Politica de confidentialitate

 POLITICA PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

1.  APLICABILITATE, SCOP, ADRESABILITATE

Această politică va permite City Insurance să respecte ob1. ligațiile legale și să asigure o mai bună abordare și gestionare a datelor cu caracter personal.

Această politică trebuie cunoscută de toți angajații, iar responsabilul pentru aplicarea sa este Operatorul de date (City Insurance).

Politica privind prelucrarea datelor cu caracter personal are ca scop stabilirea cadrului pentru elaborarea regulamentelor si procedurilor care implica prelucrări de date cu caracter personal precum si pentru asigurarea conformității cu normele si regulamentele in vigoare aplicabile. Acestea sunt obligatorii pentru toți angajații City Insurance, în calitate de subiecți de date cu caracter personal și deținători de date cu caracter personal.

In acest sens, in activitatea de Prelucrare a Datelor cu caracter personal ale persoanelor vizate, City Insurance asigură:

  • Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate de către companie si angajaților săi, in conformitate cu prevederile legale;
  • Respectarea principiilor de protecția datelor in activitățile operaționale ale companiei;
  • Transparenta in legătură cu categoriile de date cu caracter personal prelucrate in cadrul companiei, precum si in legătură cu scopurile prelucrărilor, destinatarii datelor cu caracter personal;

În cadrul CITY INSURANCE structura responsabilă cu gestionarea activității de prelucrare a datelor cu caracter personal este formata din Responsabilii de Proces. Orice comunicare intre persoanele vizate si Operatorul de date se va face prin intermediul adresei de e-mail dpo@cityinsurance.ro sau in scris la adresa de corespondeanta Strada Emanoil Porumbaru 93-95, parter , etaj1,2,4 si 5, sector 1 Bucuresti.

2. DOCUMENTE DE REFERINȚĂ

  • Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
  • Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
  • Legea nr.365/2002 privind comerțul electronic;
  • Legislația secundara – decizii ANSPDCP, acte emise de Comitetul European pentru Protecția Datelor etc.

3. DEFINITII

Datele cu caracter personal (Date) – orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice;

Categorii speciale de date cu caracter personal – orice informație care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice;

Prelucrarea datelor cu caracter personal (Prelucrare) – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Persoana vizata – o persoană fizică identificabilă care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. În cadrul City Insurance  se pot prelucra următoarele categorii de date, fără a se limita la acestea:

  1. Asigurați – pentru Datele prelucrate in scopul prestării serviciilor de evaluare daune auto;
  2. Angajați si colaboratorii City Insurance  (inclusiv persoanele fizice care desfășoară activități in cadrul City Insurance  in temeiul unui contract de leasing de personal sau angajații companiilor de asigurare ale căror date cu caracter personal sunt prelucrate) /membrii familiilor acestora – pentru Datele prelucrate in scopuri de resurse umane;
  3. Vizitatori/angajați – pentru Datele prelucrate in scopul monitorizării/asigurării securității persoanelor, spatiilor si/sau bunurilor publice/private.
  4. Persoanele fizice, reprezentanți ai persoanelor juridice cu care City Insurance  intra in contact in calitate de Client.

Operator – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoana împuternicită de către Operator (Împuternicit) – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Persoana autorizata sa prelucreze Date (Persoana autorizata) – Operatorul sau Împuternicitul sau persoanele care, sub autoritatea directa a Operatorului sau a Împuternicitului, sunt autorizate sa prelucreze Date.

Parte Terță – o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

Consimțământ – orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Pseudonimizare –  înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. Principiile privind prelucrarea datelor cu caracter personal se aplica datelor pseudonimizate, întrucât acestea reprezintă date cu caracter personal.

Anonimizare – înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod care să fie ireversibil și care sa transforme datele astfel încât acestea să nu mai poată fi atribuite unei anume persoane vizate. Principiile privind prelucrarea datelor cu caracter personal nu se aplica datelor anonimizate, întrucât acestea nu mai reprezintă date cu caracter personal.

ANSPDCP– înseamnă autoritatea publică independentă de supraveghere din Romania, respectiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

GDPR – Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.

4. PRINCIPII PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Prelucrarea se supune următoarelor principii:

  • Legalitate, echitate și transparență – datele vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată;
  • Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • Reducerea la minimum a datelor („minimizarea datelor”) – datele vor fi adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
  • Exactitate – datele vor fi exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
  • Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate;
  • Integritate și confidențialitate – datele vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;
  • Responsabilitate – datele vor fi prelucrate cu respectarea principiilor sus-menționate, iar CITY INSURANCE va fi responsabil sa demonstreze această respectare.

CITY INSURANCE se va asigura că respectă aceste principii atăt în ceea ce privește activitățile sale curente, precum și în cazul în care în viitor va introduce noi tehnologii de prelucrarea a datelor, cum ar fi, fără a se limita la, noi sisteme IT.

5. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

City Insurance urmărește efectuarea prelucrărilor de date cu îndeplinirea următoarelor condiții de legalitate, după caz:

Consimțământul – În cazul în care nu se aplică vreun alt temei de legalitate al prelucrării prevăzut mai jos, CITY INSURANCE va obține întotdeauna consimțământul persoanei vizate pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice. Pentru prelucrarea datelor cu caracter personal ale copiilor sub 16 ani va fi necesar consimțămânul părintelui sau al altui titular al autorității părintești.

Executarea/Încheierea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

Obligație legala – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

Interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de City Insurance sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Interes vital – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.

Interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

In toate cazurile, la momentul obținerii datelor City Insurance va informa Persoana vizata despre:

  • identitatea și datele de contact ale operatorului si, dacă este cazul, ale reprezentantului acestuia;
  • datele de contact ale DPO;
  • scopul in care se face prelucrarea datelor, precum si temeiul juridic (daca prelucrarea se face in temeiul intereselor legitime, se va face referire la acestea);
  • destinatarii sau categoriile de destinatari ai datelor;
  • în cazul în care aceasta exită, intenția de a transfera datele in afara Uniunii Europene sau către o organizație internaționala, precum si menționarea garanțiilor aplicabile și a modului în care se poate obține o copie;
  • perioada de stocare a datelor sau criteriile utilizate pentru a o determina;
  • existenta drepturilor prevăzute de lege pentru persoana vizata, precum si condițiile in care pot fi exercitate;
  • existenta dreptului persoanei vizate de a-si retrage consimțământul atunci când prelucrarea se întemeiază pe consimțământ si nu mai exista alt temei de prelucrare;
  • dreptul dreptului persoanei vizate de a depune plângere la ANSPDCP;
  • daca furnizarea datelor cerute este o condiție necesară conform legii sau pentru încheierea sau executarea unui contract, dacă persoana vizată este obligată să furnizeze aceste date, precum si posibilele consecințe ale refuzului de a le furniza;
  • informații despre existenta unui proces decizional automatizat, daca este cazul, precum si informații utile legate de logica utilizata, semnificația si consecin’ele eventuale ale prelucrării;
  • orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând seama de specificul prelucrării.

În cazul în care CITY INSURANCE nu obține datele direct de la persoana vizată, Societatea este obligata sa furnizeze, în plus față de informațiile prevăzute mai sus:

  • categoriile de date personale vizate;
  • din ce sursă a obținut datele respective (inclusiv dacă este vorba despre o sursă publică).

În aceste cazuri, în care CITY INSURANCE nu obține datele direct de la persoana vizată:

  • Societatea va informa persoana vizată într-un termen rezonabil după obținerea datelor, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele;
  • dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă;
  • dacă se intenționează divulgarea datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Durata de Prelucrare este limitata in funcție de termenele de retenție ale datelor raportat la scopul pentru care au fost colectate datele pentru activitățile de prelucrare. Durata de prelucrare a datelor cu caracter personal poate fi exprimata in unități temporale (ani/luni) sau prin referire la un eveniment viitor (ex: finalizarea relațiilor contractuale etc).

CITY INSURANCE va menține acuratețea, integritatea, confidențialitatea și relevanța datelor cu caracter personal colectate în raport de scopul pentru care au fost colectate.

CITY INSURANCE aplică măsurile tehnice si organizatorice adecvate pentru protejarea datelor împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectiva comporta transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegala. Aceste măsuri asigură un nivel de securitate adecvat in ceea ce privește riscurile pe care le reprezintă prelucrarea, precum si in ceea ce privește natura datelor care trebuie protejate.

CITY INSURANCE are implementata o politica de securitate IT care prezintă principiile de securitate și măsurile care trebuie respectate in cadrul companiei pentru a menține siguranța informațiilor, inclusiv a datelor cu caracter personal, a procesărilor și a sistemelor informatice la un nivel adecvat.

Incidentul in domeniul protecției Datelor, stocate sau transmise, reprezintă orice eveniment care afectează confidențialitatea, integritatea sau disponibilitatea acestor date.

Orice incident care afectează securitatea datelor cu caracter personal prelucrate de CITY INSURANCE și care prezintă un grad de risc față de drepturile și libertățile persoanelor va fi notificat de către CITY INSURANCE către ANSPDCP in maxim 72 de ore de la momentul la care Societatea a luat la cunoștința despre incident.

6. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATII DE OFERTARE SEMNARE SI DERULARE A CONTRACTELOR DE ASIGURARE

  • Scopulprelucrarii datelor cu caracter personal este derularea activitatii de ofertare semnare si derulare a contractelor de asigurare
  • Temeiul legal al prelucrarilor este art. 6.1b GDPR – prelucrarea este necesara pentru derularea contractului de asigurare la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inaite de incheierea acestuia.
  • Prelucrarile desfasurate sunt urmatoareale:

-ofertare si emitere polita/contract de asigurare

-reasigurare dauna RCA

-reasigurare polita de asigurare facultativa

-derulare dauna externa carte verde

-derulare dauna interna

  • In cazul colectarii de date personale cu caracter special ( de sanatate/medicale) operatorul va folosi consimtamantul persoanelor vizate ca derogare pentru utilizarea acestora

Prelucrarea Datelor aparținând părților interesate-pagubiti

In cazul operațiunilor desfășurate de CITY INSURANCE cu părtile interesate- pagubiti-, CITY INSURANCE furnizează informațiile cu privire la prelucrarea datelor cu caracter personal prin clauzele specifice

inserate pe documentele utilizate de Societate pentru operațiunile desfășurate de acest tip de persoane vizate anterior inițierii oricăror prelucrări de date cu caracter personal.Temeiul legal al prelucrarii este art. 6.1.b GDPR – prelucrarea este necesara pentru derularea cererii de despagubire la care persoana vizata este parte. In cazul colectarii de date personale cu caracter special ( de sanatate/medicale) operatorul va folosi consimtamantul persoanelor vizate ca derogare pentru utilizarea acestora

7. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATILOR DE INVESTIGARE ANTIFRAUDA SI GESTIONAREA PETITIILOR SI RECLAMATIILOR

  • Scopul prelucrarii datelor cu caracter personal este derularea activitatii de analiza a situatiilor ce prezinta un potential caracter fraudulos in scopul solutionarilor acestora , verificarea contractelor incheiate si politele de asigurare in cazul unei suspiciuni de spalare de bani precum si analiza si rezolvarea petitiilor si reclamatiilor
  • Temeiul legal este interesul legitim al City Insurance pentru asigurarea conformitatii si legalitatii activitatii desfasurate

8. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATII DE MARKETING

  • Scopul prelucrarii datelor cu caracter personal este derularea activitatii de reclama/marketing/publicitate de promovare a produselor si serviciilor City Insurance
  • CITY INSURANCE a informeaza persoana vizata prin documente specifice de intrare in relație cu Societatea, temeiul legal este consimțământul expres si neechivoc (obținut prin bifarea opțiunii de acceptare sau firmative, de exmplu „Da” sau „Accept” in format letric sau in format electronic) pentru primirea de comunicări din partea CITY INSURANCE in astfel de scopuri.
  • Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nicio justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, de către operator sau să fie transmise unor terți într-un asemenea scop pentru cazurile specifice in care s-a utilizat ca temei legal interesul legitim (in loc de consimtamant) pentru promovarea produselor si serviciilor companiei .
  • Anterior inițierii oricăror prelucrări de date cu caracter personal ale clienților, altele decât cele incluse in registrul de activități de prelucrare a datelor, se va solicita avizul DPO privind condițiile de legalitate a acestor prelucrări.

9. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE PENTRU ASIGURAREA SECURITATII SISTEMULUI INFORMATIONAL SI A COMUNICATIILOR ELECTRONICE IN CADRUL CITY INSURANCE

  • Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice, prevenirea si/sau detectarea fraudelor, preîntâmpinării scurgerii informației care conține date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele de telecomunicații și resursele informaționale; respectării cadrului normativ de folosire a sistemelor informaționale și a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în rețelele de  telecomunicații și resurselor informaționale; păstrării posibilităților de gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal, precum si protecția reputației CITY INSURANCE. Vizează, de asemenea, urmărirea evoluției amenințărilor aferente sistemelor informatice și mai ales riscurile de natură logică (intruziune, blocarea serviciilor, etc.). Prelucrările vizează doar datele de trafic si datele de acces/transmitere a corespondentei;
  • Are ca temei legal interesul legitim al operatorului pentru pastrarea confidentialitatii informatiilor si asigurarea respectarii prevederilor legale in vigoare care reglementeaza activitatea companiei;
  • Cu toate acestea, accesarea /monitorizarea datelor de conținut este realizata numai in circumstanțe excepționale temeinic justificate precum si in cazurile determinate de necesitatea îndeplinirii unor prevederi legale;
  • Angajații vor fi informați la angajare, precum si ori de cate ori este cazul, despre modul de utilizare a conexiunii la internet si e-mail, precum si despre excepțiile aplicabile.

10.  ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE IN BAZA UNUI CONTRACT DE FURNIZARE PRODUSE/PRESTĂRI SERVICII

  • În cazul activităților de prelucrare a datelor făcute de un terț prestator/furnizor/partener/intermediar pentru operatorul CITY INSURANCE, în baza unui contract de prestări servicii de orice tip încheiat intre CITY INSURANCE si terțul respectiv (care are calitatea de Operator Asociat sau de Persoana imputernicita de Operator pentru procesarea datelor cu caracter personal din punct de vedere al GDPR), aceste contracte vor fi încheiate în scris și vor include o serie de clauze specifice, prin care terții respectivi să furnizeze CITY INSURANCE garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR și să asigure protecția drepturilor persoanei vizate.
  • Temeiul legal al prelucrarii este art. 6.1b GDPR – prelucrarea este necesara pentru derularea contractului de furnizare produse/prestari servicii la care persoanele vizate sunt parte sau pentru a face demersuri la cererea persoanelor vizate inainte de incheierea acestuia.

11. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE RECRUTARE SI SELECTIE CANDIDATI

Datele cu caracter personal care vă privesc sunt prelucrate exclusiv în scopurile specificate mai jos şi doar pe baza unei temei legal de prelucrare, specificat de dispozițiile legale aplicabile privind protecția datelor cu caracter personal:

  • Datele dumneavoastră cu caracter personal vor fi prelucrate în scopul desfășurării procesului de recrutare, pentru a face demersuri, la cererea dumneavoastră, înainte de şi în vederea încheierii contractului individual de muncă sau a unei alte convenții cu efecte similare, pentru verificarea îndeplinirii condițiilor legale pentru ocuparea postului pentru care candidați.- art. 6 alin. 1 lit. b) din Regulamentul 679/2016.
  • Datele dumneavoastra pot fi folosite in scopul verificarii indeplinirii obligatiilor legale pentru angajare in Romania avand ca temei legal art. 6 alin. 1 lit. c) din Regulamentul UE 679/2016- in vederea indeplinirii unei obligatii legale.
  • Datele dumneavoastra pot fi folosite pentru apararea companiei impotriva oricaror plangeri facute de candidati- in temeiul interesului legitim 6 alin. 1 lit. f) din Regulamentul 679/2016.
  • În cazul în care nu veți fi recrutat pentru postul avut în vedere, datele dumneavoastră cu caracter personal vor putea fi prelucrate, pentru recrutări viitoare derulate de cargo-partner care v-ar putea interesa, numai dacă vă dați consimțământul expres în acest sens- art. 6 alin. 1 lit. a) din Regulamentul 679/2016.

Deoarece sunteți îndreptățit să știți scopul în care prelucrăm datele dumneavoastră cu caracter personal, vă vom informa înainte de a prelucra datele în orice alt scop decât cele pentru care ni le-ați încredințat sau în care le-am obţinut.

Mai mult, vă protejam în mod corespunzător interesele, drepturile şi libertățile. Datele cu caracter personal sunt stocate într-o locație securizată, precum şi protejate în tranzit. Datele care nu mai sunt necesare pentru atingerea scopului sunt șterse.

12. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE IN BAZA UNUI CONTRACT INDIVIDUAL DE MUNCA

Datele cu caracter personal colectate sunt prelucrate în scopul încheierii contractului individual de muncă şi a desfășurării, în condiții legale, a raportului de muncă si au ca temei legal art. 6.1b GDPR – prelucrarea este necesara pentru executarea contractului individual de munca la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inaite de incheierea acestuia.

Datele cu caracter personal sunt colectate şi prelucrate în temeiul obligațiilor legale ale City Insurance (e.g. Codul Muncii, Codul Fiscal, Legea nr. 319/2006 a securității şi sănătății în muncă, Hotărârea nr. 1425/2006 pentru aprobarea Normelor metodologice de aplicare a prevederilor Legii securității şi sănătății în muncă nr. 319/2000, Hotărârea Guvernului nr. 905/2017 privind registrul general de evidenţă a salariaţilor etc.), în următoarele scopuri specifice:

  1. încheierea contractului individual de muncă (inclusiv pentru desfasurarea stagiului de practica);
  2. executarea contractului individual de muncă, inclusiv crearea conturilor de utilizator necesare accesării anumitor aplicații sau pagini web, precum și pentru stabilirea accesului dumneavoastră la anumite documente;
  3. suspendarea, modificarea, încetarea contractului individual de muncă;
  4. înregistrarea în registrul general de evidență a datelor cu caracter personal relevante şi păstrarea dosarului de personal;
  5. ţinerea evidenţei prezenței dumneavoastră la locul de muncă și pontarea dumneavoastră;
  6. acordarea concediilor de care beneficiați;
  7. evaluarea performanței dumneavoastră la locul de muncă;
  8. acordarea oricăror remunerații sau beneficii care vi se cuvin în temeiul contractului individual de muncă sau al politicilor, regulamentelor sau altor asemenea aplicabile la nivelul cargo-partner;
  9. participarea dumneavoastră la cursuri de formare profesională;
  10. organizarea sănătății și securității în muncă la nivelul Societății;
  11. organizarea deplasărilor și călătoriilor în interes de serviciu;
  12. asigurarea securității datelor personale;
  13. desfășurarea auditurilor și anchetelor interne;
  14. gestionarea accesului dumneavoastră la resurse puse la dispoziţie în vederea derulării raportului de muncă.
  15. eliberare documente la cerere

In ceea ce privește prelucrarea datelor salariaților, aceasta se realizeaza de catre departamentele CITY INSURANCE și persoanele din cadrul acestora, care pot prelucra datele salariaților pentru scopuri legitime generate de calitatea de angajator

Principiile, scopurile legitime, raspunderile si responsabilitatile salariatiilor cu privire la prelucrarea datelor acestora sunt detaliate si se regasesc in Politica de confidentialitate cu privire la salariati.

13. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE PENTRU DERULAREA ACTIVITATII DE AUDIT INTERN SI EXTERN

  • Scopul este derularea activitatilor de audit intern si extern in cadrul City Insurance
  • Temeiul legal este interesul legitim al City Insurance pentru asigurarea conformitatii si legalitatii activitatii operationale in cadrul companiei

14. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE PRIN INTERMEDIUL SISTEMULUI DE CONTROL ACCES

Controlul de acces in cadrul CITY INSURANCE al angajaților și terților are ca scop asigurarea pazei si protecției persoanelor, bunurilor si valorilor, a imobilelor si a instalațiilor CITY INSURANCE, prevenirea și combaterea săvârșirii infracțiunilor, precum si a împrejmuirilor afectate acestora, avand ca temei legal interesul legitim al operatorului cu condiția ca acesta sa nu se prejudicieze drepturile si libertățile fundamentale sau interesul persoanelor vizate, iar datele obținute in urma acestei prelucrări nu vor fi utilizate in alte scopuri subsecvente.

15. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MONITORIZARE VIDEO

Supravegherea video se va efectua cu respectarea normelor statuate in legislația în vigoare și in normele emise de ANSPDCP:

  • Are ca scop asigurarea pazei si protecției persoanelor, bunurilor si valorilor, a imobilelor si a instalațiilor CITY INSURANCE, prevenirea și combaterea săvârșirii infracțiunilor, precum si a împrejmuirilor afectate acestora, avand ca temei legal interesul legitim al operatorului cu condiția sa nu se prejudicieze drepturile si libertățile fundamentale sau interesul persoanelor vizate.
  • Prelucrarea vizează orice imagine care permite identificarea directa sau indirecta a persoanelor fizice;
  • Camerele de supraveghere video sunt amplasate in locuri vizibile si sunt semnalizate corespunzător;
  • Prelucrarea datelor salariaților prin mijloace de supraveghere video (de ex. casierie, tezaur, casete valori) este permisa pentru îndeplinirea unor obligații legale exprese (asigurarea pazei si protecției bunurilor inclusiv prevenirea si combaterea săvârșirii infracțiunilor) sau in temeiul unui interes legitim, cu respectarea drepturilor salariaților, in special a informării prealabile a acestora.

16. RESPONSABILITĂȚILE SALARIAȚILOR SI ALE DEPARTAMENTELOR CITY INSURANCE PRIVIND PRELUCRAREA DATELOR

Toate departamentele CITY INSURANCE și toți salariații acesteia au obligația sa cunoască si sa respecte prevederile politicilor si procedurilor interne privind prelucrarea datelor și securitatea acestora precum si sa-si insuseasca clauzele din Acordul de Confidentialitate semnat. De asemenea, toate departamentele CITY INSURANCE au obligația să identifice și să transmită DPO activitățile desfășurate de respectivul departament ce presupun prelucrare de date cu caracter personal si sa actualizeze informațiile ori de cate ori intervin modificări.

Toate departamentele și toți salariații CITY INSURANCE sunt instruiți:

  • să prelucreze numai datele minime necesare îndeplinirii atribuțiilor de serviciu si sa acorde sprijin pentru realizarea evaluărilor/auditurilor specifice;
  • sa păstreze confidențialitatea datelor, a user-ului, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate/stocate date, in conformitate cu procedurile interne;
  • sa aducă de îndată la cunoștința DPO orice situație de încălcare a prevederilor legale sau a procedurilor interne ale CITY INSURANCE referitoare la protecția datelor;
  • sa acorde suport Operatorului (in funcție de responsabilități) in formularea răspunsurilor la solicitările ANSPDCP și ale persoanelor vizate.

Orice salariat al CITY INSURANCE care încalcă prevederile politicilor si procedurilor interne privind prelucrarea datelor și securitatea acestora sunt pasibili de sancțiuni disciplinare și, în măsura în care este cazul, și de tragere la răspundere civilă sau penală.

17. TRANSFERUL DE DATE IN AFARA UNIUNII EUROPENE (UE) ȘI A SPATIULUI ECONOMIC EUROPEAN (SEE)

Transferul de date cu caracter personal către o organizație internațională sau către un stat terț față de UE și SEE (SEE include atât UE, cât și Islanda, Liechestenstein și Norvegia) poate avea loc numai dacă organizația sau statul respectiv, către care se intenționează a se efectua transferul, pot să asigure un nivel de protecție adecvat confrom cerințelor din GDPR.

Transferul de date către o organizație internațională  sau către un stat a cărui legislație nu prevede un nivel de protecție cel puțin egal cu cel oferit de Regulament este posibil numai daca exista garanții suficiente cu privire la protecția drepturilor fundamentale ale persoanelor vizate și cu condiția să existe drepturi opozabile și căi de atac efective la dispoziția persoanelor vizate. Aceste garanții vor fi stabilite de CITY INSURANCE, cu respectarea GDPR, in contracte/acorduri încheiate cu furnizorii/prestatori de servicii către care se va realiza transferul datelor.

18. DREPTURILE PERSOANEI VIZATE

  • Dreptul de acces la Date

Orice Persoana vizata are dreptul de a obține de la CITY INSURANCE, atunci când aceasta acționează în calitatea sa de Operator, la cerere și in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu prelucrate de aceasta, iar în caz afirmativ, se vor furniza informațiile referitoare la: scopurile prelucrării; categoriile de date vizate; destinatarii sau categoriile de destinatari ale datelor, în special destinatari din țări terțe sau organizații internaționale, precum și a garanțiilor adecvate oferite în cazul unui astfel de transfer de date; acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; existența dreptului de a solicita CITY INSURANCE rectificarea sau ștergerea datelor ori restricționarea prelucrării lor sau a dreptului de a se opune prelucrării; dreptul de a depune o plângere în fața ANSPDCP; dacă datele nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora; existența unui proces decizional automatizat, inclusiv profilingul, precum și informații pertinente privind logica utilizată, semnificatia și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

  • Dreptul la rectificare

Persoana vizată are dreptul de a obține de la CITY INSURANCE, în calitate de operator de date, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

  • Dreptul la ștergerea datelor („dreptul de a fi uitat”)

Persoana vizată are dreptul de a obține ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar CITY INSURANCE va avea obligația de a șterge datele fără întârzieri nejustificate în cazul în care:

  1. datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  2. persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu mai există nici un alt temei legal pentru prelucrare;
  3. datele cu caracter personal au fost prelucrate ilegal;
  4. persoana vizata își exercita dreptul la opoziție in condițiile GDPR;
  5. datele trebuie șterse pentru respectarea unei obligații legale a operatorului;
  6. datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății minorilor in condițiile GDPR;
  7. datele cu caractere personal au fost colectate în legătură cu oferirea de informații ale societății către copii în condițiile GDPR.

CITY INSURANCE, în calitate de operator de date, poate refuza cererea de ștergere a datelor in următoarele condiții:

  1. prelucrarea este necesara pentru exercitarea dreptului la liberă exprimare și la informare;
  2. prelucrarea este necesara pentru respectarea unei obligații legale aplicabile operatorului;
  3. prelucrarea este necesară pentru rațiuni tinând de interesul public în domeniul sănătății publice, în condițiile resptrictive impuse de GDPR;
  4. prelucrarea este necesara în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în condițiile GDPR, în măsura în care exercitarea dreptului poate face imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
  5. prelucrarea este necesara pentru constatarea, exercitarea sau apărarea unui drept în instanță.
    • Dreptul la restricționarea prelucrării

Persoana vizată are dreptul de a obține din partea CITY INSURANCE, în calitate de operator de date, restricționarea prelucrării în următoarele cazuri:

  1. persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  2. prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  3. CITY INSURANCE nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar ele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  4. persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
  5. persoană vizată care a obținut restricționarea prelucrării este informată de către CITY INSURANCE înainte de ridicarea restricției de prelucrare.
    • Dreptul de opoziție

Persoana vizata are dreptul față de CITY INSURANCE:

  1. de a se opune in orice moment, din motive legate de situația sa particulară, ca datele care o vizează sa facă obiectul unei prelucrări întemeiate pe interesul public sau pe interesul legitim. În caz de opoziție, prelucrarea nu mai poate viza datele în cauza decât daca exista motive legitime și imperioase care justifică prelucrarea și care prevalează asupra drepturilor persoanei vizate sau daca scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
  2. de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o vizează să fie Prelucrate în scop de marketing direct, inclusiv in ceea ce privește crearea de profiluri in acest scop.
    • Dreptul la portabilitatea datelor

Persoana vizată are față de CITY INSURANCE dreptul de a primi – într-un format structurat, utilizat în mod curent și care poate fi citit automat – datele cu caracter personal care o privesc și pe care le-a furnizat către Societate și de a le transmite către un alt operator în cazul în care:

  1. prelucrarea se bazează pe consimțământ sau pe un contract; și
  2. prelucrarea este efectuată prin mijloace automate.

În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele sale să fie transmise direct de la CITY INSURANCE la alt operator atunci când acest lucru este fezabil din punct de vedere tehnic.

  • Dreptul de a nu fi supus unei decizii automate (inclusiv profiling-ul)

În acest sens, persoana vizată are față de CITY INSURANCE dreptul de a nu fi supus unei decizii bazate numai pe procesare automată (incluzand profiling-ul) și care să producă efecte legale față de persoana vizată sau care să o afecteze în mod semnificativ.

Acest drept nu se va aplica în următoarele situații de excepție, în care decizia automată:

  1. este necesară pentru încheierea sau executarea unui contract între persoana vizată și CITY INSURANCE;
  2. este autorizată prin dreptul Uniunii sau dreptul intern care se aplică CITY INSURANCE și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau
  3. are la bază consimțământul explicit al persoanei vizate.

În situațiile de la literele a) și c) din prezentul paragraf, CITY INSURANCE are obligația de a implementa măsurile corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

  • Dreptul de a se adresa justiției și/sau ANSPDCP

Persoana vizată ale cărei date personale sunt procesate de CITY INSURANCE are:

  1. dreptul de a depune plângere la ANSPDCP în cazul în care persoana vizata consideră că prelucrarea datelor sale este făcută cu încălcarea GDPR;
  2. dreptul de a formula acțiune în justiție în cazul în care persoana vizata consideră că prelucrarea datelor sale este făcută cu încălcarea GDPR.

19. RESPONSABILUL CU PROTECTIA DATELOR (DPO) DIN CADRUL CITY INSURANCE

DPO din cadrul CITY INSURANCE are următoarele atribuții:

  1. Furnizarea de informații și consiliere CITY INSURANCE si angajaților acesteia in ceea ce privește obligațiile care le revin in materia protecției datelor;
  2. Monitorizarea respectării dispozițiilor legale, atât din legislația primara, cat si cea secundara privind protecția datelor;
  3. Monitorizarea respectării politicilor si procedurilor operaționale si de securitate CITY INSURANCE în ceea ce privește protecția datelor cu caracter personal;
  4. Trasarea rolurilor si responsabilităților în ceea ce privește protecția datelor cu caracter personal;
  5. Promovarea acțiunilor de aducere la cunoștința / sensibilizare și de formare a personalului implicat în operațiunile de prelucrare;
  6. Efectuarea auditurilor de protecție a datelor cu caracter personal;
  7. Furnizarea de informații la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  8. Cooperarea cu autoritatea de supraveghere;
  9. Punct de contact pentru autoritatea de supraveghere, precum și pentru persoanele vizate.

DPO-ul din cadrul CITY INSURANCE trebuie sa respecte obligatiile de confidențialitate în ceea ce privește îndeplinirea atribuțiilor sale. DPO poate îndeplini și alte atribuții în cadrul CITY INSURANCE însă nici una dintre acestea nu implică existența vreunui conflict de interese.

Persoanele interesate pot contacta DPO din cadrul CITY INSURANCE la următoarele date de contact: dpo@cityinsurance.ro

 20. VALIDITATE ȘI GESTIONAREA DOCUMENTULUI

Revizia Nr. 1 intră în vigoare de la 01.10.2019.

Responsabilul pentru acest document este Operatorul de Date, care va revizui prezentul document cel puțin o dată pe an sau ori de câte ori e necesar.