Politica de Confidențialitate — Asigurări

     Începând cu data de 25.05.2018 devine aplicabil Regulamentul general al Uniunii Europene 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în cele ce urmează și "Regulamentul"). Scopul principal al Regulamentului constă în asigurarea unui nivel crescut de protecție a datelor cu caracter personal precum și crearea unui cadru de încredere astfel încât dumneavoastră să aveți posibilitatea de a deține controlul asupra propriilor date.      

Renomia Insurance Reinsurance Broker SRL ("Renomia") vă aduce la cunoștință pe această cale următoarele informații esențiale privitoare la drepturile pe care le aveți în conformitate cu dispozițiile Regulamentului:

(1) Ce date cu caracter personal prelucrăm?Datele personale pe care le prelucrăm sunt, în principal, datele de pe copiile cărților de identitate sau alte documente de identificare, adresa de reședință, adresă de e-mail, număr de telefon, date despre sănătatea dumneavoastră, atunci cand este cazul, precum și orice alte date necesare în vederea furnizării serviciilor sau produselor noastre.În situația în care, în vederea încheierii unui contract de asigurare / poliță de asigurare, sunt necesare și date cu caracter personal ale unor terțe persoane avem rugămintea să comunicați o copie de pe prezenta informare și persoanei în cauză iar în conformitate cu dispozițiile Regulamentului aveți obligația să obțineți consimțământul acestei persoane. Atunci când terța persoană este un minor obținerea consimțământului se va da de către părintele sau tutorele minorului.
(2) În ce scop colectăm datele dumneavoastră cu caracter personal?Datele cu caracter personal sunt colectate: (i) în scopul încheierii de polițe de asigurare sau contracte de asigurare, (ii) în vederea executării în bune condiții a obligațiilor asumate prin contractele de asigurare / polițele de asigurare precum, enumerăm cu titlu de exemplu, instrumentarea și soluționarea daunelor, exercitarea dreptului de regres, (iii) pentru reînnoirea contractelor de asigurare / polițelor de asigurare. Fără a avea aceste date cu caracter personal ne aflăm în imposibilitatea de a încheia contractele de asigurare sau polițele de asigurare cu dumneavoastră și în consecință nu veți putea beneficia de serviciile noastre.De asemenea, datele dumneavoastră cu caracter personal vor fi prelucrate și în vederea îndeplinirii unor obligații ce rezultă din dispozițiile legale aplicabile sau în conformitate cu cerințele altor autorități publice locale sau centrale precum și în conformitate cu cerințele ASF.Pentru situațiile în care scopul prelucrării datelor dumneavoastră cu caracter personal este marketingul și/sau scopurile statistice, datele cu caracter personal nu vor fi prelucrate decât în cazul în care avem consimțământul dumneavoastră prealabil exprimat în acest sens.
(3) Drepturile pe care le aveți în baza Regulamentului.(i) Dreptul de acces al persoanei vizate. În vederea exercitării dreptului de acces puteți oricând să ne contactați cu o solicitare în acest sens în vederea obținerii un raport al datelor cu caracter personal. Ne puteți contacta la următoarea adresă de e-mail cristian.nitu@renomia.ro sau la adresa sediului social Bucuresti, Str. Grigore Alexandrescu 89-97, corp A, etaj 6, Sector 1.(ii) Dreptul de rectificare. Aveți dreptul de a obține rectificarea datelor cu caracter personal atunci când acestea sunt incorecte sau au suferit anumite modificări sau necesită a fi completate.(iii) Dreptul la ștergere. Aveți dreptul de a solicita stergerea datelor cu caracter personal după cum urmează: i) atunci cand datele nu mai sunt necesare în scopul pentru care au fost colectate sau prelucrate, ii) dacă doriți să vă retrageți consimțământul pe baza căruia are loc prelucrarea, iii) dacă doriți să formulați obiecții cu privire la prelucrarea datelor cu caracter personal, iv) sau dacă datele cu caracter personal au fost procesate în mod ilegal sau o dispoziție legală în vigoare impune ștergerea acestora.(iv) Dreptul la restricționarea prelucrării. Aveți dreptul de a obține restricționarea prelucrării, acolo unde unul dintre următoarele cazuri se aplică: i) acuratețea datelor personale este contestată, ii) prelucrarea este ilegală și vă opuneți ștergerii datelor cu caracter personal, dar solicitați în schimb restrictionarea utilizării acestora, iii) Renomia nu mai are nevoie de datele personale cu scopul de a le prelucra, dar dumneavoastră solicitați restricționarea prelucrării pentru unitate, în vederea exercitării unor drepturi, iv) vă opuneți prelucrarii în conformitate cu articolul 21(1) din Regulament până la verificarea dacă temeiurile legitime ale Renomia prevalează asupra celor ale dumnevoastră.(v) Dreptul la portabilitatea datelor. Aveți dreptul să solicitați transferarea datelor cu caracter personal către o terță persoană.(vi) Dreptul la opoziție. Aveți dreptul de a vă opune oricând, din motive care au legătură cu o situație particulară, la prelucrarea datelor personale, fapt care se bazează pe punctele (e) și (f) din Articolul 6 (1) din Regulament.(vii) Dreptul de a retrage consimțământul. Aveți dreptul să vă retrageți consimțământul cu privire la prelucrarea datelor cu caracter personal în orice moment, acolo unde datele cu caracter personal sunt prelucrate în baza consimțământului.(viii) Dreptul de a formula o plângere autorității de supraveghere. În cazul în care apreciați că drepturile dumneavoastră legitime în legătură cu operațiunile de prelucrare a datelor personale au fost încălcate, vă puteți adresa cu o plângere în acest sens Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu sediul in B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod postal 010336, Bucuresti, România.
(4) Către cine transmitem datele cu caracter personal?În anumite situații, pentru a ne îndeplini obligațiile contractuale în bune condiții și în conformitate cu dispozițiile legale în vigoare, datele dumneavoastră cu caracter personal sunt comunicate și unor terțe părți, după cum urmează, enumerăm cu titlu de exemplu: (i) consultanților externi care ne acordă consultanță sau ne asistă în exercitarea și apărarea drepturilor precum și organelor judiciare din țară sau autorităților publice centrale și locale, (ii) instituțiilor financiar bancare, (iii) societăților de asigurare și reasigurare cu care ne aflăm în relații contractuale în legătură cu prestarea serviciilor de asigurare, (iv) furnizorilor de servicii percum prestatorii de servicii IT (mentenanță, dezvoltare software), arhivare în format fizic și / sau electronic, prestatorilor de servicii de curierat, furnizorilor de servicii privind transmiterea comunicărilor de marketing, prestatorilor de servicii în domeniul sănătății și medicinii.
(5) Cât timp sunt stocate datele cu caracter personal?Renomia va prelucra datele cu caracter personal pe întreaga durată a contractului de asigurare / poliței de asigurare la care se va adăuga perioada de timp necesară pentru exercitarea drepturilor ce rezultă din contractele de asigurare / polițele de asigurare. După expirarea acestei perioade, datele cu caracter personal sunt șterse cu excepția acelor date cu caracter personal care fac parte din acte / documente pentru care legea prevede un termen de arhivare iar la expirarea termenului legal de arhivare acestea vor fi distruse.
(6) Protejarea datelor cu caracter personalRenomia aplică un cadru intern de politici și standarde minime privind protecția datelor cu caracter personal. Aceste politici și standarde sunt actualizate periodic pentru a corespunde reglementărilor și evoluției pieței. În conformitate cu dispozițiile legale în vigoare luăm măsuri tehnice și organizatorice adecvate (politici, proceduri, securitate etc.) tocmai pentru a asigura confidențialitatea și integritatea datelor cu caracter personal precum și pentru a asigura cadrul necesar prelucrării acestora.


Procedura de solicitare de acces la datele cu caracter personal

1. Domeniul de aplicare, scopul și utilizatorii
Această procedură stabilește pașii pentru tratarea unei cereri privind accesul la datele cu caracter personal cerut de către persoanele vizate, reprezentanții lor sau alte părți interesate. Această procedură va permite RENOMIA să fie conformă cu obligațiile legale care îi revin prin legea (TBD), denumită în continuare RGPD.Această procedură se aplică în toate entităţile sau filialele deținute sau operate de companie dar nu afectează niciun fel alte legi sau regulamente naționale locale care pot fi aplicabile.Această procedură se aplică tuturor angajaţilor care manipulează solicitări de acces la date, inclusiv responsabilului cu protecţia datelor.

2. Solicitare de acces la datele cu caracter personal ("DSAR")
O solicitare de acces la un date cu caracter personal (DSAR) este orice cerere făcută de către un individ sau reprezentantul legal al unui individ pentru informaţii deţinute de companie despre acel individ. O solicitare de acces la datele cu caracter personal oferă dreptul persoanelor vizate de a vedea datele lor personale, precum şi să solicite copii ale acestor date.O astfel de cerere trebuie făcută în scris. În general solicitările verbale pentru informaţii deţinute despre o persoană nu DSAR-uri valabile.Un DSAR se poate face prin oricare dintre următoarele metode: e-mail, fax, poștă, social media.

3. Drepturile unei persoane vizate
Drepturile unei persoane vizate în cazul unei cereri de acces la datele cu caracter personal includ:a) Dreptul de a primi toate informațiile cu caracter personal deținute în cadrul Companiei despre acea persoană vizată.b) Dreptul de a primi detalii despre aceste date cu caracter personal inclusiv:-scopurile prelucrării;-categoriile de date cu caracter personal vizate;-destinatarii sau categoriile de destinatari cărora datele cu caracter personal le- au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;-perioada pentru care se preconizează că vor fi stocate datele cu caracter personal;-existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;-dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;-în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora;-existenţa unui proces decizional automatizat incluzând crearea de profiluri si informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizatăCompania trebuie să ofere un răspuns la un DSAR în termen de maximum 30 de zile calendaristice de la primirea solicitării.

4. Procesul de tratare a unui DSAR

4.1. CerereLa primirea unui DSAR, DPO-ul va analiza cererea. Solicitantului i se poate cere să dea mai multe informații despre sine și despre datele vizate pentru a permite mai bine Companiei să localizeze informațiile relevante.

4.2. Verificarea identităţiiDPO trebuie să verifice identitatea oricui face un DSAR pentru a se asigura că informaţiile sunt date numai persoanei care are dreptul la aceste date. Dacă identitatea solicitantului unui DSAR nu a fost furnizată, persoana care primește cererea va cere solicitantului să furnizeze forme de identificare. Dacă solicitantul nu este persoana vizată este nevoie de o confirmare scrisă a faptului că solicitantul este autorizat să acționeze în numele persoanei vizate.

4.3. Informaţii pentru solicitarea de acces la datele cu caracter personalLa primirea cererii din partea solicitantului, dacă cererea întrunește condițiile unui DSAR (cerere scrisă, acte necesare) responsabilul cu protecția datelor va informa solicitantul că va primi răspunsul la DSAR în 30 de zile calendaristice. Solicitantul va fi informat de către responsabilul cu protecția datelor în scris dacă se va abate de intervalul de 30 de zile de răspuns din momentul cererii DSAR și de ce.

4.4. Revizuirea informaţiilorResponsabilul cu protecția datelor va contacta toate departamentele ce prelucrează informații cu caracter personal. Astfel se vor contacta departamentele de IT (pentru sistemele de e-mail și date arhivate), administrativ (pentru polițe în prelucrare), accounting & HR (pentru angajați, colaboratori, foști angajați și colaboratori) și SRBA- App (pentru toate detaliile ce pot să fie stocate în SRBA-App). Aceste cereri vor fi trimise către departamente în termen de maxim 3 zile de la primirea DSAR. Fiecare departament va avea maxim 15 zile să răspundă la o astfel de cerere. Răspunsul fiecărui departament trebuie să includă:
- O copie a datelor personale ale persoanei vizate stocate (eliminând elemente confidențiale și date personale ale altor persoane vizate).
-scopurile prelucrării;-categoriile de date cu caracter personal vizate;-destinatarii sau categoriile de destinatari cărora datele cu caracter personal le- au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;
-perioada pentru care se preconizează că vor fi stocate datele cu caracter personal;
-existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
-dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;-în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora;
-existenţa unui proces decizional automatizat incluzând crearea de profiluri si informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată

4.5. Răspuns la solicitările de accesDupă primirea răspunsului de la toate departamentele, responsabilul cu protecția datelor trebuie să se asigure că agregă toate aceste informații într-un document Word în formatul DOCX, asigurându-se că nu sunt afișate informații cu caracter confidențial sau informații cu caracter personal ale altor persoane vizate. Responsabilul cu protecţia datelor va furniza răspunsul final, împreună cu informaţiile aduse de la fiecare departament şi/sau o declaraţie conform căreia Compania nu deține informațiile solicitate sau că se aplică o excepție. Responsabilul cu protecția datelor se va asigura că un răspuns scris va fi trimis înapoi solicitantului. Acest lucru va fi prin email, cu excepția cazului în care solicitantul a specificat o altă metodă prin care dorește să primească răspunsul (de exemplu, poștă).

4.6. ArhivareDupă ce răspunsul a fost trimis solicitantului, un DSAR va fi considerat închis şi arhivat de către responsabilul cu protecţia datelor. Procedura este prezentată ca diagramă a fluxului în anexa la prezentul document.

5. Excepții
Un individ nu are dreptul de a accesa informaţiile înregistrate despre altcineva, cu excepţia cazului în care este un reprezentant autorizat, sau are o responsabilitate parentală.
Compania nu va răspunde solicitărilor de informații fără a se asigura de identitatea persoanei vizate care face cererea.
Compania nu va dezvălui următoarele tipuri de informaţii ca răspuns la DSAR:
- Informaţii despre alte persoane
– Datele cu caracter personal ale unei persoane vizate se pot afla în înregistrări ce conțin date cu caracter personal ale unor alte persoane vizate. Accesul la aceste date nu va fi acordat cu excepţia cazului în care există un temei legal pentru divulgarea lor.
- Cereri repetate
– Dacă o cerere similară sau identică în legătură cu aceleași date a fost rezolvată anterior într-un termen rezonabil și dacă nu există modificări semnificative ale datelor cu caracter personal persoanei vizate i se va comunica faptul că i s-a răspuns la o cerere în trecut și i se va atașa comunicarea precedentă.
- Informații confidențiale
– Orice informație confidențială deținută de către Companie nu trebuie divulgată într-un răspuns la un DSAR.

6. Responsabilităţile
Responsabilitatea de a asigura tratarea unui DSAR este a responsabilului cu protecția datelor.În cazul în care societatea acționează ca un operator de date se vor aplica prevederile acestei proceduri.În cazul în care societatea acționează ca un împuternicit, responsabilul cu protecția datelor va transmite cererea operatorului de date corespunzător în numele căruia compania procedează la prelucrarea datelor cu caracter personal ale persoanei vizate care face cererea.