A A+

INFORMARE CU PRIVIRE LA PRELUCRAREA DATELOR CU CARACTER PERSONAL - consulta documentul aici


POLITICA DE PROTECTIE A DATELOR CU CARACTER PERSONAL

CAPITOLUL 1. SCOP

OBIECTIVE 

Obiectul major al politicii de protecția datelor cu caracter personal este de a asigura conformitatea cu legislația in domeniul protecției datelor cu caracter personal și de a minimiza riscurile prin prevenirea incidentelor de protecția datelor cu caracter personal și reducerea impactului lor potențial.

Obiectivele generale privind protecția datelor cu caracter personal sunt:

  • Creșterea încrederii clienților în serviciile oferite de ASIROM;
  • Creșterea competitivității serviciilor prin utilizarea de tehnologii și echipamente performante pentru activitatea privind protecția datelor cu caracter personal;
  • Dezvoltarea competențelor profesionale ale angajaților privind protecția datelor cu caracter personal;
  • Identificarea, analizarea și evaluarea realistă a riscurilor privind datele cu caracter personal;
  • Reducerea impactului negativ al unor potențiale riscuri privind protecția datelor cu caracter personal asupra activității companiei;
  • Asigurarea demonstrării responsabilității ASIROM privind protecția datelor cu caracter personal, in special in ceea ce privește implementarea masurilor tehnice si organizatorice adecvate pentru a demonstra conformitatea cu GDPR;
  • Îndeplinirea integrală a cerințelor privind protecția datelor cu caracter personal aplicabile solicitate de parteneri;
  • Creșterea gradului de conștientizare a importanței protecției datelor cu caracter personal în rândul angajaților;
  • Asigurarea de planuri și resurse pentru supraviețuirea și revenirea în cazul unor situații de urgență;
  • Asigurarea unor canale eficiente de notificare ANSPDCP si persoanele vizate privind incidente de securitate în domeniul protecției datelor.

SCOP

Politica de protecția datelor cu caracter personal are ca scop stabilirea cadrului  de reglementare interna care implica prelucrări de date cu caracter personal precum si pentru asigurarea conformității cu normele si regulamentele in vigoare aplicabile. Acestea sunt obligatorii pentru toți angajații ASIROM.

In acest sens, in activitatea de prelucrare a datelor cu caracter personal ale persoanelor vizate, ASIROM asigură:

  • Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate de către societate  si ale angajaților săi, in conformitate cu prevederile legale;
  • Respectarea principiilor de protecția datelor in activitățile operaționale ale societatii;
  • Transparenta in legătură cu categoriile de date cu caracter personal prelucrate in cadrul ASIROM, precum si in legătură cu scopurile prelucrărilor, destinatarii datelor cu caracter personal;
  • Drepturile persoanelor vizate: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii individuale bazate exclusiv pe prelucrare automata, dreptul de a depune plângere la o autoritate de supraveghere si dreptul de a se adresa justiției;
  • Implementarea unor masuri tehnice si organizatorice adecvate pentru garantarea drepturilor si libertăților persoanelor fizice.

Persoana responsabila din cadrul ASIROM cu gestionarea guvernanței și exercitarea controlului asupra activității de prelucrare a datelor cu caracter personal este ofițerul pentru protecția datelor (DPO). In acest sens, perimetrul de responsabilități al DPO este stabilit in Regulamentul de Organizare și Funcționare. Orice informare sau solicitare privind aspecte in legătură cu responsabilitățile DPO, așa cum acestea sunt prevăzute la capitolul 7 din prezenta politica, se va efectua către DPO la adresa dpo@asirom.ro.

 

CAPITOLUL 2. DOMENIUL DE APLICARE

Respectarea prevederilor prezentei politici este obligatorie pentru întreg personalul ASIROM.

 

CAPITOLUL 3. TERMENI ŞI DEFINIŢII

Datele cu caracter personal (Date) - orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice. 

Categorii speciale de date cu caracter personal – orice informație care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Prelucrarea datelor cu caracter personal (Prelucrare) - orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Sistem de evidenta a datelor cu caracter personal - orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.

Persoana vizata - o persoană fizică identificabilă care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. În cadrul ASIROM se pot prelucra următoarele categorii de date:

  1. Clienți/ potențiali clienți/ asigurați/ altele (foști clienți/ terți păgubiți etc.) - pentru datele prelucrate in scopul prestării serviciilor de asigurare;
  2. Angajați si colaboratorii ASIROM (inclusiv persoanele fizice care desfășoară activități in cadrul ASIROM in temeiul codului muncii) /membrii familiilor acestora - pentru datele prelucrate in scopuri de resurse umane;
  3. Vizitatori/angajați - pentru datele prelucrate in scopul monitorizării/ asigurării securității persoanelor, spatiilor si/ sau bunurilor publice/ private;
  4. Persoanele fizice, reprezentanți ai persoanelor juridice cu care ASIROM intra in contact in calitate de Clienti.

 

Operator - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. 

Persoana împuternicită de către Operator (Împuternicit) - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. 

Persoana autorizata sa prelucreze Date (Persoana autorizata) – Operatorul sau Împuternicitul sau persoanele care, sub autoritatea directa a Operatorului sau a Împuternicitului, sunt autorizate sa prelucreze Date. 

Parte Terță - o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

Consimțământ - orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

ASIROM - Asigurarea Românească - ASIROM VIENNA INSURANCE GROUP S.A.

ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

DPO - Ofițerul pentru Protecția Datelor.

 

CAPITOLUL 4. DOCUMENTE DE REFERINŢĂ

Legea 237/ 2015 privind autorizarea si supravegherea activitatii de asigurare si reasigurare

  • Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
  • Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
  • Legislația secundara – decizii ANSPDCP.


CAPITOLUL 5. PRINCIPIILE PRELUCĂRII DATELOR: 

Prelucrarea datelor cu caracter personal se supune următoarelor principii:

  • Legalitate, echitate și transparență – datele vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată
  • Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • Reducerea la minimum a datelor – datele vor fi adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
  • Exactitate – datele vor fi exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
  • Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate;
  • Integritate, disponibilitate și confidențialitate – datele vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;
  • Responsabilitate – datele vor fi prelucrate cu respectarea principiilor sus-menționate, iar ASIROM va fi responsabil sa demonstreze această respectare.

 

CAPITOLUL 6. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

ASIROM urmărește efectuarea prelucrărilor de date cu îndeplinirea următoarelor condiții de legalitate, după caz:

Consimțământul - persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

Executarea/Încheierea unui contract - prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

Obligație legala - prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine ASIROM;

Interese legitime - prelucrarea este necesară în scopul intereselor legitime urmărite de ASIROM sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Interes vital- prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.

Interes public- prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

În toate cazurile, la momentul obținerii datelor, ASIROM va informa Persoana vizata despre:

  • identitatea Operatorului si a reprezentantului acestuia, daca este cazul;
  • scopul in care se face Prelucrarea datelor, precum si temeiul juridic (daca prelucrarea se face in temeiul intereselor legitime, se va face referire la acestea);
  • existenta dreptului de a-si retrage consimțământul atunci când prelucrarea se întemeiază pe consimțământ si nu mai exista alt temei de prelucrare;
  • destinatarii sau categoriile de destinatari ai datelor;
  • daca furnizarea tuturor datelor cerute este obligatorie si consecințele refuzului de a le furniza;
  • existenta drepturilor prevăzute de lege pentru Persoana vizata, precum si condițiile in care pot fi exercitate;
  • intenția de a transfera datele in afara UE sau către o organizație internaționala, precum si menționarea garanțiilor aplicabile;
  • perioada de stocare a datelor sau criteriile utilizate pentru a o determina;
  • informații despre existenta unui proces decizional automatizat, daca este cazul, precum si informații utile legate de logica utilizata si importanta prelucrării;
  • orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând seama de specificul Prelucrării. 

În cazul în care ASIROM nu obține datele direct de la Persoana vizată, ASIROM va furniza acesteia informațiile prevăzute mai sus, cu respectarea următoarelor termene:

  • într-un termen rezonabil după obținerea Datelor, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate Datele;
  • dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă;
  • dacă se intenționează divulgarea Datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Durata de Prelucrare este limitata in funcție de termenele de retenție ale datelor raportat la scopul pentru care au fost colectate datele pentru activitățile de prelucrare.

6.1.        Reguli speciale de Prelucrare

6.1.1.   Prelucrarea in scop de reclama / marketing / publicitate a Datelor Clienților:

  • ASIROM a informat Persoana vizata prin documente specifice de intrare in relație cu societatea, iar persoana vizata si-a exprimat consimțământul expres si neechivoc (obținut prin bifarea opțiunii „Da” in format letric sau in format electronic) pentru primirea de comunicări din partea ASIROM in astfel de scopuri. 
  • Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nicio justificare, ca Datele care o vizează să fie prelucrate în scop de marketing direct, de către operator sau să fie transmise unor Terți (inclusiv din cadrul Grupului VIG) într-un asemenea scop.
  • Înaintea Prelucrării in scop de reclama/marketing/publicitate, ASIROM va verifica sa existe consimțământul valabil al Persoanei vizate in acest sens pe toata durata Prelucrării (de ex: Persoana vizata sa nu își fi exercitat dreptul de opoziție). Anterior inițierii oricăror prelucrări de date cu caracter personal ale clienților, altele decât cele incluse in Registrul de activități de prelucrare a datelor cu caracter personal, se va solicita avizul DPO, privind condițiile de legalitate a acestor prelucrări.

6.1.2.   Prelucrarea Datelor aparținând părților terțe:

   In cazul operațiunilor desfășurate de ASIROM cu părți terțe, ASIROM obține consimțământul persoanelor vizate/  ...furnizează informațiile cu privire la Prelucrare prin clauzele specifice inserate pe documentele utilizate de ASIROM ...pentru operațiunile desfășurate de acest tip de persoane vizate, anterior inițierii oricăror prelucrări de Date.

6.2.        Metode de monitorizare in cadrul ASIROM

   A. Supravegherea video:

  • Are ca scop asigurarea pazei si protecției persoanelor, bunurilor si valorilor, a imobilelor si a instalațiilor ASIROM, prevenirea și combaterea săvârșirii infracțiunilor, precum si a împrejmuirilor afectate acestora, și/sau realizarea unor interese legitime, cu condiția sa nu se prejudicieze drepturile si libertățile fundamentale sau interesul persoanelor vizate.
  • Prelucrarea vizează orice imagine care permite identificarea directa sau indirecta a persoanelor fizice;
  • Camerele de supraveghere video sunt amplasate in locuri vizibile si sunt semnalizate corespunzător;
  • Prelucrarea Datelor salariaților prin mijloace de supraveghere video (de ex. casierie, tezaur, casete valori) este permisa pentru îndeplinirea unor obligații legale exprese (asigurarea pazei si protecției bunurilor inclusiv prevenirea si combaterea săvârșirii infracțiunilor) sau in temeiul unui interes legitim, cu respectarea drepturilor salariaților, in special a informării prealabile a acestora.

B. Asigurarea securității sistemului informațional si a comunicărilor electronice in cadrul ASIROM:

  • Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice, prevenirea si/sau detectarea fraudelor, preîntâmpinării scurgerii informației care conține date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele de  telecomunicații și resursele informaționale; respectării cadrului normativ de folosire a sistemelor informaționale și a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în rețelele de telecomunicații și resurselor informaționale; păstrării posibilităților de gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal, precum si protecția reputației ASIROM. Vizează, de asemenea, urmărirea evoluției amenințărilor aferente sistemelor informatice și mai ales riscurile de natură logică (intruziune, blocarea serviciilor, etc.); Prelucrările vizează doar datele de trafic si datele de acces/transmitere a corespondentei;
  • Cu toate acestea, accesarea /monitorizarea datelor de conținut este realizată numai în circumstanțe excepționale temeinic justificate precum și în cazurile determinate de necesitatea îndeplinirii unor prevederi legale;
  • Angajații vor fi informați la angajare, precum și ori de câte ori este cazul, despre modul de utilizare a conexiunii la internet și e-mail, precum și despre excepțiile aplicabile. 

 

       C. Monitorizarea autoturismelor în utilizarea ASIROM:

     Are ca scop securitatea autoturismelor aflate în utilizarea ASIROM (paza și protecția bunurilor).  Datele care pot fi prelucrate in acest caz sunt: detaliile autovehiculului, ruta planificata, datele privind incidentul (data, ora, locul accidentului).


       D. Controlul de acces in cadrul ASIROM al angajaților:

      Are ca scop asigurarea unui control al accesului in cadrul ASIROM si datele obținute in urma acestei prelucrări nu vor fi utilizate in alte scopuri subsecvente.


       Durata de prelucrare a Datelor monitorizate in cadrul ASIROM

      In vederea scopurilor menționate la punctele A, B, C si D, ASIROM va prelucra Datele pe parcursul relației cu Persoana Vizata sau pe perioada impusa de prevederile legale si documentata in Nomenclatorul Arhivistic si procedurile operaționale aplicabile fiecărui departament in parte. 

Ulterior încheierii operațiunilor de Prelucrare a Datelor, in scopurile pentru care au fost colectate, acestea vor fi arhivate de către ASIROM pe durata de timp prevăzută in documentele normative interne, ulterior, la împlinirea termenului de stocare, fiind distruse astfel cum este precizat in procedura aplicabila.

 

CAPITOLUL 7. DREPTURILE PERSOANEI VIZATE  

Dreptul de acces la Date

Orice Persoana vizata are dreptul de a obține de la ASIROM, atunci când aceasta acționează in calitatea sa de Operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu prelucrate de aceasta, iar in caz afirmativ, se vor furniza informațiile referitoare la: scopurile prelucrării; categoriile de date vizate; destinatarii sau categoriile de destinatari ale datelor, în special destinatari din țări terțe sau organizații internaționale; acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; existența dreptului de a solicita ASIROM rectificarea sau ștergerea datelor ori restricționarea prelucrării lor sau a dreptului de a se opune prelucrării; dreptul de a depune o plângere în fața unei autorități de supraveghere; daca datele nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora; existența unui proces decizional automatizat, precum și informații pertinente privind logica utilizată și importanța preconizate ale unei astfel de prelucrări pentru persoana vizată.


Dreptul de rectificare

Persoana vizată are dreptul de a obține de la ASIROM in calitate de operator de date, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

 

Dreptul la ștergerea datelor

Persoana vizată are dreptul de a obține ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar ASIROM va avea obligația de a șterge datele fără întârzieri nejustificate în cazul în care:

  • datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate
  • persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea
  • datele cu caracter personal au fost prelucrate ilegal
  • persoana vizata își exercita dreptul la opoziție in condițiile Regulamentului General pentru Protecția Datelor
  • datele trebuie șterse pentru respectarea unei obligații legale a operatorului
  • datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale minorilor in condițiile Regulamentului General pentru Protecția Datelor

ASIROM, in calitate de operator de date, poate refuza cererea de ștergere a datelor in următoarele condiții:

  • prelucrarea este necesara pentru exercitarea dreptului la liberă exprimare și la informare;
  • prelucrarea este necesara pentru respectarea unei obligații legale aplicabile operatorului;
  • prelucrarea este necesara în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în condițiile Regulamentului General pentru Protecția Datelor, în măsura în care exercitarea dreptului poate face imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
  • prelucrarea este necesara pentru constatarea, exercitarea sau apărarea unui drept în instanță.

 

Dreptul la restricționarea prelucrării

Persoana vizată are dreptul de a obține din partea ASIROM in calitate de operator de date restricționarea prelucrării în următoarele cazuri:

  • persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  • prelucrarea este ilegală, dar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  • ASIROM nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  • persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

 

Dreptul de opoziție

Persoana vizata are dreptul:

  • de a se opune in orice moment, din motive întemeiate si legitime legate de situația sa particulara, ca datele care o vizează sa facă obiectul unei Prelucrări, cu excepția cazurilor in care exista dispoziții legale contrare. In caz de opoziție justificata, Prelucrarea nu mai poate viza datele in cauza decât daca exista motive legitime și imperioase care justifică prelucrarea și care prevalează asupra drepturilor persoanei vizate sau daca scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
  • de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o vizează să fie Prelucrate în scop de marketing direct, inclusiv in ceea ce privește crearea de profiluri in acest scop.

 

Dreptul la portabilitatea datelor 

Persoana vizată are dreptul de:

  • a primi datele cu caracter personal care o privesc și pe care le-a furnizat ASIROM într-un format structurat, utilizat în mod curent și care poate fi citit automat și
  • a transmite aceste date altui operator, fără obstacole din partea ASIROM căruia i-au fost furnizate datele cu caracter personal, în cazul în care: (a) prelucrarea se bazează pe consimțământ sau pe un contract; și (b) prelucrarea este efectuată prin mijloace automate. 

În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele sale să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic. 


In plus fata de drepturile de mai sus, Persoana vizata mai are si următoarele drepturi:

  • de a nu fi supus unei decizii individuale (dreptul de a cere si de a obține: (1)retragerea sau anularea oricărei decizii care produce efecte juridice in privința sa, adoptata exclusiv pe baza unei activități de prelucrare a datelor efectuată prin mijloace automate, destinata sa evalueze unele aspecte ale personalității sale, precum competenta profesionala, credibilitatea, comportamentul ori alte asemenea aspecte; (2) reevaluarea oricărei alte decizii luate in privința sa , care o afectează in mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei activități de prelucrare care îndeplinește condițiile prevăzute la punctul (1));
  • de a se adresa justiției si ANSPDCP.

 

CAPITOLUL 8. ACTIVITATTILE DE PRELUCRARE A DATELOR REALIZATE IN BAZA UNUI CONTRACT DE PRESTARI SERVICII 

 

In cazul activităților de prelucrare a datelor in baza unui Contract de prestări servicii încheiat intre ASIROM si un prestator/ furnizor/ partener, este necesar sa se respecte următoarele condiții:

  • contractul se încheie in scris;
  • contractul conține clauze specifice privind Prelucrarea Datelor, pentru următoarele situații:

a) In cazul in care prestatorul are calitatea de Operator, in contract se vor insera clauze standard;

b) In cazul in care prestatorul are calitatea de Împuternicit, in contract se vor insera clauze specifice; In situația in care exista dificultăți in stabilirea calității furnizorului de Împuternicit, departamentele implicate se vor adresa și Ofițerului pentru Protecția Datelor.

c) In cazul in care prelucrarea presupune un transfer al Datelor in tari care, conform punctului 10 din prezentul document, nu asigura un nivel adecvat de protecție, se va insera in contract clauza referitoare la transfer.

 

In relațiile contractuale pe care ASIROM le are cu diverși prestatori/furnizori de servicii, departamentele implicate in negocierea si încheierea contractelor trebuie sa aibă in vedere:

  • optarea pentru un prestator care prezinta garanții in ceea ce privește masurile de securitate tehnica si organizatorice cu privire la activitățile de prelucrare ce vor fi efectuate (locația serverelor, locația de back-up, daca este cazul etc);
  • sa identifice daca prestarea serviciilor ce fac obiectul contractului care urmează sa fie încheiat presupune un transfer de date in afara UE (ex: date stocate de către prestator pe servere aflate in SUA etc); 
  • sa introducă in contract clauzele specifice activităților de prelucrare de date cu caracter personal comunicate de DPO;
  • sa existe posibilitatea verificării conformității furnizorului cu privire la respectarea masurilor de protecție a datelor (verificarea documentelor, expertiza, audit etc);
  • consultarea DPO.

 

CAPITOLUL 9. TRANSFERUL DE DATE IN AFARA SPATIULUI ECONOMIC EURPOEAN 

 

Transferul de Date cu caracter personal către un stat terț poate avea loc numai daca statul către care se intenționează transferul asigura un nivel de protecție adecvat.

Transferul de Date către un stat a cărui legislație nu prevede un nivel de protecție cel puțin egal cu cel oferit de Regulament este posibil numai daca exista garanții suficiente cu privire la protecția drepturilor fundamentale ale Persoanelor vizate. Aceste garanții vor fi stabilite de ASIROM in contracte încheiate cu furnizorii/ prestatori de servicii către care se va realiza transferul Datelor.

Regulile privind transferul Datelor in state terțe se aplica inclusiv in cazul in care destinatarul datelor este o entitate din grupul Vienna Insurance Group.

 

CAPITOLUL 10. SECURITATEA ACTIVITATILOR DE PRELUCRARE A DATELOR CU CARACTER PERSONAL. INCIDENTE DE SECURITATE IN DOMENIUL PROTECTIEI DATELOR 


 ASIROM aplica masurile tehnice si organizatorice adecvate pentru protejarea Datelor împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, in special daca Prelucrarea respectiva comporta transmisii de date in cadrul unei rețele, precum si împotriva oricărei alte forme de prelucrare ilegala. Aceste masuri asigura un nivel de securitate adecvat in ceea ce privește riscurile pe care le reprezintă Prelucrarea, precum si in ceea ce privește natura datelor care trebuie protejate.

 ASIROM are implementate politici de securitatea informatiei (Politica de Securitatea Informatiei, PSI /PP-16) care prezintă principiile de securitate și măsurile care trebuie respectate in cadrul societatii pentru a menține siguranța informațiilor, inclusiv a datelor cu caracter personal, a procesărilor și a sistemelor informatice la un nivel adecvat.

 Incidentul in domeniul protecției Datelor, stocate sau transmise, reprezintă orice eveniment care afectează confidențialitatea, integritatea sau disponibilitatea acestor date.

 In principal, constituie incident de protecția datelor:

  • pierderea, sustragerea, înlocuirea, alterarea sau distrugerea neautorizata ori accidentala a datelor;
  • modificarea neautorizata si nejustificata a datelor;
  • accesul neautorizat la mediile pe care sunt stocate date.

 Reprezintă risc de incident următoarele:

  • nerespectarea regulilor privind depozitarea, utilizarea sau distrugerea mediilor de stocare in uz pe care sunt păstrate date.
  • orice situație de natura sa afecteze confidențialitatea, integritatea sau disponibilitatea datelor.

 Orice incident de protecția datelor trebuie comunicat in cel mai scurt timp DPO, in vederea notificării ANSPDCP despre acest fapt sau a operatorului de date în cazurile in care ASIROM acționează ca Împuternicit. Notificarea către ANSPDCP trebuie formulata in termen de 72h de momentul la care Operatorul a luat la cunoștința despre incident.

 De asemenea, ASIROM deține o procedura de securitate fizică (Regulament privind accesul in sediile ASIROM, R2/PP-15) inclusiv pentru asigurarea siguranței sediilor si bunurilor aflate în paza juridică a ASIROM. Securitatea fizică se asigura prin desfășurarea neîntreruptă a unor activități/acțiuni efectuate in scopul asigurării unui nivel de securitate adecvat specificului activității fiecărui obiectiv al companiei cât și pentru adaptarea permanenta la condițiile de mediu în care își desfășoară societatea activitatea.