INFORMÁCIE O OCHRANE OSOBNÝCH ÚDAJOV
Ak ste klient alebo predložíte návrh na uzatvorenie poistnej zmluvy
Poisťovňa a zaisťovňa môže osobné údaje spracovávať počas existencie poistného a zaistného vzťahu a iného poverenia a v dobe, počas ktorej je možné uplatniť nárok v súvislosti s poistným, zaistným alebo iným vzťahom poverenia. Účel spracúvania osobných údajov je potrebný iba k uzatvoreniu, zmene a archivácii poistnej zmluvy, posúdeniu požiadaviek vyplývajúcich zo zmluvy alebo na iné účely stanovené v zákone. Spracúvanie osobných údajov odlišné od tohto účelu môže poisťovňa alebo zaisťovňa vykonávať iba na základe Vášho súhlasu. Odmietnutie poskytnutia súhlasu nesmie nepriaznivo ovplyvniť Vaše práva a pri jeho poskytnutí Vám nemôže byť poskytnutá žiadna výhoda. Podrobné pravidlá spracúvania osobných údajov stanovuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len GDPR) a platné maďarské právne predpisy. Ustanovenia poisťovne o ochrane osobných údajov boli vytvorené v rámci týchto nariadení a zákonov.
Právnym základom pre spracúvanie osobných údajov poisťovňou je v prvom rade záujem o plnenie poistnej zmluvy (článok 6 písm. b) GDPR) a plnenie zákonných povinností poisťovne (článok 6 písm c) GDPR). Môže sa stať, že osobné údaje sa spracúvajú na základe uplatňovania oprávnených záujmov poisťovne alebo tretej osoby (článok 6 písm. f) GDPR).
Spravovanie a spracúvanie špeciálnej kategórie osobných údajov (údaje vzťahujúce sa na zdravotný stav) sa vykonáva na základe Vášho súhlasu. V prípade neudelenia súhlasu poisťovňa nevie plniť, preto sa okrem informácií o ochrane osobných údajov a poskytnutí poučenia musíte vyjadriť aj o takomto súhlase.
V súlade s uvedeným Poisťovňa spracúva údaje o zdravotnom stave a poskytne ich sprostredkovateľovi.
Totožnosť a identifikačné údaje sprostredkovateľov a okruh údajov, ktoré im boli odovzdané, ďalej nimi vykonávané úkony zverejní Poisťovňa na svojej webovej stránke.
Spod povinnosti lekárskej mlčanlivosti možno na základe samostatného písomného súhlasu oslobodiť iba osoby, ktoré údaje o zdravotnom stave spracovávajú na základe zákonného alebo zmluvného splnomocnenia, predovšetkým ošetrujúceho lekára (vrátane všeobecného lekára a odborného lekára), znalca, poskytovateľa zdravotnej starostlivosti, zdravotnícke zariadenie, zdravotnícke štátne zariadenia, záchrannú službu atď. S oslobodením a spracúvaním takýchto údajov, respektíve ich poskytnutím sprostredkovateľovi musíte poskytnúť predpísaný súhlas.
Pokiaľ zmluvu uzatvárate pre maloletého poisteného a/alebo príjemcu, zákonný zástupca musí oslobodenie a súhlas so spracúvaním osobných údajov poskytnúť aj v jeho mene.
Súhlas môžete kedykoľvek bez uvedenia dôvodu odvolať. Dôsledky odvolania a ustanovenia o spracúvaní osobných údajov sú uvedené v poistných podmienkach.
Ak ste záujemca
Za záujemcu sa považuje osoba, ktorá
- sa prihlási k odberu noviniek,
- reagujete na pracovnú ponuku,
- na podujatí sa ako záujemca prihlásite u zástupcu poisťovne a poskytnete mu Vaše osobné údaje,
Spracúvanie osobných údajov sa v takomto prípade vykonáva na základe Vášho súhlasu založeného na podrobnom informovaní. Súhlas so spracúvaním osobných údajov môžete kedykoľvek bez uvedenia dôvodu odvolať. Odvolanie súhlasu sa nedotýka zákonitosť spracúvania osobných údajov, ktoré Poisťovne dovtedy vykonávala.
Spracúvanie osobných údajov založené na dobrovoľnom súhlase zanikne, pokiaľ zanikne účel spracúvania osobných údajov.
Poisťovňa vykonáva profilovanie, automatické rozhodovanie a prenos osobných údajov výlučne na základe dobrovoľného súhlasu.
Osobných údaje osôb reagujúcich na pracovné ponuky uchováva Poisťovňa maximálne po dobu 12 mesiacov od ich prevzatia alebo zhromaždenia. Pokiaľ požiadate o ďalšie spracovanie osobných údajov, musíte predložiť výslovnú písomnú žiadosť.
Ďalšie dôležité informácie
Hlavná prevádzkareň: Könyves Kálmán körút 11., budova B, 1097 Budapešť, aj v prípade, ak poisťovňa spracováva osobné údaje v rámci svojej cezhraničnej činnosti.
Dozorný orgán: Maďarská národná banka (adresa: 1013 Budapešť, Krisztina krt. 6., telefónne číslo: :+ 36 80 203 776; e-mail: ugyfelszolgalat@mnb.hu; poštová adresa: 1534 Budapest BKKP P.O.Box: 777.; https://www.mnb.hu
Dozorný orgán (v súvislosti s ochranou osobných údajov): Národný úrad pre ochranu údajov a slobodu informácií (adresa: 1055 Budapest, Falk Miksa utca 9–11.,poštová adresa: 1363 Budapest, Pf.9.; c; kontaktné údaje: Telefón: +36 1 391 1400, fax: +36 (1) 391-1410; e-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)
Dozorný orgán v prípade cezhraničnej činnosti: Dozorný orgán iný odlišný od orgánu príslušného podľa miesta hlavnej prevádzkarne je oprávnený riešiť sťažnosti, ktoré mu boli predložené, ďalej je oprávnený konať v prípade porušenia ustanovení GDPR, ak sa vec týka výlučne jedného miesta výkonu činnosti v danom členskom štáte.
Zodpovedná osoba a jej kontaktné údaje:
Dr. Kozma Dávid, zástupca generálneho riaditeľa pre právnu a obchodnú podporu, úradník pre ochranu údajov;
Könyves Kálmán körút 11., budova B, 1097 Budapešť,
jog@cig.eu
ZOZNAM SPOLOČNOSTÍ SPRACOVATEĽNÝCH ÚDAJOV
Ak chcete zobraziť zoznam spoločností, ktoré spracovávajú údaje o spoločnosti CIG Pannónia Life Insurance Plc, kliknite sem.
ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV
Účelom týchto zásad je zabezpečenie súladu činnosti spoločnosti CIG Pannónia Életbiztosító Nyrt. s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov, ďalej v týchto zásadách len nariadenie GDPR) a definovanie spravovania a spracúvania osobných údajov, uplatňovania práv dotknutých osôb a systému súvisiacich zodpovedností.
1.) Vecná platnosť zásad ochrany údajov
Ustanovenia týchto zásad sa vzťahujú na spracúvanie osobných údajov spoločnosťou CIG Pannónia Életbiztosító Nyrt. (ďalej len Poisťovňa), na úpravu súvisiacich procesov a zabezpečenie práv dotknutých osôb. Ustanovenia týchto zásad je potrebné uplatňovať na všetky osoby, ktoré pre Poisťovňu vykonávajú spracúvanie osobných údajov alebo spoločné spracúvanie údajov. Na spracúvanie osobných údajov prevádzkovateľmi a sprostredkovateľmi predpisuje zákon prísnejšie podmienky ako nariadenie GDPR, preto je v prípade týchto osobných údajov potrebné dodržiavať tento zákon.
2.) Časová platnosť zásad ochrany údajov
Ustanovenia zásad vstupujä do platnosti dňom ich podpísania, uplatňovať sa však musia od 25. mája 2018.
3.) Základ zásad ochrany údajov
Základom zásad je s ohľadom na článok 35 nariadenia GDPR plán opatrení vypracovaný 20. decembra 2017 na základe výsledkov vyšetrenia DPIA a analýza GAP vypracované spoločnosťou Field Consulting Zrt.
4.) Základné pojmy
Nasledujúce základné pojmy týchto zásad zodpovedajú sa zhodujú s pojmami uvedenými v článku 4 nariadenia GDPR, s nižšie uvedenými dodatkami a pripojenými ustanoveniami:
Profilovanie: Poisťovňa vykonáva na základe súhlasu dotknutej osoby profilované spracovanie údajov iba v prípade, ak je to potrebné na obchodné účely.
Informačný systém: elektronická alebo papierová evidencia, ktorá obsahuje osobné údaje podliehajúce, spravované alebo spracovávané na základe nariadenia GDPR.
Hlavná prevádzkareň: Könyves Kálmán körút 11. budova B, 1097 Budapešť, aj v prípade, ak poisťovňa spracováva osobné údaje v rámci svojej cezhraničnej činnosti.
Dozorný orgán: Maďarská národná banka (adresa: 1013 Budapešť, Krisztina krt. 6., telefónne číslo: :+ 36 80 203 776; e-mail: ugyfelszolgalat@mnb.hu ; poštová adresa: 1534 Budapest BKKP P.O.Box: 777.; https://www.mnb.hu
Dozorný orgán (v súvislosti s ochranou osobných údajov): Národný úrad pre ochranu údajov a slobodu informácií (adresa: 1055 Budapešť, Falk Miksa utca 9–11., poštová adresa: 1363 Budapest, Pf. 9.; c; kontaktné údaje: Telefón: +36 1 391 1400, fax: +36 (1) 391-1410; e-mail: ugyfelszolgalat@naih.hu ; URL http://naih.hu)
Dozorný orgán v prípade cezhraničnej činnosti: Dozorný orgán iný odlišný od orgánu príslušného podľa miesta hlavnej prevádzkarne je oprávnený riešiť sťažnosti, ktoré mu boli predložené, ďalej je oprávnený konať v prípade porušenia ustanovení GDPR, ak sa vec týka výlučne jedného miesta výkonu činnosti v danom členskom štáte.
5.) Zásady spracúvania osobných údajov
Poisťovňa pri spracúvaní osobných údajov koná v súlade s článkom 5 vyhlášky GDPR. Tieto ustanovenia sa dopĺňajú, respektíve uskutočňujú nasledujúcimi spôsobmi.
- Zákonnosť, spravodlivý postup a transparentnosť
Poisťovňa sa pri spravovaní a spracúvaní osobných údajov riadi ustanoveniami nariadenia GDPR, maďarskej legislatívy a tých zásad. Všetci zamestnanci poisťovne sú povinní vytvoriť procesy a postupy, tlačivá a vyhlásení o súhlase so spracovaním osobných údajov, ktoré plne zodpovedajú týmto základným ustanoveniam.
Poisťovňa spracováva osobné údaje na účely plnenia poistných zmlúv a právnych povinností poisťovateľa. V prípade ich neexistencie je spracovanie osobných údajov možné len na základe súhlasu dotknutej osoby.
V prípade spracovania údajov musí na základe súhlase poisťovňa žiada o súhlas dotknutej osoby overiteľným spôsobom: buď písomne, alebo telefonicky so záznamom hovoru. V prípade súhlasu so spracúvaním údajov môže byť dobrovoľný súhlas dotknutej osoby kedykoľvek odvolaný bez odôvodnenia, o čom musí byť dotknutá osoba informovaná pri zázname jej údajov.
Pre spracovanie osobných údajov detí na základe súhlasu je potrebné, aby súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností.
V prípade, ak po spracovaní osobných údajov na základe súhlasu uzatvorí Poisťovňa s dotknutou osobou zmluvu, na spracúvanie osobných údajov sú od predloženia ponuky na uzatvorenie zmluvy, od vzniku zmluvy alebo od identifikácie dotknutých osôb v súlade s ustanoveniami o praní špinavých peňazí smerodajné ustanovenia spracovania osobný údajov podľa zmluvy.
Pri každom spôsobe spracovania údajov je dotknutá osoba informovaná o osobných údajoch, ktoré Poisťovňa spracováva, ako aj to, na aký účel a komu odovzdáva osobné údaje na spracovanie. Informácie by mali byť zaznamenané predovšetkým v zmluvných podmienkach a dotknutým osobám musia byť sprístupnené na internetovej stránke Poisťovňa. Súčasne je potrebné zabezpečiť, aby dotknutá osoba mohla na požiadanie dostať od Poisťovne informácie o spracovaní jej osobných údajov a o svojich právach v súlade s nariadením GDPR.
Poisťovňa môže zaobchádzať s osobitnými kategóriami osobných údajov, ak k tomu dotknutá osoba udelila výslovný súhlas alebo kvôli splneniu zákonných požiadaviek upravujúcich zamestnávanie dotknutej osoby. Takéto spracovanie osobných údajov sa uskutočňuje najmä v prípade zmlúv, u ktorých sa posúdenie rizika alebo nahradenie škody, čiže uzatvorenie poistnej zmluvy a na jej základe splnenie služby závisí od zdravotného stavu dotknutej osoby alebo zmeny jeho stavu.
Poisťovňa nevykonáva spracovanie osobných údajov v súvislosti so zistením trestnej zodpovednosti. Tento zákaz nemá vplyv na úradné rozhodnutia, ktoré majú za následok vznik nároku poisťovne na poskytnutie služieb.
- obmedzenie účelu
Poisťovňa spracováva osobné údaje len na účely svojej činnosti a plnenia svojich zmlúv a služieb. Počas toho nekupuje, nepredáva, neprevádza ani neposkytuje databázy osobných údajov tretej strane.
- minimalizácia údajov
Poisťovňa spracováva výlučne také množstvo osobných údajov, aké je potrebné k jej zákonnému fungovaniu a spracovaniu jej zmlúv.
- presnosť
Poisťovňa vykoná všetky primerané a nevyhnutné opatrenia na zabezpečenie presnosti a aktualizácie osobných údajov. Osobné údaje aktualizuje v súlade so zákonnými ustanoveniami, v intervaloch uvedených v zákone o praní špinavých peňazí , ďalej na základe oznámení dotknutých osôb.
- obmedzené ukladanie
Poisťovňa okamžite ukončí spracovanie osobných údajov podliehajúcich nariadeniu GDPR, v prípade ktorých už nie je možné stanoviť obmedzenie účelu a zákon umožňuje ukončenie spracovávania údajov.
- integrita a dôvernosť
Poisťovňa vykoná všetky aktuálne dostupné technické a organizačné ochranné opatrenia, ktoré sa dajú očakávať od finančných inštitúcií a zabezpečujú predpísanú bezpečnosť spravovania a spracúvania osobných údajov. Za týmto účelom vypracuje systém požiadaviek pre každého sprostredkovateľa alebo spoločného prevádzkovateľa, ktorý pre Poisťovňu spracúva osobné údaje podľa nariadenia GDPR alebo sa zúčastňuje na akejkoľvek fáze spracovania.
- zodpovednosť
Poisťovňa svoj organizačný poriadok a systém spracúvania údajov vytvorí tak, aby bolo možné sledovať spravovanie a spracúvanie osobných údajov a sledovať, kto a aké úkony vykonal počas spravovania a spracúvania údajov.
6.) Práva dotknutých osôb a ich zabezpečenie
a.) Transparentné opatrenia
Poisťovňa vykoná všetky organizačné a technické opatrenia zamerané na to, aby dotknutej osobe dokázal do 30 dní písomne alebo ústne poskytnúť informácie o správe jeho osobných údajov v súlade s kritériami stanovenými v nariadení GDPR.
Pred zverejnením zmluvného vzťahu a spracovaním osobných údajov musí byť dotknutej osobe poskytnutá písomná informácia:
- v prípade poistných zmlúv pri vyplňovaní návrhu zmluvy;
- v iných prípadoch pri poskytovaní alebo oboznamovaní sa s osobnými údajmi
Poskytnutie písomných informácií je bezplatné. Informácie sa považujú za písomné aj v prípade, ak sú dotknutej osobe zaslané elektronickou formou.
Poskytnutie informácií môže byť zamietnuté iba v zákonom predpísaných prípadoch.
Administrátori zabezpečia, aby sa informácie vzťahovali aj na interné predpisy upravujúce kontakt s dotknutými osobami, formuláre ponúk a zmluvné podmienky. Jednoduchý prístup k týmto informáciám na webovej stránke Poisťovne je povinná zabezpečiť zodpovedná osoba.
Ústne oznámenie o právach dotknutých osôb je podmienkou pre identifikáciu dotknutej osoby a podmienok práva na informovanie. Za informovanie dotknutej osoby je zodpovedný predovšetkým administrátor a následne osoba poverená ochranou osobných údajov (zodpovedná osoba).
b.) Informácie, ktoré sa majú sprístupniť, ak sú osobné údaje získavané od dotknutej osoby
Informácie o ochrane údajov poskytnuté dotknutej osobe musia byť nevyhnutne zahrnuté do týchto základných informácií:
- totožnosť a kontaktné údaje Poisťovne ako prevádzkovateľa;
- totožnosť a kontaktné údaje zodpovednej osoby;
- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania (spracúvanie údajov na základe súhlasu, plnenia zmluvy alebo plnenia zákonnej povinnosti poisťovne);
- kategórie osobných údajov.
S cieľom zabezpečiť spravodlivé a transparentné spracúvanie údajov v čase nadobudnutia osobných údajov je dotknutá osoba informovaná o týchto dodatočných informáciách:
- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
- ak je možné preukázať poisťovateľa alebo oprávnený záujem tretej strany, ich skutočnosť;
- pokiaľ je právnym základom súhlas dotknutej osoby, existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, práva na prenosnosť údajov a práva svoj súhlas kedykoľvek odvolať;
- právo podať sťažnosť dozornému orgánu;
c.) Právo dotknutej osoby na prístup k údajom
Poisťovňa zabezpečuje pre dotknutú osobu neustály prístup k jej osobným údajom a informáciám o spracúvaní týchto údajov podľa nasledovného:
- Všeobecné informácie o spracúvaní údajov na webovej stránke;
- pokiaľ ide o osobné údaje týkajúce sa plnenia zmluvy v zmysle zmluvy v zmluvných podmienkach alebo v príslušnej informácii o ochrane osobných údajov;
- pokiaľ ide o konkrétne dotknuté osoby, o úkonoch týkajúcich sa individuálnych osobných údajov na základe písomného alebo ústneho informovania
d.) Právo na opravu
Dotknutá osoba môže požiadať o opravu svojich údajov a o doplnenie neúplných údajov. Poisťovňa môže na splnenie žiadosti dotknutej osoby požadovať od nej doklad, na základe ktorého sa má vykonať oprava alebo doplnenie, a to bezodkladne, najneskôr však do 3 pracovných dní.
e.) Právo na vymazanie (právo „na zabudnutie“)
Z dôvodov uvedených v nariadení o ochrane údajov musí Poisťovňa vymazať osobné údaje dotknutej osoby bez zbytočného odkladu, najneskôr však do 3 pracovných dní.
Dotknutá osoba nemá právo na vymazanie, ak je uchovávanie jej osobných údajov nevyhnutné na plnenie zmluvných povinností alebo záväzkov Poisťovne vyplývajúcich zo zákona alebo k uchovávaniu má iný legitímny záujem.
Pre zákonné odmietnutie vymazania musí správca údajov požiadať o stanovisko zodpovednej osoby.
f.) Právo na obmedzenie spracúvania
Spracúvanie osobných údajov môžno obmedziť na základe žiadosti dotknutej osoby. Vo veci takejto žiadosti dotknutej osoby je potrebné vyžiadať stanovisko zodpovednej osoby. Ak je podľa tohto stanoviska na mieste obmedzenie spracovania údajov, administrátor je povinný osobné údaje dotknutej osoby označiť na všetkých nosičoch údajov a v každej evidencii. Označenie sa môže urobiť tak, že sa pri údajoch dotknutej osoby v evidencii uvedie identifikačné číslo alebo v prípade papierovej dokumentácie sa na prvej strane uvedie príslušný záznam.
g.) Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania
Administrátor je povinný písomne informovať dotknutú osobu o každej oprave alebo vymazaní osobných údajov alebo obmedzení spracúvania.
h.) Právo na prenosnosť údajov
Dotknutá osoba má právo získať osobné údaje v bežne používanom a strojovo čitateľnom formáte Dotknutá osoba môže toto právo uplatniť aj v prípade, ak jej údaje Poisťovňa spracováva nie na základe súhlasu dotknutej osoby za predpokladu, že údaje sa spracúvajú automatizovaným spôsobom.
i.) Právo namietať a automatizované individuálne rozhodovanie
Dotknutá osoba môže kedykoľvek namietať proti spracúvaniu jej osobných údajov, ak je právny základ spracúvania potrebný výlučne k uplatneniu oprávnených záujmov poisťovne alebo tretej strany, s výnimkou, ak záujmy Poisťovňa preukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, predovšetkým ak je dotknutá osoba dieťa.
Osobné údaje dotknutej osoby by mali byť označené, ak sa majú používať na účely priameho marketingu alebo na účely ich postúpenia skupine firiem alebo partnerskej spoločnosti.
Súhlas k poskytnutiu údajov musí od dotknutej osoby vyžiadať každý zmluvný partner a uviesť to v systéme slúžiacom na evidenciu osobných údajov. Za označenie je zodpovedná osoba zaznamenávajúca údaje.
V prípade spracúvania osobných údajov na účely priameho marketingu by mala byť dotknutá osoba pri prvom kontakte výslovne upozornená a s príslušné informácie by mali byť jednoznačne uvedené, oddelene od akýchkoľvek iných informácií.
Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať. Dotknutá osoba môže proti takémuto spracúvaniu namietať bez uvedenia dôvodu. Namietanie proti spracúvaniu musí byť v preukázateľnej forme. Dotknutá osoba môže namietať telefonicky so záznamom hovoru alebo osobne, poštou, faxom alebo cez klientsky portál.
Poisťovňa použije automatizované rozhodovanie v individuálnych prípadoch vrátane profilovania, ak s tým dotknutá osoba výslovne súhlasí. Súhlas je potrebné získať od dotknutej osoby pred uplatnením opatrenia a označiť ho v systéme. V takomto prípade má dotknutá osoba právo požiadať Poisťovňu o ľudský zásah, vyjadriť svoj názor a podať proti rozhodnutiu námietku. Automatizované rozhodovanie vrátane profilovania Poisťovňa nesmie použiť v prípade špecifických kategórií osobných údajov.
7.) Spravovanie a spracúvanie údajov Poisťovňou
Poisťovňa na základe údajov analýzy DPIA, priebežného hodnotenia rizík a ustanovení týchto zásad vykonať príslušné technické a regulačné požiadavky s cieľom zabezpečiť a preukázať, že osobné údaje sú spracovávané v súlade s týmto nariadením. Tieto opatrenia budú revidované a v prípade potreby aktualizované správcom údajov.
Poisťovňa vykoná príslušné technické a organizačné opatrenia, aby zabezpečila, že v rámci spracúvania osobných údajov sa riadne implementuje integrovaná a predvolená ochrana údajov v súlade s nariadením.
8.) Spoloční prevádzkovatelia
Poisťovňa môže vykonávať spoločnú správu údajov definovaním účelov a nástrojov na správu údajov s iným prevádzkovateľom. Takéto spracúvanie údajov musí byť s druhým prevádzkovateľom potvrdené písomne a musí byť uvedená kontaktná osoba, na ktorú sa dotknuté osoby môžu obrátiť.
9.) Spracúvanie údajov
Poisťovňa môže spracovaním osobných údajov poveriť sprostredkovateľa za týchto podmienok:
- sprostredkovateľ poskytne primerané záruky o súlade spracúvania údajov s požiadavkami tohto nariadenia a prijatia vhodných technických a organizačných opatrení na zabezpečenie práv dotknutých osôb;
- Poisťovňa bez predchádzajúceho ad hoc alebo všeobecného splnomocnenia nemôže využiť služby iného sprostredkovateľa. V prípade všeobecného písomného splnomocnenia sprostredkovateľ informuje Poisťovňu o akýchkoľvek plánovaných zmenách ovplyvňujúcich využitie alebo zmenu dodatočných sprostredkovateľov, čím poskytne prevádzkovateľovi príležitosť vzniesť námietky voči takýmto zmenám;
- sprostredkovateľ sa v písomne zmluvezaväzuje splniť podmienky stanovené v článku 28 ods. 3 až 5 Nariadenia,
- ako aj okamžité hlásiť porušenie ochrany osobných údajov Poisťovni.
Ak Poisťovňa poverí spracovaním osobných údajov, ktorá predstavujú poistné tajomstvo, inú osobu, v zmluve o spravovaní alebo spracúvaní údajov je povinná uviesť aj ustanovenia o outsourcingu.
Činnosti spracúvania údajov sa môžu využiť iba vtedy, ak sa sprostredkovateľ zaviaže splniť vyššie uvedené podmienky a Poisťovňa je presvedčená, že sprostredkovateľ je schopný dodržať zmluvné záručné pravidlá a práva dotknutých osôb nie sú porušené.
10.) Evidencia spracúvania údajov
Organizačné jednotky Poisťovne vedú záznam o osobných údajoch zaznamenávaných a spravovaných v zmysle článku 30 nariadenia. Evidencia – inventár musí byť vyhotovený s podrobnosťami o všetkých operáciách spracúvania osobných údajov a údajov, ktoré obsahujú dôležitejšie údaje sprostredkovateľov a o ich úkonoch zameraných na spracúvanie údajov. Zoznam osôb poverených spracúvaním osobných údajov, aktualizovaný zoznam spracúvaných osobných údajov a vykonané operácie zverejní poisťovňa na svojej internetovej stránke.
Evidenciu sú povinní viesť administrátori. Úlohy administrátorov sú opísané v popise ich práce a týchto zásadách. Administrátor je pri zániku pracovnoprávneho vzťahu alebo zmene funkcie povinný odovzdať evidenciu osobných údajov osobe, ktorá nastupuje na jeho miesto. Odovzdanie musí byť zaznamenané na tlačive o výstupe alebo zmene funkcie. V prípade neodovzdania evidencie nemožno zákonným spôsobom ukončiť pracovnoprávny vzťah administrátora.
Administrátor zabezpečí, aby interné ustanovenia (pracovné pokyny) organizačných jednotiek spracúvajúcich osobné údaje obsahovali časť o termínoch vymazania a zodpovednej osobe, ďalej aby prijali organizačné opatrenia určujúce konkrétny spôsob ochrany osobných údajov a zabezpečenia práv dotknutých osôb.
Technická bezpečnosť spracovávania údajov, údaje uložené v centrálnom denníku vrátane odvodených technických osobných údajov z informačných systémov a ich čas uchovávania sú obsiahnuté v bezpečnostných zásadách Poisťovne.
11.) Porušenie ochrany osobných údajov
Osoba, ktorá zistí porušenie osobných údajov, vrátane sprostredkovateľa, je povinná bez zbytočného odkladu oznámiť porušenie administrátorovi zodpovednému za spracúvanie osobných údajov. Administrátor vyhotoví o porušení záznam a odovzdá ho zodpovednej osobe. Záznam musí obsahovať podrobné údaje podľa článku 33 ods. 3 Nariadenia.
Zodpovedná osoba vypracuje na základe tohto záznamu hodnotenie rizika. Ak je pravdepodobné, že porušenie osobných údajov povedie k riziku pre práva a slobody fyzických osôb, zodpovedná osoba najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu a zaznamenať opatrenia prijaté s cieľom odstrániť takéto porušenie.
Ak porušenie neoznámi do 72 hodín, k oznámeniu je potrebné pripojiť aj dôvody neskorého oznámenia.
Zodpovedná osoba vedie o všetkých porušeniach osobných údajov evidenciu.
12.) Informovanie dotknutej osoby o porušení osobných údajov
Prevádzkovateľ musí bezodkladne oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak toto porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby.
Oznámenie dotknutej osobe uvedené sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:
a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;
b) prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb pravdepodobne už nebude mať dôsledky;
c) by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.
13.) Zodpovedná osoba
Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť stanovené úlohy.
Zodpovedná osoba vykonáva úlohy stanovené v článku 39 nariadenie GDPR, predovšetkým poskytuje informácie a poradenstvo, kontroluje uplatňovanie ustanovení súvisiacich s ochranou osobných údajov, monitoruje posúdenie vplyvu na ochranu osobných údajov, spolupracuje s úradom pre ochranu údajov a plní úlohy kontaktného miesta vo veciach súvisiacich s ochranou osobných údajov.
Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.
Poisťovňa zverejní meno a kontaktné údaje zodpovednej osoby v týchto zásadách a na svojej webovej stránke a oznámi ich aj dozornému orgánu.
Pre zodpovednú osobu je potrebné zabezpečiť informácie a oprávnenia potrebné k výkonu jeho úloh.
Zodpovedná osoba nemôže v súvislosti s plnením svojich úloh prijímať pokyny. Poisťovňa nemôže zodpovednú osobu prepustiť v súvislosti s plnením jeho úloh a nemôže ho sankcionovať, za svoju činnosť zodpovedá priamo vrchnému vedeniu Poisťovne.
Dotknuté osoby sa vo všetkých otázkach týkajúcich sa spracúvania och osobných údajov a uplatňovania svojich práv môžu obrátiť na zodpovednú osobu.
Zodpovedná osoba je v súvislosti s plnením svojich úloh viazaná mlčanlivosťou alebo dôverným spracúvaním osobných údajov.
Poisťovňa vo svojich zásadách organizácie a fungovania zabezpečí práva a zlučiteľnosť zodpovednej osoby s týmito zásadami.
14.) Prenos osobných údajov
Osobné údaje sa do tretích krajín alebo medzinárodným organizáciám môžu prenášať na základe rozhodnutia o primeranosti alebo príslušných záruk a zabezpečenia právnych prostriedkov nápravy alebo v špeciálnych prípadoch podľa Nariadenia.
Pred vypracovaním pravidiel prenosu údajov je potrebné vždy vyžiadať názor zodpovednej osoby.
15.) Oprávnenie na nápravu
Každá dotknutá osoba má právo podať sťažnosť u dozorného orgánu, predovšetkým v členskom štáte podľa miesta pobytu, zamestnania alebo miesta údajného porušenia práva, ak podľa posúdenia dotknutej osoby spracúvanie jej osobných údajov porušuje Nariadenie.