Regulamin ochrony danych osobowych
Jeżeli jest Pan(Pani) klientem
lub składa ofertę na zawarcie umowy ubezpieczenia
Towarzystwo ubezpieczeń lub reasekuracji może administrować danymi osobowymi w okresie trwania stosunku prawnego ubezpieczenia, reasekuracji lub umowy zlecenia oraz do czasu, kiedy możliwe jest egzekwowanie roszczeń związanych z ubezpieczeniem, reasekuracją lub umową zlecenia. Celem przetwarzania danych mogą być jedynie cele konieczne do zawarcia, zmiany, utrzymania, oceny roszczeń wynikających z umowy ubezpieczenia lub inne wynikające z przepisów prawa. Przetwarzanie danych osobowych przez towarzystwo ubezpieczeniowe lub towarzystwo reasekuracji do celów innych niż podane jest możliwe tylko po Pana(Pani) uprzedniej zgodzie. Odmowa wyrażenia zgody nie może mieć dla Pana(Pani) niekorzystnych skutków, a wyrażenie zgody nie może wiązać się z udzieleniem korzyści. Szczegółowe zasady administrowania danymi osobowymi są uregulowane szczegółowo przez rozporządzenie nr 2016/679/UE Parlamentu i Rady Europy (UE) mówiące o ochronie danych osobowych osób fizycznych i wolnego przepływu takich danych – określane w dalszej części jako RODO (GDPR) – oraz obowiązujące przepisy prawa węgierskiego, i towarzystwo ubezpieczeniowe utworzyło swój regulamin ochrony danych osobowych w ramach wyznaczonych przez te akty prawne.
Podstawą prawną administrowania danymi osobowymi jest przede wszystkim interes wypełniania zobowiązań wynikających z umów ubezpieczenia (RODO art. 6, punkt b)), a dalej wypełnianie zobowiązań ubezpieczyciela wynikających z obowiązujących przepisów prawa (RODO art. 6, punkt c)). Może się również zdarzyć, że zarządzanie danymi osobowymi będzie służyć towarzystwu ubezpieczeniowemu do wyegzekwowania uprawnionych roszczeń osób trzecich (RODO art. 6, punkt f)).
Administrowanie i przetwarzanie danych osobowych należących do kategorii danych szczególnie wrażliwych (dane dotyczące stanu zdrowia) odbywa się po uzyskaniu Pana (Pani) zgody. W przypadku braku takiej zgody towarzystwo ubezpieczeniowe nie będzie mogło zrealizować zobowiązań wynikających z umowy, i dlatego po przekazaniu poniższych informacji i objaśnień o ochronie danych osobowych będzie Pan (Pani) musiał(a) złożyć oświadczenie dotyczące wyrażenia zgody na przetwarzanie danych osobowych.
Towarzystwo ubezpieczeniowe będzie odpowiednio do tego zarządzać i przekazywać do podmiotów przetwarzających dane osobowe związane ze stanem zdrowia.
Dane podmiotów przetwarzających dane osobowe, ich dane identyfikacyjne oraz zakres danych im przekazywanych, dalej informacje o operacjach wykonywanych na danych osobowych zastaną umieszczone na stronie internetowej towarzystwa ubezpieczeniowego.
Osobną zgodą wyrażoną na piśmie należy zwolnić z obowiązku zachowania tajemnicy lekarskiej osoby, które zarządzają danymi osobowymi na podstawie umocowania prawnego lub kontraktowego, i tak w szczególności lekarza prowadzącego (włączając w to lekarza pierwszego kontaktu/domowego i lekarza specjalistę), rzeczoznawcę, dostawcę usług medycznych lub instytucję służby zdrowia, państwowe organizacje medyczne, pogotowie ratunkowe itp.
Pan (Pani) powinien(na) w przepisany sposób wyrazić zgodę dla takiego zwolnienia, a dalej dla administrowania i przekazywania danych osobowych do podmiotów przetwarzających dane osobowe.
Jeżeli zawiera Pan (Pani) umowę na ubezpieczenie i/lub dobro osoby małoletniej, to jako jej prawny przedstawiciel powinien(na) Pan (Pani) rozszerzyć zakres wyrażonej zgody do przetwarzania danych osobowych na ta osobę.
Oświadczenie osoby wyrażającej zgodę może być wycofane w dowolnym czasie bez podania uzasadnienia. Następstwa wycofania zgody oraz postanowienia towarzystwa ubezpieczeniowego odnoszące się do zarządzania danymi osobowymi zawarte są w warunkach ubezpieczenia.
Jeżeli jest Pan(Pani) osobą zainteresowaną uzyskaniem informacji
Jest Pan(Pani) osobą zainteresowaną uzyskaniem informacji, jeżeli
- zapisał(a) się Pan (Pani) jako subskrybent biuletynu informacyjnego,
- zgłosił(a) się Pan (Pani) na ogłoszenie o pracy,
- w czasie trwania imprezy zgłosił(a) się Pan (Pani) do przedstawiciela towarzystwa ubezpieczeniowego i podał(a) swoje dane osobowe,
W takim przypadku Pana (Pani) przekazanie danych – na podstawie udzielonych informacji – jest oświadczeniem o wyrażeniu zgody na ich przetwarzanie. Tą zgodę na przetwarzanie Pana (Pani) danych osobowych może Pan (Pani) w dowolnym czasie wycofać bez podawania uzasadnienia. Wycofanie zgody nie ma wpływu na prawomocność dotychczasowego przetwarzania danych osobowych przez towarzystwo ubezpieczeniowe.
Przetwarzanie danych osobowych oparte na dobrowolnej zgodzie kończy się wraz z zaniknięciem celu przetwarzania danych osobowych.
Towarzystwo ubezpieczeniowe może wykorzystywać dane osobowe do tworzenia profili, zautomatyzowanego podejmowania decyzji oraz do przekazywania danych osobowych wyłącznie na podstawie dobrowolnie udzielonej zgody.
Dane osobowe osób zgłaszających się na ogłoszenia o pracy Towarzystwo ubezpieczeniowe przechowuje przez okres najdalej 12 miesięcy licząc od pozyskania lub zebrania danych. Jeżeli poprosi Pan (Pani) o dalsze administrowanie danych, to taki wniosek należy złożyć w formie pisemnej.
Pozostałe ważne informacje
Centrum prowadzenia działalności: H-1097 Budapest, Könyves Kálmán körút 11. B épület nawet w przypadku, kiedy towarzystwo ubezpieczeniowe administruje danymi osobowymi w sposób wykraczający poza granice kraju.
Organy władzy sprawujące nadzór: Węgierski Bank Narodowy (Magyar Nemzeti Bank) (adres: H-1013 Budapest, Krisztina krt. 39.; numer telefonu:+ 36 80 203 776, numer faksu:+ 36 1 489 9102; email: ugyfelszolgalat@mnb.hu; adres dla korespondencji: H-1534 Budapest BKKP Pf: 777.; https://www.mnb.hu).
Organy władzy sprawujące nadzór (w zakresie ochrony danych osobowych): Narodowy Urząd Ochrony Danych i Swobody Informacji (Nemzeti Adatvédelmi és Információszabadság Hatóság) (adres: H-1055 Budapest, Falk Miksa utca 9-11, adres dla korespondencji: H-1363 Budapest, Pf.:9.; c; dane kontaktowe: telefon: +36 1 391 1400, faks: +36 (1) 391-1410; e-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)
Organ władzy dla działalności wykraczającej poza granice kraju: Jeżeli przedmiot sprawy dotyczy wyłącznie jednego miejsca prowadzenia działalności na terenie kraju członkowskiego, lub jeżeli w istotnym stopniu dotyczy zainteresowanych w kraju członkowskim, to w przypadku złożenia skargi lub ewentualnego naruszenia postanowień RODO prawo do wszczęcia postępowania ma organ władzy nadzorczej inny, niż organ nadzorczy właściwy dla centrum prowadzenia działalności.
Inspektor ochrony danych osobowych (IODO) i jego dane kontaktowe:
Dr Antal Csevár, główny radca prawny, inspektor ochrony danych osobowych (IODO)
H-1097 Budapest, Könyves Kálmán körút 11. B épület
jog@cig.eu
LISTA FIRM WYKONUJĄCYCH PRZETWARZANIE DANYCH OSOBOWYCH
Listę firm wykonujących przetwarzanie danych osobowych dla towarzystwa ubezpieczeniowego CIG Pannónia Életbiztosító Nyrt. Można obejrzeć pod następujacym linkiem kliknij tutaj.
Listę firm wykonujących przetwarzanie danych osobowych dla towarzystwa ubezpieczeniowego CIG Pannónia Első Magyar Általános Biztosító Zrt. Można obejrzeć pod następujacym linkiem kliknij tutaj.
REGULAMIN OCHRONY DANYCH OSOBOWYCH
Celem niniejszego regulaminu jest zachowanie zgodności przetwarzania i zachowania bezpieczeństwa danych osobowych osób fizycznych w towarzystwach ubezpieczeniowych CIG Pannónia Életbiztosító Nyrt oraz CIG Pannónia Első Magyar Általános Biztosító Zrt z wymaganiami rozporządzenia nr 2016/679/UE Parlamentu i Rady Europy (UE) mówiące o ochronie danych osobowych osób fizycznych i wolnego przepływu takich danych (ogólne rozporządzenie o ochronie danych osobowych, w dalszej części nazywane rozporządzeniem RODO) oraz określenie systemu administrowania i przetwarzania danych osobowych oraz egzekwowania związanych z tym praw osób zainteresowanych oraz systemu związanej z tym odpowiedzialności.
1.) Przedmiotowy zakres obowiązywania regulaminu
Postanowienia tego regulaminu mają zastosowanie do zarządzania danymi osobowymi, regulacji związanych z tym postępowań oraz zapewnienia praw osób zainteresowanych w towarzystwach ubezpieczeniowych CIG Pannónia Életbiztosító Nyrt oraz CIG Pannónia Első Magyar Általános Biztosító Zrt – w dalszej części określanych jako Ubezpieczyciel. Dotrzymania postanowień tego regulaminu należy egzekwować wobec wszystkich osób, które prowadzą działalność przetwarzania danych osobowych lub wspólnego przetwarzania danych osobowych dla Ubezpieczyciela. Prawo przewiduje dla poszczególnych administratorów lub przetwarzających dane osobowe stosowanie wymagań bardziej surowych niż rozporządzenie RODO, i w takich przypadkach w odniesieniu do danych osobowych należy stosowań te bardziej surowe wymagania.
2.) Zasięg czasowy obowiązywania regulaminu
Postanowienia tego regulaminu wchodzą w życie w dniu jego podpisania, natomiast stosować je należy od dnia 25 maja 2018 roku.
3.) Podstawa regulaminu
Podstawą tego regulaminu jest plan działania zarządzony w dniu 20 grudnia 2017 roku w następstwie rezultatów analizy GAP oraz audytu DIPA, przeprowadzonych przez spółkę Field Consulting Zrt. z wzięciem pod uwagę postanowień artykułu 35 rozporządzenia RODO.
4.) Pojęcia podstawowe
Podstawowe pojęcia stosowane w tym regulaminie są zgodne z pojęciami podstawowymi określonymi w artykule 4 rozporządzenia RODO, z poniższymi uzupełnieniami i postanowieniami dołączonymi:
Tworzenie profilu: na podstawie zgody wyrażonej przez osobę zainteresowaną ubezpieczyciel tylko wtedy wykonuje przetwarzanie danych osobowych połączone z tworzeniem profilu, kiedy ma to na celu pozyskanie transakcji.
System ewidencji: każda taka forma ewidencji w formie papierowej lub elektronicznej, która zawiera, zarządza lub przetwarza dane osobowe do których zastosowanie ma rozporządzenie RODO.
Centrum prowadzenia działalności: H-1097 Budapest, Könyves Kálmán körút 11. B épület nawet w przypadku, kiedy towarzystwo ubezpieczeniowe administruje danymi osobowymi w sposób wykraczający poza granice kraju.
Organ władzy sprawujące nadzór: Węgierski Bank Narodowy (Magyar Nemzeti Bank) (adres: H-1013 Budapest, Krisztina krt. 39.; numer telefonu:+ 36 80 203 776, numer faksu:+ 36 1 489 9102; email: ugyfelszolgalat@mnb.hu; adres dla korespondencji: H-1534 Budapest BKKP Pf: 777.; https://www.mnb.hu).
Organy władzy sprawujące nadzór (w zakresie ochrony danych osobowych): Narodowy Urząd Ochrony Danych i Swobody Informacji (Nemzeti Adatvédelmi és Információszabadság Hatóság) (adres: H-1055 Budapest, Falk Miksa utca 9-11, adres dla korespondencji: H-1363 Budapest, Pf..9; c; dane kontaktowe: telefon: +36 1 391 1400, faks: +36 (1) 391-1410; e-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)
Organ władzy dla działalności wykraczającej poza granice kraju: Jeżeli przedmiot sprawy dotyczy wyłącznie jednego miejsca prowadzenia działalności na terenie kraju członkowskiego, lub jeżeli w istotnym stopniu dotyczy zainteresowanych w kraju członkowskim, to w przypadku złożenia skargi lub ewentualnego naruszenia postanowień RODO prawo do wszczęcia postępowania ma organ władzy nadzorczej inny, niż organ nadzorczy właściwy dla centrum prowadzenia działalności.
5.) Zasady odnoszące się do administrowania danymi osobowymi
Ubezpieczyciel w odniesieniu do prowadzonego przez niego zarządzania danymi osobowymi postępuje zgodnie z postanowieniami artykułu 5 rozporządzenia RODO. Te postanowienia są realizowane lub uzupełniane w poniższy sposób.
- Zgodność z prawem, rzetelność procedur i przejrzystość
W trakcie zarządzania i przetwarzania danych osobowych Ubezpieczyciel w całości stosuje postanowienia rozporządzenia RODO, węgierskich regulacji prawnych oraz tego regulaminu. Zadaniem wszystkich pracowników Ubezpieczyciela jest stworzenie takich procedur i regulaminów postępowania, przygotowanie formularzy, zgód na zarządzanie danymi osobowymi deklaracji, które w pełni zgodne są z przedstawionymi tutaj zasadami.
Do zarządzania danymi osobowymi dochodzi w interesie realizacji umów ubezpieczeniowych oraz wypełnienia zobowiązań prawnych ubezpieczyciela. W przypadku braku tych celów zarządzanie danymi osobowymi możliwe jest wyłącznie na podstawie zgody osoby zainteresowanej wyrażonej po udzieleniu jej odpowiedniej informacji.
W przypadku zarządzania danymi osobowymi na podstawie wyrażonej zgody ubezpieczyciel pozyskuje taką zgodę w sposób dający się udokumentować: na piśmie lub przez telefon z rejestratorem rozmów. W przypadku zarządzania danymi osobowymi na podstawie wyrażonej zgody dobrowolną zgodę osoby zainteresowanej można wycofać w dowolnym czasie bez podawania uzasadnienia. Osobę zainteresowaną należy poinformować o tej możliwości podczas przyjmowania jej danych osobowych.
Do zarządzania danymi osobowymi na podstawie wyrażonej zgody w przypadku dziecka potrzebna jest zgoda opiekuna prawnego wykonującego prawa rodzicielskie.
Jeżeli w następstwie zarządzania danymi osobowymi na podstawie wyrażonej zgody Ubezpieczyciel zawrze z osoba zainteresowaną umowę, to do zarządzania danymi osobowymi maja zastosowanie - licząc od daty złożenia oferty na zawarcie umowy, lub od daty zawarcia umowy, lub od daty identyfikacji osób zainteresowanych zgodnej w rozporządzeniem o zapobieganiu prania brudnych pieniędzy – postanowienia regulujące zarządzanie danymi osobowymi partnerów kontraktowych.
W każdym z wariantów zarządzania danymi osobowymi należy poinformować osoby zainteresowane o tym, jakie dane osobowe, w jakim celu i komu ubezpieczyciel przekaże w celu dalszego przetwarzania. Udzielenie informacji Ubezpieczyciel odnotuje w warunkach umowy oraz udostępni osobom zainteresowanym na stronie internetowej. Równocześnie należy zapewnić, aby osoba zainteresowana zgodnie z rozporządzeniem RODO mogła na swój wniosek otrzymać od Ubezpieczyciela informacje o swoich danych osobowych oraz przysługujących jej prawach.
Ubezpieczyciel może zarządzać szczególnie wrażliwymi danymi osobowymi jedynie w przypadku, kiedy osoba zainteresowana udzieli do tego swojej wyraźnej zgody, lub jeżeli jest to konieczne z racji spełnienia wymagań przepisów prawnych regulujących zatrudnienie osoby zainteresowanej. Do zarządzania takimi danymi osobowymi może dojść w przypadku takich umów, przy których ocena ryzyka lub wypłata odszkodowania, inaczej mówiąc zawarcie umowy i udzielenie świadczeń na jej podstawie jest uzależnione od stanu zdrowia i jego zmian osoby zainteresowanej.
Ubezpieczyciel nie przetwarza danych osobowych związanych z ustaleniem odpowiedzialności karnej. Ten zakaz nie dotyczy tych postanowień organów władzy, które skutkują roszczeniami udzielenia świadczeń z tytułu ubezpieczenia.
- powiązanie z celami
Ubezpieczyciel zarządza danymi osobowymi wyłącznie do realizacji swojej działalności, zawierania umów oraz udzielania świadczeń ubezpieczeniowych. W ramach tej działalności nie kupuje, nie sprzedaje, nie przekazuje ani nie udostępnia osobom trzecim baz danych zawierających dane osobowe.
- minimalizacja zakresu danych osobowych
Ubezpieczyciel zarządza wyłącznie takim zakresem danych osobowych, który jest bezwzględnie konieczny do wykonywania jego legalnej działalności oraz dla zarządzania zawartymi umowami.
- dokładność
Ubezpieczyciel dołoży wszelkich rozsądnych i koniecznych starań dla dotrzymania dokładności i aktualności danych osobowych. Dane osobowe są aktualizowane z częstotliwością określoną w przepisach prawa, a w szczególności w przepisach o zapobieganiu praniu brudnych pieniędzy, a dalej wprowadza zmiany do systemu na podstawie zgłoszeń osób zainteresowanych.
- ograniczenie czasu przechowywania danych osobowych
Ubezpieczyciel niezwłocznie zaprzestaje zarządzania danymi osobowymi osób podlegających pod postanowienia rozporządzenia RODO, w odniesieniu do których nie można już ustalić powiązania z celem i przepisy prawa umożliwiają zakończenie zarządzania danymi osobistymi.
- integralność i poufność
Ubezpieczyciel podejmie zaawansowane kroki techniczne i organizacyjne ochrony danych na poziomie oczekiwanym od instytucji finansowych, które zapewnią wymagany przez odpowiednie przepisy poziom bezpieczeństwa zarządzania i przetwarzania danych osobowych. W tym celu ustanowi taki system wymagań dla wszystkich podmiotów przetwarzających oraz wspólnych podmiotów przetwarzających dane osobowe, którzy przetwarzają dla Ubezpieczyciela dane osobowe podlegające pod rozporządzenie RODO lub biorą udział w którejkolwiek fazie przetwarzania danych osobowych.
- rozliczalność
Ubezpieczyciel w taki sposób rozbuduje swoja strukturę organizacyjną oraz system zarządzania danymi osobowymi, aby możliwe było śledzenie przebiegu zarządzania i przetwarzania danych osobowych oraz aby możliwe było ustalenie w poszczególnych operacjach administrowania i przetwarzania danych, kto i jaką czynność wykonał.
6.) Prawa osoby zainteresowanej i sposoby ich zabezpieczenia
a.) Działania umożliwiające wgląd w dane osobowe
Ubezpieczyciel podejmie odpowiednie kroki organizacyjne i techniczne, aby umożliwić w przepisanym terminie (30 dni) udzielić osobie zainteresowanej pisemnej lub ustnej informacji dotyczącej zarządzania jej danymi osobowymi zgodnej z warunkami określonymi w rozporządzeniu RODO.
Pisemną informację dla osób zainteresowanych należy przekazać przed zawarciem umowy i przed rozpoczęciem zarządzania danymi osobowymi:
- w przypadku umów ubezpieczenia przy wypełnianiu oferty na zawarcie umowy;
- w pozostałych przypadkach podczas podawania danych osobowych, lub podczas poznawania osoby.
Pisemna informacja jest udzielana bezpłatnie. Za informację pisemną uznawane jest również przesłanie wiadomości elektronicznej na platformie elektronicznej dostępnej dla osoby zainteresowanej.
Odmowa udzielenia informacji możliwa jest tylko w przypadkach określonych przez prawo.
Administrator danych osobowych ma obowiązek dopilnowania, aby regulaminy wewnętrzne regulujące nawiązywanie kontaktu z osobami zainteresowanymi, formularze ofertowe i warunki umów zawierały również udzielanie informacji. Inspektor ochrony danych osobowych dba o łatwą dostępność do tego rodzaju informacji na stronie internetowej Ubezpieczyciela.
Warunkiem udzielenia ustnej informacji o prawach osób zainteresowanych jest ustalenie tożsamości osoby zainteresowanej oraz ustalenie warunków uprawniających ją do uzyskania informacji. Za udzielenie osobie zainteresowanej informacji na jej wniosek odpowiada w pierwszym rzędzie administrator danych osobowych tej osoby, a w drugiej kolejności osoba zajmująca się ochrona danych osobowych (inspektor ochrony danych osobowych).
b.) Informacje, które należy udzielić w przypadku, kiedy dane osobowe są pozyskiwane od osoby zainteresowanej
Informacja dotycząca ochrony danych osobowych przekazywana osobie zainteresowanej powinna zawierać poniższe informacje podstawowe:
- osoba i dane kontaktowe Ubezpieczyciela, jako administratora danych osobowych;
- osoba i dane kontaktowe inspektora ochrony danych osobowych;
- cel zarządzania danymi osobowymi oraz jego podstawa prawna (na podstawie udzielonej zgody, z racji realizacji umowy, lub wypełnianie przez Ubezpieczyciela obowiązków określonych przez przepisy prawa);
- kategorie danych osobowych osoby zainteresowanej.
W momencie pozyskiwania danych osobowych w interesie zachowania rzetelności i przejrzystości przetwarzania danych osobowych osobie zainteresowanej należy udzielić poniższych informacji uzupełniających :
- czasokres przechowywania danych osobowych, lub jeśli to nie jest możliwe to warunki określania czasu przechowywania;
- jeśli możliwe jest stwierdzenie uprawnionego interesu Ubezpieczyciela lub osoby trzeciej, to przekazanie informacji o tym fakcie;
- jeżeli podstawą prawną zarządzania danymi osobowymi jest zgoda osoby zainteresowanej, to przekazanie informacji o prawie do dostępu, korekty, usunięcia, ograniczania przetwarzania, protestu przeciwko przetwarzaniu oraz do przeniesienia danych osobowych , jak również o konsekwencjach wycofania zgody na przetwarzanie danych osobowych;
- o prawie do złożenia skargi do organu nadzorczego;
c.) Prawo osoby zainteresowanej do dostępu do danych osobowych
Ubezpieczyciel w następujący sposób zapewnia osobie zainteresowanej ciągły dostęp do jej informacji osobowych oraz do informacji o jej przetwarzaniu.
- Ogólne dane o zarządzaniu i przetwarzaniu danych osobowych dostępne są na stronie internetowej;
- informacje o danych osobowych związanych z realizacją umowy zawarte są w warunkach umowy, lub na informatorze o ochronie danych osobowych załączonym do umowy;
- w odniesieniu do konkretnych osób zainteresowanych, na ich pisemną lub ustną prośbę informacja o czynnościach wykonywanych na ich danych osobowych
d.) Prawo do korekty danych osobowych
Osoba zainteresowana może wnioskować o korektę lub uzupełnienie jej niepełnych danych osobowych. Dla dokonania korekty Ubezpieczyciel może poprosić o okazanie dokumentów, na podstawie których niezwłocznie, ale najpóźniej w terminie 3 dni roboczych dokona korekty danych osobowych.
e.) Prawo do usuwania danych osobowych („prawo do bycia zapomnianym”)
W przypadku wystąpienia przyczyn określonych w rozporządzeniu RODO Ubezpieczyciel niezwłocznie, lub najdalej w ciągu 3 dni roboczych usuwa dane osobowe osoby zainteresowanej.
Osoba zainteresowana nie ma prawa do osunięcia danych w przypadku, kiedy zachowanie jej danych osobowych wynika z umowy Ubezpieczyciela, z powodu realizacji zobowiązań wobec prawa lub uprawniony interes wymaga zachowania danych osobowych.
Dla zgodnego z prawem odrzucenia wniosku o usunięcie danych osobowych administrator danych osobowych ma obowiązek zasięgnięcia opinii inspektora ochrony danych osobowych.
f.) Prawo do ograniczenia zarządzania danymi osobowymi
Ograniczenie przetwarzania danych osobowych może nastąpić na wniosek osoby zainteresowanej. W przedmiocie złożonego w tej sprawie wniosku osoby zainteresowanej należy zasięgnąć opinii inspektora ochrony danych osobowych. Jeżeli zgodnie z tą opinią ograniczenie przetwarzania danych osobowych ma zastosowanie, to administrator danych osobowych ma obowiązek zaznaczyć ten status danych osobowych osoby zainteresowanej na wszystkich nośnikach danych oraz we wszystkich ewidencjach. Zaznaczenie może mieć formę oznaczenia osoby zainteresowanej w ewidencjach numerem identyfikacyjnym, lub w przypadku dokumentacji papierowej umieszczeniem notatki na pierwszej stronie dokumentów.
g.) Prawo do korygowania i usuwania danych osobowych, oraz obowiązek informowania w związku z ograniczeniem przetwarzania danych osobowych
Administrator danych osobowych ma obowiązek poinformowania pisemnie osoby zainteresowanej o korekcie, usunięciu lub ograniczeniu przetwarzania danych osobowych.
h.) Prawo do przenoszenia danych
Osoba zainteresowana ma prawo prosić o przekazanie jej danych osobowych w formacie powszechnie stosowanym i dającym się automatycznie odczytać. Osoba zainteresowana może skorzystać z tego prawa w sposób odmienny od rozporządzenia RODO również w takim przypadku, kiedy Ubezpieczyciel zarządza jej danymi osobowymi nie na podstawie zgody osoby zainteresowanej, przy założeniu, że przetwarzanie danych odbywa się w sposób zautomatyzowany.
i.) Prawo do protestu i zautomatyzowane podejmowanie decyzji w sprawach indywidualnych
Osoba zainteresowana z przyczyn związanych z z jej sytuacją osobistą może w dowolnym czasie protestować przeciwko przetwarzaniu jej danych osobowych, jeżeli jedyną podstawą prawną przetwarzania danych osobowych jest potrzeba egzekucji uprawnionych interesów Ubezpieczyciela lub osoby trzeciej, za wyjątkiem przypadku, kiedy wobec tych interesów pierwszeństwo mają takie interesy lub prawa podstawowe i wolności osoby zainteresowanej, które uzasadniają konieczność ochrony jej danych osobowych, a szczególnie w przypadku, kiedy osoba zainteresowana jest dzieckiem.
Przy danych osoby zainteresowanej należy zaznaczyć, jeżeli zamierza się wykorzystać je do bezpośredniego pozyskania transakcji, lub jeśli z tej samej przyczyny zamierza się je przekazać do grupy firm lub do firmy partnerskiej.
Zgodę do przekazania danych osobowych należy uzyskać od osoby zainteresowanej w charakterze partnera kontraktowego i zaznaczyć ten fakt w systemie służącym do ewidencjonowania danych osobowych. Za zaznaczenie odpowiada osoba dokonująca rejestracji danych osobowych.
W przypadku przetwarzania danych osobowych w celu bezpośredniego uzyskania transakcji należy przy pierwszym kontakcie wyraźnie zwrócić na to uwagę osoby zainteresowanej i zaprezentować dotyczącą tego informacje jednoznacznie i w sposób oddzielony od innych informacji.
Jeżeli osoby zainteresowane protestują przeciwko przetwarzaniu danych osobowych w celu bezpośredniego uzyskania transakcji, to ich dane osobowe nie mogą być dalej przetwarzane w tym celu. W dowolnym czasie można zaprotestować przeciwko przetwarzaniu danych osobowych w takim celu. Ubezpieczyciel wymaga zgłoszenia protestu w formie udokumentowanej. Może to być wykorzystanie telefonu z rejestratorem rozmów, zgłoszenie osobiste, list, faks, lub zgłoszenie przez portal internetowej obsługi klientów.
W przypadkach indywidualnych Ubezpieczyciel wykorzystuje zautomatyzowany proces podejmowania decyzji, włączając w to tworzenie profili, kiedy osoba zainteresowana w sposób wyraźny udzieli na to swojej zgody. Zgodę należy pozyskać przed zastosowaniem takich czynności i odnotować ten fakt w systemie. W takim przypadku osoba zainteresowana ma prawo poprosić Ubezpieczyciela o interwencję ludzką, wyrażenie swojego stanowiska, zgłoszenie zastrzeżeń do podjętej decyzji. Ubezpieczyciel nie może opierać automatycznych procedur decyzyjnych, włączając w to tworzenie profili, na specjalnych kategoriach danych osobowych.
7.) Administrowanie i przetwarzanie danych osobowych w towarzystwie ubezpieczeniowym
Na podstawie danych analizy DPIA, ciągłej oceny ryzyka oraz zasad określonych w tym regulaminie Ubezpieczyciel podejmuje odpowiednie kroki techniczne i organizacyjne w celu zapewnienia i wykazania tego, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem RODO. Działania te podlegają okresowej weryfikacji i w razie potrzeby są aktualizowane.
Ubezpieczyciel podejmuje odpowiednie kroki techniczne i organizacyjne w celu zapewnienia, aby w trakcie przetwarzania danych osobowych zbudowana i zaimplementowana według Rozporządzenia RODO ochrona danych została zrealizowana w sposób odpowiedni.
8.) Wspólne przetwarzanie danych osobowych
Ubezpieczyciel może zrealizować wspólne zarządzanie danymi osobowymi, jeżeli cele i środki zarządzania danymi osobowymi określi wspólnie z innym administratorem danych osobowych. Zasady takiego zarządzania danymi osobowymi należy z drugim administratorem danych osobowych sformułować w formie pisemnej, a dla osób zainteresowanych należy wyznaczyć osobę do utrzymywania kontaktu.
9.) Przetwarzanie danych osobowych
Do przetwarzania danych osobowych Ubezpieczyciel może skorzystać z usług podmiotu przetwarzającego dane osobowe przy zachowaniu poniższych warunków:
- Podmiot przetwarzający dane osobowe udzieli odpowiednich gwarancji na dotrzymanie zgodności przetwarzania z wymaganiami rozporządzenia RODO oraz na podjecie odpowiednich kroków technicznych i organizacyjnych zapewniających ochronę praw osób zainteresowanych;
- bez uprzedniego indywidualnego lub ogólnego pisemnego upoważnienia Ubezpieczyciela nie może skorzystać z usług kolejnego podmiotu przetwarzającego dane. W przypadku ogólnego upoważnienia podmiot przetwarzający dane osobowe informuje Ubezpieczyciela o wszelkich planowanych zmianach, które dotyczą wykorzystania dalszych podmiotów przetwarzających dane osobowe lub ich zamiany, dając w ten sposób Ubezpieczycielowi możliwość oprotestowania takich zmian;
- podmiot przetwarzający dane osobowe w pisemnej umowie zobowiązuje się do dotrzymania warunków określonych w artykule 28, ustęp (3-5) Rozporządzenia RODO,
- dalej, będzie niezwłocznie raportował Ubezpieczycielowi incydenty naruszenia bezpieczeństwa danych osobowych.
Jeżeli Ubezpieczyciel powierzy innej osobie przetwarzanie takich danych osobowych, które jednocześnie stanowią tajemnicę ubezpieczeniową, to w umowie na przetwarzanie i wykonywanie innych czynności na danych należy wprowadzić postanowienia prawa o ubezpieczeniach (Bit).
Wykorzystanie usługi przetwarzania danych osobowych jest możliwe jedynie w przypadku, kiedy podmiot przetwarzający dane osobowe przyjmie powyższe warunki i Ubezpieczyciel zostanie przekonany, że podmiot ten będzie zdolny dotrzymać zasad zagwarantowanych w umowie i prawa osób zainteresowanych nie doznają uszczerbku.
10.) Ewidencja czynności związanych z administrowaniem danymi osobowymi
Poszczególne jednostki organizacyjne Ubezpieczyciela prowadzą zgodnie z artykułem 30 Rozporządzenia RODO ewidencję zarejestrowanych i jednocześnie administrowanych danych osobowych. Tą ewidencję – inwentaryzację danych osobowych – należy prowadzić z zaznaczeniem zakresu danych osobowych i wykonywanych na nich operacji i zawierać będzie ona główne dane osób przetwarzających dane osobowe oraz prowadzone przez nich operacje. Ubezpieczyciel poda do wiadomości publicznej na swojej stronie internetowej aktualizowana codziennie listę osób upoważnionych do przetwarzania danych osobowych z wyszczególnieniem przetworzonych danych osobowych i wykonanych na nich operacjach.
Administratorzy danych osobowych są zobowiązani do prowadzenia ewidencji. Zadania administratorów danych osobowych zawiera ich zakres obowiązków oraz niniejszy regulamin. W przypadku rozwiązania stosunku pracy lub przejścia na inne stanowisko administrator danych osobowych jest zobowiązany przekazać ewidencje związane z danymi osobowymi osobie przejmującej jego zakres obowiązków. Przekazanie – odbiór należy zadokumentować na karcie rozliczenia lub przekazania zakresu obowiązków. W przypadku braku dokumentu przekazania nie można prawomocnie rozwiązać stosunku pracy z administratorem danych osobowych.
Administrator danych osobowych dba o to, aby wewnętrzne regulaminy regulujące prace jednostki organizacyjnej (instrukcje pracy) wyznaczały harmonogramy usuwania danych osobowych, wyznaczały osoby odpowiedzialne, dalej aby podejmowano kroki i działania dla ochrony danych osobowych i dla zabezpieczenia praw osób zainteresowanych w konkretny sposób.
Postanowienia dotyczące technicznego bezpieczeństwa przetwarzania danych osobowych, danych zarejestrowanych w dzienniku głównym – włączając w to dane osobowe pochodzące z systemów informatycznych oraz techniczne dane pochodne – oraz dotyczące czasów przechowywania danych osobowych są zawarte w regulaminie bezpieczeństwa systemów informatycznych Ubezpieczyciela.
11.) Naruszenie danych osobowych
Osoba, która zauważy naruszenie bezpieczeństwa danych osobowych, włączając w to podmiot przetwarzający dane, ma również obowiązek niezwłocznego zgłoszenia tego faktu administratorowi odpowiadającemu za przetwarzanie tych danych osobowych. Administrator sporządza raport o incydencie naruszenia bezpieczeństwa danych osobowych, który musi zawierać również dane szczegółowe określone w artykule 33, ustęp (3) Rozporządzenia RODO.
Inspektor ochrony danych osobowych na podstawie zgłoszonego raportu o incydencie naruszenia przeprowadza ocenę ryzyka. Jeżeli w sposób przypuszczalny oznacza to ryzyko zagrożenia praw oraz wolności osób fizycznych, to inspektor ochrony danych osobowych w terminie najpóźniej 72 godzin dokonuje zgłoszenia naruszenia w kompetentnych organach nadzorczych, a następnie prowadzi ewidencje następstw naruszenia oraz kroków i czynności podjętych w celu zapobieżenia takim przypadkom.
Jeżeli naruszenie nie zostanie zgłoszone w terminie 72 godzin, to należy do zgłoszenia załączyć zaświadczenie uzasadniające zwłokę.
Inspektor ochrony danych osobowych prowadzi ewidencje wszystkich incydentów naruszeń bezpieczeństwa danych osobowych.
12.) Informowanie osoby zainteresowanej o przypadkach naruszenia bezpieczeństwa danych osobowych
Jeżeli przypadek naruszenia bezpieczeństwa danych osobowych wiąże się w sposób wysoce prawdopodobny z dużym ryzykiem patrząc na prawa i wolność osoby fizycznej, to administrator danych osobowych bez nieuzasadnionej zwłoki informuje zainteresowaną osobę o takim incydencie w zakresie określonym w Rozporządzeniu.
W przypadku wystąpienia poniższych warunków nie ma obowiązku informowania osoby zainteresowanej:
a) administrator danych osobowych podjął takie kroki techniczne i organizacyjne, i miały one zastosowanie dla danych, których incydent dotyczył, w szczególności takie kroki – jak na przykład szyfrowanie danych – w wyniku których w przypadku dostępu osób nieuprawnionych do danych osobowych dane te będą miały postać niezrozumiałą;
b) administrator w następstwie incydentu ochrony danych osobowych poczyni kolejne kroki, które wykluczają możliwość ponownego wystąpienia w przyszłości szacowanego jako wysokie ryzyka naruszenia bezpieczeństwa danych w odniesieniu do praw i wolności osób zainteresowanych;
c) udzielenie informacji wymagałoby podjęcia niewspółmiernie dużych wysiłków. W takich przypadkach osoby zainteresowane należy informować droga informacji podawanej do publicznej wiadomości, lub podjąć podobne kroki w celu podobnie skutecznego poinformowania osób zainteresowanych.
13.) Inspektor ochrony danych osobowych (IODO)
Ubezpieczyciel mianuje osobę inspektora ochrony danych osobowych IODO na podstawie oceny jej kwalifikacji, a szczególnie znajomości prawa ochrony danych osobowych i praktyki na poziomie eksperckim, oraz przydatności do wykonywania związanych z tym zadań.
Inspektor ochrony danych osobowych wypełnia zadania określone w artykule 39 rozporządzenia RODO, i tak w szczególności udziela informacji i porad oraz kontroluje przestrzegania postanowień związanych z ochroną danych osobowych, śledzi rezultaty badań skuteczności, współpracuje z organami ochrony danych osobowych i jednocześnie jest osoba kontaktową w sprawach związanych z ochroną danych osobowych.
Inspektor ochrony danych osobowych wykonuje swoje zadania biorąc odpowiednio pod uwagę ryzyko związane z czynnościami zarządzania danymi osobowymi, charakter, zakres, okoliczności i cele zarządzania danymi osobowymi.
Nazwisko oraz dane kontaktowe Inspektora ochrony danych osobowych Ubezpieczyciel podaje do publicznej wiadomości w niniejszym regulaminie, na swojej stronie internetowej oraz zgłasza te dane do organu sprawującego nadzór.
Inspektorowi ochrony danych osobowych należy zapewnić te informacje i uprawnienia, które są konieczne do wykonywania jego obowiązków.
Inspektorowi ochrony danych osobowych nie można wydawać poleceń dotyczących wykonywania jego zadań. Ubezpieczyciel nie może zwolnić z pracy inspektora ochrony danych osobowych w związku z wykonywaniem przez niego swoich obowiązków oraz nie może karać go nakładaniem sankcji. Za swoją działalność odpowiada on bezpośrednio przed najwyższym kierownictwem Ubezpieczyciela.
Osoby zainteresowane mogą zwracać się do inspektora ochrony danych osobowych w każdej sprawie związanej z zarządzaniem ich danymi osobowymi oraz z egzekwowaniem ich praw.
Inspektora ochrony danych osobowych obowiązuje tajemnica służbowa w odniesieniu do wykonywanych przez niego zadań oraz obowiązek poufnego traktowania danych osobowych.
Ubezpieczyciel w swoich regulaminach organizacji i działania zadba o zabezpieczenie praw oraz wykluczenie konfliktu interesów inspektora ochrony danych osobowych.
14.) Dalsze przekazywanie danych osobowych
Przekazanie danych osobowych do kraju trzeciego lub do organizacji międzynarodowej może nastąpić w przypadku orzeczenia o zachowaniu zgodności, lub na podstawie zapewnienia odpowiednich gwarancji lub środków ochrony prawnej, lub w określonych w Rozporządzeniu przypadkach odstępstw zabezpieczonych dla szczególnych przypadków.
Przed ustaleniem porządku przekazywania danych w każdym przypadku należy poprosić o opinię inspektora ochrony danych osobowych IODO.
15.) Prawo do uzyskania pomocy prawnej
Każda osoba zainteresowana ma prawo złożyć skargę do organu nadzorczego, szczególnie w kraju członkowskim właściwym dla zwyczajowego miejsca pobytu, miejsca pracy lub miejsca popełnienia naruszenia bezpieczeństwa danych osobowych – jeżeli w ocenie osoby zainteresowanej zarządzanie jej danymi osobowymi narusza Rozporządzenie RODO.