P O L I T I C A G E N E R A L Ă DE PRELUCRARE A DATELOR CU CARACTER PERSONAL A SC ASIG CENTER BROKER DE ASIGURARE SRL IAȘI
Capitolul 1 -Dispoziţii generale
1. 1. Obiect şi obiective
Prezentul document denumit în continuare pe scurt şi „politica de prelucrare”, stabileşte normele referitoare la
protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, măsurile de protecţie şi securizare a
acestor date, precum şi responsabilităţile personalului operatorului de date cu caracter personal, pentru îndeplinirea obligaţiilor
referitoare la garantarea şi protejarea acestor drepturi.
Exercitarea drepturilor prevăzute în politica de prelucrare, nu poate fi restrânsă decât în cazurile expres şi limitativ
prevăzute de lege.
Confidențialitatea și securitatea reprezintă o componentă esențială a derulării optime a activității SC ASIG
CENTER BROKER DE ASIGURARE SRL, sens în care prezentul document prevede cerințe și reguli imperative pentru
protecția tuturor datelor cu caracter personal atât împotriva erorilor umane sau tehnice, cât și împotriva acțiunilor deliberate
care pot provoca prejudicii sau care pot duce la încălcări ale legislației în vigoare.
Având în vedere faptul că siguranța datelor nu poate fi garantată exclusiv cu ajutorul unor sisteme și măsuri tehnice,
politica de prelucrare vizează de asemenea, aspecte de ordin organizatoric, juridic sau de altă natură cu scopul de a proteja,
atât datele cu caracter personal ale clienților operatorului, cât și ale personalului acestuia.
1.2. Domeniu de aplicare
Prezentul regulament se aplică tuturor categoriilor de personal din structurile SC ASIG CENTER BROKER DE
ASIGURARE SRL, cu atribuţii de prelucrare a datelor cu caracter personal şi/sau după caz persoanelor împuternicite ale
acesteia.
Totodată se aplică prelucrării datelor cu caracter personal, efectuată total sau parţial prin mijloace automatizate,
precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de
evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.
1.3. Termeni şi definiţii
“Date cu caracter personal”, acronim DCP, înseamnă orice informaţii privind o persoană fizică identificată sau
identificabilă (“Persoana vizată”). O persoana fizică identificabilă este o persoană care poate fi identificată, direct sau indirect,
în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice,
economice, culturale sau sociale.
“Prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra
seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:
– colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă;
– înregistrarea – consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori neautomat, care poate fi
registru, fişier automat, baza de date sau orice formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire
de date ori document, indiferent de modalitatea în care se înscriu datele;
– organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite,
potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/optimizării activităţilor de prelucrare a acestora;
– stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă;
– adaptarea – transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru
care au fost colectate;
– modificarea – actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul
menţinerii caracteristicilor de exactitate, realitate, actualitate;
– extragerea – scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi
distinct de prelucrarea iniţială;
– consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în
scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară;
– utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, împuterniciţilor
operatorului ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare;
– dezvăluirea/divulgarea – a face disponibile date cu caracter personal către terţi prin comunicare, transmitere, diseminare sau
punerea la dispoziţie în orice alt mod;
– alăturarea – adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică;
– combinarea/alinierea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe
baza unor criterii prestabilite, pentru scopuri anume determinate;
– blocarea – întreruperea prelucrării datelor cu caracter personal;
– restricţionarea – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
– ştergerea – eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin
împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;
– transformarea – operaţiunea efectuată asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora
în scopuri exclusiv statistice;
– distrugerea – aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau
termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.
“Creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în
utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizică, în special pentru
a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale,
interesele, fiabilitatea, comportamentul, locul în care se afla persoana fizică respectivă sau deplasările acesteia.
“Pseudonimizare/date anonime” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât
acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste
informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri tehnice şi organizatorice care să asigure
neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
“Sistem de evidenta a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor
criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice.
“Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau
împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de
prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este
persoană fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în
baza acelui act normativ.
În sensul prezentului regulament au calitatea de Operator, SC ASIG CENTER BROKER DE ASIGURARE SRL,
cu toate entităţile sale funcţionale/structurile organizatorice, dacă stabilesc scopul şi mijloacele de prelucrare a datelor cu
caracter personal.
“Persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt
organism care prelucrează datele cu caracter personal în numele operatorului.
“Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt
divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li
se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul
intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele
aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării.
“Parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana
vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei
împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
“Consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de
ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu
caracter personal care o privesc să fie prelucrate.
“Încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau
ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau
prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
“Date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite
ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezulta în
special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză.
“Date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice
referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă
identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.
“Date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane
fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia.
“Întreprindere” înseamnă o persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma
juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică.
“Grup de întreprinderi” înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta.
“Reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie
respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte
transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator
în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate
economică comună.
“Autoritate de supraveghere/ANSPDCP” înseamnă Autoritatea Naţională de Supraveghere a Datelor cu Caracter
Personal.
„Codul numeric personal (CNP)” înseamnă un număr semnificativ care individualizează în mod unic o persoana
fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către
persoanele autorizate.
„Date cu caracter personal cu funcţie de identificare de aplicabilitate generală (date cu caracter special)” înseamnă
numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi:
codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de
asigurare sociala sau de sănătate.
„Utilizator” înseamnă orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a
reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal. Are calitatea de utilizator al datelor cu
caracter personal, atât personalul operatorului SC ASIG CENTER BROKER DE ASIGURARE SRL cât și cel al
împuternicitului acestuia ale cărei atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal.
„Responsabilul de protecţia datelor”, cu acronim DPO , înseamnă persoana din cadrul SC ASIG CENTER
BROKER DE ASIGURARE SRL cu sarcini/responsabilităţi specifice privind funcţionarea corespunzătoare a sistemului de
protecţie a datelor cu caracter personal, în conformitate cu prevederile RGPD precum şi elaborarea, implementarea şi
monitorizarea respectării prevederilor prezentului Regulament sau firma specializată în furnizare de servicii de protecție a
datelor cu caracter personal cu care este încheiat un contract în acest sens.
1.4. Acte normative de referinţă în materie de protecţia datelor cu caracter personal:
-Regulamentul UE nr. 679/2016 al Parlamentului European și al Consiliului Uniunii Europene privind protecţia
persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (RGPD);
-Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679
Capitolul 2 – Politica de confidenţialitate a datelor cu caracter
2.1. Principii legate de prelucrarea datelor cu caracter personal
Legalitate, echitate şi transparenţă – un principiu esenţial, strâns asociat cu drepturile fundamentale ale omului.
Datele cu caracter personal trebuie să fie prelucrate „în mod legal, echitabil şi transparent faţă de persoana vizată”.
Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime,
iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. Prelucrarea ulterioară în scopuri de arhivare în interes
public, în scopuri de cercetare ştiinţifică/istorică ori în scopuri statistice nu se consideră incompatibilă de la scopurile iniţiale.
Minimizarea/Reducerea la minimum a datelor – orice colectare de date personale trebuie foarte bine analizată
înainte de obţinerea efectivă a datelor, care trebuie să fie cele mai adecvate, relevante și strict limitate la ceea ce este absolut
necesar pentru scopurile în care sunt prelucrate.
Exactitatea informaţiilor – datele cu caracter personal trebuie să fie exacte şi în cazul în care este necesar, trebuie
să fie actualizat, operatorii trebuie să ia toate măsurile pentru a se asigura că datele cu caracter personal care sunt inexacte,
având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere.
Limitarea stocării – datele trebuie păstrate fix atât timp cât sunt necesare pentru prelucrarea asumată. Perioadele
mai lungi de stocare sunt excepţii asociate cu activităţi de prelucrare în scopuri de arhivare în interes public, în scopuri de
cercetare ştiinţifică sau istorică ori în scopuri statistice, conform art. 89, alin.1 din RGPD, sub rezerva punerii în aplicare a
măsurilor tehnice şi organizatorice adecvate prevăzute de RGPD în vederea garantării drepturilor şi libertăţilor persoanei
vizate.
Integritate și confidenţialitate – prelucrarea datelor personale trebuie făcută în cele mai adecvate condiţii de siguranţă,
care să includă „protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”. Nerespectarea acestui principiu expune direct
la breşe de securitate și confidenţialitate şi, implicit, la penalităţile extrem de severe prevăzute de RGPD.
Responsabilitate – Operatorul este responsabil de respectarea principiilor RGPD şi de a demonstra această
respectare. RGPD impune nu numai respectarea principiilor RGPD – de exemplu, prin documentarea deciziilor luate cu privire
la o activitate de procesare, ci și să se demonstreze oricând această respectare (responsabilitate).
2.2. Angajament:
Orice prelucrare de date cu caracter personal în cadrul activităților SC ASIG CENTER BROKER DE
ASIGURARE SRL, va fi legală şi echitabilă;
Ne angajăm să facem transparent pentru persoanele fizice vizate, faptul că sunt colectate, utilizate, consultate sau
prelucrate datele cu caracter personal care le privesc şi în ce măsură datele sunt, sau vor fi prelucrate; Pentru aceasta se va
avea în vedere principiul transparenţei, care prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor
date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că trebuie să se utilizeze un limbaj simplu şi clar;
acest principiu se referă în special la informarea persoanei vizate privind identitatea operatorului şi scopurile prelucrării,
precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte
persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care sunt prelucrate;
Ne angajăm că persoanele fizice vor fi informate cu privire la riscurile, normele, garanţiile şi drepturile în materie
de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea;
Ne angajăm ca scopurile specifice în care datele cu caracter personal sunt prelucrate, să fie explicite şi legitime şi
să fie determinate la momentul colectării datelor respective;
Ne angajăm ca datele cu caracter personal să fie adecvate, relevante şi limitate la ceea ce este necesar pentru
scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter
personal sunt stocate este limitată strict la minimum;
Ne angajăm ca datele cu caracter personal să fie prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod
rezonabil prin alte mijloace;
Ne angajăm să stabilim termene pentru ştergere sau revizuirea periodică a datelor cu caracter personal stocate;
Ne angajăm să luăm toate masurile rezonabile pentru a se asigura că datele cu caracter personal inexacte, să fie
rectificate sau şterse cât mai curând posibil;
Ne angajăm ca datele cu caracter personal să fie prelucrate astfel încât să se asigure în mod adecvat securitatea şi
confidenţialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter
personal şi a echipamentului utilizat pentru prelucrare.
Capitolul 3 – Politica privind temeiul legal al prelucrării datelor cu caracter personal
3.1. Legalitatea prelucrării
Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
-Persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri
specifice;
-Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la
cererea persoanei vizate înainte de încheierea unui contract;
-Prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
-Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
-Prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea
autorităţii publice cu care este investit operatorul;
-Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care
prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter
personal, în special atunci când persoana vizata este un copil;
Capitolul 4 – Politica privind prelucrările bazate pe consimţământul persoanei vizate
4.1. Condiţiile privind consimţământul
În cazul în care prelucrarea unor date, are ca temei juridic consimţământul persoanei vizate (de exemplu prelucrările
în scop de marketing sau prelucrările de date privind sănătatea), operatorul trebuie să fie în măsură să demonstreze că persoana
vizată şi-a dat consimţământul expres, neechivoc, liber şi informat pentru prelucrarea respectivelor date cu caracter personal.
În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se refera şi la alte
aspecte, cererea privind consimţământul trebuie să fie prezentata într-o forma care o diferenţiază în mod clar de celelalte
aspecte, într-o forma inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.
Persoana vizata are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu
afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea
consimţământului, persoana vizata este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de
simplu ca acordarea acestuia.
Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât mai mult de faptul că, printre
altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimțământul cu privire la
prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.
4.2. Prelucrări bazate pe consimțământ
La nivelul SC ASIG CENTER BROKER DE ASIGURARE SRL, ca Operator de date personale, în situația în
care nu ne regăsim în nici una din excepțiile art. 9 alin (2) al Regulamentului EU 679/2016, consimţământul persoanelor vizate
este acordat:
– în situaţia în care prelucrarea datelor personale se face în scop de marketing: Când conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL decide prelucrarea în scop de marketing direct, persoanele împuternicite sau responsabile de contract vor avea în vedere în mod obligatoriu exprimarea consimţământului în scopul menţionat anterior de către persoana vizata. Lipsa consimţământului conduce la imposibilitatea prelucrării în scop de marketing direct.
– în situaţia în care se prelucrează date cu carater personal ale minorilor: Prelucrarea datelor cu caracter personal ale unui
copil pe baza consimțământului acestuia, este legală, iar consimțământul este valid, dacă persoana vizată are cel puţin vârsta
de 16 ani. Dacă copilul are o vârstă mai mică de 16 ani, respectiva prelucrare este legală numai dacă şi în măsura în care
consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului. Operatorul depune toate
eforturile rezonabile pentru a verifica în astfel de cazuri dacă titularul răspunderii părinteşti a acordat sau a autorizat
consimţământul, ţinând seama de tehnologiile disponibile. Aceste dispoziţii nu afectează dreptul general al contractelor
aplicabil în statele membre UE, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un
copil.
– în situația în care se prelucrează date din categoria celor sensibile (date privind starea de sanatate fizică și psihică sau
afecțiunile medicale declarate în chestionarele medicale și care rezultă din analizele medicale efectuate la încheierea unui
contract de asigurare, datele medicale colectate de la furnizorii de servicii medicale pentru decontarea serviciilor accesate de
catre asigurat, datele medicale colectate în procesul de despagubire în cazul unui eveniment asigurat), date biometrice, date
privind contravenții, infracțiuni sau alte fapte menționate în documentele emise de poliție aferente dosarelor de dauna ori
sancțiuni, condamnări penale sau privind expunerea politică in cadrul verificării clientelei;
Modul de colectare a consimțământului pentru folosirea cookies-urilor pe site-ul nostru este la fel de facil ca și retragerea acestuia, vizitatorul putând singuri să-și gestioneze preferințele cookies accesând platforma dedicată din cuprinsul site-ului și fiind informați prin intermediul Politicii de cookies publicată pe site.
Capitolul 5 – Reguli speciale privind prelucrarea datelor cu caracter personal
5.1. Prelucrarea unor categorii speciale de date cu caracter personal
Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice,
confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date
biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viata sexuală sau
orientarea sexuală ale unei persoane fizice.
Prevederile anterioare nu se aplică în următoarele situaţii: − când persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede că interdicţia
prevăzută anterior să nu poată fi ridicată prin consimţământul persoanei vizate; − când prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în
măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în
temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate; − când prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul; − când prelucrarea este efectuată în cadrul activităţilor lor legitime şi cu garanţii adecvate de către o fundaţie, o asociaţie sau orice alt organism fără scop lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea
să se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte
permanente în legătură cu scopurile sale şi că datele cu caracter personal să nu fie comunicate terţilor fără consimţământul
persoanelor vizate; − când prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată; − când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau ori de câte ori instanţele acţionează în exerciţiul funcţiei lor judiciare; − când prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare
şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate; − când prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii
sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi
garanţiilor prevăzute de lege; datele cu caracter personal pot fi prelucrate în scopurile menţionate anterior în cazul în care
datele respective sunt prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub
responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme
naţionale competente sau de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului
Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente; − când prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a
asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care
prevede măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului
profesional; − când prelucrarea este necesara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit,
respectă esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor
fundamentale şi a intereselor persoanei vizate.
5.2. Prelucrarea datelor cu caracter personal cu funcţie de identificare generală
Datele cu caracter personal cu funcţie de identificare generală (Codul numeric personal – CNP, seria şi numărul actului de identitate/paşaportului etc.) vor fi prelucrate, în situaţiile în care este necesară stabilirea identităţii persoanelor vizate şi prelucrarea este prevăzută în mod expres de o dispoziţie legală sau în oricare din condiţiile art. 6 alin (1) lit. a-e din Regulament (există un temei al prelucrării, mai puțin lit f – interesul legitim urmărit de operator). Eventualele prelucrări având ca temei litera f) a art. 6, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terță, se efectuează numai după instituirea următoarelor garanții pentru drepturile şi libertăţile persoanei vizate: a) punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor art. 32 din Regulamentul general privind protecția datelor; b) numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din prezenta lege; c) stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii; d) instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal. 5.3. Prelucrarea datelor cu caracter personal referitoare la condamnări penale şi infracţiuni
Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni sau la masuri de securitate
conexe se efectuează numai sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau
de legislaţia naţională care prevede garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate. Orice registru
cuprinzător al condamnărilor penale se ține numai sub controlul unei autorităţi de stat.
5.4. Prelucrarea care nu necesită identificarea
În cazul în care scopurile pentru care SC ASIG CENTER BROKER DE ASIGURARE SRL, (operatorul)
prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator,
operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul
unic al respectării legislaţiei specifice.
Dacă, în cazurile menţionate anterior, operatorul poate demonstra că nu este în măsura să identifice persoana vizată,
operatorul informează persoana vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri, prevederile legale
privind dreptul de acces, de rectificare, de ştergere, la restricţionarea prelucrării, dreptul la portabilitatea datelor nu se aplică,
cu excepţia cazului în care persoana vizată, în scopul exercitării drepturilor sale menţionate anterior, oferă informaţii
suplimentare care permit identificarea sa.
5.5. Politica de prelucrare a datelor cu caracter personal prin mijloace de supraveghere video
SC ASIG CENTER BROKER DE ASIGURARE SRL, NU prelucrează date cu caracter personal prin intermediul
sistemelor de supraveghere video, respectiv imaginea şi alte informaţii ce permit identificarea persoanelor vizate.
Imaginile referitoare la persoane identificate sau identificabile, prelucrate prin mijloace de supraveghere video,
constituie date cu caracter personal: – chiar dacă nu sunt asociate cu datele de identificare ale persoanei; – chiar daca nu conţin imaginea persoanei filmate, ci alte informaţii de natură să conducă la identificarea acesteia (ex: numărul de înmatriculare al vehiculului).
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se va putea realiza pe viitor numai prin
decizie a conducerii, cu respectarea obligaţiilor impuse de Regulamentul EU 679/2016.
5.6. Prelucrarea în contextul ocupării unui loc de muncă
În cadrul procesului de recrutare/selecţie de personal, specialistul de resurse umane, va informa potenţialul angajat
și va documenta această informare prin semnarea unei Note de Informare prin care candidatul declară că a fost informat în
legătură cu prelucrarea datelor cu caracter personal la nivelul SC ASIG CENTER BROKER DE ASIGURARE SRL, precum
şi în legătură cu drepturile de care beneficiază, potrivit legislaţiei specifice. Notele de Informare se vor păstra distinct în
evidentele specialistului de resurse umane.
5.7. Evaluarea de impact
Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării prin mijloace de supraveghere video,
este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, astfel că operatorul se angajează
să efectueze, înaintea unei astfel de prelucrări, o evaluare a impactului.
Capitolul 6 – Politica privind exercitarea drepturillor persoanei vizate
6.1. Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate
SC ASIG CENTER BROKER DE ASIGURARE SRL prin salariații sau împuterniciții săi: • ia toate măsurile adecvate și necesare pentru a furniza persoanei vizate informaţiile legale solicitate, precum şi orice notificări şi comunicări (în situaţia exercitării drepturilor de care beneficiază potrivit legii) referitoare la prelucrare, într
o forma concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii
adresate în mod specific unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun,
în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei
vizate să fie dovedită prin alte mijloace; • facilitează exercitarea drepturilor persoanei vizate prin implementarea de mecanisme și proceduri interne privind exercitarea drepturilor persoanelor vizate; • furnizează persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri prin care îşi exercită drepturile de care beneficiază în baza legii, fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii.
Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul
cererilor; • informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt
furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format. • daca nu ia măsuri cu privire la cererea persoanei vizate, informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere
în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară; • informaţiile furnizate în temeiul legislaţiei specifice şi orice comunicare şi orice măsuri luate în baza exercitării drepturilor de care beneficiază, potrivit legii, persoana vizată, sunt oferite gratuit.
În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza
caracterului lor repetitiv, operatorul poate: • fie să perceapă o taxa rezonabilă ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicării sau pentru luarea măsurilor solicitate; • fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea prin
intermediul căreia îşi exercită drepturile de care beneficiază, potrivit legii, persoana vizată, poate solicita furnizarea de
informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate.
Informaţiile care urmează sa fie furnizate persoanelor vizate în temeiul legislaţiei specifice, pot fi furnizate în
combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu
semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea
trebuie să poată fi citite automat.
Pentru exercitarea drepturilor prevăzute de legislaţia specifică şi de prezentul Regulament, persoanele vizate se pot adresa DPO din cadrul SC ASIG CENTER BROKER DE ASIGURARE SRL cu o cerere scrisă, datată şi semnată la adresa de e-mail dedicată și publicată pe site-ul operatorului sau la adresa de corespondenţă a acestuia deasemenea publică, la rubrica contact. Operatorul poate, dacă este cazul, să solicite persoanei vizate să pună la dispoziţie informaţii suplimentare pentru a stabili identitatea acesteia.
6.2. Dreptul la informare
6.2.1. Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate direct de la
persoana vizată.
În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, în momentul
obţinerii acestor date cu caracter personal, se furnizează obligatoriu persoanei vizate o Notă de Informare scrisă (Anexa 18),
ce va cuprinde următoarele informaţii și pe care persoana vizată o va citi şi semna pentru luare la cunoștință: • identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia; • datele de contact ale responsabilului cu protecţia datelor; • scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării; • interesele legitime urmărite de operator sau de o parte terţă, după caz; • destinatarii sau categoriile de destinatari ai datelor cu caracter personal; • dacă este cazul, intenţia operatorului de a transfera date cu caracter personal în afara Spaţiului UE si al Zonei Economice Europene. • perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; • existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se
opune prelucrării, precum şi a dreptului la portabilitatea datelor; • atunci când prelucrarea se bazează pe consimţământul persoanei vizate, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de
retragerea acestuia; • dreptul de a depune o plângere în fața unei autorităţi de supraveghere; • dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter
personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii; • existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana
vizată.
În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel
pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de aceasta prelucrare ulterioară, informaţii
privind scopul secundar respectiv şi orice informaţii suplimentare relevante.
Prevederile precedente nu se aplică dacă şi în măsura în care persoana vizată deţine deja informaţiile respective.
Atunci când este oportun, informaţiile de mai sus pot fi furnizate și electronic, dacă procesul de informare îndeplinit
într-un astfel de mod poate fi probat.
6.2.2. Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la
persoana vizată
În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei
vizate următoarele informaţii: • identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia; • datele de contact ale responsabilului cu protecţia datelor, după caz; • scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării; • categoriile de date cu caracter personal vizate; • destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz; • dacă este cazul, intenţia operatorului de a transfera date cu caracter personal în afara Spaţiului UE şi al Zonei Economice Europene. • perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; • interesele legitime urmărite de operator sau de o parte terţă, dacă prelucrarea se face în temeiul art. 6 alin. (1) lit. f); • existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării şi a dreptului de a se
opune prelucrării, precum şi a dreptului la portabilitatea datelor; • atunci când prelucrarea se bazează pe consimţământul persoanei vizate, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de
retragerea acestuia; • dreptul de a depune o plângere în faţa unei autorităţi de supraveghere; • sursa din care provin datele cu caracter personal şi, dacă este cazul, dacă acestea provin din surse disponibile public; • existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de
prelucrări pentru persoana vizată. a) Operatorul furnizează informaţiile menţionate anterior: • într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal; • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; • dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară. • În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de aceasta prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante.
Prevederile precedente nu se aplică dacă şi în măsura în care: • persoana vizată deţine deja informaţiile; • furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice,
sub rezerva condiţiilor şi a garanţiilor prevăzute de lege, sau în măsura în care obligaţia furnizării informaţiilor este
susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de
cazuri, operatorul ia masuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate,
inclusiv punerea informaţiilor la dispoziţia publicului; • obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii Europene sau de dreptul intern sub incidenţa căruia intra operatorul şi care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei
vizate;
în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de
secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.
6.2.3. Informarea persoanelor vizate în contextul activităţilor specifice ale operatorului
În momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate informații
privind existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana
vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune
prelucrării, precum și a dreptului la portabilitatea datelor.
În contextul realizării atribuţiilor stabilite de lege şi desfăşurării activităţii curente a SC ASIG CENTER BROKER
DE ASIGURARE SRL, a derulării raporturilor de muncă, a activităţilor contractuale şi /sau participării evenimente
specializate, precum şi în contextul îndeplinirii obligaţiilor legale, informarea persoanelor vizate se poate realiza, după cum
urmează: a) în cadrul procesului de recrutare/selecţie de personal, specialistul de resurse umane al operatorului, va pune la dispoziţia potenţialului salariat o Notă de Informare, pe care acesta/aceasta o va citi şi o va semna şi prin care declară că a fost
informat/ă în legătură cu prelucrarea datelor cu caracter personal la nivelul operatorului, precum şi în legătură cu drepturile
de care beneficiază, potrivit legislaţiei specifice. Notele de Informare se vor păstra distinct în evidenţele specialistului de
resurse umane. b) în contextul derulării raporturilor de muncă, specialistul de resurse umane al operatorului, va pune la dispoziţia fiecărui angajat, o Notă de Informare, pe care acesta/aceasta o va citi şi o va semna şi prin care declară că a fost informat/ă în
legătură cu prelucrarea datelor cu caracter personal la nivelul operatorului/angajator precum şi în legătură cu drepturile de
care beneficiază, potrivit legislaţiei specifice. Notele de Informare se vor păstra distinct în evidentele specialistului de resurse
umane. Modelul Notei de Informare a angajaţilor va fi elaborat, furnizat și actualizat periodic de responsabilul cu protecția
datelor; c) persoanele vizate, respectiv salariaţii, persoanele fizice care intră în contact cu operatorul, vizitatorii şi alte persoane care intră în sediile sau punctele de lucru ale operatorului, în situația în care datele acestora vor fi prelucrate prin
intermediul sistemelor de supraveghere video, vor fi informate în acest sens prin intermediul unor Note de Informare afișate pe
site-ul operatorului dar și la locul unde sunt instalate camerele de supraveghere împreună cu pictograma care semnalizează zona
de supraveghere. Modelul Notei de Informare cu privire la prelucrarea datelor prin sistemele de supraveghere video va fi
elaborat, furnizat și actualizat periodic de responsabilul cu protecția datelor. Informările în cauză, precum şi indicatoarele de
marcare a existentei sistemului de supraveghere video vor fi aplicate în locurile unde sunt amplasate camere de supraveghere
video-CCTV, în urma analizei de risc. Persoana desemnată prin decizia conducerii operatorului, va verifica periodic starea
fizică a informărilor şi a indicatoarelor anterior menţionate și va răspunde de siguranţa şi confidenţialitatea datelor personale
stocate în sistemul de supraveghere/monitorizare video precum și de supervizarea acestuia. d) în cadrul derulării activităţii comerciale/contractuale şi /sau participării la evenimente organizate în incinta imobilelor administrate de operator sau în alte locuri publice, informarea persoanelor vizate se realizează prin: • Condiţiile Generale, Tehnice şi de Participare ale SC ASIG CENTER BROKER DE ASIGURARE SRL, care conţin prevederi referitoare la protecţia datelor personale; • Formularul „Adeziune Contract” care conţine prevederi referitoare la protecţia datelor personale; • Documentaţia contractuală încheiată de SC ASIG CENTER BROKER DE ASIGURARE SRL care conţine prevederi referitoare la protecţia datelor personale; • Termenii şi Condiţiile specifice website-ului SC ASIG CENTER BROKER DE ASIGURARE SRL care conţin prevederi referitoare la protecţia datelor personale;
Derulatorii de contracte ai operatorului, vor avea responsabilitatea/obligativitatea inserării în contractele încheiate şi
gestionate de către aceştia a clauzelor specifice cu privire la protecţia datelor cu caracter personal şi/sau cu privire la
respectarea Condiţiilor Generale, Tehnice şi de Participare.
Elementele de conţinut ale Notelor de Informare, ale clauzelor contractuale şi ale celorlalte instrumente de informare
referitoare la protecţia datelor personale sunt stabilite/actualizate și furnizate, pe baza legislaţiei specifice, de către
Responsabilul cu protecţia datelor din cadrul SC ASIG CENTER BROKER DE ASIGURARE SRL.
6.3. Dreptul de acces al persoanei vizate
Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter
personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii: a) scopurile prelucrării; b) categoriile de date cu caracter personal vizate; c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale; d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioadă; e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării; f) dreptul de a depune o plângere în fata unei autorităţi de supraveghere;
g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora; h) existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
În cazul în care datele cu caracter personal sunt transferate către o ţară terţă sau o organizaţie internaţională, persoana
vizată are dreptul să fie informată cu privire la garanţiile adecvate, prevăzute de lege referitoare la transfer.
Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii
solicitate de persoana vizată, operatorul poate percepe o taxa rezonabilă, bazată pe costurile administrative. În cazul în care
persoana vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana vizată solicită un alt format,
informaţiile sunt furnizate într-un format electronic utilizat în mod curent.
Dreptul de a obţine o copie menţionată anterior nu aduce atingere drepturilor şi libertăţilor altora.
6.4. Dreptul la rectificare
Persoana vizata are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter
personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul
de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
6.5. Dreptul la ştergerea datelor (“dreptul de a fi uitat”)
Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc,
fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în
cazul în care se aplica unul dintre următoarele motive: a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, şi nu există niciun alt temei juridic pentru prelucrare; c) persoana vizată se opune prelucrării şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării, în cazul prelucrării în scop de marketing direct; d) datele cu caracter personal au fost prelucrate ilegal; e) datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se afla operatorul; f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate în legislaţia specifică.
Alineatele anterioare nu se aplică în măsura în care prelucrarea este necesară: a) pentru exercitarea dreptului la liberă exprimare şi la informare; b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei
autorităţi oficiale cu care este investit operatorul;
c) din motive de interes public în domeniul sănătăţii publice; d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorica ori în scopuri statistice, în măsura în care dreptul la ştergere este susceptibil să facă imposibilă sau sa afecteze în mod grav realizarea obiectivelor
prelucrării respective; e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă. 6.6. Dreptul la restricţionarea prelucrării
Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică
unul din următoarele cazuri: a) persoana vizată contestă exactitatea datelor, pentru o perioada care îi permite operatorului să verifice exactitatea datelor; b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor; c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; d) persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
În cazul în care prelucrarea a fost restricţionată conform prevederilor anterioare, astfel de date cu caracter personal pot,
cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea
unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice ori din motive de interes public
important al Uniunii sau al unui stat membru.
O persoană vizată care a obţinut restricţionarea prelucrării este informată de către operator înainte de ridicarea
restricţiei de prelucrare.
6.7. Obligaţia de notificare cu privire la rectificarea, ştergerea datelor cu caracter personal sau
restricţionarea prelucrării
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau
ştergere a datelor cu caracter personal sau restricţionare a prelucrării, cu excepţia cazului în care acest lucru se dovedeşte
imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi
dacă persoana vizată solicită acest lucru.
6.8. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului
într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care: a) prelucrarea se bazează pe consimţământ sau pe un contract; b) prelucrarea este efectuată prin mijloace automate. În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie
transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
Exercitarea dreptului la portabilitatea datelor nu aduce atingere dreptului la ştergerea datelor. Respectivul drept nu se
aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi
oficiale cu care este investit operatorul.
Dreptul la portabilitatea datelor nu aduce atingere drepturilor şi libertăţilor altora.
6.9. Dreptul la opoziţie şi procesul decizional individual automatizat
Dreptul la opoziţie
În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situaţia particulară în care se află,
prelucrării datelor cu caracter personal care o privesc, inclusiv creării de profiluri. Operatorul nu mai prelucrează datele cu
caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi imperioase care justifică
prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea,
exercitarea sau apărarea unui drept în instanţă.
Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de
a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri,
în măsura în care este legată de marketingul direct respectiv.
În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu
mai sunt prelucrate în acest scop.
Cel târziu în momentul primei comunicări cu persoana vizată, dreptul la opoziţie menţionat este adus în mod explicit
în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii.
În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică sau în scopuri
statistice, persoana vizată, din motive legate de situaţia sa particulară, are dreptul de a se opune prelucrării datelor cu caracter
personal care o privesc, cu excepţia cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de
interes public.
Procesul decizional automatizat, crearea de profiluri
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea
de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură
semnificativă.
Prevederile anterioare nu se aplică în cazul în care decizia: a) este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator de date; b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului şi care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate; c) are la baza consimţământul explicit al persoanei vizate. În cazurile în care decizia este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un
operator de date sau are la bază consimţământul explicit al persoanei vizate, operatorul de date pune în aplicare măsuri
corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia
de a obţine intervenţie umană din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.
Deciziile menţionate anterior nu au la baza categoriile speciale de date cu caracter personal, cu excepţiile prevăzute de
lege (ex: persoana vizată şi-a dat consimţământul explicit) şi în care au fost instituite măsuri corespunzătoare pentru protejarea
drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.
Capitolul 7 – Restricţii
Prin legislaţia specifică care se aplică operatorului de date sau persoanei împuternicite de operator se poate restricţiona
domeniul de aplicare al obligaţiilor şi al drepturilor prevăzute în actuala legislaţie în măsura în care dispoziţiile acesteia
corespund drepturilor şi obligaţiilor menţionate anterior, atunci când o astfel de restricţie respectă esenţa drepturilor şi
libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică, pentru a asigura: a) securitatea naţională; b) apărarea; c) securitatea publică; d) prevenirea, investigarea, depistarea sau urmărirea penală sau executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora; e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în
domeniul sănătăţii publice şi al securităţii sociale; f) protejarea independenţei judiciare şi a procedurilor judiciare; g) prevenirea, investigarea, depistarea şi urmărirea penală a încălcării eticii în cazul profesiilor reglementate; h) funcţia de monitorizare, inspectare sau reglementare legată, chiar şi ocazional, de exercitarea autorităţii oficiale; i) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora; j) punerea în aplicare a pretenţiilor de drept civil.
Capitolul 8 – Operatorul şi persoana împuternicită de operator
8.1. Responsabilitățile Operatorului
Ţinând seama de natura activității curente, domeniul de aplicare, contextul şi scopurile prelucrării, de faptul că în
activitatea curentă se prelucrează date cu caracter personal atât în calitate de operator independent, dar și în calitate de persoană
împuternicită a altor operatori, de costurile implementării precum şi de riscurile cu grade diferite de probabilitate şi gravitate
pentru drepturile şi libertăţile persoanelor fizice, SC ASIG CENTER BROKER DE ASIGURARE SRL, se obligă:
– a-și evalua periodic modul în care asigură prelucrarea datelor cu caracter personal cu respectarea
Regulamentului,
– a implementa politici de securitate și confidențialitate și proceduri interne de gestionare a incidentelor de
securitate și de facilitare a exercitării drepturilor persoanelor vizate,
– a pune în aplicare măsurile tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze
că prelucrarea se efectuează în conformitate cu legislaţia specifică.
8.2. Politica privind securitatea fizică
Măsurile tehnice şi organizatorice adoptate de SC ASIG CENTER BROKER DE ASIGURARE SRL, sunt măsuri
necesare protejării datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii
sau accesului neautorizat. Respectivele masuri recomandate inițial ca urmare a unei evaluări efectuate de un consultant
independent, se revizuiesc şi se actualizează în situația apariției unor modificări legislative sau ori de câte ori se impune – cu
avizul Responsabilului cu Protecția Datelor.
Pentru îndeplinirea cerinţelor legale specifice protecţiei datelor cu caracter personal, în urma procesului prin care am
fost evaluați, a recomandărilor și instruirilor efectuate, am implementat măsuri tehnice şi organizatorice orientate pe diferite
direcţii de acţiune, precum:
-alocarea/stabilirea responsabilităţilor pentru Responsabilul de protecţia datelor,
-alocarea/stabilirea responsabilităţilor pentru angajaţii care prelucrează date cu caracter personal,
-elaborarea și aprobarea politicii de prelucrare a datelor cu caracter personal,
-adaptarea activităţilor organizaţiei la cerinţele legale specifice,
-elaborarea/implementarea unor politici/proceduri IT adecvate pentru securitatea datelor personale,
-instruirea personalului, monitorizarea conformităţii, etc.
Deasemenea, SC ASIG CENTER BROKER DE ASIGURARE SRL a stabilit un calendar de implementare
etapizată și prioritizată a măsurilor tehnice şi organizatorice propuse, ce include punerea în aplicare de către operator, a unor
politici/proceduri IT adecvate de protecţie/securitate a datelor cu caracter personal prin contractarea de servicii de consultanță
în materie de protecția datelor cu caracter personal și securitate cibernetică, în scopul efectuării unor operațiuni periodice de
evaluare a riscurilor pe care le prezintă operațiunile de prelucrare sau echipamentele și programele autorizate de conducere a
fi folosite în activitatea curentă și a elaborării unui set de măsuri tehnice de prevenire a atacurilor cibernetice, de securizare a
rețelei interne, de evitare a pierderilor de date, care să cuprindă cel puțin următoarele tipuri de măsuri:
– Autentificarea individuală a personalului
– Limitarea accesului salariaților la datele personale de care acesta are nevoie în activitatea curentă.
– Anticiparea breșelor de securitate ca urmare a pierderii sau furtului unui echipament mobil.
– Protejarea rețelei intranet (activarea doar a acelor funcții de rețea necesare pentru prelucrarea datelor).
– Întărirea măsurilor de securitate aplicate serverelor.
– Întărirea măsurilor de securitate aplicate site-urilor web.
– Asigurarea integrității datelor prin crearea de copii de siguranță a datelor personale.
– Arhivarea datelor personale.
– Asigurarea securității datelor personale în orice moment din ciclul de viață al acestora.
– Supravegherea respectării securității datelor de către operatorii asociați sau persoane împuternicite.
– Asigurarea securității fizice a spațiilor care adăpostesc servere, echipamente de stocare sau echipamente de rețea,
sau în care se prelucrează date cu caracter personal.
În vederea asigurării unui nivel adecvat de protecţie/securitate a datelor cu caracter personal, la nivelul SC ASIG
CENTER BROKER DE ASIGURARE SRL se adoptă/stabilesc măsuri organizatorice şi reguli, precum: a) efectuarea unei analize de risc și eventual instalarea de sisteme de supraveghere video şi sisteme antiefracţie; b) monitorizarea şi intervenţia în caz de alarmă asigurată în permanenţă de personal specializat/autorizat; c) toate documentele care conţin date cu caracter personal se înregistrează şi urmează regulile de păstrare, procesare, multiplicare, transport, distrugere şi arhivare stabilite prin Legea Arhivelor Naţionale, legislaţia internă şi internaţională
privind protecţia datelor cu caracter personal, politici şi proceduri interne; d) întreg personalul este instruit conform unui calendar stabilit prin decizie a conducerii operatorului, în legătură cu aspectele legale privind protecţia datelor personale, măsurile de securitate şi riscurile pe care le comportă prelucrarea datelor
personale; e) conducerea, stabileşte fiecărui utilizator tipurile de acces şi operaţiunile permise acestuia, strict necesare pentru îndeplinirea atribuţiilor de serviciu; f) utilizatorul/salariat al SC ASIG CENTER BROKER DE ASIGURARE SRL poate prelucra date cu caracter personal doar pe perioada în care ocupă funcţia respectivă. g) distrugerea documentelor pe suport de hartie nu se face prin rupere si aruncare la cos, ci folosind dispozitivul special de distrugere a documentelor pus la dispozitie de conducere. h) securizarea accesului la server și stabilirea unor reguli de acces pe mai multe niveluri.
Extinderea sau restrângerea atribuţiilor de prelucrare a datelor cu caracter personal se dispune de conducerea operatorului
atunci când utilizatorul/angajatul se află în una dintre următoarele situaţii:
– la modificarea raporturilor de muncă;
– la modificarea atribuţiilor privind prelucrarea datelor cu caracter personal, prevăzute în fişa postului.
Dreptul de acces al utilizatorului la sistemul de evidenţă a datelor cu caracter personal se suspendă pe perioada în
care acesta se afla în una dintre următoarele situaţii:
– se află în concediu fără plată, concediu medical, concediu pentru creşterea sau îngrijirea copilului minor, pentru o
perioada mai mare de 3 luni;
– se află în concediu de maternitate sau concediu pentru incapacitate temporară de muncă;
– urmează un curs sau o specializare cu scoatere din program, pentru o perioada mai mare de 3 luni;
– pe perioada cercetării disciplinare, în situaţia în care faţă de utilizator se efectuează cercetări referitoare la
prelucrarea datelor cu caracter personal cu încălcarea dispoziţiilor legale;
– alte cazuri prevăzute de lege.
Cu ocazia proiectării, întreţinerii, actualizării aplicaţiilor de gestiune a bazelor de date, se interzice accesul
providerilor/programatorilor/personalului de întreţinere a sistemelor informatice la orice fel de date cu caracter personal
deţinute/create/accesate de personalul din structura respectivă a SC ASIG CENTER BROKER DE ASIGURARE SRL.
În aceste situaţii, se pun la dispoziţia providerilor/programatorilor/personalului de întreţinere numai date
anonime/pseudonimizate.
Pentru cazuri excepţionale, numai pe durata intervenţiei şi circumstanţiat limitativ la datele strict necesare, persoanele
care asigură suportul tehnic pot avea acces la datele cu caracter personal numai în prezenţa unui utilizator desemnat de
conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL, în această situaţie, răspunderea pentru păstrarea
confidenţialităţii datelor aparţine persoanelor în cauză, sens în care trebuie să fie informați și să semneze un Angajament de
confidenţialitate.
Conducerea operatorului se asigură că:
-Operaţiunile de colectare, introducere, modificare şi actualizare a datelor cu caracter personal se realizează numai
de personalul anume desemnat de către conducere, conform actelor de reglementare internă.
-Se dispun măsurile tehnice necesare care să permită identificarea utilizatorului care a introdus, modificat sau
actualizat datele cu caracter personal.
-Bazele de date cu caracter personal deţinute/create şi programele folosite de operatori/utilizatori sunt salvate, prin
copii de siguranţă, la un interval de timp stabilit de conducere, în funcţie de mărimea, volumul şi importanţa acestor baze de
date.
-Se desemnează/stabilesc utilizatori care să aibă atribuţii de serviciu şi executarea copiilor de siguranţă ale bazelor de
date deţinute/create şi ale programelor folosite.
-Accesul în încăperile în care se află documente ce conţin date cu caracter personal şi/sau terminale de
acces/echipamente care prelucrează date cu caracter personal este limitat la utilizatorii stabiliţi de conducere şi numai pentru
îndeplinirea atribuţiilor de serviciu (acces restricţionat/controlat).
-Documentele, terminalele de acces/echipamentele care conţin date cu caracter personal vor fi ţinute/păstrate în fişete
sau dulapuri metalice, închise cu cheie sau cu un alt mecanism de securizare şi/sau în încăperi/spaţii care se pot încuia puse la
dispoziție de operator.
-Documentele care conţin date cu caracter personal, folosite pentru realizarea anumitor operaţiuni se vor preda
persoanelor abilitate sau se vor închide imediat după terminarea acestora.
-Terminalele de acces/echipamentele se securizează cu parolă, reînoită periodic.
-Aplicaţiile informatice care gestionează date cu caracter personal vor fi prevăzute cu facilitatea închiderii automate a
sesiunii de lucru dacă utilizatorul nu acţionează asupra datelor afişate pe ecran pe o perioadă de timp stabilită (1-5 min), prin
proceduri de lucru/diagrame flux, în funcţie de operaţiunile care trebuie executate.
-Terminalele de acces vor avea setate funcţia de închidere automată a ecranului şi funcţia „lock screen – screen saver”
la o temporizare prestabilită, prin proceduri de lucru/diagrame flux de către conducere, iar dacă acest lucru nu este posibil din
punct de vedere tehnic, după trecerea intervalului de timp stabilit, datele afişate trebuie ascunse sau sesiunea de lucru va fi
închisă.
-Terminalele de acces folosite în relaţia cu publicul se poziţionează astfel încât datele afişate să fie vizualizate numai
de către utilizatori.
-Documentele la care se lucrează încă și care conțin date cu caracter personal se poziționează în așa fel încât datele
personale să nu poată fi vizualizate de persoane neautorizate.
-Accesul utilizatorilor/angajaţilor la datele cu caracter personal care se regăsesc în reţeaua operatorului, pe serverele
şi staţiile de lucru, se face controlat/restricţionat pe bază de user şi parolă, utilizatorii având drept de acces limitat, conform
procedurilor interne (ex: read only, write, execute, modify, full control etc);
-Nu este permisă scoaterea din organizaţie a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD etc.)
care conţin date cu caracter personal, decât cu aprobarea prealabilă a conducerii.
-Se interzice utilizarea serviciului de e-mail în orice mod ce ar avea drept consecinţa transmiterea, distribuirea şi
livrarea de mesaje nesolicitate de poştă electronică în volum mare sau de mesaje comerciale nesolicitate (“Spam”). Prin spam
înţelegem trimiterea de mesaje (comerciale) nesolicitate, folosirea sau distribuirea de liste de e-mailuri care aparţin unor
persoane care nu şi-au exprimat consimţământul specific, anterior sau al căror consimțământ nu mai poate fi probat.
-Utilizatorii/salariaţii nu vor deschide email-uri de tip SPAM/Malware şi/sau orice alte comunicaţii electronice care
nu au legătură cu activitatea desfăşurată în calitate de angajat. Totodată, angajaţii nu au voie să găzduiască sau să permită
găzduirea site-urilor sau informaţiilor a căror publicitate este făcuta prin emailuri SPAM. Nerespectarea acestei politici anti
spam constituie abatere disciplinară.
-Utilizatorii/salariaţii care prelucrează date cu caracter personal sunt obligaţi să îşi închidă sesiunea de lucru, să
blocheze ecranul terminalelor de acces atunci când părăsesc postul de lucru/locul de muncă, iar la sfârşitul programului de
lucru să închidă terminalele de acces.
-Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi şi, acolo unde se
impune (de ex. imprimantă în alt birou), iar echipamentul de imprimare permite, aceasta operaţiune se va realiza controlat, pe
bază de parolă.
Prezentele reguli şi măsuri se completează cu prevederile politicilor şi procedurilor lipsă, pe care operatorul se obligă
să le elaboreze și implementeze fiind necesare pentru asigurarea adecvată a protecţiei/securităţii datelor cu caracter personal.
Aderarea la coduri de conduită aprobate, sau la un mecanism de certificare aprobat, menţionat de legislaţia specifică, poate fi
utilizată ca element care să demonstreze respectarea obligaţiilor de către operator.
Capitolul 9. – Politica de asigurare a protecţiei datelor începând cu momentul conceperii şi în
mod implicit
Având în vedere stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi
scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor
fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare (mijloace manuale şi/sau
automate – ex: sisteme de operare, servere, staţii de lucru, soluţii de securitate, de backup, de stocare, programe/soluţii
software/aplicaţii IT achiziţionate sau dezvoltate in-house etc), cât şi în cel al prelucrării în sine, pune în aplicare măsuri
tehnice şi organizatorice adecvate (ex: pseudonimizarea), care sunt destinate să pună în aplicare în mod eficient principiile de
protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a
îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.
Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt
prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se
aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special,
astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un
număr nelimitat de persoane.
9.1. Persoana împuternicită de Operator
În cazul în care prelucrarea urmează să fie realizată în numele operatorului, acesta contractează exclusiv persoane
împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel
încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.
Persoana împuternicită de operator nu recrutează o altă persoană împuternicită fără a primi în prealabil o autorizaţie
scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de
operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane
împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii față de aceste modificări.
Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în
temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în
raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal
şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului.
Respectivul contract sau act juridic prevede în special ca persoana împuternicită de operator: a) prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţara terţă sau o organizaţie internaţională, cu
excepţia cazului în care aceasta obligaţie îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern
care i se aplică; în acest caz, notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care
dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public; b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate; c) adoptă toate măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate a datelor personale corespunzător, în conformitate cu cerinţele legislaţiei specifice; d) respectă condiţiile menţionate privind recrutarea unei alte persoane împuternicite de operator; e) ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsură în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea
de către persoana vizată a drepturilor prevăzute de legislaţia specifică; f) ajută operatorul să asigure respectarea obligaţiilor privind securitatea prelucrării, notificarea Autorităţii/informarea persoanei vizate în cazul încălcării securităţii datelor, evaluarea impactului asupra protecţiei datelor,
consultarea prealabilă, ţinând seama de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator
g) la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul
intern impune stocarea datelor cu caracter personal; h) pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi
contribuie la acestea; i) Persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de
activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau
în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum sunt prevăzute anterior, revin celei de
a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al
dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice
adecvate.
În cazul în care aceasta a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana
împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor persoanei
împuternicite subsecvent.
Aderarea persoanei împuternicite de operator la un cod de conduită aprobat, sau la un mecanism de certificare aprobat,
menţionate de legislaţia specifică, poate fi utilizată ca element prin care să se demonstreze existenta garanţiilor suficiente
menţionate anterior.
Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul
sau celălalt act juridic încheiat între persoana împuternicită de operator și o altă persoană împuternicită, se poate baza, integral
sau parţial, pe clauze contractuale standard prevăzute/adoptate de Comisia Europeană/ de o autoritate de supraveghere, inclusiv
atunci când fac parte dintr-o certificare acordată operatorului sau persoanei împuternicite de operator în temeiul legislaţiei
specifice.
Contractul sau celălalt act juridic menţionat anterior se formulează în scris, inclusiv în format electronic.
În cazul în care o persoană împuternicită de operator încalcă prezentul regulament, prin stabilirea scopurilor şi
mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicită de operator este considerată a fi un operator
în ceea ce priveşte prelucrarea respectivă.
În situaţiile în care sunt prelucrate date cu caracter personal în numele SC ASIG CENTER BROKER DE
ASIGURARE SRL de către persoane împuternicite (agenți, procesatori de date – ex: instituţii de credit, companii emitente
de tichete de masă/vacanță tipărite sau electronice, carduri beneficii salariaţi, companii de curierat etc.) se vor încheia cu
fiecare dintre aceste persoane împuternicite, acorduri de prelucrare a datelor cu caracter personal, care vor avea în conţinut
elementele prevăzute în prezentul Regulament şi legislaţia specifică, stabilite în prealabil de Responsabilul cu protecţia datelor
şi aprobate de conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL.
9.2. Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de
operator
Persoana împuternicită de operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei
împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepţia
cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru și urmând instricțiunile puse la dispoziție de
operator.
9.3. Evidențele activităţilor și a categoriilor de activități de prelucrare
Organizaţiile care au mai puţin de 250 de angajaţi nu au obligaţia de a ţine evidenţa prelucrării de date cu caracter
personal, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi
libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, sau date cu
caracter personal referitoare la condamnări penale şi infracţiuni, astfel cum sunt prevăzute în legislaţia specifică.
Fiecare operator însă, şi după caz, persoana împuternicită de operator, păstrează o evidentă a tuturor categoriilor de
activităţi de prelucrare desfăşurate în numele operatorului, care cuprind: a) numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează aceasta persoana (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite
de operator, după caz; b) categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator; c) dacă este cazul, transferurile de date cu caracter personal către o ţara terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi documentaţia care dovedeşte existenţa unor garanţii
adecvate; d) acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate adecvate. Evidențele menţionate anterior se formulează în scris, inclusiv în format electronic.
Operatorul sau persoana împuternicită de acesta, precum şi, sau al persoanei împuternicite de operator pun evidențele
la dispoziţia autorităţii de supraveghere, la cererea acesteia, cu notificarea prealabila a Operatorului.
9.4. Cooperarea cu autoritatea de supraveghere
SC ASIG CENTER BROKER DE ASIGURARE SRL, în calitate de Operator şi persoană împuternicită de operator
şi, după caz, reprezentantul acestora cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor lor. Capitolul 10 – Măsuri tehnice şi organizatorice
10.1. Aspecte generale privind securitatea prelucrării
Prelucrarea datelor cu caracter personal și a categoriilor speciale de date în contextul îndeplinirii unei sarcini care
servește un interes public, conform art. 6 alin. (1) lit. e) și art. 9 lit.g) din Regulamentul General Privind Protecția Datelor, se
efectuează numai cu instituirea de către operator a următoarelor garanții:
a) punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru respectarea principiilor enumerate la art. 5 al GDPR, în special a reducerii la minim a datelor, respectiv principiul integrității și confidențialității. b) numirea unui responsabil cu protecția datelor, dacă aceasta este necesară conform art. 10 al Legii nr. 190/2018. c) stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii.
Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi
scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor
fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea
asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz: a) pseudonimizarea şi criptarea datelor cu caracter personal; b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continuă ale sistemelor şi serviciilor de prelucrare; c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică; d) un proces pentru testarea, evaluarea şi aprecierea periodică a eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate
în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat
la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Aderarea la un cod de conduită aprobat sau la un mecanism de certificare aprobat, menţionate în legislaţia specifică,
poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerinţelor prevăzute anterior.
Operatorul şi persoana împuternicită de acesta iau masuri pentru a asigura faptul că orice persoană fizică care
acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal
nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care aceasta obligaţie îi revine în temeiul dreptului
Uniunii sau al dreptului intern.
10.2. Aspecte specifice privind securitatea prelucrării
La nivelul SC ASIG CENTER BROKER DE ASIGURARE SRL, în calitate de Operator de date cu caracter
personal, măsurile tehnice şi organizatorice menţionate în legislaţia specifică, necesare asigurării unui nivel adecvat de
protecţie sunt implementate de conducerea organizației prin:
– implementarea unor activităţi de audit de specialitate (GDPR, IT, Analiză de Risc) şi implementarea/utilizarea în
activitatea operatorului a unor soluţii tehnice IT adecvate identificate ca urmare a acestor activități de audit, ţinând cont de
costurile implementării, natura, domeniul de aplicare, contextul, scopurile prelucrării şi riscurile aferente, soluţii care să acopere
aspecte prevăzute de legislaţia specifică, precum: a) cerinţe de securitate de bază: testarea securităţii sistemului, întărirea sistemului, codificarea securizată, protecţia împotriva programelor malware;
b) politica privind parolele: autentificarea utilizatorului, autentificare cu doi factori; c) managementul schimbării: separarea mediilor de testare, testarea schimbărilor, accesul dezvoltatorilor; d) controlul accesului: controlul accesului bazat pe roluri, securitatea conturilor de utilizator, revizuirea privilegiilor, audit logs, conturi neutilizate, privilegiile utilizatorilor tehnici, consola de securitate, informaţii despre utilizatori; e) managementul evenimentelor: log format documentation, log information, log protection and monitoring, log format, evenimente auditate; f) securitatea datelor: criptarea datelor, securitatea datelor în ciclul lor de viaţă; g) back-up: back-up copies, programul de back-up, back-up security, verificarea back-up-urilor, viabilitatea backup-urilor; h) pseudominimizarea, minimizarea, integritatea datelor personale (computere, servere, terminale de acces, imprimarea datelor), disponibilitatea datelor, ştergerea şi portabilitatea datelor, evidenţele activităţilor de prelucrare; i) elaborarea/implementarea unor politici/proceduri specifice de protecţie/securitate a datelor cu caracter personal concretizate printr-un ”Plan de Protecție Contra Scurgerilor de Informații”; j) folosirea exclusivă a unor Sisteme de operare licențiate, cu soluții antivirus complete și actualizate permanent. 10.3. Cartografierea datelor cu caracter personal
În vederea cartografierii datelor cu carter personal se completează un formular/chestionar sau se actualizează de sefii
departamentelor cu suportul altor funcţii implicate din cadrul operatorului, ori de câte ori intervin modificări cu privire la natura
activităţilor desfăşurate, structurii organizatorice, datele prelucrate, categoriile vizate, introducerea unor noi măsuri de
securitate etc.
Conducerea operatorului este responsabilă de corectitudinea şi completitudinea informaţiilor furnizate prin acest
formular şi implicit de asigurarea implementării măsurilor de securitate la nivelul biroului, inclusiv de urmărirea ducerii la
îndeplinire a Planurilor de măsuri aferente biroului/structurii de conformare cu regulamentul 2016/679 şi instruirea personalului
din subordine cu privire la aplicarea legislaţie privind protecţia datelor cu caracter personal.
Formularul completat se păstrează în format electronic şi fizic de către responsabilul cu protecția datelor. În cazul în
care măsurile de securitate implementate nu sunt adecvate, în funcţie de riscurile asupra protecţiei datelor din punctul de
vedere al persoanelor vizate, conducerea operatorului propune Planuri de măsuri de conformare sau actualizare. Pentru
estimarea riscurilor se ia în considerare natura datelor, domeniul de aplicare, contextul și scopurile prelucrării și utilizarea
noilor tehnologii.
10.4. Reguli gestionare baze de date din punct de vedere RGPD
Se interzice realizarea de comunicări comerciale în scop de marketing direct (ex. Newslettere) către persoanele vizate
care se regăsesc la nivelul operatorului în diverse evidențe, baze de date, aplicaţii IT, utilizând adrese de e-mail de tipul
nume.prenume@gmail.com, nume.prenume@yahoo.com sau nume.prenume@ societateaX.ro sau alte adrese care conţin date
cu caracter personal ori numere de telefon personale care se regăsesc în aceste evidente, în lipsa consimţământului expres,
neechivoc, liber exprimat anterior, informat dar şi documentat, al persoanelor vizate si evidenţiat distinct.
Comunicările comerciale în scop de marketing direct se vor putea realiza utilizând adrese de email de tipul
nume.prenume@yahoo.com, nume.prenume@yahoo.ro sau nume.prenume@societateaX.ro sau alte adrese care conţin date cu
caracter personal ori numere de telefon personale (SMC) care se regăsesc în evidenţele, aplicaţiile, bazele de date utilizate la
nivelul operatorului, numai în măsura în care: a) există un consimţământ expres, neechivoc, liber exprimat, anterior, informat, dar şi documentat al persoanelor vizate; b) evidenţele, aplicaţiile, bazele de date utilizate la nivelul operatorului vor fi adaptate în sensul evidenţierii în mod distinct a consimţământului persoanelor vizate, pentru controlul efectiv al acestui proces din punct de vedere RGPD, indiferent
de modalitatea de obţinere a acestuia.
Datele trebuie să fie adecvate, relevante şi strict limitate la ce este absolut necesar pentru scopurile în care sunt
necesare pentru prelucrarea asumată.
Conducerea operatorului, va identifica, inventaria și menţine în reţeaua organizaţiei, inclusiv în staţiile de lucru
individuale, doar bazele de date care sunt utile în mod efectiv pentru desfăşurarea activităţii curente a organizaţiei, precum şi
eliminarea acelora care nu mai au relevanţă pentru activitatea operatorului şi/sau a expirat termenul de arhivare. Lista bazelor
de date gestionate de fiecare birou va conţine minim: denumirea bazei de date, locaţia de păstrare, responsabilul de gestionare
(elaborare, modificare), persoanele cu drepturi de acces, perioada de păstrare, frecvența, back-up-ul etc.
Conducerea operatorului va stabili reguli de acces controlat/restricţionat (ex. read only, write, execute, modify etc.)
pentru utilizatorii bazelor de date din rețeaua operatorului, revizuite în sensul celor de mai sus, pe bază de user şi parola, la
niveluri de acces (dacă este posibil).
Bazele de date trebuie grupate în foldere dedicate, atât a celor utilizate pentru activităţi comerciale/relaţii de afaceri
cât şi a bazei de date utilizata în scop de marketing direct pentru persoane fizice.
În reţeaua organizaţiei se vor menţine doar documentele care conţin date cu caracter personal care sunt relevante, utile
în mod efectiv pentru desfăşurarea activităţii curente a operatorului şi eliminarea tuturor acelora care nu au relevanţă, sau sunt
documente personale.
Se va realiza/asigura în permanenţă, conform programelor aprobate, salvarea bazelor de date cu caracter personal
precum şi a altor documente ce conţin date cu caracter personal în reţeaua organizaţiei, prin copii de siguranţă (back-up), la
intervalul stabilit de conducere.
10.5. Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal
În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, persoana care ia prima la cunoștință de
incident, informează de îndată Responsabilul cu protecţia datelor din cadrul SC ASIG CENTER BROKER DE
ASIGURARE SRL pentru a notifica acest lucru autorităţii de supraveghere (ANSPDCP), fără întârzieri nejustificate şi, daca
este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este
susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea Autorităţii nu are
loc în termen de 72 de ore, aceasta va fi însoţită de o explicaţie motivată a întârzierii în cauză.
Persoana împuternicită de operator înştiinţează operatorul (informează Responsabilul cu protecţia datelor al
operatorului) fără întârzieri nejustificate după ce ia la cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
Notificarea adresată Autorităţii cu privire la încălcarea securităţii datelor personale, conţine cel puţin, următoarele
elemente:
a) descrierea caracterului încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al
înregistrărilor de date cu caracter personal în cauză; b) numele şi datele de contact ale DPO sau un alt punct de contact de unde se pot obţine mai multe informaţii; c) descrierea consecinţelor probabile ale încălcării securităţii datelor cu caracter personal; d) descrierea măsurilor luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în acelaşi timp, acestea pot fi furnizate în
mai multe etape, fără întârzieri nejustificate. Operatorul, prin DPO, păstrează documente referitoare la toate cazurile de
încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea
securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Aceasta documentaţie
permite autorităţii de supraveghere să verifice conformitatea cu legislaţia specifică.
Angajaţii SC ASIG CENTER BROKER DE ASIGURARE SRL, au obligaţia de a informa de îndată șeful ierarhic
şi Responsabilul cu protecţia datelor în cazul identificării unei situaţii de încălcare a securităţii datelor cu caracter personal.
Responsabilul cu protecţia datelor analizează informaţiile comunicate, iar dacă este cazul, solicită entităţilor funcţionale date
şi informaţii suplimentare.
În cazul în care situaţia de încălcare a securităţi datelor cu caracter personal este fundamentată rezonabil,
Responsabilul cu protecţia datelor întocmeşte Notificarea şi face demersurile necesare pentru a fi transmisă în termen, la
autoritatea de supraveghere.
Notificarea se transmite către autoritatea de supraveghere pe suport de hârtie sau în format electronic, conform
cerinţelor stabilite de Autoritate.
10.6. Informarea Persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
În cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru
drepturile şi libertăţile persoanelor fizice, operatorul, prin Responsabilul de protecţia datelor, informează persoana vizată fără
întârzieri nejustificate cu privire la aceasta încălcare.
În informarea transmisă persoanei vizate, prevăzută anterior, se include o descriere într-un limbaj clar şi simplu a
caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin următoarele informaţii şi măsuri: a) numele şi datele de contact ale DPO sau un alt punct de contact de unde se pot obţine mai multe informaţii; b) descrierea consecinţelor probabile ale încălcării securităţii datelor cu caracter personal; c) descrierea măsurilor luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiţii este îndeplinită: a) operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste maăuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care
se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi
criptarea;
b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertăţile persoanelor vizate nu mai este susceptibil să se materializeze; c) ar necesita un efort disproporţionat. În această situaţie, se efectuează o informare publică sau se ia o măsură similară prin care persoanele vizate sunt
informate într-un mod la fel de eficace.
Capitolul 11 – Evaluarea impactului asupra protecţiei datelor şi consultarea prealabilă 11.1. Evaluarea impactului asupra protecţiei datelor Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul, prin Responsabilul de protecţia datelor, efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare. Responsabilul cu protecția datelor elaborează, la solicitarea operatorului, în colaborare cu angajaţii acestuia, evaluarea
impactului asupra unui anumit tip de prelucrare de date cu caracter personal.
Conform Deciziei ANSPDCP nr. 174 din 18 octombrie 2018, evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri: a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă; b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viaţa sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale şi infracţiuni; c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte asemenea spaţii; d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor şi ale angajaţilor, prin mijloace automate de monitorizare şi/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfăşurării activităţilor de reclamă, marketing şi publicitate; e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în vederea facilitării accesului în diferite spaţii; f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicaţii “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, oraşe inteligente sau alte asemenea aplicaţii); g) prelucrarea pe scară largă şi/sau sistematică a datelor de trafic şi/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situaţii) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată. La evaluarea impactului operațiunilor de prelucrare efectuate de operatorii sau de persoanele împuternicite de
operatori relevante, se are în vedere în mod corespunzător respectarea de către operatorii sau persoanele împuternicite respective
a codurilor de conduită aprobate menţionate în legislaţia specifică, în special în vederea unei evaluări a impactului asupra
protecţiei datelor.
Operatorul, prin Responsabilul de protecţia datelor, solicită, acolo unde este cazul, avizul persoanelor vizate sau al
reprezentanţilor acestora privind prelucrarea prevăzută, fără a aduce atingere protecţiei intereselor comerciale sau publice ori
securităţii operaţiunilor de prelucrare.
Atunci când prelucrarea are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidenţa căruia intră
operatorul, iar dreptul respectiv reglementează operaţiunea de prelucrare specifică sau setul de operaţiuni specifice în cauză
şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări a impactului generale în contextul
adoptării respectivului temei juridic, prevederile anterioare nu se aplică, cu excepţia cazului în care statele membre consideră
că este necesară efectuarea unei astfel de evaluări înaintea desfăşurării activităţilor de prelucrare.
Acolo unde este necesar, operatorul, prin Responsabilul de protecţia datelor, efectuează o analiză pentru a evalua dacă
prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare
a riscului reprezentat de operaţiunile de prelucrare.
11.2. Consultarea prealabilă a autorităţii de supraveghere
Operatorul, prin Responsabilul de protecţia datelor, consultă autoritatea de supraveghere înainte de prelucrare atunci
când evaluarea impactului asupra protecţiei datelor indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri
luate de operator pentru atenuarea riscului.
Atunci când consultă autoritatea de supraveghere, operatorul, prin Responsabilul de protecţia datelor, îi furnizează
acesteia: a) dacă este cazul, responsabilităţile respective ale operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activităţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de
întreprinderi; b) scopurile şi mijloacele prelucrării preconizate; c) măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor persoanelor vizate, în conformitate cu prezentul regulament; d) datele de contact ale specialistului de date personale; e) evaluarea impactului asupra protecţiei datelor; f) orice alte informaţii solicitate de Autoritatea de Supraveghere. Dreptul intern poate impune operatorilor să se consulte cu Autoritatea de Supraveghere şi să obţină în prealabil
autorizarea din partea acesteia în legătură cu prelucrarea de către un operator în vederea îndeplinirii unei sarcini exercitate de
acesta în interes public, inclusiv prelucrarea în legătură cu protecţia socială şi sănătatea publică.
Capitolul 12 – Responsabilul de protecţia datelor (acronim DPO)
12.1. Alocarea responsabilităţilor/sarcinilor aferente DPO
La nivelul SC ASIG CENTER BROKER DE ASIGURARE SRL sarcinile/responsabilităţile DPO vor fi alocate
prin desemnarea unui salariat al operatorului ca persoană responsabilă cu protecția datelor cu caracter personal, prin decizia
conducerii.
Responsabilităţile alocate/stabilite sunt următoarele: a) Prin propunerile și analizele sale, participă activ la procesul de tranziţie către conformitatea cu Regulamentul privind Protecţia Datelor cu Caracter Personal (RGPD); b) informează şi consiliază organizația și angajații care se ocupă de prelucrarea datelor cu caracter personal cu privire la obligațiile care le revin în temeiul Regulamentului (UE) nr. 679/2016 și a dipozițiilor legislației naționale referitoare
la protecția datelor; c) monitorizează respectarea prevederilor Regulamentului (UE) nr. 679/2016, a dispozițiilor legislației naționale și ale politicilor/procedurilor interne referitoare la protecţia datelor personale la nivelul SC ASIG CENTER BROKER DE
ASIGURARE SRL, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în
operațiunile de prelucrare, precum și auditurile aferente; d) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35 din Regulamentul (UE) nr. 679/2018; e) cooperarea cu autoritatea de supraveghere – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal; f) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36 din Regulamentul (UE) nr. 679/2016, precum și, dacă este cazul,
consultarea cu privire la orice altă chestiune.
12.2. Responsabilităţile SC ASIG CENTER BROKER DE ASIGURARE SRL față de DPO
Conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL se va asigura că DPO este implicat
corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal.
Conducerea operatorului va acorda întregul sprijin DPO, asigurându-i independenţa în îndeplinirea atribuţiilor
specifice, resursele necesare pentru executarea atribuţiilor sale, precum şi pentru accesarea datelor cu caracter personal şi a
operaţiunilor de prelucrare şi pentru menţinerea cunoştinţelor sale de specialitate.
Persoanele vizate pot contacta şi solicită asistenţa de specialitate din partea DPO cu privire la toate aspectele legate
de prelucrarea datelor și de exercitarea drepturilor lor.
Conducerea operatorului şi DPO se vor asigura ca niciuna din sarcinile celui din urmă nu generează un conflict de
interese.
Conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL asigură DPO accesul pe log-urile sistemelor
de prelucrare automatizată a datelor.
Capitolul 13 – Transferurile de date cu caracter personal către țări terţe sau organizaţii
internaţionale și garanțiile oferite de operator
Orice decizie de a transfera date în afara spaţiului UE şi al Zonei Economice-Europene va fi supusă, anterior
transferului şi în timp util, analizei Responsabilului de protecţia datelor. Transferurile de date în afara spaţiului UE şi al Zonei
Economice-Europene se pot face: a) în temeiul unei decizii a Comisiei Europene privind caracterul adecvat al nivelului de protecţie; b) în baza unor garanţii adecvate oferite de operator sau persoana împuternicită a operatorului. Garanţiile adecvate se vor furniza prin:
– un instrument obligatoriu din punct de vedere juridic şi executoriu;
– reguli corporatiste obligatorii;
– clauze standard de protecţie a datelor adoptate de Comisia Europeană;
– clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisia Europeană;
– un cod de conduită aprobat, însoţit de un angajament obligatoriu şi executoriu din partea SC ASIG CENTER
BROKER DE ASIGURARE SRL sau a persoanei împuternicite din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire
la drepturile persoanelor vizate;
– un mecanism de certificare aprobat, însoţit de un angajament obligatoriu şi executoriu din partea SC ASIG
CENTER BROKER DE ASIGURARE SRL sau a persoanei împuternicite din ţara terţă de a aplica garanţii adecvate, inclusiv
cu privire la drepturile persoanelor vizate.
Sub rezerva autorizării din partea autorităţii de supraveghere, garanţiile adecvate pot fi furnizate, în special prin: a) clauze contractuale între SC ASIG CENTER BROKER DE ASIGURARE SRL, persoana împuternicită de acesta şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau
organizaţia internaţională; b) dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.
În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie sau a unor garanţii adecvate, un transfer de
date către o ţară terţă sau o organizaţie internaţională poate avea loc numai în una dintre condiţiile următoare: a) persoana vizată şi-a exprimat în mod explicit acordul cu privire la transfer, după ce a fost informată asupra posibilelor riscuri pe care transferurile le pot implica pentru persoana vizată; b) transferul este necesar pentru executarea unui contract între persoana vizată şi SC ASIG CENTER BROKER DE ASIGURARE SRL sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate; c) transferul este necesar pentru încheierea sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică; d) transferul este necesar din considerente importante de interes public; e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă; f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;
g) transferul se realizează dintr-un registru care, potrivit dreptului UE sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat de public în general, sau de orice persoană care poate face dovada unui interes
legitim.
În lipsa unei decizii a Comisiei a unor garanţii adecvate dar şi în lipsa condiţiilor precizate anterior, un transfer către
o ţara terţă sau o organizare internaţională poate avea loc numai în cazul în care: a) transferul nu este repetitiv; b) se referă doar la un număr limitat de persoane vizate; c) este necesar în scopul realizării intereselor legitime majore urmărite de operator, asupra căruia nu prevalează interesele sau drepturile şi libertăţile persoanei vizate şi operatorul a evaluat toate circumstanţele aferente transferului de date
şi, pe baza acestei evaluări, a prezentat garanţii corespunzătoare în ceea ce priveşte protecţia datelor cu caracter personal.
Operatorul informează autoritatea de supraveghere cu privire la transfer.
Capitolul 14 – Căi de atac, răspunderi, măsuri şi sancţiuni specifice
14.1. Dreptul de a depune o plângere la o autoritate de supraveghere
Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a
depune o plângere la o autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, în care se află
locul sau de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter
personal care o vizează încălca prezentul regulament.
Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluţia şi rezultatul
plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul legislaţiei specifice.
14.2. Dreptul la o cale de atac judiciară eficientă împotriva unei autorităţi de supraveghere
Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a
exercită o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorităţi de
supraveghere care o vizează.
Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a
exercită o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere competentă nu tratează o plângere sau
nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse.
Acţiunile introduse împotriva unei autorităţi de supraveghere sunt aduse în faţa instanţelor din statul membru în care
este stabilită autoritatea de supraveghere.
În cazul în care acţiunile sunt introduse împotriva unei decizii a unei autorităţi de supraveghere care a fost precedata
de un aviz sau o decizie a Comitetului European pentru Protecţia Datelor în cadrul mecanismului pentru asigurarea coerenţei,
autoritatea de supraveghere transmite curţii avizul respectiv sau decizia respectivă.
14.3. Dreptul la o cale de atac eficientă împotriva unui operator sau a unei persoane împuternicite de
operator
Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o
plângere la o autoritate de supraveghere, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în
cazul în care consideră că drepturile de care beneficiază în temeiul legii au fost încălcate ca urmare a prelucrării datelor sale cu
caracter personal fără a se respecta prevederile legale specifice.
Acţiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața
instanţelor din statul membru unde operatorul sau persoana împuternicită de operator îşi are un sediu. Alternativ, o astfel de
acţiune poate fi prezentată în faţa instanţelor din statul membru în care persoana vizată îşi are reşedinţa obişnuită, cu excepţia
cazului în care operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru ce acţionează în
exercitarea competentelor sale publice.
14.4. Dreptul la despăgubiri şi răspunderea operatorului sau a persoanei împuternicite de operator
Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a legislaţiei specifice are
dreptul să obţină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
Orice operator implicat în operaţiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operaţiunile sale de
prelucrare care încalcă prevederile legislaţiei specifice. Persoana împuternicită de operator este răspunzătoare pentru
prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligaţiile din legislaţia specifică care revin în mod
specific persoanelor împuternicite de operator sau a acţionat în afara sau în contradicţie cu instrucţiunile legale/contractuale
ale operatorului.
Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere dacă dovedeşte că nu este
răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.
14.5. Condiţii generale pentru impunerea amenzilor administrative
Autoritatea de supraveghere asigură faptul că impunerea unor amenzi administrative pentru încălcările prevederilor
legislaţiei specifice este, în fiecare caz, eficace, proporţională şi disuasivă.
În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul
măsurilor menţionate de legislaţia specifică.
Autoritatea poate: a) să emită avertizări; b) să emită mustrări; c) să dea dispoziţii; d) să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor; e) să limiteze sau să interzică prelucrarea; f) să dispună rectificarea sau ştergerea datelor sau restricţionarea prelucrării. În cazul în care operatorul va fi sancţionat administrativ pentru nerespectarea legislaţiei privind protecţia datelor cu
caracter personal, Responsabilul de protecţia datelor va analiza oportunitatea contestării sancţiunii administrative şi va formula
propuneri în legătură cu promovarea căii de atac, precum şi, dacă este cazul, va elabora contestaţia, urmând să analizeze cel
puţin următoarelor aspecte: a) natura, gravitatea şi durata încălcării, ţinându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauza, precum şi de numărul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea; b) dacă încălcarea a fost comisă intenţionat sau din neglijenţă;
c) orice acţiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată; d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ţinându-se seama de măsurile tehnice şi organizatorice implementate de aceştia; e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator; f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării; g) categoriile de date cu caracter personal afectate de încălcare; h) modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, în special dacă şi în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea; i) în cazul în care măsurile menţionate de legislaţia specifică au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauza cu privire la acelaşi obiect, respectarea respectivelor măsuri; j) aderarea la coduri de conduită sau la mecanisme de certificare aprobate; k) orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
Neconformarea faţă de prevederile RGPD poate atrage aplicarea de amenzi administrative cuprinse între 10.000.000
EUR şi 20.000.000 EUR sau între 2% si 4% din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar
anterior, luându-se în calcul valoarea cea mai mare.
Capitolul 15 – Responsabilităţi
Cunoaşterea şi aplicarea corespunzătoare a prezentei Politici Generale reprezintă obligaţia întregului personal al SC
ASIG CENTER BROKER DE ASIGURARE SRL și al conducerii, potrivit limitelor de autoritate aprobate.
Responsabilităţile privind protecţia datelor cu caracter personal revin gradual întregului personal.
Responsabilităţile în ceea ce priveşte elaborarea, avizarea, aprobarea, implementarea, supravegherea şi evaluarea
aplicabilităţii prezentei Politici Generale, precum şi dispunerea măsurilor care se impun revin, după cum urmează: 15.1. SC ASIG CENTER BROKER DE ASIGURARE SRL în calitate de Operator: – asigură implementarea legislaţiei comunitare-UE şi naţionale privind protecţia datelor cu caracter personal la nivelul
operatorului, prin prezenta Politică Generală sau prin alte acte interne;
– asigură conformarea tuturor activităţilor de prelucrare cu prevederile legislaţiei comunitare-UE şi naţionale privind
protecţia datelor cu caracter personal;
– asigură informarea persoanelor vizate şi respectă drepturile acestora;
– ia măsurile necesare pentru a asigura securitatea prelucrării datelor cu caracter personal;
– asigură respectarea prezentului document privind măsurile de protecţie a persoanelor cu privire la prelucrarea
datelor cu caracter personal. 15.2. Conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL:
– aprobă prezenta Politică Genrală privind protecţia datelor cu caracter personal. Va supraveghea implementarea
acesteia, inclusiv prin asigurarea că problemele de conformare sunt rezolvate eficient şi prompt;
– aprobă modificări la prezenta Politică Genrală, în situaţia în care schimbările legislative impun acest lucru.
– aprobă prin acte de reglementare internă/acte decizionale măsuri de implementare a prevederilor legale incidente;
– asigură prin instrumentele de control şi/sau audit intern/extern evaluarea proceselor aferente prezentei Politici
Generale şi aplicarea legislaţiei în domeniul protecţiei datelor;
15.3. Responsabilități specifice ale persoanelor din conducerea operatorului:
– Persoanele din conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL sunt responsabile cu protecţia
datelor cu caracter personal pentru activităţile coordonate şi au în acest sens următoarele responsabilităţi specifice:
– stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare în
contextul derulării activităţii comerciale/contractuale şi/sau participării la târgurile, expoziţiile şi/sau evenimentele specializate
organizate de şi/sau în incinta sediilor sau punctelor de lucru ale operatorului, inclusiv desfăşurării activităţii curente, precum
şi în contextul îndeplinirii obligaţiilor legale;
– asigură elaborarea/actualizarea procedurilor proprii şi, după aprobarea acestora le pun în aplicare;
– asigură implementarea şi monitorizează respectarea actelor de reglementare internă şi a legislaţiei specifice, în
materia prelucrării datelor cu caracter personal de către utilizatorii (angajaţii) din subordine;
– coordonează şi monitorizează activitatea personalului pe linia protecţiei datelor cu caracter personal la nivelul
operatorului;
– asigura desfăşurarea pregătirii de specialitate şi instruirea utilizatorilor în acest domeniu;
– dispun măsuri de completare sau, după caz, de modificare a fişei posturilor utilizatorilor;
– analizează şi dispun în ceea ce priveşte suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de
evidenţă a datelor cu caracter personal, în condiţiile legii;
– dispun măsuri organizatorice pentru exercitarea drepturilor de către persoana vizată;
– coordonează procesul de furnizare a datelor şi informaţiilor necesare în vederea soluţionării cererilor persoanelor
vizate;
– ţin evidenţa cererilor persoanelor vizate care au legătură cu activităţile coordonate ce implică prelucrarea datelor cu
caracter personal;
– analizează periodic activitatea utilizatorilor;
– informează operativ Responsabilul de protecţia datelor despre vulnerabilităţile şi riscurile semnalate în sistemul
de securitate a prelucrării datelor cu caracter personal al structurii şi propune măsuri pentru înlăturarea acestora;
– informează operativ Responsabilul cu protecţia datelor în legătură cu orice încălcare a normelor de protecţie a
datelor cu caracter personal de natură a prejudicia drepturile persoanei vizate, cu privire la măsurile dispuse pentru identificarea
persoanei responsabile şi limitarea efectelor unei diseminări neautorizate a datelor, precum şi cu privire la situaţiile în care au
fost emise recomandări sau aplicate sancţiuni de către Autoritatea Naţionala de Supraveghere sau când aceasta a dispus
efectuarea unui control prealabil ori a unor investigaţii.
15.4. Utilizatorii, respectiv salariaţii SC ASIG CENTER BROKER DE ASIGURARE SRL care prelucrează
date cu caracter personal au următoarele responsabilităţi specifice:
– să cunoască şi să aplice prevederile actelor normative din domeniul prelucrării datelor cu caracter personal precum
şi ale prezentului document;
-să respecte cu strictețe regulile stabilite prin prezenta Politică de Prelucrare si prin procedurile interne privind utilizarea internetului, a dispozitivelor electronice (inclusiv cele mobile), a adreselor de email sau a altor aplicații ori mijloace electronice de comunicare în cadrul activităților curente ale operatorului și implicit în cadrul activităților de prelucrare a datelor cu caracter personal. – să informeze persoana vizată atunci când datele cu caracter personal sunt colectate direct de la aceasta, în condiţiile
legii, cu privire la: identitatea operatorului, scopul în care se face prelucrarea datelor, destinatarii sau categoriile de destinatari
ai datelor, obligativitatea furnizării tuturor datelor cerute şi consecinţele refuzului de a le pune la dispoziţie, drepturile prevăzute
de lege, condiţiile în care pot fi exercitate aceste drepturi și să documenteze această informare (să o poată proba) etc;
– să prelucreze numai datele cu caracter personal necesare îndeplinirii atribuţiilor de serviciu conform principiului
minimizării datelor prelucrate şi să acorde sprijin şefilor ierarhici, organelor de conducere ale SC ASIG CENTER BROKER
DE ASIGURARE SRL, pentru realizarea activităţilor specifice ale acestora;
– să păstreze confidenţialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele
informatice/ baze de date prin care sunt gestionate date cu caracter personal;
– să respecte termenele de păstrare prevăzute de nomenclatorul arhivistic aprobat la nivel de operator și procedura
de distrugere a datelor cu caracter personal de pe orice tip de suport, la expirarea termenelor de păstrare.
– să respecte toate măsurile de securitate stabilite prin prezenta Politică de Prelucrare sau prin proceduri interne la
nivelul operatorului;
– să informeze de îndată Responsabilul de protecţia datelor despre împrejurări de natura a conduce la o diseminare
neautorizată de date cu caracter personal sau despre o situaţie în care au fost accesate/prelucrate date cu caracter personal prin
încălcarea normelor legale, despre care a luat la cunoştinţă.
15.5. Derulatorii de contracte din cadrul SC ASIG CENTER BROKER DE ASIGURARE SRL
– au responsabilitatea/obligativitatea inserării în contractele încheiate şi gestionate de către aceştia a clauzelor
specifice (elaborate de/împreună cu Responsabilul de protecţia datelor) cu privire la protecţia datelor cu caracter personal
şi/sau cu privire la respectarea Condiţiilor Generale, Tehnice şi de Participare;
– în situaţiile în care sunt prelucrate date cu caracter personal în numele SC ASIG CENTER BROKER DE
ASIGURARE SRL de către persoane împuternicite (procesatori de date-ex: instituţii de credit, companii de asigurări,
emitente de tichete de masă tipărite sau electronice, carduri beneficii salariaţi, companii de curierat etc.) derulatorii de contract
vor avea responsabilitatea/obligativitatea de încheia cu fiecare dintre aceste persoane împuternicite Acorduri de prelucrare a
datelor cu caracter personal, care vor avea în conţinut elementele prevăzute în prezentul Regulament şi legislaţia specifică,
stabilite în prealabil de Responsabilul de protecţia datelor şi aprobate de conducerea SC ASIG CENTER BROKER DE BROKER DE ASIGURARE SRL
– în situaţia prelucrării datelor personale în scop de marketing direct, derulatorii de contract, precum şi salariaţii
responsabili de operaţiunile de marketing direct (inclusiv serviciile aferente IT) vor avea în vedere în mod obligatoriu
consimţământul exprimat anterior prelucrării de către persoana vizată, pentru evitarea unor situaţii de neconformare faţă de
prevederile legale privind protecţia datelor personale.
15.6. DPO este responsabil cu implementarea la nivel de organizație a Politicii Generale şi controlul procesului,
incluzând: monitorizarea și controlul aplicării unitare a acesteia, testarea conformităţii, audituri de specialitate şi informarea
conducerii operatorului; participă la organizarea şi administrarea programelor de pregătire continuă a angajaţilor în domeniul
cunoaşterii prevederilor RGPD conform calendarului stabilit de conducerea unității; responsabilităţile acestuia fiind
menţionate atât în prezentul document cât şi în Fişa de post.
15.7. Specialistul resurse umane:
– asigură informarea potenţialilor angajaţi şi a angajaţilor SC ASIG CENTER BROKER DE ASIGURARE SRL
cu privire la prelucrarea datelor cu caracter personal şi la drepturile de care beneficiază potrivit legii și se asigură că poate
proba această informare;
– participă la organizarea şi administrarea programelor de pregătire continuă a angajaţilor în domeniul protecţiei
datelor personale;
– la angajarea salariaţilor în cadrul operatorului, pune la dispoziţia acestora în vederea informării şi luării la cunoştinţă
cu privire la prevederile prezentei Politici Generale şi se asigură de semnarea de către salariaţi a Angajamentului de
Conformare.
15.8. Contractorii de servicii supraveghere video – responsabili cu suportul tehnic, respectiv cu afişarea Notelor
de Informare privind protecţia datelor şi aplicarea indicatoarelor de marcare a existenţei sistemului de supraveghere video, în
locurile unde sunt amplasate camere de supraveghere video-CCTV. Personalul contractual sau cel desemnat prin decizia
conducerii operatorului, va verifica periodic starea fizică a informărilor şi a indicatoarelor anterior menţionate şi va răspunde
de siguranţa şi confidenţialitatea datelor personale stocate în sistemul de supraveghere/monitorizare video.
15.9. Conducerea societăţilor cărora le-au fost externalizate activităţi sau a agenţilor/ intermediarilor (după
caz)- responsabil de proces. Conducerea SC ASIG CENTER BROKER DE ASIGURARE SRL – asigură identificarea și
aprobarea resursele financiare necesare conformării și aplicarii RGPD.
Capitolul 16 – Politica de conformare a angajaţilor SC ASIG CENTER BROKER DE ASIGURARE
SRL față de legislaţia specifică şi Regulamentul privind protecţia datelor cu caracter personal
La angajare, înainte de începerea activităţilor de prelucrare a datelor cu caracter personal, dar şi ulterior, cu ocazia
derulării raporturilor de muncă, organizării de instruiri profesionale specifice, toţi angajaţii care prelucrează date cu caracter
personal trebuie să semneze un Angajament individual de conformare faţă de legislaţia specifică şi prezenta Politică Generală
privind protecţia datelor cu caracter personal.
Confirmarea scrisa reprezintă asumarea individuală a angajamentului de respectare a legislaţiei specifice şi a Politicii
Generale privind protecţia datelor cu caracter personal, în scopul protejării reputaţiei operatorului şi aplicării standardelor de
etică în afaceri.
Semnătura de confirmare înseamnă, că angajatul:
– a luat la cunoştinţă despre prevederile Politicii Generale privind protecţia datelor cu caracter personal a SC ASIG
CENTER BROKER DE ASIGURARE SRL;
– a participat la programul inițial de pregătire şi a fost instruit conform prevederilor Politicii Generale privind
protecţia datelor cu caracter personal;
– înţelege importanţa respectării în totalitate a cerinţelor cuprinse în legislaţia specifică şi în prezenta Politică
Generală privind protecţia datelor cu caracter personal;
– îşi asumă necondiţionat responsabilitatea în ceea ce priveşte conformarea cu cerinţele cuprinse în legislaţia specifică
şi în prezenta Politică Generală privind protecţia datelor cu caracter personal;
– înţelege că, în situaţia nerespectării principiilor şi cerinţelor cuprinse în prezenta Politică Generală privind protecţia
datelor cu caracter personal, se face direct răspunzător pentru încălcarea angajamentului individual şi pentru consecinţele ce
decurg din acesta.
Refuzul de a semna confirmarea angajamentului individual înseamnă, că este:
– necesară identificarea motivelor reale care au condus la refuz;
– necesară instruirea suplimentară, dacă motivul real este neînţelegerea mesajului sau informaţiilor transmise;
– necesară examinarea atentă a angajatului respectiv, urmată de luarea unor masuri adecvate, mai ales în situaţia în care
acesta ocupă o funcţie care prezintă un risc sensibil la adresa operatorului, dacă refuzul de a semna confirmarea nu are o
motivaţie reală.
Angajamentele de Conformare semnate de salariaţii SC ASIG CENTER BROKER DE ASIGURARE SRL se
vor păstra în evidențele specialistului de resurse umane.
16.1. Instruire
Planurile anuale de pregătire continuă, elaborate și aprobate de conducerea organizației în condiţiile legii, trebuie să
conţină și teme privind cunoaşterea legislaţiei naţionale şi comunitare în materia prelucrării datelor cu caracter personal,
precum şi teme specifice privind riscurile pe care le comportă prelucrarea datelor şi măsurile minime de securitate, în funcţie
de specificul activităţii operatorului.
Periodic, conform calendarului stabilit de conducere, se organizează cu sprijinul Responsabilului de protecţia datelor
și a unor persoane specializate, instruiri cu utilizatorii/angajaţii pentru cunoaşterea procedurilor specifice de lucru instituite la
nivelul operatorului şi cu privire la riscurile generate de vulnerabilităţi şi ameninţări informatice la adresa datelor cu caracter
personal prelucrate.
Instruirile se efectuează periodic şi în mod obligatoriu la modificarea cadrului legal în materie, iar prelucrarea
incidentelor se va realiza cu întregul personal al SC ASIG CENTER BROKER DE ASIGURARE SRL implicat în
activitatea de prelucrare a datelor cu caracter personal.
Capitolul 17 – Dispoziţii finale
Prezenta Politică Generală reprezintă un document public adoptat de SC ASIG CENTER BROKER DE
ASIGURARE SRL în vederea asigurării protecției datelor cu caracter personal.
Nerespectarea prevederilor acesteia atrage, după caz , sancțiuni disciplinare și pecuniare conform codului muncii.
Dacă prin nerespectarea prezentei Politici Generale de către angajații Politică de Prelucrare se aduc prejudicii
organizației, aplicând principiul proporționalității, sancționarea angajatului care a produs prejudiciul poate fi inclusiv
desfacerea contractului de muncă.
Aplicarea sancţiunilor administrative nu înlătură răspunderea penală, civilă, materială sau contravenţională, după
caz, a persoanelor vinovate, iar SC ASIG CENTER BROKER DE ASIGURARE SRL se poate întoarce împotriva persoanei
responsabile în vederea recuperării prejudiciului, în cadrul unui proces civil.
Prezenta Politică Generală completează în materie de protecția datelor cu caracter personal: regulamentele și actele
de reglementare internă adoptate anterior.
Dacă ulterior datei intrării în vigoare a prezentei Politici Generale, o prevedere legală modifică/completează/abrogă
prevederi ale prezentului document, se vor aplica prevederile legale în vigoare.
Prezentul document va intra în vigoare după aprobarea sa prin decizie a conducerii SC ASIG CENTER BROKER
DE ASIGURARE SRL, conform legii şi va fi adus ulterior la cunoştinţa tuturor salariaţilor, ocazie cu care se va încheia un
proces-verbal de luare la cunoștință.
Prezenta Politică Generală a SC ASIG CENTER BROKER DE ASIGURARE SRL, cuprinde un număr de 18
anexe, a căror adaptare, completare, actualizare sau modificare, va fi operată de persoana responsabilă cu protecția datelor cu
caracter personal ori de câte ori va fi sesizată sau va considera că se impune:
1.Informarea candidaţilor la concursurile pentru ocuparea posturilor vacante
2.Informarea salariaţilor privind prelucrarea datelor cu caracter personal
3.Informarea privind prelucrarea datelor cu caracter personal prin intermediul sistemului de supraveghere video.
4.Angajament de conformare al salariaţilor privind protecţia datelor cu caracter personal
5.Informarea privind prelucrarea datelor în cadrul procedurilor de achiziții de bunuri sau servicii
6.Acord de confidenţialitate (Anexa la contracte)
7.Termeni și condiții de utilizarea web-site-ului
8.Politica de Cookies a web-site-ului
9.Model de cerere pentru exercitarea dreptului de acces al persoanei vizate
10.Model de cerere pentru exercitarea dreptului de rectificare al persoanei vizate
11.Model de cerere pentru exercitarea dreptului de ștergere al persoanei vizate
12.Model de cerere pentru exercitarea dreptului la portabilitate al persoanei vizate
13.Model de cerere pentru exercitarea dreptului de opoziție la prelucrare al persoanei vizate
14.Model de cerere pentru exercitarea dreptului persoanei vizate la restricționarea prelucrării
15.Registru obligatoriu de evidență a categoriilor de date cu caracter personal prelucrate
16.Condiții generale, tehnice și de participare la evenimente organizate de operator
17.Anexa contracte – Persoană împuternicită de operator
18.Informarea persoanei vizate
19.Model Nomenclator Arhivistic
20. Model decizie de numire a DPO
NOTA DE INFORMARE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
Prin prezenta Notă, Societatea S.C. ASIG CENTER – Broker de Asigurare S.R.L., cu sediul social in Municipiul Iasi, Sos. Moara de Foc, nr.15A, Corp C2-Biroul nr.2, et.1, Jud. Iasi, inregistrata la ONRC sub nr.J22/1236/18.07.2013, CUI:32027144, Broker de Asigurare autorizat de ASF/CSA cu RBK – 761 / 2013, cont bancar nr.RO15BTRLRONCRT0219254501, Banca TRANSILVANIA – Suc. Iasi, reprezentata de Dl Cosmin Vlahopol, in calitate de Administrator, numit in continuare BROKER vă informează că în conformitate cu prevederile legale Regulamentul General privind Protecția Datelor nr. 679/2016 (”GDPR”) în vigoare colectează și prelucrează date cu caracter personal.
Datele cu caracter personal care pot fi prelucrate: Nume, prenume, CNP / Cod de identificare fiscală, Adresa de domiciliu/ reședință, Sexul, Statut marital – date din actele de stare civilă, Modalități de contact-adresa de mail, număr de telefon/fax, Modalități de contact-adresa de mail, număr de telefon/fax, Copii ale documentelor BI/ CI/ Pașaport, Copii ale documentelor permis de conducere / certificat de înmatriculare/ carte de identitate vehicul, Naționalitate, Ocupația, Funcția, Informații despre angajatorul current, Date despre persoane aflate în întreținere sau membrii ai familiei, Date privind bunurile detinute, Imagine; Locație, Informații bancare-IBAN, card debit/ credit, Semnătură, Date personale sensibile- date medicale, Datele cu caracter personal care apartn minorilor sub 16.
În cazul persoanelor care furnizează date cu caracter personal aferente altor persoane care sunt parte în contractul de asigurare, acestea își asumă responsabilitatea transmiterii conținutului prezentului document și au obținut acordul acestora (inclusiv al titularului răspunderii părintești asupra minorilor cu vârsta sub 16 ani nominalizați în contractul de asigurare).
Datele dvs.cu caracter personal pot face obiectul unui proces decizional automatizat incluzând crearea de profiluri pentru evaluarea riscurilor asigurate, calculul primelor de asigurare și determinarea calculului despăgubirilor, detectării și prevenirii potențialelor fraude, precum și al combaterii spălării banilor sau finanţarii terorismului, aplicării sancțiunilor internațional, alte obligații ca rezultat al legislației în vigoare.
Scopul prelucrării datelor personale de către BROKER: 1.în scopul prestării serviciilor de asigurare (ofertare și emitere contractelor de asigurare)
Legalitatea prelucrării datelor colectate: Pentru scopul prevazut la punctul 1 de la rubrica “Scopurile prelucrării datelor personale de către BROKER“, legalitatea prelucrării datelor colectate este prevăzută de art.6. pct.1 litera b din Regulamentul 679/2016 (“prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”).
Destinatarii sau categoriile de destinatari către care se pot divulga datele personale colectate: Autoritățile statului (inclusiv instanțe de judecată, executori judecătorești , autorități fiscale) și orice foruri de reglementare din domeniul asigurărilor; furnizorii implicați în mod direct/ indirect în procesul de asigurare.
Transferul datelor personale către o țară terță sau o organizație internațională: În scopurile enunțate mai sus, City Insurance poate transmite datele dumneavoastra cu caracter personal către alte companii din afara Uniunii Europene, caz în care, vom lua măsurile necesare pentru asigurarea respectării stricte a art.45 alin.1, art.46 alin.1 și 2 sau, după caz, a art.49 alin.1 din Regulamentul UE 679/2016.
Păstrarea datelor cu caracter personal: Datele cu caracter personal vor fi păstrate pentru o perioada de maxim 1 an, în cazul în care nu se încheie contract de asigurare, respectiv, pe o perioadă de 2 ani după încetarea relației de asigurare. Perioada păstrării este în relație directă cu îndeplinirea scopurilor menționate mai sus sau pentru îndeplinirea unor obligații legale din domeniul asigurărilor sau a oricăror alte obligații legale (arhivare etc.).
Drepturi privind datele personale: dreptul de acces la propriile date personale; dreptul de a solicita rectificarea sau actualizarea atunci când datele nu mai sunt actuale, inexacte sau incomplete; dreptul de a solicita ștergerea datelor, daca nu mai sunt necesare scopului si dacă nu există alte cerințe legale, de executare a unui contract sau interes legitim ce pot fi invocate; dreptul de a solicita restricționarea prelucrării în condițiile prevăzute de lege; dreptul de a vă opune prelucrării, în condițiile legii; dreptul de a formula o plângere, la BROKER și/sau la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal; dreptul de a nu face obiectul unei decizii automate, bazate exclusiv pe prelucrarea automată inclusiv crearea de profiluri; dreptul la portabilitatea datelor, în sensul transferului datelor dumneavoastră personale către un alt operator de date personale indicat de dumneavoastră. În vederea exercitării acestor drepturi sau pentru informații suplimentare, vă puteți adresa societății noastre astfel: prin e-mail: office@asigcenter.ro Responsabilul pentru Protecția Datelor poate fi contactat la adresa de email:office@asigcenter.ro; Municipiul Iasi, Str. Sărărie, nr.202, bl. Sărărie Residence birou 28, et.5, Jud. Iasi; depunere personală: sediul Asig Center-broker de asigurare
De asemenea, cu privire la prelucrarea datelor dumneavoastră cu caracter personal aveți dreptul de a formula o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (www.dataprotection.ro