POLITICA DE CONFIDENTIALITATE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

POLITICA DE CONFIDENTIALITATE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

  1. APLICABILITATE, SCOP, ADRESABILITATE

Această politică va permite City Insurance să respecte obligațiile legale și să asigure o mai bună abordare și gestionare a datelor cu caracter personal.

Această politică trebuie cunoscută de toți angajații, iar responsabilul pentru aplicarea sa este Operatorul de date (City Insurance).

Politica privind prelucrarea datelor cu caracter personal are ca scop stabilirea cadrului pentru elaborarea regulamentelor si procedurilor care implica prelucrări de date cu caracter personal precum si pentru asigurarea conformității cu normele si regulamentele in vigoare aplicabile. Acestea sunt obligatorii pentru toți angajații City Insurance, în calitate de persoane autorizate sa prelucreze date cu caracter personal cat și de persoane vizate ale caror date cu caracter personal sunt prelucrate.

In acest sens, in activitatea de Prelucrare a Datelor cu caracter personal ale persoanelor vizate, City Insurance asigură:

  • Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate de către companie si angajaților săi, in conformitate cu prevederile legale;
  • Respectarea principiilor de protecția datelor in activitățile operaționale ale companiei;
  • Transparenta in legătură cu categoriile de date cu caracter personal prelucrate in cadrul companiei, precum si in legătură cu scopurile prelucrărilor si destinatarii datelor cu caracter personal;

În cadrul CITY INSURANCE structura responsabilă cu gestionarea activității de prelucrare a datelor cu caracter personal este formata din Responsabilii de Proces. Orice comunicare intre persoanele vizate si Operatorul de date se va face prin intermediul adresei de e-mail dpo@cityinsurance.ro sau in scris la adresa de corespondeanta Strada Emanoil Porumbaru 93-95, parter , etaj1,2,4 si 5, sector 1 Bucuresti.

  1. DOCUMENTE DE REFERINȚĂ
  • Regulamentul (UE) 679/2016 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date;
  • Legea 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 679/2016 și de abrogare a Directivei 95/46/CE;
  • Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
  • Legea nr.365/2002 privind comerțul electronic;
  • Legislația secundara – decizii ANSPDCP, acte emise de Comitetul European pentru Protecția Datelor etc.
  1. DEFINITII

Datele cu caracter personal (Date) – orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice;

Categorii speciale de date cu caracter personal – orice informație care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice;

Prelucrarea datelor cu caracter personal (Prelucrare) – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Persoana vizata – o persoană fizică identificabilă care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. În cadrul City Insurance  se pot prelucra următoarele categorii de date, fără a se limita la acestea:

  1. Asigurați – pentru Datele prelucrate in scopul prestării serviciilor de evaluare daune auto;
  2. Angajați si colaboratorii City Insurance  (inclusiv persoanele fizice care desfășoară activități in cadrul City Insurance  in temeiul unui contract de leasing de personal sau angajații companiilor de asigurare ale căror date cu caracter personal sunt prelucrate) /membrii familiilor acestora – pentru Datele prelucrate in scopuri de resurse umane;
  3. Vizitatori/angajați – pentru Datele prelucrate in scopul monitorizării/asigurării securității persoanelor, spatiilor si/sau bunurilor publice/private.
  4. Persoanele fizice, reprezentanți ai persoanelor juridice cu care City Insurance  intra in contact in calitate de Client.

Operator – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoana împuternicită de către Operator (Împuternicit) – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Persoana autorizata sa prelucreze Date (Persoana autorizata) – Operatorul sau Împuternicitul sau persoanele fizice care, sub autoritatea directa a Operatorului sau a Împuternicitului, sunt autorizate sa prelucreze Date.

Parte Terță – o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

Consimțământ – orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Pseudonimizare –  înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. Principiile privind prelucrarea datelor cu caracter personal se aplica datelor pseudonimizate, întrucât acestea reprezintă date cu caracter personal.

Anonimizare – înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod care să fie ireversibil și care sa transforme datele astfel încât acestea să nu mai poată fi atribuite unei anume persoane vizate. Principiile privind prelucrarea datelor cu caracter personal nu se aplica datelor anonimizate, întrucât acestea nu mai reprezintă date cu caracter personal.

ANSPDCP– înseamnă autoritatea publică independentă de supraveghere din Romania, respectiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

GDPR – Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.

  1. PRINCIPII PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Prelucrarea se supune următoarelor principii:

  • Legalitate, echitate și transparență – datele vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată;
  • Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • Reducerea la minimum a datelor („minimizarea datelor”) – datele vor fi adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
  • Exactitate – datele vor fi exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
  • Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate;
  • Integritate și confidențialitate – datele vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;
  • Responsabilitate – datele vor fi prelucrate cu respectarea principiilor sus-menționate, iar CITY INSURANCE va fi responsabil sa demonstreze această respectare.

CITY INSURANCE se va asigura că respectă aceste principii atat în ceea ce privește activitățile sale curente, precum și în cazul în care în viitor va introduce noi tehnologii de prelucrarea a datelor, cum ar fi, fără a se limita la, noi sisteme IT.

  1. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

City Insurance urmărește efectuarea prelucrărilor de date cu îndeplinirea următoarelor condiții de legalitate, după caz:

Consimțământul – În cazul în care nu se aplică vreun alt temei de legalitate al prelucrării prevăzut mai jos, CITY INSURANCE va obține întotdeauna consimțământul persoanei vizate pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice. Pentru prelucrarea datelor cu caracter personal ale copiilor sub 16 ani va fi necesar consimțămânul părintelui sau al altui titular al autorității părintești.

Executarea/Încheierea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

Obligație legala – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

Interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de City Insurance sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Interes vital – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.

Interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

In toate cazurile, la momentul obținerii datelor City Insurance va informa Persoana vizata despre:

  • identitatea și datele de contact ale operatorului si, dacă este cazul, ale reprezentantului acestuia;
  • datele de contact ale DPO;
  • scopul in care se face prelucrarea datelor, precum si temeiul juridic (daca prelucrarea se face in temeiul intereselor legitime, acestea vor fi explicate);
  • destinatarii sau categoriile de destinatari ai datelor;
  • în cazul în care aceasta exită, intenția de a transfera datele in afara Uniunii Europene sau către o organizație internaționala, precum si menționarea garanțiilor aplicabile și a modului în care se poate obține o copie;
  • perioada de stocare a datelor sau criteriile utilizate pentru a o determina;
  • existenta drepturilor prevăzute de lege pentru persoana vizata, precum si condițiile in care pot fi exercitate;
  • existenta dreptului persoanei vizate de a-si retrage consimțământul atunci când prelucrarea se întemeiază pe consimțământ si nu mai exista alt temei de prelucrare;
  • dreptul dreptului persoanei vizate de a depune plângere la ANSPDCP;
  • daca furnizarea datelor cerute este o condiție necesară conform legii sau pentru încheierea sau executarea unui contract, dacă persoana vizată este obligată să furnizeze aceste date, precum si posibilele consecințe ale refuzului de a le furniza;
  • informații despre existenta unui proces decizional automatizat, daca este cazul, precum si informații utile legate de logica utilizata, semnificația si consecin’ele eventuale ale prelucrării;
  • orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând seama de specificul prelucrării.

În cazul în care CITY INSURANCE nu obține datele direct de la persoana vizată, Societatea este obligata sa furnizeze acestora, în plus față de informațiile prevăzute mai sus:

  • categoriile de date personale colectate;
  • din ce sursă a obținut datele respective (inclusiv dacă este vorba despre o sursă publică).

În aceste cazuri, în care CITY INSURANCE nu obține datele direct de la persoana vizată:

  • Societatea va informa persoana vizată într-un termen rezonabil după obținerea datelor, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele;
  • dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă;
  • dacă se intenționează divulgarea datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Durata de Prelucrare este limitata in funcție de termenele de retenție ale datelor raportat la scopul pentru care au fost colectate datele pentru activitățile de prelucrare. Durata de prelucrare a datelor cu caracter personal poate fi exprimata in unități temporale (ani/luni) sau prin referire la un eveniment viitor (ex: finalizarea relațiilor contractuale etc).

CITY INSURANCE va menține acuratețea, integritatea, confidențialitatea și relevanța datelor cu caracter personal colectate în raport de scopul pentru care au fost colectate.

CITY INSURANCE aplică măsurile tehnice si organizatorice adecvate pentru protejarea datelor împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectiva comporta transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegala. Aceste măsuri asigură un nivel de securitate adecvat in ceea ce privește riscurile pe care le reprezintă prelucrarea, precum si in ceea ce privește natura datelor care trebuie protejate.

CITY INSURANCE are implementata o politica de securitate IT care prezintă principiile de securitate și măsurile care trebuie respectate in cadrul companiei pentru a menține siguranța informațiilor, inclusiv a datelor cu caracter personal, a procesărilor și a sistemelor informatice la un nivel adecvat.

Incidentul in domeniul protecției Datelor, stocate sau transmise, reprezintă orice eveniment care afectează confidențialitatea, integritatea sau disponibilitatea acestor date.

Orice incident care afectează securitatea datelor cu caracter personal prelucrate de CITY INSURANCE și care prezintă un grad de risc mai mare decat acceptabil față de drepturile și libertățile persoanelor va fi notificat de către CITY INSURANCE către ANSPDCP in maxim 72 de ore de la momentul la care Societatea a luat la cunoștința despre incident.

PROCESE DE PRELUCRARE A DATELOR CU CARACTER PERSONAL CITY INSURANCE

  1. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATII DE OFERTARE SEMNARE SI DERULARE A POLITELOR/CONTRACTELOR DE ASIGURARE
  • Scopul prelucrarii datelor cu caracter personal este derularea activitatii de ofertare semnare si derulare a politelor/contractelor de asigurare. Prelucrarile conexe desfasurate sunt urmatoareale:

-ofertare si emitere polita/contract de Asigurare

-reasigurare dauna RCA

-reasigurare polita de asigurare facultativa

-derulare dauna externa carte verde

-derulare dauna interna

  • Temeiul legal al prelucrarilor este art. 6.1b GDPR – prelucrarea este necesara pentru derularea contractului de asigurare la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inaite de incheierea acestuia.

In cazul colectarii de date personale cu caracter special ( de sanatate/medicale) operatorul va folosi consimtamantul persoanelor vizate ca derogare pentru utilizarea acestora

Prelucrarea Datelor aparținând părților interesate-pagubiti

In cazul operațiunilor desfășurate de CITY INSURANCE cu părtile interesate -pagubiti-, CITY INSURANCE furnizează informațiile cu privire la prelucrarea datelor cu caracter personal ale acestora prin clauzele specifice inserate in documentele utilizate de Societate anterior inițierii prelucrarilor. Temeiul legal al prelucrarii este art. 6.1.b GDPR – prelucrarea este necesara pentru derularea cererii de despagubire la care persoana vizata este parte. In cazul colectarii de date personale cu caracter special ( de sanatate/medicale) operatorul va folosi consimtamantul persoanelor vizate ca derogare pentru utilizarea acestora.

  • Persoane vizate: persoane ce fac demersuri pentru semnarea unui contract/polita de asigurare, persoanele asigurate, , persoane interesate-pagubitii, reprezentanti ai celor trei categorii antementionate ce le reprezinta in derularea activitatilor de ofertare, contractare si derulare contract/polita de asigurare.
  • Date cu caracter personal: Nume, prenume, CNP / Cod de identificare fiscală, Adresa de domiciliu/ reședință, Sexul, Statut marital – date din actele de stare civilă, Modalități de contact-adresa de mail, număr de telefon/fax, Modalități de contact-adresa de mail, număr de telefon/fax, Copii ale documentelor BI/ CI/ Pașaport, Copii ale documentelor permis de conducere / certificat de înmatriculare/ carte de identitate vehicul, Naționalitate, Ocupația, Funcția, Informații despre angajatorul current, Date despre persoane aflate în întreținere sau membrii ai familiei, Date privind bunurile detinute, Imagine; Locație; Adresa IP captată la utilizarea website-urilor si aplicatiilor City Insurance, Informații bancare-IBAN, card debit/ credit, Semnătură (olografa sau în format digital), Date personale sensibile- date medicale (privind starea de sanatate fizica și psihica sau afectiunile medicale declarate in chestionarele medicale si care rezulta din analizele medicale efectuate la incheierea unui contract de asigurare, datele medicale colectate de la furnizorii de servicii medicale pentru decontarea serviciilor accesate de catre asigurat, datele medicale colectate in procesul de despagubire in cazul unui eveniment asigurat), Datele cu caracter personal care apartn minorilor sub 16 ani.

În cazul persoanelor care furnizează date cu caracter personal aferente altor persoane care sunt parte în contractul de asigurare, acestea își asumă responsabilitatea transmiterii conținutului prezentului document și au obținut acordul acestora (inclusiv al titularului răspunderii părintești asupra minorilor cu vârsta sub 16 ani nominalizați în contractul de asigurare).

Datele dvs.cu caracter personal pot face obiectul unui proces decizional automatizat incluzând crearea de profiluri pentru evaluarea riscurilor asigurate, calculul primelor de asigurare și determinarea calculului despăgubirilor, detectării și prevenirii potențialelor fraude, precum și al combaterii spălării banilor sau finanţarii terorismului, aplicării sancțiunilor internațional, alte obligații ca rezultat al legislației în vigoare.

  • Durata de prelucrare: durata de valabilitate a contractului/politei de asigurare la care se adauga o perioda de arhivare de 10 ani.
  1. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE SEMNARE SI DERULARE A CONTRACTULUI DE FURNIZARE PRODUSE SI/SAU PRESTĂRI SERVICII
  • Scopul prelucrarii datelor cu caracter personal este derularea activitatii de furnizare de produse si servicii de catre un prestator/furnizor/partener/intermediar pentru operatorul CITY INSURANCE, în baza unui contract de prestări servicii de orice tip încheiat intre CITY INSURANCE si terțul respectiv (care poate avea calitatea de Operator Asociat sau de Persoana imputernicita de Operator pentru procesarea datelor cu caracter personal din punct de vedere al GDPR). Aceste contracte vor fi încheiate în scris și vor include o serie de clauze specifice, prin care terții respectivi să furnizeze CITY INSURANCE garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR și să asigure protecția drepturilor persoanei vizate.
  • Temeiul legal al prelucrarii este art. 6.1b GDPR – prelucrarea este necesara pentru derularea contractului de furnizare produse/prestari servicii la care persoanele vizate sunt parte sau pentru a face demersuri la cererea persoanelor vizate inainte de incheierea acestuia.
  • Persoane vizate: reprezentanții părţilor contractante autorizaţi să angajeze şi să deruleze contractele de furnizare de produse şi servicii, alte persoane specifice obiectului contractelor.
  • Date cu caracter personal:

-Date de identificare: numele complet, funcţie, loc de muncă, semnătura;

-Date de contact: numărul de telefon și adresa de e-mail, adresa de corespondenţă;

-Alte date cu caracter personal derivate din obiectul specific al contractelor.

  • Durata de prelucrare: durata de derulare a contractelor la care se adăuga o perioadă de arhivare de 10 ani de zile.
  1. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATILOR DE INVESTIGARE ANTIFRAUDA SI GESTIONAREA PETITIILOR SI RECLAMATIILOR
  • Scop: derularea activitatii de analiza a situatiilor ce prezinta un potential caracter fraudulos in scopul solutionarilor acestora , verificarea contractelor incheiate si politelor de asigurare in cazul unei suspiciuni de spalare de bani precum si analiza si rezolvarea petitiilor si reclamatiilor.
  • Temeiul legal: interesului legitim urmărit de operator pentru protejarea intereselor organizatiei precum si pentru asigurarea conformitatii si legalitatii activitatii desfasurate.
  • Persoane vizate: toate persoanele implicate în activitatile de investigare antifrauda si/sau soluționarea petitiilor si reclamațiilor.
  • Date cu caracter personal: Date de identificare: nume şi prenume, loc de muncă, funcție, telefon, adresă de e-mail – Alte date relevante pentru derularea activitatilor de investigare antifrauda si/sau soluționarea petitiilor si reclamațiilor.
  • Durata de prelucrare: în funcţie de speţa, conform legislaţiei în vigoare, și ulterior pe o perioadă de 10 ani de la soluţionarea situatiilor si/sau petitiilor si reclamaţiilor.
  1. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATII DE SOLUTIONARE A LITIGIILOR
  • Scop: Derularea activității specifice soluționării litigiilor.
  • Temeiul legal: Interesului legitim urmărit de operator pentru protejarea intereselor
  • Persoane vizate: toate persoanele implicate în soluționarea litigiilor.
  • Date cu caracter personal: Date de identificare: nume şi prenume, loc de muncă, funcție, telefon, adresă de e-mail – Alte date relevante pentru derularea soluţionării litigiilor.
  • Durata de prelucrare: în funcţie de speţa, conform legislaţiei în vigoare, și ulterior pe o perioadă de 10 ani de la soluţionarea litigiilor.

 

  1. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MANAGEMENT AL ACTIVITATII DE MARKETING SI ORGANIZARE DE EVENIMENTE
  • Scop: Promovarea companiei şi imaginii acesteia prin derularea activitatii de reclama/marketing/publicitate si de promovare a produselor si serviciilor City Insurance
  • Temeiul legal: poate fi depinzand de fiecare situatie in parte:

–  consimțământul expres si neechivoc (obținut prin bifarea opțiunii de acceptare sau firmative, de exmplu „Da” sau „Accept” in format letric sau in format electronic) pentru primirea de comunicări din partea CITY INSURANCE in astfel de scopuri. Persoana vizata are dreptul de a-si retrage consimtamantul dat în orice moment, în mod gratuit și fără nicio justificare.

 sau

–  interesul legitim promovarea imaginii, produselor si serviciilor companiei. Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nicio justificare.

  • Persoane vizate: Personalul angajat, personal beneficiari (potentiali beneficiari) sau furnizori alţi invitaţi la evenimente.
  • Date cu caracter personal: Date de identificare: numele complet, data nașterii, sexul, domiciliul/reședința, locul de muncă – Date de contact: numărul de telefon și adresa de e-mail – Alte date cu caracter personal specifice unui tip de eveniment;
  • Durata de prelucrare: durata evenimentului la care se adăuga o perioadă de stocare de 10 ani.
  1. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE RECRUTARE SI SELECTIE CANDIDATI
  • Scopul prelucrarii datelor cu caracter personal este derularea activitatii de selectie si recrutare personal.
  • Temeiul legal al prelucrarii este art. 6 alin. 1 lit. b) din Regulamentul 679/2016,  demersuri facute la cererea persoanelor vizate, înainte de şi în vederea încheierii contractului individual de muncă sau a unei alte convenții cu efecte similare, in vederea  verificarii îndeplinirii condițiilor legale pentru ocuparea postului pentru care acestea candideaza.

În cazul în care nu veți fi recrutat pentru postul avut în vedere, datele dumneavoastră cu caracter personal vor putea fi prelucrate, pentru recrutări viitoare derulate de City Insurance, numai dacă vă dați consimțământul expres în acest sens- art. 6 alin. 1 lit. a) din Regulamentul 679/2016.

  • Persoane vizate: candidaţii pentru pozitiile declarate disponibile.
  • Date cu caracter personal:

-Date de identificare: numele complet, data nașterii, sexul, domiciliul/ reședința, cetățenia;

-Date de contact: numărul de telefon și adresa de e-mail;

-Date privind studiile urmate şi calificările obținute;

-Date privind experiența profesională anterioară;

-Date necesare pentru confirmarea obligației legale de angajare în România (pentru persoane ce nu sunt cetățeni ai UE);

-Date de identificare ale persoanei ce face recomandare (nume, prenume, loc de munca, funcție, telefon, e-mail)

-Date suplimentare furnizate în mod voluntar de dumneavoastră în CV sau în vederea încheierii contractului individual de muncă (e.g. fotografie, hobby-uri, date privind deținerea unui permis de conducere, permis de ședere, certificat de înregistrare a rezidenței, starea civilă etc.);

-Cazier judiciar, scrining de integritate (portalul ministerului de justiţie).

  • Durata de prelucrare: durata procesului de recrutare şi selecţie la care se adaugă un an după finalizarea acestuia, pt apărarea companiei împotriva oricăror plângeri făcute de candidaţi – art. 20 coroborat cu art. 8 din ord 37/2000 privind prevenirea şi sancţionarea tuturor formelor de discriminare.
  1. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE PENTRU DERULAREA ACTIVITATII DE AUDIT INTERN SI EXTERN
  • Scopul este derularea activitatii de audit extern si intern, participarea angajatilor la efectuarea acestor audituri pentru verificarea activitatilor operationale inclusiv, audituri financiare, ale sistemelor de management ISO 9001 si in conformitate cu cerintele din Directiva Solvancy II in cadrul City Insurance
  • Temeiul legal este interesul legitim al City Insurance pentru asigurarea conformitatii si legalitatii activitatii operationale in cadrul companiei
  • Persoane vizate: Managerii si angajatii departamentelor sau proceselor auditate, precum si persoanele ale caror date cu caracter personal sunt continute in documentatia specifica auditata.
  • Date cu caracter personal: nume, prenume, telefon, adresa de email, functie, precum si date cu caracter personal continute in documentatia operationala specifica auditata
  • Durata de prelucrare: Datele sunt prelucrate pe durata derularii activitatii de audit si stocate ulterior pe o perioada de 3 ani pentru consultare si verificare a conformitatii pe durata derularii activitatii de implementare a masurilor corective. Dupa expirarea acestei perioade sunt arhivate pentru o perioada de 5 ani. 

 

  1. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE PRIN INTERMEDIUL SISTEMULUI DE CONTROL ACCES
  • Scop: Protectia proprietatii private si prevenirea infractionalitatii, asigurarea pazei si protecției persoanelor, bunurilor si valorilor, a imobilelor si a instalațiilor CITY INSURANCE.
  • Legalitate: Interesul legitim al companiei pentru protejarea proprietatii private si prevenirea infractionalitatii.
  • Persoane vizate: personalul angajat, vizitatorii.
  • Date cu caracter personal: nume, prenume, localizare in timp si spatiu
  1. ACTIVITATILE DE PRELUCRARE A DATELOR REALIZATE IN PROCESUL DE MONITORIZARE VIDEO

Supravegherea video se va efectua cu respectarea normelor statuate in legislația în vigoare și in normele emise de ANSPDCP. Camerele de supraveghere video sunt amplasate in locuri vizibile si sunt semnalizate corespunzător.

  • Scop: Protectia proprietatii private si prevenirea infractionalitatii, asigurarea pazei si protecției persoanelor, bunurilor si valorilor, a imobilelor si a instalațiilor CITY INSURANCE.
  • Legalitate: Interesul legitim al companiei pentru protejarea proprietatii private si prevenirea infractionalitatii.
  • Persoane vizate: personalul angajat, vizitatorii.
  • Date cu caracter personal: imagine video, localizare in timp
  • Durata de prelucrare: 30 de zile
  1. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE PENTRU ASIGURAREA SECURITATII SISTEMULUI INFORMATIONAL SI A COMUNICATIILOR ELECTRONICE IN CADRUL CITY INSURANCE
  • Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice, prevenirea si/sau detectarea fraudelor, preîntâmpinării scurgerii informației care conține date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele de telecomunicații și resursele informaționale; respectării cadrului normativ de folosire a sistemelor informaționale și a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în rețelele de  telecomunicații și resurselor informaționale; păstrării posibilităților de gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal, precum si protecția reputației CITY INSURANCE. Vizează, de asemenea, urmărirea evoluției amenințărilor aferente sistemelor informatice și mai ales riscurile de natură logică (intruziune, blocarea serviciilor, etc.). Prelucrările vizează doar datele de trafic si datele de acces/transmitere a corespondentei;
  • Are ca temei legal interesul legitim al operatorului pentru pastrarea confidentialitatii informatiilor si asigurarea respectarii prevederilor legale in vigoare care reglementeaza activitatea companiei;
  • Cu toate acestea, accesarea /monitorizarea datelor de conținut este realizata numai in circumstanțe excepționale temeinic justificate precum si in cazurile determinate de necesitatea îndeplinirii unor prevederi legale;
  • Angajații vor fi informați la angajare, precum si ori de cate ori este cazul, despre modul de utilizare a conexiunii la internet si e-mail, precum si despre excepțiile aplicabile.
  1. RESPONSABILITĂȚILE SALARIAȚILOR SI ALE DEPARTAMENTELOR CITY INSURANCE PRIVIND PRELUCRAREA DATELOR

Toate departamentele CITY INSURANCE și toți salariații acesteia au obligația sa cunoască si sa respecte prevederile politicilor si procedurilor interne privind prelucrarea datelor și securitatea acestora precum si sa respecte clauzele din Acordul de Confidentialitate semnat. De asemenea, toate departamentele CITY INSURANCE au obligația să identifice și să transmită DPO activitățile desfășurate de respectivul departament ce presupun prelucrare de date cu caracter personal si sa actualizeze informațiile ori de cate ori intervin modificări.

Toate departamentele și toți salariații CITY INSURANCE sunt instruiți:

  • să prelucreze numai datele minime necesare îndeplinirii atribuțiilor de serviciu si sa acorde sprijin pentru realizarea evaluărilor/auditurilor specifice;
  • sa păstreze confidențialitatea datelor, a user-ului, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate/stocate date, in conformitate cu procedurile interne;
  • sa aducă de îndată la cunoștința DPO orice situație de încălcare a prevederilor legale sau a procedurilor interne ale CITY INSURANCE referitoare la protecția datelor;
  • sa acorde suport Operatorului (in funcție de responsabilități) in formularea răspunsurilor la solicitările ANSPDCP și ale persoanelor vizate.

Orice salariat al CITY INSURANCE care încalcă prevederile politicilor si procedurilor interne privind prelucrarea datelor și securitatea acestora sunt pasibili de sancțiuni disciplinare și, în măsura în care este cazul, și de tragere la răspundere civilă sau penală.

  1. TRANSFERUL DE DATE IN AFARA UNIUNII EUROPENE (UE) ȘI A SPATIULUI ECONOMIC EUROPEAN (SEE)

Transferul de date cu caracter personal către o organizație internațională sau către un stat terț față de UE și SEE (SEE include atât UE, cât și Islanda, Liechestenstein și Norvegia) poate avea loc numai dacă organizația sau statul respectiv, către care se intenționează a se efectua transferul, pot să asigure un nivel de protecție adecvat confrom cerințelor din GDPR.

Transferul de date către o organizație internațională  sau către un stat a cărui legislație nu prevede un nivel de protecție cel puțin egal cu cel oferit de Regulament este posibil numai daca exista garanții suficiente cu privire la protecția drepturilor fundamentale ale persoanelor vizate și cu condiția să existe drepturi opozabile și căi de atac efective la dispoziția persoanelor vizate. Aceste garanții vor fi stabilite de CITY INSURANCE, cu respectarea GDPR, in contracte/acorduri încheiate cu furnizorii/prestatori de servicii către care se va realiza transferul datelor.

  1. DREPTURILE PERSOANEI VIZATE

Dreptul de acces la Datele cu Caracter Personal

Orice Persoana vizata are dreptul de a obține de la CITY INSURANCE, atunci când aceasta acționează în calitatea sa de Operator, la cerere și in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu prelucrate de aceasta, iar în caz afirmativ, se vor furniza informațiile referitoare la: scopurile prelucrării; categoriile de date vizate; destinatarii sau categoriile de destinatari ale datelor, în special destinatari din țări terțe sau organizații internaționale, precum și a garanțiilor adecvate oferite în cazul unui astfel de transfer de date; acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; existența dreptului de a solicita CITY INSURANCE rectificarea sau ștergerea datelor ori restricționarea prelucrării lor sau a dreptului de a se opune prelucrării; dreptul de a depune o plângere în fața ANSPDCP; dacă datele nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora; existența unui proces decizional automatizat, inclusiv profilingul, precum și informații pertinente privind logica utilizată, semnificatia și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Dreptul la rectificare

Persoana vizată are dreptul de a obține de la CITY INSURANCE, în calitate de operator de date, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

Dreptul la ștergerea datelor („dreptul de a fi uitat”)

Persoana vizată are dreptul de a obține ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar CITY INSURANCE va avea obligația de a șterge datele fără întârzieri nejustificate în cazul în care:

  1. datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  2. persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu mai există nici un alt temei legal pentru prelucrare;
  3. datele cu caracter personal au fost prelucrate ilegal;
  4. persoana vizata își exercita dreptul la opoziție in condițiile GDPR;
  5. datele trebuie șterse pentru respectarea unei obligații legale a operatorului;
  6. datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății minorilor in condițiile GDPR;
  7. datele cu caractere personal au fost colectate în legătură cu oferirea de informații ale societății către copii în condițiile GDPR.

CITY INSURANCE, în calitate de operator de date, poate refuza cererea de ștergere a datelor in următoarele condiții:

  1. prelucrarea este necesara pentru exercitarea dreptului la liberă exprimare și la informare;
  2. prelucrarea este necesara pentru respectarea unei obligații legale aplicabile operatorului;
  3. prelucrarea este necesară pentru rațiuni tinând de interesul public în domeniul sănătății publice, în condițiile resptrictive impuse de GDPR;
  4. prelucrarea este necesara în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în condițiile GDPR, în măsura în care exercitarea dreptului poate face imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
  5. prelucrarea este necesara pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Dreptul la restricționarea prelucrării

Persoana vizată are dreptul de a obține din partea CITY INSURANCE, în calitate de operator de date, restricționarea prelucrării în următoarele cazuri:

  1. persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  2. prelucrarea este ilegală, iar persoana viza     tă se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  3. CITY INSURANCE nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar ele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  4. persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
  5. persoană vizată care a obținut restricționarea prelucrării este informată de către CITY INSURANCE înainte de ridicarea restricției de prelucrare.

Dreptul la opozitie

Persoana vizata are dreptul față de CITY INSURANCE:

  1. de a se opune in orice moment, din motive legate de situația sa particulară, ca datele care o vizează sa facă obiectul unei prelucrări întemeiate pe interesul public sau pe interesul legitim. În caz de opoziție, prelucrarea nu mai poate viza datele în cauza decât daca exista motive legitime și imperioase care justifică prelucrarea și care prevalează asupra drepturilor persoanei vizate sau daca scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
  2. de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o vizează să fie Prelucrate în scop de marketing direct, inclusiv in ceea ce privește crearea de profiluri in acest scop.

 

Dreptul la portabilitatea datelor

Persoana vizată are față de CITY INSURANCE dreptul de a primi – într-un format structurat, utilizat în mod curent și care poate fi citit automat – datele cu caracter personal care o privesc și pe care le-a furnizat către Societate și de a le transmite către un alt operator în cazul în care:

  1. prelucrarea se bazează pe consimțământ sau pe un contract; și
  2. prelucrarea este efectuată prin mijloace automate.

În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele sale să fie transmise direct de la CITY INSURANCE la alt operator atunci când acest lucru este fezabil din punct de vedere tehnic.

Dreptul de a nu fi supus unei decizii automate (inclusiv profiling-ul)

În acest sens, persoana vizată are față de CITY INSURANCE dreptul de a nu fi supus unei decizii bazate numai pe procesare automată (incluzand profiling-ul) și care să producă efecte legale față de persoana vizată sau care să o afecteze în mod semnificativ.

Acest drept nu se va aplica în următoarele situații de excepție, în care decizia automată:

  1. este necesară pentru încheierea sau executarea unui contract între persoana vizată și CITY INSURANCE;
  2. este autorizată prin dreptul Uniunii sau dreptul intern care se aplică CITY INSURANCE și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau
  3. are la bază consimțământul explicit al persoanei vizate.

În situațiile de la literele a) și c) din prezentul paragraf, CITY INSURANCE are obligația de a implementa măsurile corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

Dreptul de a se adresa justiției și/sau ANSPDCP

Persoana vizată ale cărei date personale sunt procesate de CITY INSURANCE are:

  1. dreptul de a depune plângere la ANSPDCP în cazul în care persoana vizata consideră că prelucrarea datelor sale este făcută cu încălcarea GDPR;
  2. dreptul de a formula acțiune în justiție în cazul în care persoana vizata consideră că prelucrarea datelor sale este făcută cu încălcarea GDPR.
  1. RESPONSABILUL CU PROTECTIA DATELOR (DPO) DIN CADRUL CITY INSURANCE

DPO din cadrul CITY INSURANCE are următoarele atribuții:

  1. Furnizarea de informații și consiliere CITY INSURANCE si angajaților acesteia in ceea ce privește obligațiile care le revin in materia protecției datelor;
  2. Monitorizarea respectării dispozițiilor legale, atât din legislația primara, cat si cea secundara privind protecția datelor;
  3. Monitorizarea respectării politicilor si procedurilor operaționale si de securitate CITY INSURANCE în ceea ce privește protecția datelor cu caracter personal;
  4. Furnizarea de consiliere Operatorului privind alocarea rolurilor si responsabilităților în ceea ce privește protecția datelor cu caracter personal;
  5. Promovarea acțiunilor de aducere la cunoștința / sensibilizare și de formare a personalului implicat în operațiunile de prelucrare;
  6. Efectuarea auditurilor de protecție a datelor cu caracter personal;
  7. Furnizarea de informații la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  8. Cooperarea cu autoritatea de supraveghere;
  9. Punct de contact pentru autoritatea de supraveghere, precum și pentru persoanele vizate.

DPO-ul din cadrul CITY INSURANCE trebuie sa respecte obligatiile de confidențialitate în ceea ce privește îndeplinirea atribuțiilor sale. DPO poate îndeplini și alte atribuții în cadrul CITY INSURANCE cu conditia ca niciuna dintre acestea sa nu implice existența vreunui conflict de interese.

Persoanele interesate pot contacta DPO din cadrul CITY INSURANCE la următoarele date de contact: dpo@cityinsurance.ro

  1. VALIDITATE ȘI GESTIONAREA DOCUMENTULUI

Revizia Nr. 2 intră în vigoare de la 15.02.2020.

Responsabilul pentru acest document este Operatorul de Date, care va revizui prezentul document cel puțin o dată pe an sau ori de câte ori e necesar.