Politici si proceduri de securitate

in conformitate cu prevederile Regulamentul UE nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date

Societatea KUNDEN BROKER DE ASIGURARE S.R.L., cu sediul in Cluj-Napoca, str. Republicii nr. 109, etaj II, (Sigma Business Center) jud. Cluj, inmatriculata la ORC Cluj sub nr. J12/2085/07.06.2005, avand CUI 17662100, cu Autorizatia de functionare 3946/07.10.2005, nr. si data inmatricularii in registrul broker-ilor de asigurare: RBK-311/10.10.2005, “Autorizat de Autoritatea de Supraveghere Financiara”, e-mail: office@kundenbroker.ro, reprezentata legal prin dl. BERNHARD NEUMAIER, in calitate de Administrator si Director General prin prezentul document stabileste Politicile si procedurile de securitate in conformitate cu prevederile Regulamentul UE nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date

1. Scopul procedurii

Procedura descrie conditiile si modul de desfasurare a activitatii privind securitatea prelucrarilor de date cu caracter personal.

2. Domeniul de aplicare al procedurii

Procedura se aplica in cadrul Societatii KUNDEN BROKER DE ASIGURARE S.R.L., denumita in cele ce urmeaza ”Operator”, precum si pentru persoanele fizice si/sau juridice imputernicite de “Operator” care prelucreaza date cu caracter personal pe seama Companiei Kunden Broker de Asigurare S.R.L.

3. Definitii termeni

1. „date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
2. „prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
3. „restrictionarea prelucrarii” inseamna marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
4. „creare de profiluri” inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoaaa fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
5. „pseudonimizare” inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
6. „sistem de evidenta a datelor” inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
7. „operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;
8. „persoana imputernicita de operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
9. „destinatar” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Cu toate acestea, autoritatile publice carora li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritatile publice respective respecta normele aplicabile in materie de protectie a datelor, in conformitate cu scopurile prelucrarii;
10. „parte terta” inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
11. „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;
12. „incalcarea securitatii datelor cu caracter personal” inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
13. „date genetice” inseamna datele cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care ofera informatii unice privind fiziologia sau sanatatea persoanei respective si care rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la persoana in cauza;
14. „date biometrice” inseamna date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unica a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
15. „date privind sanatatea” inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
16. „sediu principal” inseamna:
a) in cazul unui operator cu sedii in cel putin doua state membre, locul in care se afla administratia centrala a acestuia in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului din Uniune, sediu care are competenta de a dispune punerea in aplicare a acestor decizii, caz in care sediul care a luat deciziile respective este considerat a fi sediul principal;
b) in cazul unei persoane imputernicite de operator cu sedii in cel putin doua state membre, locul in care se afla administratia centrala a acesteia in Uniune, sau, in cazul in care persoana imputernicita de operator nu are o administratie centrala in Uniune, sediul din Uniune al persoanei imputernicite de operator in care au loc activitatile principale de prelucrare, in contextul activitatilor unui sediu al persoanei imputernicite de operator, in masura in care aceasta este supusa unor obligatii specifice in temeiul prezentului regulament;
17. „reprezentant” inseamna o persoana fizica sau juridica stabilita in Uniune, desemnata in scris de catre operator sau persoana imputernicita de operator, care reprezinta operatorul sau persoana imputernicita in ceea ce priveste obligatiile lor respective care le revin;
18. „intreprindere” inseamna o persoana fizica sau juridica ce desfasoara o activitate economica, indiferent de forma juridica a acesteia, inclusiv parteneriate sau asociatii care desfasoara in mod regulat o activitate economica;
19. „grup de intreprinderi” inseamna o intreprindere care exercita controlul si intreprinderile controlate de aceasta;
20. „reguli corporatiste obligatorii” inseamna politicile in materie de protectie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoana imputernicita de operator stabilita pe teritoriul unui stat membru, in ceea ce priveste transferurile sau seturile de transferuri de date cu caracter personal catre un operator sau o persoana imputernicita de operator in una sau mai multe tari terte in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna;
21. „autoritate de supraveghere” inseamna o autoritate publica independenta instituita de un stat membru;
22. „autoritate de supraveghere vizata” inseamna o autoritate de supraveghere care este vizata de procesul de prelucrare a datelor cu caracter personal deoarece:
a) operatorul sau persoana imputernicita de operator este stabilita pe teritoriul statului membru al autoritatii de supraveghere respective;
b) persoanele vizate care isi au resedinta in statul membru in care se afla autoritatea de supraveghere respectiva sunt afectate in mod semnificativ sau sunt susceptibile de a fi afectate in mod semnificativ de prelucrare; sau
c) la autoritatea de supraveghere respectiva a fost depusa o plangere;
23. „prelucrare transfrontaliera” inseamna:
a) fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor sediilor din mai multe state membre ale unui operator sau ale unei persoane imputernicite de operator pe teritoriul Uniunii, daca operatorul sau persoana imputernicita de operator are sedii in cel putin doua state membre; sau
b) fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, dar care afecteaza in mod semnificativ sau este susceptibila de a afecta in mod semnificativ persoane vizate din cel putin doua state membre.

4. Principii legate de prelucrarea datelor cu caracter personal

Datele cu caracter personal sunt:
a) prelucrate in mod legal, echitabil si transparent fata de persoana vizata („legalitate, echitate si transparenta”);
b) colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;
c) adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate („reducerea la minimum a datelor”);
d) exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere („exactitate”);
e) pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele;
f) prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate si confidentialitate”).

5. Legalitatea prelucrarii

Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:
a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizatei inainte de incheierea unui contract;
c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

6. Informatii referitoare la protectia datelor cu caracter personal

Operatorul va gestiona in conditii de siguranta si va colecta cu scopul de a incheia contracte, datele pe care Clientul le furnizeaza referitor la propria persoana sau la familia sa. Informatiile solicitate vor fi prelucrate de catre Operator si/sau partenerii contractuali ai operatorului si pot fi comunicate autoritatilor publice, la cererea acestora, conform legii. Furnizarea informatiilor solicitate este obligatorie conform legii, iar refuzul de a le furniza atrage imposibilitatea incheierii contractului de asigurare intermediat de Operator.

7. Conditii privind consimtamantul

In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal. In cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia. Atunci cand se evalueaza daca consimtamantul este dat in mod liber, se tine seama cat mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este conditionata sau nu de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.

8. Drepturile persoanei vizate

8.1. Informare si acces la date cu caracter personal

8.1.1. Informatii care se furnizeaza in cazul in care datele cu caracter personal sunt colectate de la persoana vizata

In cazul in care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, operatorul/ persoana imputernicita, in momentul obtinerii acestor date cu caracter personal, furnizeaza persoanei vizate toate informatiile urmatoare:
a) identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protectia datelor, dupa caz;
c) scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
d) in cazul in care prelucrarea se face in temeiul articolului 6 alineatul 1 litera f, din Regulament, interesele legitime urmarite de operator sau de o parte terta;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) daca este cazul, intentia operatorului de a transfera date cu caracter personal catre o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau, in cazul transferurilor, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie.

In plus fata de informatiile mentionate la alineatul 1, in momentul in care datele cu caracter personal sunt obtinute, operatorul furnizeaza persoanei vizate urmatoarele informatii suplimentare necesare pentru a asigura o prelucrare echitabila si transparenta:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b) existenta dreptului de a solicita operatorului, in ceea ce priveste datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau stergerea acestora sau restrictionarea prelucrarii sau a dreptului de a se opune prelucrarii, precum si a dreptului la portabilitatea datelor;
c) atunci cand prelucrarea se bazeaza pe consimtamant, existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
d) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
e) daca furnizarea de date cu caracter personal reprezinta o obligatie legala sau contractuala sau o obligatie necesara pentru incheierea unui contract, precum si daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal si care sunt eventualele consecinte ale nerespectarii acestei obligatii;
f) existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

In cazul in care operatorul intentioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost colectate, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si orice informatii suplimentare relevante.

Alineatele 1, 2 si 3 nu se aplica daca si in masura in care persoana vizata detine deja informatiile respective.

8.1.2. Informatii care se furnizeaza in cazul in care datele cu caracter personal nu au fost obtinute de la persoana vizata

In cazul in care datele cu caracter personal nu au fost obtinute de la persoana vizata, operatorul/ persoana imputernicita, furnizeaza persoanei vizate urmatoarele informatii:
a) identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protectia datelor, dupa caz;
c) scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
d) categoriile de date cu caracter personal vizate;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dupa caz;
f) daca este cazul, intentia operatorului de a transfera date cu caracter personal catre un destinatar dintr-o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie.

Pe langa informatiile mentionate la alineatul 1, operatorul furnizeaza persoanei vizate urmatoarele informatii necesare pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoana vizata:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b) in cazul in care prelucrarea se face in temeiul articolului 6 alineatul 1 litera f, din Regulament, interesele legitime urmarite de operator sau de o parte terta;
c) existenta dreptului de a solicita operatorului, in ceea ce priveste datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau stergerea acestora sau restrictionarea prelucrarii si a dreptului de a se opune prelucrarii, precum si a dreptului la portabilitatea datelor;
d) existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
e) dreptul de a depune o plangere in fata autoritatii de supraveghere;
f) sursa din care provin datele cu caracter personal si, daca este cazul, daca acestea provin din surse disponibile public;
g) existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

Operatorul furnizeaza informatiile mentionate la alineatele 1 si 2 :
a) intr-un termen rezonabil dupa obtinerea datelor cu caracter personal, dar nu mai mare de o luna, tinandu-se seama de circumstantele specifice in care sunt prelucrate datele cu caracter personal;
b) daca datele cu caracter personal urmeaza sa fie utilizate pentru comunicarea cu persoana vizata, cel tarziu in momentul primei comunicari catre persoana vizata respectiva; sau
c) daca se intentioneaza divulgarea datelor cu caracter personal catre un alt destinatar, cel mai tarziu la data la care acestea sunt divulgate pentru prima oara.

In cazul in care operatorul intentioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost obtinute, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si orice informatii suplimentare relevante.

Alineatele 1-4 nu se aplica daca si in masura in care:
a) persoana vizata detine deja informatiile;
b) furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. In astfel de cazuri, operatorul ia masuri adecvate pentru a proteja drepturile, libertatile si interesele legitime ale persoanei vizate, inclusiv punerea informatiilor la dispozitia publicului;
c) obtinerea sau divulgarea datelor este prevazuta in mod expres de dreptul Uniunii sau de dreptul intern sub incidenta caruia intra operatorul si care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
d) in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii statutare de secret profesional, inclusiv al unei obligatii legale de a pastra secretul.

8.1.3. Dreptul de acces al persoanei vizate

Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
a) scopurile prelucrarii;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
e) existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
f) dreptul de a depune o plangere in fata autoritatii de supraveghere;
g) in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
h) existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

In cazul in care datele cu caracter personal sunt transferate catre o tara terta sau o organizatie internationala, persoana vizata are dreptul sa fie informata cu privire la garantiile adecvate, referitoare la transfer.

Operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. In cazul in care persoana vizata introduce cererea in format electronic si cu exceptia cazului in care persoana vizata solicita un alt format, informatiile sunt furnizate intr-un format electronic utilizat in mod curent.

Dreptul de a obtine o copie mentionata la alineatul 3 nu aduce atingere drepturilor si libertatilor altora.

8.2. Rectificare si stergere

8.2.1. Dreptul la rectificare

Persoana vizata are dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Tinandu-se seama de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

8.2.2. Dreptul la stergerea datelor („dreptul de a fi uitat”)

Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive:
a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b) persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea, si nu exista niciun alt temei juridic pentru prelucrare;
c) persoana vizata se opune prelucrarii si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea;
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla operatorul;
f) datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale;

In cazul in care operatorul a facut publice datele cu caracter personal si este obligat, in temeiul alineatului 1, sa le stearga, operatorul, tinand seama de tehnologia disponibila si de costul implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat stergerea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

Alineatele 1 si 2 nu se aplica in masura in care prelucrarea este necesara:
a) pentru exercitarea dreptului la libera exprimare si la informare;
b) pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul;
c) din motive de interes public in domeniul sanatatii publice;
d) in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in masura in care dreptul mentionat la alineatul 1 este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective; sau
e) pentru constatarea, exercitarea sau apararea unui drept in instanta.

8.3. Dreptul la restrictionarea prelucrarii

Persoana vizata are dreptul de a obtine din partea operatorului restrictionarea prelucrarii in cazul in care se aplica unul din urmatoarele cazuri:
a) persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor;
b) prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor;
c) operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; sau
d) persoana vizata s-a opus prelucrarii, pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate.

In cazul in care prelucrarea a fost restrictionata in temeiul alineatului 1, astfel de date cu caracter personal pot, cu exceptia stocarii, sa fie prelucrate numai cu consimtamantul persoanei vizate sau pentru constatarea, exercitarea sau apararea unui drept in instanta sau pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public.

O persoana vizata care a obtinut restrictionarea prelucrarii in temeiul alineatului 1 este informata de catre operator inainte de ridicarea restrictiei de prelucrare.

8.4. Obligatia de notificare privind rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii

Operatorul comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal orice rectificare sau stergere a datelor cu caracter personal sau restrictionare a prelucrarii efectuate, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate. Operatorul informeaza persoana vizata cu privire la destinatarii respectivi daca persoana vizata solicita acest lucru.

8.5. Dreptul la portabilitatea datelor

Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal, in cazul in care:
a) prelucrarea se bazeaza pe consimtamant sau pentru executarea unui contract la care persoana vizata este parte, si
b) prelucrarea este efectuata prin mijloace automate.

In exercitarea dreptului sau la portabilitatea datelor in temeiul alineatului 1, persoana vizata are dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

Exercitarea dreptului mentionat la alineatul 1 nu se aplica prelucrarii necesare pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul.

Dreptul mentionat la alineatul 1 nu aduce atingere drepturilor si libertatilor altora.

8.6. Dreptul la opozitie si procesul decizional individual automatizat

8.6.1. Dreptul la opozitie

In orice moment, persoana vizata are dreptul de a se opune, din motive legate de situatia particulara in care se afla, datelor cu caracter personal care o privesc, inclusiv crearii de profiluri pe baza respectivelor dispozitii. Operatorul nu mai prelucreaza datele cu caracter personal, cu exceptia cazului in care operatorul demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta. Atunci cand prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizata are dreptul de a se opune in orice moment prelucrarii in acest scop a datelor cu caracter personal care o privesc, inclusiv crearii de profiluri, in masura in care este legata de marketingul direct respectiv.

In cazul in care persoana vizata se opune prelucrarii in scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate in acest scop. Cel tarziu in momentul primei comunicari cu persoana vizata, dreptul mentionat la alineatele 1 si 2 este adus in mod explicit in atentia persoanei vizate si este prezentat in mod clar si separat de orice alte informatii. In contextual utilizarii serviciilor societatii informationale, persoana vizata isi poate exercita dreptul de a se opune prin mijloace automate care utilizeaza specificatii tehnice.

In cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare stiintifica sau istorica sau in scopuri statistice , persoana vizata, din motive legate de situatia sa particulara, are dreptul de a se opune prelucrarii datelor cu caracter personal care o privesc, cu exceptia cazului in care prelucrarea este necesara pentru indeplinirea unei sarcini din motive de interes public.

8.6.2. Procesul decizional individual automatizat, inclusiv crearea de profiluri

Persoana vizata are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.
Alineatul 1 nu se aplica in cazul in care decizia:
a) este necesara pentru incheierea sau executarea unui contract intre persoana vizata si un operator de date;
b) este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului si care prevede, de asemenea, masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate; sau
c) are la baza consimtamantul explicit al persoanei vizate.

In cazurile mentionate la alineatul 2 literele a si c, operatorul de date pune in aplicare masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate, cel putin dreptul acesteia de a obtine interventie umana din partea operatorului, de a-si exprima punctul de vedere si de a contesta decizia.

Pentru exercitarea acestor drepturi, Clientul va adresa o cerere scrisa, datata si semnata, la sediul central al Operatorului, situat in localitatea Cluj-Napoca, str. Republicii nr. 109, et. II, jud. Cluj.

In cazul nerespectarii drepturilor persoanelor vizate, Regulamentul confera persoanelor fizice in cauza dreptul de a depune o plangere la Autoritatea Nationala de Supraveghere.

Daca plangerea este admisibila, aceasta va putea fi urmata de o investigatie la operatorul de date reclamat.

9. Responsabilitatea operatorului

Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul, pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prevederile Regulamentul UE, pune in aplicare urmatoarele masuri tehnice si organizatorice adecvate, necesare pentru pastrarea confidentialitatii si integritatii datelor cu caracter personal:

9.1. Identificarea si autentificarea utilizatorului

Prin utilizator se intelege orice persoana care actioneaza sub autoritatea Operatorului, a persoanei imputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal. Utilizatorii, pentru a capata acces la o baza de date cu caracter personal, trebuie sa se identifice. Identificarea se realizeaza prin introducerea codului individual de la tastatura insotit de parola proprie. Fiecare utilizator are propriul sau cod de identificare. Niciodata mai multi utilizatori nu trebuie sa aiba acelasi cod de identificare. Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai indelungata vor fi dezactivate si distruse dupa un control prealabil al Operatorului si/sau al persoanei responsabile desemnata de operator. Orice cont de utilizator este insotit de o modalitate de autentificare. Autentificarea se realizeaza prin introducerea unei parole. Parolele sunt siruri de caractere. Cu cat sirul de caractere este mai lung, cu atat parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie sa fie afisate in clar pe monitor. In fiecare luna, in prima saptamana de lucru se va proceda la schimbarea parolelor personale. Schimbarea periodica a parolelor se face numai de catre utilizatori autorizati de Operator. Operatorul trebuie sa solicite realizarea unui sistem informational care sa refuze automat accesul unui utilizator dupa 5 introduceri gresite ale parolei. Utilizarea sistemului de calcul necesita maxima atentie si precizie. Fiecare informatie nou introdusa se va efectua cu date complete si corecte. Fiecare angajat care opereaza in sistem este raspunzator pentru introducerea de date false sau incomplete sau modificarea necorespunzatoare a informatiilor existente. Orice utilizator care primeste un cod de identificare si un mijloc de autentificare trebuie sa pastreze confidentialitatea acestora si sa raspunda in acest sens in fata Operatorului. Se va stabili o procedura proprie de administrare si gestionare a conturilor de utilizator. Operatorii autorizeaza anumiti utilizatori pentru a revoca sau a suspenda un cod de identificare si autentificare, daca utilizatorul acestora si-a dat demisia ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter personal, a abuzat de codurile primite sau daca va absenta o perioada indelungata prestabilita. Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste intocmite de responsabilul cu protectia datelor si aprobate de conducerea operatorului.

9.2. Tipul de acces

Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru indeplinirea atributiilor lor de serviciu. Pentru aceasta operatorii trebuie sa stabileasca tipurile de acces dupa functionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) si dupa actiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, stergere), precum si procedurile privind aceste tipuri de acces. Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal dupa ce acestea au fost transformate in date anonime. Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri exceptionale. Pentru activitatea de pregatire a utilizatorilor sau pentru realizarea de prezentari se vor folosi date anonime. Angajatii care predau cursurile de pregatire vor folosi date cu caracter personal pe parcursul propriei lor pregatiri. Operatorul va stabili modalitatile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceasta prelucrare de date cu caracter personal trebuie limitata la cativa utilizatori.

9.3. Colectarea datelor

Operatorul desemneaza si instruieste utilizatorii autorizati pentru operatiile de colectare si introducere de date cu caracter personal intr-un sistem informational. Orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati desemnati de operator, avand la baza un document justificativ. Sistemul informational inregistreaza cine a facut modificarea, data si ora modificarii. Pentru o mai buna administrare, Operatorul va lua masuri ca sistemul informational sa mentina datele sterse sau modificate.

9.4. Executia copiilor de siguranta

Odata la sase luni se vor executa copiile de siguranta ale bazelor de date cu caracter personal, precum si ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranta vor fi numiti de operator, intr-un numar restrans. Copiile de siguranta se vor stoca in alte camere, in fisete inchise cu cheie, unde accesul este monitorizat.

9.5. Computerele si terminalele de acces

Computerele si alte terminale de acces vor fi instalate in incaperi cu acces restrictionat si monitorizat. Daca nu pot fi asigurate aceste conditii, computerele se vor instala in incaperi care se pot incuia sau se vor lua masuri ca accesul la server sau terminalele de acces sa se faca cu ajutorul unor chei ori cartele magnetice. Daca pe ecran apar date cu caracter personal asupra carora nu se actioneaza o perioada data, stabilita de operator, sesiunea de lucru trebuie inchisa automat. Marimea acestei perioade se determina in functie de operatiile care trebuie executate. Terminalele de acces folosite in relatia cu diversi colaboratori, pe care apar date cu caracter personal, vor fi pozitionate astfel incat sa nu poata fi vazute de acestia si dupa o perioada scurta, de 10 minute, in care nu se actioneaza asupra lor, acestea trebuie ascunse.

9.6. Fisierele de acces

Sistemul informational permite ca orice accesare a bazei de date cu caracter personal sa fie inregistrata intr-un fisier de acces (numit log la prelucrarile automate) sau intr-un registru pentru prelucrarile manuale de date cu caracter personal. Informatiile inregistrate in fisierul de acces sau in registru vor fi:

  • codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
  • numele fisierului accesat (fisei);
  • numarul inregistrarilor efectuate;
  • tipul de acces;
  • codul operatiei executate sau programul folosit;
  • data accesului (zi, luna, an);
  • timpul (secunda, minutul, ora).

Pentru prelucrarile automate aceste informatii vor fi stocate intr-un fisier de acces general sau in fisiere separate pentru fiecare utilizator. Orice incercare de acces neautorizat va fi, de asemenea, inregistrata. Operatorul pastreaza fisierele de acces cel putin 5 ani, pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste fisiere se vor pastra atat timp cat se va considera necesar. Fisierele de acces trebuie sa faca posibila identificarea de catre Operator sau de catre persoana imputernicita a persoanelor care au accesat date cu caracter personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor competente.

9.7. Sistemele de telecomunicatii

In cadrul societatii se face periodic controlul autentificarilor si tipurilor de acces pentru detectarea unor disfunctionalitati in ceea ce priveste folosirea sistemelor de telecomunicatii. Operatorul a conceput sistemul de telecomunicatii astfel incat datele cu caracter personal sa nu poata fi interceptate sau transmise de oriunde. Daca sistemul de telecomunicatii nu poate fi astfel securizat, operatorul este obligat sa impuna folosirea metodei de criptare pentru transmisia datelor cu caracter personal. Prin sistemele de telecomunicatii se vor transmite numai datele cu caracter personal strict necesare.

9.8. Instruirea personalului

In cadrul cursurilor de pregatire precum si cu ocazia intalnirilor organizate in cadrul societatii are loc informarea angajatilor cu privire la prevederile legislatiei pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, in functie de specificul activitatii utilizatorului. Utilizatorii care au acces la date cu caracter personal vor fi instruiti de catre Operator asupra confidentialitatii acestora si vor fi avertizati prin mesaje care vor aparea pe monitoare in timpul activitatii. Utilizatorii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de munca.

9.9. Folosirea computerelor

Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) operatorul va lua masuri care vor consta in:
a) interzicerea instalarii a oricaror programe si salvarea acestora pe calculator de catre angajati;
b) interzicerea folosirii de catre utilizatori a programelor software care provin din surse externe sau dubioase si care nu au licenta;
c) informarea utilizatorilor in privinta pericolului privind virusii informatici;
d) implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice;
e) dezactivarea, pe cat posibil, a tastei „Print screen”, atunci cand sunt afisate pe monitor date cu caracter personal, interzicandu-se astfel scoaterea la imprimanta a acestora.

9.10. Imprimarea datelor

Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizati pentru aceasta operatiune de catre Operator.
Operatorii sunt obligati sa aprobe proceduri interne specifice privind folosirea si distrugerea acestor materiale. Fiecare entitate isi va aproba propriul sistem de securitate, tinand seama de aceste cerinte minime de securitate a prelucrarilor de date cu caracter personal, iar in functie de importanta datelor cu caracter personal prelucrate, isi va impune masuri de securitate suplimentare. In baza legislatiei in vigoare si a normelor interne, Societatea Kunden Broker de Asigurare S.R.L. prelucreazǎ date cu caracter personal, in functie de scop, conform cerintelor Regulamentului UE nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date, ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, pentru:

  • intocmirea contractelor de munca pentru angajati, a contractelor de colaborare, a contractelor de asigurare intermediate de Operator si a contractelor cu diversi clientii;
  • monitorizarea accesului persoanelor in spatiile de birou ale Operatorului;
  • securitatea persoanelor si a spatiilor de birou;
  • monitorizarea video si securitate, in spatiile de birou ale Operatorului.

Din cadrul persoanelor monitorizate fac parte clientii sau potentiali clienti; colaboratorii; vizitatorii; angajatii; orice persoana care intra in spatiul utilizat de Operator pentru desfasurarea activitatii sale.

Prelucrarea datelor cu caracter personal prin monitorizare video este necesara pentru realizarea intereselor legitime ale Operatorului (ex. evidenta vizitatorilor-potentiali asigurati, executarea contractelor de munca pentru angajati, respectiv a indeplinirii obligatiilor acestora la locul de munca, securitatea angajatilor si clientilor, respectarea confidentialitatii datelor prelucrate de catre acestia etc.) si indeplinirea obligatiilor legale prevazute de Legea 31/1990 privind societatile, de Legea nr.333/2003 privind paza obiectivelor, bunurilor, valorilor, protectia persoanelor, HG 301/2012 pentru aprobarea normelor metodologice de aplicare a Legii nr.333/2003. Angajatii societatii beneficiaza de dreptul de informare, dreptul de acces la date, dreptul de interventie asupra datelor, dreptul de opozitie, dreptul de a nu fi supus unei decizii individuale si dreptul de a se adresa justitiei.

Operatorul se obliga sa rectifice, sa actualizeze, sa blocheze, sa stearga sau sa transforme in date anonime, in mod gratuit, datele a caror prelucrare nu este conforma cu prevederile legislatiei in domeniul prelucrarii datelor cu caracter personal.

Datele stocate se pastreaza in arhivele electronice (memoria Hard a dispozitivului de inregistrare video) maxim 30 de zile. La expirarea termenului, Operatorul se obliga se stearga inregistrarile.

Informatiile inregistrate sunt destinate utilizarii de catre Operator si sunt comunicate la cerere numai urmatorilor destinatari: persoana vizata, angajati ai Operatorului, autoritate judecatoreasca, politie, Organele de Urmarire Penala precum si la cererea oricaror alte autoritati legale.

Conform prevederilor legale, datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:

  • prelucrate de catre angajatii Operatorului si/sau persoanele fizice sau juridice imputernicite, cu buna-credinta, in conformitate cu dispozitiile legale in vigoare;
  • colectate in scopuri determinate, explicite si legitime;
  • adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
  • exacte si, daca este cazul, actualizate;
  • stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate.

Prezentele proceduri interne se completeaza de drept cu celelalte prevederi ale legislatiei privind prelucrarea datelor cu caracter personal.

Cluj-Napoca, 27.04.2018

KUNDEN BROKER DE ASIGURARE S.R.L.

Administrator si Director General,
BERNHARD NEUMAIER