainte de aplicarea măsurilor. În acest caz persoana vizată are dreptul de a solicita intervenție umană din partea Asiguratorului, de a-și exprima punctul de vedere și de a contesta decizia. Asiguratorul poate întemeia procesul decizional individual automatizat, incluzând şi profilarea, pe categoriile speciale de date cu caracter personal

7.) Prelucrarea datelor de către Asigurator

Pe baza datelor evaluării DPIA şi a evaluării continue a riscurilor, precum şi pe baza celor incluse în prezentul regulament, Asiguratorul va lua măsurile tehnice şi organizatorice corespunzătoare, pentru a asigura că prelucrarea datelor cu caracter personal este efectuată în conformitate cu acest regulament. Operatorul de date va revizui aceste măsuri şi în caz de nevoie le va actualiza.

Asiguratorul va lua măsurile tehnice şi organizatorice corespunzătoare, pentru a asigura că în timpul prelucrării datelor cu caracter personal, protecția datelor implicită şi integrată conform Regulamentului va fi realizează în mod corespunzător.

8.) Prelucrarea în comun a datelor

Asiguratorul poate realiza prelucrarea în comun a datelor dacă scopul şi mijloacele prelucrării datelor sunt stabilite împreună cu un alt operator de date. O prelucrare a datelor de acest gen va fi consemnată în scris împreună cu celălalt operator de date şi se va desemna o persoană de contact pentru persoanele vizate.

9.) Prelucrarea datelor

Pentru prelucrarea datelor Asiguratorul poate recruta o persoană împuternicită de operator, cu următoarele condiţii:

- persoana împuternicită de operator va oferi garanţii corespunzătoare pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate;

- Asiguratorul nu va putea recruta o altă persoana împuternicită de operator fără o autorizaţie scrisă, specifică sau generală, întocmită în prealabil. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează Asiguratorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea persoanelor împuternicite de operator, asigurând astfel posibilitatea operatorului de date de a formula obiecții față de aceste modificări;

- persoana împuternicită de operator acceptă printr-un contract scris îndeplinirea condiţiilor prevăzute de alineatul (3-5) articolul 28 din Regulament,

- de asemenea, să raporteze Asiguratorului fără întârziere încălcarea securității datelor.

În cazul în care Asiguratorul încredinţează altei persoane prelucrarea unor date cu caracter personal care totodată constituie şi secret de asigurări, în contractul încheiat pentru prelucrarea datelor sau pentru alte activităţi ce necesită prelucrarea datelor, vor fi completate şi dispoziţiile Bit, referitoare la externalizare.

O solicitare privind activitatea de prelucrare a datelor va avea loc numai în cazul în care persoana împuternicită de operator acceptă condiţiile de mai sus şi Asiguratorul s-a convins că persoana împuternicită de operator este capabilă să respecte regulile referitoare la garanţie, prevăzute în contract şi că nu sunt încălcate drepturile persoanelor vizate.

10.) Sistemul de evidenţă a activităților de prelucrare a datelor

Departamentele Asiguratorului vor ţine evidenţa datelor cu caracter personal înregistrate şi prelucrate de către acestea, conform articolului 30 din Regulament. Sistemul de evidenţă - inventarul datelor - va fi realizat cu indicarea domeniului unor date cu caracter personal şi a operaţiunilor de prelucrare a datelor, care conţine principalele date ale persoanelor împuternicite de operator, precum şi operaţiunile efectuate de acestea. Lista persoanelor împuternicite de operator, enumerarea actualizată a datelor cu caracter personal şi a operaţiunilor efectuate cu acestea sunt accesibile pe pagina web a Asiguratorului.

Ţinerea evidenţei intră în obligaţiile administratorilor de date. Sarcinile administratorilor de date sunt specificate în fişa postului şi în prezentul regulament. În cazul încetării raportului de muncă sau în cazul transferului pe un alt post, administratorul datelor este obligat să predea evidenţa legată de datele cu caracter personal persoanei care va prelua responsabilităţile sale profesionale. Predarea-primirea va fi înregistrată pe formularul de retragere sau de predare a atribuţiilor. În lipsa predării, raportul juridic al administratorului datelor nu poate fi anulată în mod legal.

Administratorul datelor se va asigura că dispoziţiile interne (instrucţiuni de lucru) de reglementare a activităţii departamentului care prelucrează datele, în vederea ştergerii vor stabili termenele limită şi un responsabil, de asemenea, trebuie să aplice măsuri organizatorice pentru protecţia datelor cu caracter personal şi pentru a asigura în mod concret drepturile persoanelor vizate.

Dispoziţiile privind siguranţa tehnică a prelucrării datelor şi datele stocate în sistemul central de înregistrare - incluzând şi datele tehnice cu caracter personal provenite şi derivate din sistemele informatice - respectiv timpul de stocare a acestora se regăsesc în regulamentul de securitate informatică al Asiguratorului.

11.) Încălcarea securității datelor cu caracter personal

Persoana care sesizează încălcarea securităţii datelor cu caracter personal, incluzând şi persoana împuternicită de operator, este obligată să anunţe neîntârziat administratorul datelor, care este responsabil pentru prelucrarea acestor date cu caracter personal. Administratorul datelor va întocmi un raport despre încălcarea securităţii datelor cu caracter personal şi îl transmite responsabilului cu protecţia datelor, raportul trebuie să conţină şi datele detaliate incluse în alineatul (3) articolul 33 din Regulament.

Pe baza raportului privind încălcarea securităţii datelor cu caracter personal, responsabilului cu protecţia datelor va efectua o evaluare a riscurilor. În cazul în care încălcarea securităţii datelor cu caracter personal prezintă un risc susceptibil pentru drepturile şi libertăţile persoanelor fizice, responsabilul cu protecţia datelor va raporta autorităţii competente cel târziu în termen de 72 ore de la încălcarea securităţii datelor cu caracter personal, pe urmă va ţine evidenţă despre efectele şi măsurile luate pentru eliminarea acesteia.

În cazul în care raportarea nu va avea loc în termen de 72 ore, se vor anexa motivele care servesc la justificarea întârzierii.

Responsabilul cu protecţia datelor va ţine evidenţă despre toate încălcările privind protecţia datelor.

12.) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul de date informează fără întârziere persoana vizată despre încălcarea securității datelor cu caracter personal, cu un conţinut conform Regulamentului.

Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

a) operatorul a implementat măsuri de protecție tehnice și organizatorice corespunzătoare, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsurile - cum ar fi utilizarea criptării - prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze;

b) în urma încălcării securității datelor cu caracter personal operatorul a luat măsuri suplimentare care se asigură că riscul ridicat pentru drepturile și libertățile persoanei vizate, determinabil prin evaluare, nu mai este susceptibil să se materializeze;

c) informarea ar necesita un efort disproporționat. În aceste situații, persoanele vizate vor fi informate prin mijloace publice sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficient.

13.) Responsabilul cu protecția datelor

Asiguratorul va desemna responsabilul cu protecția datelor pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute.

Responsabilul cu protecţia datelor îndeplineşte sarcinile detaliate în articolul 39 din GDPR, în special informează, oferă consiliere şi verifică punerea în aplicare a dispozițiilor privind protecția datelor, monitorizează evaluarea impactului asupra protecției datelor și cooperează cu autoritatea de supraveghere şi totodată are rol de punct de contact în aspectele legate de protecţia datelor.

În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării datelor.

Asiguratorul va publica numele şi datele de contact ale responsabilului cu protecția datelor în prezentul regulament şi pe pagina sa de web și le va comunica autorității de supraveghere.

În ceea ce privește responsabilul cu protecția datelor, acestuia i se vor asigura acele informaţii şi drepturi care sunt necesare pentru îndeplinirea sarcinilor sale.

Responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor nu poate fi demis sau sancționat de către Asigurator, legat de îndeplinirea sarcinilor sale, responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii Asiguratorului.

Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate aspectele legate de prelucrarea datelor lor și cu privire la exercitarea drepturilor lor.

Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea în ceea ce privește prelucrarea datelor şi îndeplinirea sarcinilor sale.

Prin regulamentul de organizare și funcționare, Asiguratorul va asigura drepturile şi incompatibilitatea responsabilului cu protecţia datelor, conferite de prezentul regulament.

14.) Transferul datelor cu caracter personal

Transferul de date cu caracter personal într-o țară terță sau către o organizație internațională va avea loc în temeiul unei decizii privind conformitatea sau unor garanţii corespunzătoare şi asigurarea căilor de atac, sau în cazurile prevăzute în Regulament când sunt aplicate derogările asigurate în situații specifice.

Înainte de stabilirea protocolului de transfer de date în toate cazurile se va solicita opinia responsabilului cu protecţia datelor.

15.) Dreptul de exercitare a căilor de atac

Fiecare persoană vizată are dreptul de a depune plângere la o autoritate de supraveghere - în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare - în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă Regulamentul.