Datenschutzerklärung – Versicherungen

     Ab dem 25.05.2018 gilt die Datenschutz-Grundverordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden auch „Verordnung“ genannt). Das Hauptziel der Verordnung besteht darin, ein höheres Schutzniveau für personenbezogene Daten zu gewährleisten und einen vertrauenswürdigen Rahmen zu schaffen, damit Sie die Kontrolle über Ihre eigenen Daten behalten können.      

Renomia Insurance Reinsurance Broker SRL („Renomia“) teilt Ihnen hiermit die folgenden wesentlichen Informationen zu Ihren Rechten gemäß den Bestimmungen der Verordnung mit:

(1) Welche personenbezogenen Daten verarbeiten wir? Die von uns verarbeiteten personenbezogenen Daten umfassen im Wesentlichen die Daten aus Kopien von Personalausweisen oder anderen Ausweisdokumenten, Ihre Wohnadresse, E-Mail-Adresse, Telefonnummer, gegebenenfalls Daten zu Ihrer Gesundheit sowie alle sonstigen Daten, die für die Erbringung unserer Dienstleistungen oder die Bereitstellung unserer Produkte erforderlich sind.Falls für den Abschluss eines Versicherungsvertrags bzw. einer Versicherungspolice auch personenbezogene Daten Dritter erforderlich sind, bitten wir Sie, der betreffenden Person eine Kopie dieser Datenschutzerklärung zu übermitteln; gemäß den Bestimmungen der Verordnung sind Sie verpflichtet, die Einwilligung dieser Person einzuholen. Handelt es sich bei der dritten Person um einen Minderjährigen, ist die Einwilligung durch den Elternteil oder den Vormund des Minderjährigen einzuholen.
(2) Zu welchem Zweck erheben wir Ihre personenbezogenen Daten? Personenbezogene Daten werden erhoben: (i) zum Zwecke des Abschlusses von Versicherungspolicen oder Versicherungsverträgen, (ii) zur ordnungsgemäßen Erfüllung der durch die Versicherungsverträge/Versicherungspolicen übernommenen Verpflichtungen, wie beispielsweise die Bearbeitung und Regulierung von Schadensfällen sowie die Ausübung des Regressrechts, (iii) zur Verlängerung von Versicherungsverträgen/Versicherungspolicen. Ohne diese personenbezogenen Daten sind wir nicht in der Lage, Versicherungsverträge oder Versicherungspolicen mit Ihnen abzuschließen, und folglich können Sie unsere Dienstleistungen nicht in Anspruch nehmen.Darüber hinaus werden Ihre personenbezogenen Daten auch zur Erfüllung von Verpflichtungen verarbeitet, die sich aus den geltenden gesetzlichen Bestimmungen ergeben, oder gemäß den Anforderungen anderer lokaler oder zentraler Behörden sowie gemäß den Anforderungen der ASF.In Fällen, in denen der Zweck der Verarbeitung Ihrer personenbezogenen Daten Marketing- und/oder statistische Zwecke ist, werden personenbezogene Daten nur verarbeitet, wenn wir Ihre zuvor ausdrücklich erteilte Einwilligung dazu haben.
(3) Ihre Rechte gemäß der Verordnung. (i) Das Auskunftsrecht der betroffenen Person. Zur Ausübung Ihres Auskunftsrechts können Sie uns jederzeit mit einer entsprechenden Anfrage kontaktieren, um einen Bericht über Ihre personenbezogenen Daten zu erhalten. Sie können uns unter der folgenden E-Mail-Adresse cristian.nitu@renomia.ro oder an der Adresse unseres Firmensitzes in Bukarest, Str. Grigore Alexandrescu 89-97, Gebäude A, 6. Stock, Sektor 1, kontaktieren. (ii) Recht auf Berichtigung. Sie haben das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig sind, Änderungen erfahren haben oder vervollständigt werden müssen. (iii) Recht auf Löschung. Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten wie folgt zu verlangen: i) wenn die Daten für den Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind, ii) wenn Sie Ihre Einwilligung, auf deren Grundlage die Verarbeitung erfolgt, widerrufen möchten, iii) wenn Sie der Verarbeitung personenbezogener Daten widersprechen möchten, iv) oder wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder eine geltende gesetzliche Bestimmung deren Löschung vorschreibt. (iv) Recht auf Einschränkung der Verarbeitung. Sie haben das Recht, die Einschränkung der Verarbeitung zu erwirken, sofern einer der folgenden Fälle zutrifft: i) die Richtigkeit der personenbezogenen Daten wird bestritten, ii) die Verarbeitung ist unrechtmäßig und Sie widersprechen der Löschung der personenbezogenen Daten, verlangen jedoch stattdessen die Einschränkung ihrer Nutzung, iii) Renomia benötigt die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung, Sie verlangen jedoch die Einschränkung der Verarbeitung, um Ihre Rechte geltend zu machen, iv) Sie widersprechen der Verarbeitung gemäß Artikel 21 Absatz 1 der Verordnung, bis geprüft wurde, ob die berechtigten Gründe von Renomia gegenüber Ihren Gründen überwiegen.(v) Recht auf Datenübertragbarkeit. Sie haben das Recht, die Übermittlung Ihrer personenbezogenen Daten an einen Dritten zu verlangen. (vi) Widerspruchsrecht. Sie haben das Recht, der Verarbeitung personenbezogener Daten jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen, sofern diese auf Artikel 6 Absatz 1 Buchstaben e und f der Verordnung beruht. (vii) Recht auf Widerruf der Einwilligung. Sie haben das Recht, Ihre Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen, sofern die personenbezogenen Daten auf der Grundlage Ihrer Einwilligung verarbeitet werden. (viii) Recht auf Beschwerde bei der Aufsichtsbehörde. Falls Sie der Ansicht sind, dass Ihre berechtigten Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten verletzt wurden, können Sie diesbezüglich eine Beschwerde bei der Nationalen Aufsichtsbehörde für die Verarbeitung personenbezogener Daten einreichen, mit Sitz in B-dul G-ral. Gheorghe Magheru 28-30, Sektor 1, Postleitzahl 010336, Bukarest, Rumänien.
(4) An wen geben wir personenbezogene Daten weiter? In bestimmten Situationen werden Ihre personenbezogenen Daten, um unsere vertraglichen Verpflichtungen ordnungsgemäß und im Einklang mit den geltenden gesetzlichen Bestimmungen zu erfüllen, auch an Dritte weitergegeben, wie im Folgenden beispielhaft aufgeführt: (i) externe Berater, die uns beraten oder uns bei der Ausübung und Verteidigung unserer Rechte unterstützen, sowie Justizbehörden im Inland oder zentrale und lokale öffentliche Behörden, (ii) Finanz- und Bankinstitute, (iii) Versicherungs- und Rückversicherungsgesellschaften, mit denen wir im Zusammenhang mit der Erbringung von Versicherungsdienstleistungen in einem Vertragsverhältnis stehen, (iv) Dienstleistern wie IT-Dienstleistern (Wartung, Softwareentwicklung), Anbietern von physischer und/oder elektronischer Archivierung, Kurierdienstleistern, Anbietern von Dienstleistungen zur Übermittlung von Marketingmitteilungen sowie Dienstleistern im Gesundheits- und Medizinbereich.
(5) Wie lange werden personenbezogene Daten gespeichert? Renomia verarbeitet personenbezogene Daten während der gesamten Laufzeit des Versicherungsvertrags bzw. der Versicherungspolice, zuzüglich des Zeitraums, der für die Ausübung der Rechte aus den Versicherungsverträgen bzw. den Versicherungspolicen erforderlich ist. Nach Ablauf dieses Zeitraums werden die personenbezogenen Daten gelöscht, mit Ausnahme jener personenbezogenen Daten, die Teil von Unterlagen sind, für die das Gesetz eine Aufbewahrungsfrist vorsieht; nach Ablauf der gesetzlichen Aufbewahrungsfrist werden diese vernichtet.
(6) Schutz personenbezogener Daten Renomia wendet einen internen Rahmen aus Richtlinien und Mindeststandards zum Schutz personenbezogener Daten an. Diese Richtlinien und Standards werden regelmäßig aktualisiert, um den Vorschriften und der Marktentwicklung gerecht zu werden. In Übereinstimmung mit den geltenden gesetzlichen Bestimmungen ergreifen wir angemessene technische und organisatorische Maßnahmen (Richtlinien, Verfahren, Sicherheit usw.), um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten und den für deren Verarbeitung erforderlichen Rahmen zu schaffen.


Verfahren zur Beantragung des Zugriffs auf personenbezogene Daten

1. Geltungsbereich, Zweck und Nutzer
Dieses Verfahren legt die Schritte für die Bearbeitung eines Antrags auf Zugriff auf personenbezogene Daten fest, der von den betroffenen Personen, ihren Vertretern oder anderen interessierten Parteien gestellt wird. Dieses Verfahren ermöglicht es RENOMIA, den gesetzlichen Verpflichtungen nachzukommen, die sich aus dem Gesetz (TBD), im Folgenden als DSGVO bezeichnet, ergeben. Dieses Verfahren gilt für alle Unternehmenseinheiten oder Tochtergesellschaften, die sich im Besitz des Unternehmens befinden oder von diesem betrieben werden, berührt jedoch in keiner Weise andere nationale oder lokale Gesetze oder Vorschriften, die möglicherweise anwendbar sind.Dieses Verfahren gilt für alle Mitarbeiter, die Anfragen auf Datenzugang bearbeiten, einschließlich des Datenschutzbeauftragten.

2. Antrag auf Zugang zu personenbezogenen Daten („DSAR“)
Ein Antrag auf Zugang zu personenbezogenen Daten (DSAR) ist jede Anfrage einer Person oder des gesetzlichen Vertreters einer Person nach Informationen, die das Unternehmen über diese Person gespeichert hat. Ein Antrag auf Auskunft über personenbezogene Daten gewährt den betroffenen Personen das Recht, ihre personenbezogenen Daten einzusehen sowie Kopien dieser Daten anzufordern. Ein solcher Antrag muss schriftlich gestellt werden. Mündliche Anfragen nach Informationen, die über eine Person gespeichert sind, gelten im Allgemeinen nicht als gültige DSARs. Ein DSAR kann auf folgende Weise gestellt werden: per E-Mail, Fax, Post oder über soziale Medien.

3. Rechte einer betroffenen Person
Die Rechte einer betroffenen Person im Falle eines Antrags auf Auskunft über personenbezogene Daten umfassen: a) das Recht, alle personenbezogenen Daten zu erhalten, die das Unternehmen über diese betroffene Person gespeichert hat; b) das Recht, Einzelheiten zu diesen personenbezogenen Daten zu erhalten, einschließlich: – der Zwecke der Verarbeitung; – der Kategorien der betroffenen personenbezogenen Daten;- die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder offengelegt werden sollen, insbesondere Empfänger in Drittländern oder internationale Organisationen;- die voraussichtliche Dauer der Speicherung der personenbezogenen Daten;- das Bestehen des Rechts, vom Verantwortlichen die Berichtigung oder Löschung der personenbezogenen Daten oder die Einschränkung der Verarbeitung der personenbezogenen Daten, die die betroffene Person betreffen, zu verlangen, oder des Rechts, der Verarbeitung zu widersprechen;- das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;- falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über deren Herkunft;- das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling, sowie relevante Informationen über die angewandte Logik und über die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person. Das Unternehmen muss innerhalb von höchstens 30 Kalendertagen nach Eingang des Antrags auf einen DSAR antworten.

4. Verfahren zur Bearbeitung eines DSAR

4.1. Antrag Nach Erhalt eines DSAR prüft der Datenschutzbeauftragte den Antrag. Der Antragsteller kann aufgefordert werden, weitere Informationen über sich selbst und die betroffenen Daten anzugeben, damit das Unternehmen die relevanten Informationen besser ausfindig machen kann.

4.2. Identitätsprüfung Der Datenschutzbeauftragte muss die Identität jeder Person überprüfen, die einen DSAR stellt, um sicherzustellen, dass die Informationen nur an die Person weitergegeben werden, die ein Recht auf diese Daten hat. Wurde die Identität des Antragstellers eines DSAR nicht angegeben, wird die Person, die den Antrag entgegennimmt, den Antragsteller auffordern, Identitätsnachweise vorzulegen. Ist der Antragsteller nicht die betroffene Person, ist eine schriftliche Bestätigung erforderlich, dass der Antragsteller befugt ist, im Namen der betroffenen Person zu handeln.

4.3. Informationen zur Beantragung des Zugriffs auf personenbezogene Daten Nach Eingang des Antrags des Antragstellers und sofern der Antrag die Voraussetzungen eines DSAR erfüllt (schriftlicher Antrag, erforderliche Unterlagen), teilt der Datenschutzbeauftragte dem Antragsteller mit, dass er die Antwort auf den DSAR innerhalb von 30 Kalendertagen erhalten wird. Der Antragsteller wird vom Datenschutzbeauftragten schriftlich darüber informiert, falls die Antwortfrist von 30 Tagen ab dem Zeitpunkt des DSAR-Antrags überschritten wird und warum.

4.4. Überprüfung der Informationen Der Datenschutzbeauftragte wird alle Abteilungen kontaktieren, die personenbezogene Daten verarbeiten. So werden die Abteilungen IT (für E-Mail-Systeme und archivierte Daten), Verwaltung (für in Bearbeitung befindliche Policen), Buchhaltung & Personalwesen (für Mitarbeiter, Mitarbeiterinnen, ehemalige Mitarbeiter und Mitarbeiterinnen) sowie die SRBA-App (für alle Daten, die in der SRBA-App gespeichert sein können) kontaktiert. Diese Anfragen werden innerhalb von maximal 3 Tagen nach Eingang des DSAR an die Abteilungen weitergeleitet. Jede Abteilung hat maximal 15 Tage Zeit, um auf einen solchen Antrag zu antworten. Die Antwort jeder Abteilung muss Folgendes enthalten
:– Eine Kopie der gespeicherten personenbezogenen Daten der betroffenen Person (unter Ausschluss vertraulicher Elemente und personenbezogener Daten anderer betroffener Personen);
– die Zwecke der Verarbeitung; – die Kategorien der betroffenen personenbezogenen Daten;- die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder weitergegeben werden sollen, insbesondere Empfänger in Drittländern oder internationale Organisationen;
- den Zeitraum, für den die Speicherung der personenbezogenen Daten vorgesehen ist;
- das Bestehen des Rechts, vom Verantwortlichen die Berichtigung oder Löschung der personenbezogenen Daten oder die Einschränkung der Verarbeitung der die betroffene Person betreffenden personenbezogenen Daten zu verlangen, sowie des Rechts, der Verarbeitung zu widersprechen;
- das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;- falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über deren Herkunft;
- das Vorhandensein eines automatisierten Entscheidungsprozesses, einschließlich Profiling, sowie relevante Informationen über die angewandte Logik und über die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene

Person 4.5. Beantwortung von Auskunftsersuchen Nach Erhalt der Antworten aller Abteilungen muss der Datenschutzbeauftragte sicherstellen, dass er alle diese Informationen in einem Word-Dokument im DOCX-Format zusammenfasst, wobei er darauf achten muss, dass keine vertraulichen Informationen oder personenbezogenen Daten anderer betroffener Personen offengelegt werden. Der Datenschutzbeauftragte wird die endgültige Antwort zusammen mit den von jeder Abteilung übermittelten Informationen und/oder einer Erklärung vorlegen, dass das Unternehmen nicht über die angeforderten Informationen verfügt oder dass eine Ausnahme gilt. Der Datenschutzbeauftragte wird sicherstellen, dass dem Antragsteller eine schriftliche Antwort zugesandt wird. Dies erfolgt per E-Mail, es sei denn, der Antragsteller hat eine andere Methode angegeben, über die er die Antwort erhalten möchte (z. B. per Post).

4.6. Archivierung Nachdem die Antwort an den Antragsteller gesendet wurde, gilt ein DSAR als abgeschlossen und wird vom Datenschutzbeauftragten archiviert. Das Verfahren ist als Flussdiagramm im Anhang zu diesem Dokument dargestellt.

5. Ausnahmen
Eine Person hat kein Recht auf Zugang zu den über eine andere Person gespeicherten Informationen, es sei denn, sie ist ein bevollmächtigter Vertreter oder hat elterliche Verantwortung.
Das Unternehmen wird keine Auskunftsersuchen beantworten, ohne sich zuvor von der Identität der betroffenen Person, die den Antrag stellt, zu überzeugen.
Das Unternehmen wird die folgenden Arten von Informationen nicht als Antwort auf einen DSAR offenlegen:
– Informationen über andere Personen
– Die personenbezogenen Daten einer betroffenen Person können in Aufzeichnungen enthalten sein, die personenbezogene Daten anderer betroffener Personen enthalten. Der Zugriff auf diese Daten wird nicht gewährt, es sei denn, es liegt eine Rechtsgrundlage für deren Offenlegung vor.
-
Wiederholte Anfragen – Wenn eine ähnliche oder identische Anfrage in Bezug auf dieselben Daten bereits zuvor innerhalb einer angemessenen Frist bearbeitet wurde und keine wesentlichen Änderungen an den personenbezogenen Daten vorliegen, wird der betroffenen Person mitgeteilt, dass ihre Anfrage bereits in der Vergangenheit beantwortet wurde, und die vorherige Mitteilung wird beigefügt.
- Vertrauliche Informationen
– Vertrauliche Informationen, die sich im Besitz des Unternehmens befinden, dürfen in einer Antwort auf einen DSAR nicht offengelegt werden.

6. Verantwortlichkeiten
Die Verantwortung für die Bearbeitung eines DSAR liegt beim Datenschutzbeauftragten. Handelt das Unternehmen als Datenverantwortlicher, gelten die Bestimmungen dieses Verfahrens.Handelt das Unternehmen als Auftragsverarbeiter, leitet der Datenschutzbeauftragte die Anfrage an den jeweiligen Datenverantwortlichen weiter, in dessen Auftrag das Unternehmen die personenbezogenen Daten der anfragenden betroffenen Person verarbeitet.