Общ регламент за защита на данните

ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Настоящата политика за защита на личните данни предоставя информация относно обработването на Вашите лични данни от РЕНОМИА ООД, както и условията и реда, по който физическите лица, чиито лични данни обработваме, могат да упражняват правата си съгласно общозадължителните правни норми за защита на личните данни.

1. Данни за Дружеството

Дружество РЕНОМИА ООД, със седалище и адрес на управление: 1797 София, ж.к. Младост 1, бл. 101, вх. И, ет. 8, ап.151, телефон за връзка: +359 2 870 46 83, интернет станица: www.renomia.bg, вписано в Търговския регистър при Агенция по вписванията на Република България с ЕИК:130001905 („Дружеството“), във връзка с осъществяване на дейността си като застрахователен брокер събира и обработва лични данни на физически лица („Субекти на данни“). Тези лица могат да бъдат служители на Дружеството, клиенти, доставчици на услуги, бизнес партньори и други лица, с които Дружеството е в определена връзка или с които извършва комуникация.

Настоящата Политика за защита на личните данни („Политика“) гарантира, че обработването на личните данни е в съответствие с Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО („Регламента") и че правата на субектите на данни са адекватно защитени.

Политика се отнася до всички лични данни, обработвани от Дружеството, независимо от целта или правното основание за тяхната обработка.

2. Какви принципи следваме при обработването на лични данни?

Дружеството обработва точни и актуални лични данни в съответствие с принципите, посочени в Регламента, по точен и прозрачен начин само за конкретни, изрично указани и легитимни цели, в минимално необходимия обхват, съхранява данните във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни, гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилага подходящи технически и организационни мерки. Всички дейности, свързани с обработката на личните данни и тяхната защита, са надлежно документирани от Дружеството. Дружеството поддържа регистър на дейностите по обработка на личните данни.

3. За какви цели обработваме личните данни?

Предоставените от Вас лични данни ще бъдат използвани основно за целите на извършваната от Дружеството дейност по застрахователно и презастрахователно посредничество.

Преди започване на всяка обработка на лични данни Дружеството определя целта, за която ще се обработват личните данни.

Предоставените от Вас лични данни ще бъдат обработвани за следните цели:

  • оценка на застрахователния риск;
  • договаряне и офериране на условия по застрахователни договори;
  • сключване, изпълнение и администриране на застрахователни договор;
  • упражняване на Вашите права по застрахователните договори при завеждане и уреждане на претенции по застрахователни договор;
  • предотвратяване на застрахователни измами;
  • изпълнение на задължения по Закона за мерките срещу изпирането на пари;
  • трудовоправни взаимоотношения на Дружеството.

През целия период на обработка Вашите лични данни се обработват само в обема и за целта, за която са определени. След като целта на обработката бъде изпълнена, Дружеството ще изтрие личните данни в съответствие с принципа за минимизиране на данните и сроковте за съхранение на данните, освен ако не е необходимо да се съхраняват за друга цел.

4. Какви лични данни обработваме?

Дружеството обработва Вашите лични данни в обема, необходим за постигане на целта. Личните данни, които обичайно обработваме във връзка с осъществяваната от Дружеството дейност по застрахователно и презастрахователно посредничество са следните:

  • име: име, презиме и фамилия;
  • ЕГН, ЛНЧ (личен номер на чужденец);
  • контакти: електронна поща, адрес и телефон;
  • адрес: постоянен или настоящ;
  • банкова информация: обслужваща банка, номер на банкова сметка и SWIFT код;
  • информация относно предмета на застрахователния договор – професия, длъжност, месторабота, трудов стаж, професионален опит, свидетелство за управление на МПС, гражданство, финансова информация, пол, възраст, семейно състояние и други;
  • здравни данни: информация относно здравното състояние на субекта на данни (диагноза, епикризи, медицински изследвания, рецепти, други здравни документи), предоставена ни за целите на изготвяне на предложение за сключване на определени видове застраховки и за предявяване и уреждане на застрахователни претенции по тях.

5. На какво основание обработваме личните данни?

Дружеството обработва лични данни на едно от основанията, изброени в чл. 6 от Регламента. Най-често прилаганите правни основания за обработка на лични данни от Дружеството са:

  • обработването е необходимо за изпълнението на договор, по който субектът на данните е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договора;
  • обработването е необходимо за спазването на законово задължение, което се прилага спрямо Дружеството;
  • обработването е необходимо за легитимните интереси на Дружеството или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете;
  • субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели.

6. Съгласие за обработката на лични данни

Съгласието на субекта на данните, при обработването на неговите лични данни, може да бъде предоставено за една или повече конкретни цели, като тази възможност се използва от Дружеството само в случаите, когато не е разрешено да се обработват лични данни на друго законово основание.

Субектът на данните има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

7. Как обработваме личните данни?

Дружеството обработва личните данни най-често в електронна форма по неавтоматизиран начин, както и в печатна форма на хартиен носител по неавтоматизиран начин.

8. Срок на съхраняване на личните данни

Дружеството обработва и съхранява документи, съдържащи лични данни на субекта на данните, за целите на обичайната си дейност, посочени в т. 3, в следните срокове:

  • застрахователни договори и документи, които са неразделна част от тях (предложения и въпросници за сключване на застрахователен договор, полици, анекси и др.) – за максимален срок от 10 години, считано от датата на изтичане на срока на съответния застрахователен договор. Ако по конкретен застрахователен договор има регистрирана претенция за изплащане на застрахователно обезщетение, този срок тече от датата, на която изтича срокът на погасителната давност за последната предявена претенция по застрахователния договор;
  • документи, свързани с предявяване на застрахователна претенция – за максимален срок от 10 години, считано от датата на изтичане на срока на погасителната давност за последната предявена претенция по застрахователния договор;
  • документи, свързани с трудовоправни отношения, граждански договор и други договорни отношения се съхраняват съгласно законоустановените срокове.

Над определеното по-горе време, Дружеството може да обработва личните данни на субектите на лични данни само за период от време, определен в специален закон или за времето необходимо на Дружеството за упражняване на правата си срещу субекта на данните. След като целта на обработката на лични данни е изпълнена и няма друга цел, която да бъде основание за обработване данните, Дружеството изтрива личните данни.

В случай, че личните данни са обработвани само въз основа на съгласие на субекта на данните, Дружеството изтрива личните данни, когато субектът на данните е оттеглил своето съгласие за обработката им.

Когато личните данни се обработват на основание легитимен интерес и субектът на данните възразява срещу тяхната обработка и няма прекомерни законни основания за обработването им, Дружеството ще заличи личните данни, след като бъде информирано от субекта на данните.

9. При какви условия предаваме лични данни?

Личните данни могат да бъдат обработвани от Дружеството в качеството му на Администратор (директно от неговите служители) или чрез трети лица (наричани по-долу "Обработващ"). Дружеството е сключило споразумения за обработка на лични данни с всеки Обработващ, а също така сключва споразумения за обработка на лични данни когато действа като Обработващ.

Обработващите предоставят на Дружеството достатъчно гаранции за въведени подходящи технически и организационни мерки, с което гарантират, че обработката на лични данни отговаря на изискванията на Регламента и гарантира защитата на правата на субектите на данни.

При осъществяване на дейността си Дружеството може да сподели личните данни на субекта на данни със:

  • Застрахователни и презастрахователни дружества за целите на изготвяне на предложение за застраховка и/или сключване на застрахователен договор;
  • доставчици на услуги - адвокати, оценители, консултанти и други външни експерти във връзка с извършване на оценка на застрахователния риск и уреждане на застрахователни претенции, с външни доставчици на счетоводни, ИТ, куриерски и други услуги, свързани с обичайната дейност на Дружеството. Подобно разкриване на данни се осъществява само при наличие на основателна причина за това и въз основа на писмена договорка получателите да осигурят адекватно ниво на защита на личните данни;
  • съдилища, прокуратура, Комисия за финансов надзор, Комисия за защита на потребителите, Комисия за защита на личните данни, органи с правомощия по защита на националната сигурност и обществен ред, които имат право по силата на закон да изискват определена информация, включително и лични данни;
  • други дружества в групата на RENOMIA. Разкриването на лични данни в този случай се извършва при спазване на приложимото българско и европейско законодателство.

Дружеството не прехвърля лични данни на трети страни срещу заплащане. В определени случаи Дружеството може да прехвърля лични данни в трети страни извън Европейския съюз и Европейското икономическо пространство.

10. Как осигуряваме сигурността на личните данни?

Вземайки предвид състоянието на техниката, разходите за изпълнение, естеството, обхвата, контекста и целта на обработката, както и вероятните и различни рискове за правата и свободите на физическите лица, Дружеството е въвело подходящи технически и организационни мерки, за да гарантира степента на сигурност на личните данни, съответстваща на риска, и по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

11. Какви са Вашите права по отношение на личните данни?

  • Субектът на лични данни има следните права относно своите лични данни:

  • право на достъп;
  • право на коригиране;
  • право на изтриване („правото да бъдеш забравен“);
  • право на ограничаване на обработването;
  • право на възражение срещу обработването на лични данни;
  • право на възражение срещу обработването на лични данни за целите на директния маркетинг;
  • право на преносимост;
  • право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;

  • право на жалба до надзорен орган; право да оттегли съгласието си за обработване на личните данни по всяко време, когато обработването се основава на дадено от субекта на данни съгласие.

Право на достъп

Въз основа на искане от субекта на данните, Дружеството предоставя на субекта на личните данни следната информация:

  1. потвърждение дали Дружеството обработва личните данни на субекта на данни или не;
  2. копие от личните данни на субекта на данните, обработвани от Дружеството;
  3. обяснения относно обработваните лични данни.

Обяснението по т. 3 включва следното:

  • целите на обработването;
  • обработваните категории лични данни
  • получатели или категории получатели, пред които са или ще бъдат разкрити личните данни, по специално получателите в трети държави или международни организации;
  • когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а когато това е невъзможно, критериите, използвани за определянето на този срок;
  • когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;
  • съществуването на право да се изиска коригиране или изтриване на лични данни или ограничаване обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;
  • правото на жалба до надзорен орган;
  • съществуването на автоматизирано вземане на решения, включително профилиране, и информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните;
  • когато личните данни се предават на трета държава или на международна организация, информация относно подходящите гаранции във връзка с предаването.

Дружеството предоставя безплатно на субекта на данните копие от личните данни, които са в процес на обработване. За допълнителни копия поискани от субекта на личните данни, Дружеството може да наложи разумна такса въз основа на административните разходи. Правото на получаване на копие от личните данни не следва да влияе неблагоприятно върху правата и свободите на други лица.

При отказ за предоставяне на достъп до лични данни, Дружеството мотивира отказа си и информира субекта на данни за правото му да подаде жалба до КЗЛД.

Право на коригиране

Субектът на данните има право да поиска коригиране на неточни лични данни, свързани с него и/или допълване на непълни лични данни, обработвани от Дружеството.

Дружеството уведомява всички получатели, на които са предоставени лични данни, за всяка корекция на лични данни, с изключение на случаите когато това е невъзможно или е свързано с прекомерни усилия. При поискване, Дружеството информира субекта на лични данни за така информираните получатели.

Право на изтриване („правото да бъдеш забравен“)

По искане на субекта на данните, Дружеството е задължено да изтрие личните данни, ако е налице някое от следните основания:

  • личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
  • субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
  • субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;
  • личните данни са били обработвани незаконосъобразно;
  • личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Дружеството;
  • личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца по смисъла на член 8, параграф 1 от Регламент (ЕС) 2016/679.

Когато Дружеството е направило личните данни обществено достояние и е задължено да изтрие личните данни, то като отчита наличната технология и разходите по изпълнение, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

Дружеството не е задължено да изтрие личните данни, ако обработването на лични данни е необходимо:

  • за упражняване на правото на свобода на изразяването и правото на информация;
  • за спазването на правно задължение, което изисква обработване на лични данни, предвидено в правото на ЕС или правото на държава-членка, което се прилага спрямо Дружеството
  • по причини от обществен интерес в областта на общественото здраве;
  • за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност правото на изтриване на личните данни да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;
  • за установяването, упражняването или защита на правни интереси.

Ако въз основа на едно от посочените по-горе изключения Дружеството откаже да изтрие личните данни, то следва да информира субекта и да обоснове прилагането на изключението и да укаже на съответния субект на данни правото да подадете жалба до КЗДЛ.

Право на ограничаване на обработването

Субектът на данните има право да изиска ограничаване на обработването на своите лични данни, в следните случаи:

  • точността на личните данни се оспорва от субекта на данните, за срок, който позволява на Дружеството да провери точността на личните данни;
  • обработването на личните данни е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • Дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  • субектът на данните е възразил срещу обработването на личните данни, като в този случай обработването ще бъде ограничено до установяване дали законните основания на Дружеството имат преимущество пред интересите на субекта на данните.

Дружеството може да обработва лични данни, чието обработване е ограничено, само за следните цели:

  • за съхранение на данните;
  • със съгласието на субекта на данните;
  • за установяването, упражняването или защитата на правни претенции;
  • за защита правата на друго физическо лице;
  • поради важни основания от обществен интерес за ЕС или държава-членка.

В горните случаи Дружеството информира субекта на данни, който е изискал ограничаване на обработването на личните данни, преди отмяната на ограничаването на обработването.

Право на възражение срещу обработването на лични данни

Субектът на данните има право да възрази срещу обработването на неговите лични данни от Дружеството, ако данните се обработват на едно от следните основания:

  • обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на Дружеството;
  • обработването е необходимо за целите на легитимни интереси на Дружеството или на трета страна;
  • обработването на данни включва профилиране.

В случай на възражение срещу обработването на лични данни, Дружеството прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за тяхното обработване, които имат преимущество по отношение на интересите или основните права и свободи на субекта на данните, или за установяването, упражняването или защитата на правни претенции.

В случай, че Дружеството стигне до заключение, че има убедително законово основание да обработва личните данни, то ще информира субекта на данни, като му съобщи за възможността за допълнителна защита на данните и ще продължи обработката на личните данни. Ако напротив, Дружеството стигне до заключението, че няма убедително законово основание да обработва личните данни, то ще информира субекта на данни и ще прекрати обработката и ще изтрие личните данни.

Право на възражение срещу обработването на лични данни за целите на директния маркетинг

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработването на личните данни за тази цел, включително по отношение на профилиране, доколкото то е свързано с директния маркетинг. При постъпване на такова възражение Дружеството ще прекрати обработването на личните данни за тази цел.

Право на преносимост на личните данни

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Дружеството, в структуриран, широко използван и пригоден за машинно четене формат. При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на личните данни, когато това е технически осъществимо.

Правото на преносимост може да се упражни от субекта на данните в следните случаи:

  • обработването е основано на съгласието на субекта на личните данни;
  • обработването е основано на договорно задължение за конкретна цел(и);
  • обработването се извършва по автоматизиран начин.

Правото на преносимост на личните данни не трябва да влияе неблагоприятно върху правата и свободите на други лица.

Право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране

В случаите, когато Администраторът взима автоматизирани индивидуални решение, включващи или изключващи профилиране, които пораждат правни последствия за физическите лица или ги засягат в значителна степен, тези лица могат да поискат преразглеждане на решението с човешка намеса.

Дружеството не взима автоматизирани индивидуални решения, включващи или изключващи профилиране.

12. Как да упражните Вашите права?

Субектите на лични данни могат да упражнят правата си съгласно тази Политика като подадат искане за упражняване на съответното право.

Искане за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:

  • на място в офиса на Дружеството: 1574 София, бул. „Шипченски проход“ № 65;
  • по електронен път на имейл адрес: info@renomia.bg;
  • по поща на административен адрес на Дружеството: 1574 София, бул. „Шипченски проход“ № 65.

Искането за упражняване на права на лични данни следва да съдържа следната информация:

  • идентификация на лицето – име, презиме, фамилия и ЕГН на лицето;
  • контакти за обратна връзка – адрес, телефон, електронна поща;
  • искане, описващо правото, което се упражнява от субекта на данните.

Дружеството предоставя информация относно действията, предприети във връзка с искането за упражняване на правата на субектите, в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за удължаването на срока.

Ако субектът на данните отправя искането в електронна форма, информацията ще бъде предоставена в стандартно използваната електронна форма, освен ако субектът на данните в искането си е посочил друга желана форма за предоставяне на информацията.

Дружеството не е задължено да отговори на искане в случай, че не е в състояние да идентифицира субекта на данните. Дружеството може да поиска предоставяне на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.

Когато искането е подадено с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.