Protecția datelor

 

 1.1 Obiectiv
Scopul acestei proceduri este de a detalia condiţiile în care GRAWE România Asigurare S.A. (denumită în continuare "Grawe"), precum şi personalul său şi partenerii săi contractuali care în orice mod prelucrează date cu caracter personal îşi desfăşoară activitatea astfel încât Grawe să-şi îndeplinească obligaţiile de a garanta şi proteja drepturile şi libertăţile fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal efectuate în cadrul activităţilor desfăşurate de Grawe.

1.2 Cadrul legal
Toate actele normative adoptate la nivel naţional şi regional (la nivel de Uniune Europeană), precum şi cele emise de către orice organisme guvernamentale cu privire la protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, incluzând:
- Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările și completările ulterioare
- Ordinul Avocatului Poporului nr. 52/2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal
- Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date
- Deciziile şi celelalte acte ale Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
Se pune accent şi pe procesul legislativ continuu existent la nivel european cu privire la domeniul protecţiei datelor cu caracter personal. Astfel, articolul 8 din Carta drepturilor fundamentele ale Uniunii Europene garantează oricărei persoane din Uniunea Europeană (UE) dreptul la protecţia propriilor date cu caracter personal. Articolul prevede tratarea acestor date în mod echitabil, în scopuri bine precizate. Asigură oricărei persoane dreptul de acces la propriile date cu caracter personal, precum şi la dreptul de a obţine rectificarea acestora. Articolul 8 prevede de asemenea, faptul că respectarea acestor norme se supune controlului unei autorităţi independente. Articolul 47 garantează dreptul la o cale de atac eficientă, inclusiv la o audiere echitabilă, publică, într-un interval de timp rezonabil.

1.3 Domeniul de aplicare
Prezenta procedură se aplică prelucrărilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal efectuate în cadrul activităţilor desfăşurate de GRAWE, care fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse într-un asemenea sistem.
În afara prevederilor stipulate în prezenta procedură, care acoperă exclusiv prelucrările de date cu caracter personal, trebuie respectate, de asemenea, orice cerinţe legislative de reglementare.

1.4 Definiţii
- "date cu caracter personal" - orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale
- "operator" – GRAWE, ca persoană juridică de drept privat, înregistrată în evidențele A.N.P.D.C.P. sub nr. 4627, fiind încadrată în definiția generală pe care Legea nr. 677/2001 o conferă și care are următorul cuprins: ,,orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ''
- "prelucrarea datelor cu caracter personal" - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea
- "stocarea" - păstrarea pe orice fel de suport a datelor cu caracter personal culese
- "sistem de evidenţă a datelor cu caracter personal" - orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice
"cerinţe minime de securitate" - un complex de măsuri tehnice, informatice, organizatorice, logistice, proceduri şi politici de securitate prin care se asigură nivelul minim de securitate prevăzut în art. 20 din Legea nr. 677/2001, în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal aprobate prin Ordinul 52 din 18 aprilie 2002 al Avocatului Poporului.

1.5 Reguli generale privind prelucrarea datelor cu caracter personal
Datele cu caracter personal destinate a face obiectul prelucrării trebuie să fie:
a) prelucrate cu bună-credinţă şi în conformitate cu dispoziţiile legale în vigoare
b) colectate în scopurile determinate, explicite şi legitime
c) adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate
d) exacte şi, dacă este cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi pentru care vor fi ulterior prelucrate, să fie şterse sau rectificate
e) stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate; stocarea datelor pe o durată mai mare decât cea menţionată, în scopuri statistice, de cercetare istorică sau ştiinţifică, se va face cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute în normele care reglementează aceste domenii, şi numai pentru perioada necesară realizării acestor scopuri.
Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:
a) persoana vizată şi-a dat în mod expres consimţământul
sau
b) prelucrarea este prevăzută în mod expres de o dispoziţie legală.
La încheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat în mod expres şi neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare ulterioară, datele cu caracter personal vor fi:
a) distruse
b) transferate unui alt operator, cu condiţia ca operatorul iniţial să garanteze faptul că prelucrările ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniţială
c) transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică.

1.6 Drepturile persoanelor vizate în contextul prelucrării datelor cu caracter personal şi obligaţiile utilizatorilor de date cu caracter personal
Drepturile persoanelor vizate în contextul prelucrării datelor cu caracter personal sunt prevăzute în Legea 677/2001 iar unele dintre ele sunt garantate şi de Carta drepturilor fundamentale ale Uniunii Europene. Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Conform legislaţiei în vigoare, cetăţenii vizaţi potrivit Legii nr. 677/2001, au următoarele drepturi:
- Dreptul de a fi informat
- Dreptul de acces la date
- Dreptul de intervenţie asupra datelor
- Dreptul de opoziţie
- Dreptul de a nu fi supus unei decizii individuale
- Dreptul de a se adresa justiţiei.
Persoanele vizate în contextul prelucrării datelor cu caracter personal au dreptul să refuze prelucrarea datelor cu caracter personal şi să solicitate ştergerea acestora. Pentru exercitarea acestor drepturi, este necesară o cerere scrisă, datată şi semnată, transmisă către sediul central Grawe România Asigurare S.A., cu sediul social situat în Bucureşti, Str. Vulturilor, nr. 98A, sector 3, în atenţia Direcţiei Juridice, Control Intern & Conformitate, sau pe email la Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea. , urmând a primi un răspuns scris în termen de 15 zile de la data primirii cererii. În cazul eventualelor nemulţumiri, persoanele vizate se pot adresa justiţiei.

În calitate de operator de date cu caracter personal, GRAWE ia toate măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat. Sediul GRAWE, precum şi punctele de lucru fără personalitate juridică ale acesteia, sunt dotate cu mijloace de protecție, iar datele cu caracter personal sunt stocate electronic în fişiere securizate, protejate de parolă. Informaţiile pe suport de hârtie sunt păstrate în dosare speciale, sub cheie, la care au acces doar persoanele nominalizate de Operator, cărora le incumbă obligaţia de confidenţialitate.