ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

НА „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД

(последна актуализация от 10.06.2020 г.)

Дефиниции

В настоящата Политика се използват следните дефиниции:

1. „Приложимо право” означава приложимото законодателство на Европейския съюз и Република България по отношение на защитата на личните данни;

2. „ОРЗД” означава Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95 /46 / ЕО (“Общ регламент за защита на данните”);

3. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

4. „Обработване“ всяка операция или съвкупност от операции, извършвани с лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване чрез предаване, разпространение или друг начин, чрез който данните стават достъпни;

5. Профилиране“ е всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надежност, поведение, местоположение или движение;

6. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии;

7. Администратор“ означава физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на личните данни;

8. Обработващ лични данни“ означава физическо или юридическо лице, публичен орган или друга структура, която обработва лични данни от името на администратора;

9. „Съгласие на субекта на данни“ означава всяко свободно изразено, конкретно, информирано   и   недвусмислено     указание   за   волята   на  субекта  на   данни,

посредством изявление или ясно потвърждаващо действие, което изразява съгласието му, свързаните с него лични данни да бъдат обработени;

10. „Разкриващ лични данни” означава страната по този Договор, която предава лични данни на Получателя на лични данни;

11. „Получател на лични данни” означава страната, която получава личните данни от Разкриващия личните данни

12. Термините „Субект на лични данни”, „Нарушение на сигурността на личните данни”, „Обработване”, „Специални категории лични данни” и „Надзорен орган” имат същото значение като в ОРЗД и приложимото национално законодателство.

Раздел I

Общи положения

Чл. 1. Настоящата Политика за защита на личните данни определя правилата по отношение защита на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент.

Чл. 2. Настоящата Политика определя целите и средствата за защита на личните данни. Целта на Политиката по защита на физическите лица във връзка с обработване на личните им данни се осъществява чрез:

1. Установяване на ясни правила и координираност в дейността на служителите на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД при събиране, записване, организиране, структуриране, съхраняване, промяна, употреба, разкриване чрез предаване, разгласяване на лични данни, ограничаване и изтриване на данни от водените в дружеството регистри, за да се гарантира неприкосновеността на правата на субектите на данни   при обработване на свързаните с тях лични данни;

2. Установяване на ясни правила при упражняване правата на субекта на данни по отношение на неговите данни;

3. Определяне на длъжностното лице по защита на данните и регламентиране на неговите задължения,

4. Регламентиране достъпа на служителите до данните в съотвтения Регистър на дейностите по обработване;

5. Определяне Регистри на дейностите по обработване;

6. Регламентиране на принципи, които трябва да се спазват при управление на данните;

7. Определяне на необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);

8. Определяне нивата на въздействие върху обработваните лични данни и съответното ниво на защита.

Чл. 3. Настоящите правила регламентират:

1. Принципите на дейността на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, в качеството му на администратор на лични данни, в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент, на Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;

2. Механизмите, регламентиращи въвеждането и спазването на горните принципи;

3. Правата на субектите на данни. Процедури при осъществяване правата на субектите на лични данни;

4. Функциите на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД в качеството му на администратор;

5. Отношенията на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД с дружества, които по силата на договор се явяват също администратори или обработващи лични данни;

6. Процедурата по оценка на въздействието върху обработваните лични данни и определяне нивата на въздействие и защита на обработваните лични данни.

Раздел II

Принципи, свързани с обработването и защитата на личните данни

Чл. 4. (1) Основните принципи на дейността по обработване на лични данни в „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД са:

  1. Законосъобразно, добросъвестно и по прозрачен начин обработване на личните данни. За да бъде обработването законосъобразно и добросъвестно, личните   данни   следва   да   бъдат   обработвани   на   конкретни   законни основания, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент или на правен акт на Република България, уреждащ материята, както следва:
  2. На основание легитимен интерес на дружеството;
  3. На   основание   спазаването   на   законово   задължение, наложено   на дружеството, в качеството му на администратор на данни;
  4. На основание изпълнение на договор, по който субекта на данни е страна или  с оглед предприемане на стъпки по искане на субекта на данни преди
  5. встъпване в договорни отношения;
  6. На основание изрично съгласие на субекта на данни.

Изпълнението на принципа прозрачност изисква всяка информация и комуникация във връзка с обработването на личните данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.

2. Ограничение на целите. Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

3. Свеждане на данните до минимум. Събираните лични данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

4. Точност. Събраните и обработвани от дружеството лични данни следва да са точни и при необходимост да бъдат поддържани в актуален вид, като за целта дружеството предприема съответните мерки, за да се гарантира своевременното изтриване и коригиране на неточни лични данни, като се има предвид целите, за които те се обработват;

5. Ограничение на съхранението. Личните данни се съхраняват за период не по-дълъг от необходимото за целите, за които те се обработват. Данните могат да се съхраняват за дълги срокове единствено за статичтически цели на дружеството, при условие, че бъдат приложени съответните технически и организационни мерки, с цел да са гарантирани правата и свободите на субектите на данни.

6. Цялостност и поверителност. Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни. За целта се прилагат подходящи техничски и орагнизационни мерки в дружеството.

(2) „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД събира, обработва и съхранява личните данни на субектите на данни при:

1. гарантираност на неприкосновеността на личността и личния живот на субекта на данни при обработване на свързаните с тях лични данни;

2. законосъобразно и добросъвестно обработване на данните;

3. обработване на данни само от лица, чиито служебни задължения изискват обработване на конкретните данни на принципа “необходимост да се знае”;

Мерките за защита на данните са функция от вида регистър, на който се поддържат и нивото им на чувствителност.

(3) С цел гарантиране ограничението на съхранение на данните в дружеството се създават и прилагат Вътрешни правила за архивиране на документите.

Чл. 5 (1). „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД не обработва лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членства в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до   генетични   и биометрични данни, които се обработват за целите единствено на идентифицирането на физическо лице;

4. се отнасят до сексуалния живот или сексуалната ориентация на физическото лице или до човешкия геном.

(2) Посочените в предходната алинея лични данни дружеството може да обработва само на законо уредените основания.

Чл. 6. Лични данни, отнасящи се до здравословното състояние, се обработват само по отношение на служителите, с оглед изпълнения на задълженията на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД в областта на трудово-осигурителното законодателство, както и за клиенти, които ползват застрахователни продукти,  изискващи  предоставянето на  подобна  информация,  при спазване изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и/или на правен акт на Република България, уреждащ материята.

Чл. 7. (1). „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД може да обработва лични данни самостоятелно или чрез трети лица, в качеството им на обработващи лични данни и съвместни администартори, на основание на сключен с тях договор. Съответните договори трябва много ясно и точно да определят какви лични данни ще се   обработват,   как,  в   какъв   срок,  с  каква  цел.   При  обработване   на   съвместни

администратори трябва ясно да се определят съответните права и задължения на двете страни, както и техните отговорности.

(2) Обработването на личните данни на субектите на данни се осъществява при прилагане на професионална конфиденциалност. Това изискване е задължително във взаимоотношенията между служителите, между служители и клиенти, както и спрямо третите лица, обработващи лични данни и съвместни администратори.  В    същата степен се изисква конфиденциалност и по отношение финансовото   състояние на субектите на лични данни, както и извършваните от тях сделки;

(3) Независимо дали „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД обработва личните данни самостоятелно или чрез трети лица, в качеството им на обработващи лични данни и съвместни администартори, при обработването им винаги се прилагат принципите съгласно чл. 4 от настоящата Политика.

Раздел III

Права на субектите на данни

Чл. 8. (1). Правата на субектите на данни засягат всички лични данни на физическото лице, обработвани от „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, както и всички субекти на данни, чиито данни се обработват от дружеството.

(2) Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и дружеството спазва, са както следва:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване (право “да бъдеш забравен”);

4. Право на ограничаване на обработването;

5. Право на възражение;

6. Право да не бъдеш субект на автоматизирано вземане на решение;

7. Право на пренос на данни.

Чл. 9. (1). Правото на достъп на Субекта на данни представлява   правото да получи от „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, в качеството му на администратор, потвърждение дали се обработват лични данни, свързани с него и ако това е така да получи достъп до личните си данни и следната информация:

  • цели на обработването;
    • съответните категории лични данни;
    • категории получатели, пред които са или ще бъдат разкрити личните данни;
  • предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;
    • съществуването на правото да се изиска от дружеството коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;
    • правото на жалба до надзорен орган;
    • когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;
    • съществуването на автоматизирано вземане на решение, включително профилиране, както и съществена информация относно използваната логика, както и значението и предвидените   последствия от това обработване за субекта на данни;

Чл. 10 Субектът на данни има право на коригиране на личните данни – т.е. да поиска от „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД личните му данни да бъдат коригирани ако са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Дружеството данни, то е длъжно да уважи такова искане, като в тези случаи трябва да уведоми и останалите получатели, на които са разкрити тези данни, за да могат и те да отразят промяната.

Чл. 11. (1). Субектът на данни има право на изтриване (право “да бъдеш забравен”) на данните му ако:

  • данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел;
    • законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие, и липсва друго правно основание за обработване;
    • субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване;
    • личните данни са били обработвани незаконосъобразно;
    • личните данни трябва да бъдат изтрити с цел спазване на правно задължение, произтичащо от законодателство, което се прилага спрямо дружеството;
    • личните данни са събрани във връзка с предлагане на услуги на информационното общество на субект на данни – дете;

(2). Правото на изтриване на данните на субекта на данни не следва да се прилага от дружеството, доколкото обработването е необходимо:

  • за спазване от дружеството на правно задължение, предвидено в законодателството, което изисква обработване на данните;
  • за установяването, упражняването или защитата на правни претенции.

Чл. 12. (1). Субектът на данни има право да изиска от дружествотo да ограничи обработването на данните му в следните случаи:

  • точността на личните данни се оспорва от субекта на данни, за срока, който ни позволява да извършим проверка на точността на личните данни;
    • когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това да ограничим използването им;
    • когато дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или за защитата на правни претенции;
    • субектът на данни е възразил срещу обработването и е в очакване на проверка от страна на дружеството дали законните ни основания имат преимущество пред неговите интереси.

(2). Когато обработването на данни е ограничено съгласно условията на ал.  1, такива данни се обработват, с изключение на съхранението им, само със съгласието  на  субекта на данни или в случай на необходимост от установяването, упражняването или защитата на правни претенции или за защитата на правата на други физически лица или поради важни основания от обществен интерес.

(3). Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и дружеството съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните   данни   са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

Чл.13. (1). Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на дружеството. В този случай „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.

(2). Когато субектът на данни възрази срещу обработването на личните му данни за целите на директния маркетинг дружеството прекратява обработването им за тази цел.

Чл. 14. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. Това правило не се прилага ако решението е необходимо за сключване или изпълнение на договор между дружеството и субекта на данни.

Чл. 15. (1). Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

(2). Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД към друг администратор само ако това е технически осъществимо.

Чл. 16. За упражняване правата на субектите на данни по отношение на неговите данни, в дружеството се създават и прилагат Вътрешни правила за упражняване правата на субектите на данни.

Раздел IV

Оценка на въздействието на защита на данните

Чл. 17. (1). Във всеки един случай, когато има вероятност операциите по обработването на данни да доведат до висок риск за правата и свободите на физическите лица, дружеството извършва оценка на въздействието на предвидените операции.

  (2) Оценката на въздействие съдържа най-малко следното:

  • системен опис на предвидените операции по обработване и целите на обработването;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
    • оценка на рисковете за правата и свободите на субектите на данни;
  • мерките, предвидени за справяне с рискове, мерките за сигурност   и механизмите за осигуряване на защитата на личните данни;

Чл. 18. Принципите, при които се провежда процедурата по оценка на въздействието са целенасоченост, задълбоченост, всеобхватност и своевременност:

  • принципът за “    енасоченост“ се изразява в задължението на Дружеството да извърши процедурата по оценка по отношение на всеки воден регистър на лични данни;
    • принципът за “задълбоченост“ се изразява в задължението на Дружеството да отчете характера на обработваните лични данни, организирани в регистри;
    • принципът за “всеобхватност“ се изразява в задължението на Дружеството да извърши процедурата по обща оценка по отношение на всички водени от него регистри на лични данни;
  • принципът за “своевременност“ изисква от   Дружеството незабавно да извършва процедура по оценка при всяка промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

Чл.  19. (1).  Оценка на въздействието, определяне нивата на въздействие и нивата на защита на обработваните лични данни.

(2). Критериите, съобразно които се извършва оценката на въздействието, са “Поверителност“, “Цялостност“ и “Наличност“.

(3).  За целите на тези Вътрешни правила, се определят следните нива на въздействие:

  • Изключително високо ниво на въздействие;
  • Високо ниво на въздействие;
    • Средно ниво на въздействие;
    • Ниско ниво на въздействие.

(4). Определя се нивото на въздействие по всеки критерий във всеки отделен регистър. Най-високото ниво на въздействие определя нивото на въздействие на съответния регистър на лични данни.

(5).  За целите на тази Политика се определят следните нива на защита на обработваните лични данни, които в зависимост от определените нива на въздействие на съответните регистри на лични данни, „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, като администратор е задължен да прилага:

  • при ниско ниво на въздействие – ниско ниво на защита;
    • при средно ниво на въздействие – средно ниво на защита;
    • при високо ниво на въздействие – високо ниво на защита;
    • при изключително високо ниво на въздействие – изключително високо ниво на защита.

(6). Всяко ниво на защита на обработваните лични данни представлява съвкупността от технически и организационни мерки за физическа, персонална, документална,  информационна  и/или  друга  защита,  които  „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, като администратор следва да прилага с цел защита на личните данни и на субектите на лични данни от неправомерно обработване на данни, както и с цел управление на въздействието върху обработваните лични данни, върху физическо лице, или група физически лица.

(7). Оценка на въздействието се извършва регулярно на всеки 2 години и при всяка промяна на характера на обработваните лични данни.

(8). За целите на Оценката на въздействие се създава Процедура за извършване оценка на въздействието в „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, която съдържа структурирана методика за извършването й.

Раздел V

Регистри на дейностите по обработване

Чл. 20. (1). В настоящия раздел са изброени примерните изисквания при обработката на лични данни в зависимост от вида носител, на който се поддържат регистрите и нивото на чувствителност на данните.

Чл. 21. (1). „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, като администратор на лични данни води следните регистри:

  1. Регистър „Клиентски досиета”: в този регистър се събират и съхраняват личните данни на клиентите на Дружеството с оглед:
    1. Индивидуализиране на съответните контрагенти.
    1. Изпълнение на нормативните изисквания на Кодекса на Застраховането (съгласно чл. 301 ал./2/)– подписване на договор за възлагане и други относими нормативни актове.
    1. Използване на събраните данни за съответните лица за служебни цели само и единствено след получаването на надлежно съгласие от лицата за обработване на техните лични данни за следните цели:
  2. за всички дейности, свързани със съществуването, изменението и прекратяването на договорните правоотношения (договори за възлагане), вкл.:
    1. Разпространение на застрахователни продукти;
    1. Изготвяне на оферти въз основа на отправени запитвания;
  • Сключване на застрахователен договор и изпълнение на задълженията, заложени във възлагателните договори и др.
  • за установяване на връзка с лицата по телефон, адрес и/или електронна поща, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключените с Дружеството договори;
  • за изпращане на известия относно предстоящи падежи по застрахователни договори и падежи по изтичащи застрахователни договори;
  • за изпращане на поздравителни адреси относно национални и лични празници (рожден ден, имен ден и др.)

В регистъра се обработват лични данни на клиенти на дружеството, страни/или техни представители по възлагателни договори.

  • Регистър „Управление на човешните ресурси”, създаден с цел организиране дейността на дружеството във връзка с управление на персонала, а именно:
  • Индивидуализиране на трудовите и граждански правоотношения.
  • Изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството, Закона за държавния архив и др.
  • Използване на събраните данни за съответните лица за служебни цели.
  • За всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения – за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни).
  • За установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори.
  • За водене на счетоводна отчетност, относно възнагражденията на посочените по-горе лица по трудови и граждански договори.

В регистъра се обработват лични данни на лица-служители на дружеството, както и лични данни на кандидати за работа и стажанти;

  • Регистър „Други контрагенти“ се обработват лични данни на контрагенти или лица, свързани с дейността на дружеството, в това число договори с външни  доставчици.  В  регистъра  се  обработват   се  обработват  лични

данни на контрагенти и/или лица по договори с външни доставчици на услуги, доверени лекари, външни експерти, консултанти и други, които подпомагат извършване дейността на дружеството.

(2). Съгласно предвидения в закона ред и в зависимост от дейността на дружеството, могат да бъдат създадени допълнително и други регистри.

(3). Личните данни в горните регистри се събират, обработват и съхраняват от съответните специалисти, участващи в процеса по администриране и обслужване на съответната дейност на дружеството.

Чл. 22. В регистър „Клиентски досиета” се водят и съхраняват следните групи лични данни за клиенти на дружеството, техни представители/законни или по пълномощие/, действителни собственици, трети лица, които без упълномощаване извършват сделка от тяхно име за чужда сметка, ползващи се лица и други лица, свързани по някакъв начин със застрахователния договор:

  • данни относно физическата идентичност на лицата по представен от лицето документ за самоличност: три имена, ЕГН или ЛНЧ, ЕИК на едноличен търговец, рожденна дата, номер на лична карта или друг документ за самоличност, по който физическо лице може да бъде идентифицирано, дата и година на издаване на документа, издател, адрес на физическото лице, телефони за връзка, имейли и др. Предоставят се на основание изпълнение на нормативните изисквания на Кодекса на Застраховането (съгласно чл. 301 ал./2/) – подписване на договор за възлагане и изпълнението му;
    • данни относно икономическата идентичност на лицето ­–     финансово състояние на лицето, когато това се налага с оглед вида на застраховката или за определяне рисковия профил на клиента от гледна точка на мерките срещу изпиране на пари и финансиране на тероризма;
    • Чувствителни лични данни – в зависимост от избрания от потребителя на застрахователни услуги (Възложител) застрахователен продукт и застрахователна компания, въз основа на възприети от Застрахователя правила е възможно при сключването на здравна застраховка да се породи необходимост от събиране на данни, касаещи здравен статус на субекта на данни.
    • Други данни – писма, информация за заявки за отстраняване на проблеми, жалби, молби, оплаквания; информация за номер на банкова  сметка  или  друга  банкова  и платежна  информация във

връзка с плащанията направени към „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД

Чл. 23. (1). В регистър „Управление на човешките ресурси” се водят и съхраняват следните групи лични данни за служителите на дружеството по трудов или граждански договор:

  • данни относно физическата идентичност на лицата – по представен от лицето документ за самоличност – имена, ЕГН, номер на лична карта или друг документ за самоличност, по който физическото лице може да бъде идентифицирано, дата и година на издаване на документа, издател, адрес на физическото лице, месторождение, телефони, имейли и др;
  • данни относно образованието на физическото лице – вид на образованието, място, номер и дата на издаване на дипломата. Когато е необходимо се представят и данни относно допълнителна квалификация. Данните са необходими с оглед спазване нормативни или установени с щатното разписание изисквания за заемане, респективно  за освобождаване  на  определени длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;
  • данни относно трудовата дейност на физическото лице – упражнявана професия, трудова биография. Данните са от значение при избора на подходящо за съответната длъжност лице. Предоставят се на основание нормативно задължение във всички случаи, когато е необходимо;
  • данни Относно категория „Семейна идентичност“ на лицата –  семейно положение. Предоставя се на основание нормативно задължение.
  • Относно категория „Социална идентичност“ на лицата – образование, предоставя се на основание нормативно задължение и/или легитимен интерес:
  • вид и степен на образованието, място, номер и дата на издаване на дипломата и учебно заведение – данните са необходими с оглед спазване нормативни или установени с щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата, както и при преценка и удостоверяване на компетентността на лицата, на които Дружеството  възнамерява да възложи изпълнението на

дейности по граждански или трудови договори. Предоставят се от служителите/изпълнителите при сключване на трудови или граждански договори с тях;

  • допълнителна квалификация – данните са необходими с оглед спазване нормативни или установени с щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо. При необходимост, данни за допълнителна квалификация се изискват и от лицата, на които Дружеството възнамерява да възложи изпълнението на дейности по граждански договори;
  • други данни – лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност, като свидетелство за съдимост – в случаите, изисквани от закона. Предоставят се на основание нормативно задължение.

Горната информация се съхранява в личните досиета на служителите.

(2). Отдел Човешки ресурси отговаря за операциите по правилното обработване на лични данни на служителите на дружеството по трудов или граждански договор, лица  с  договори  за  управление,  както  и  лични  данни  на  кандидати  за  работа  и стажанти.

Чл.  24. В регистър „Други контрагенти“ по сключени от „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД договори с външни доставчици на услуги се водят и съхраняват лични данни за страните по договорите/юридически лица, физически лица/ или техните представители. Същите се обработват само с оглед   изпълнение на задълженията по договорите и за съответните срокове. След прекратяване на договорите, личните данни следва да се унищожат съгласно вътрешните правила на дружеството.

Чл. 25. Минималните изисквания към регистрите, поддържани на хартиен носител, са:

  1. Форма на организация и съхраняване на личните данни – писмена (документална), съхраняват се в папки (досиета) за всеки служител или наето по граждански договор  лице, както и за  всеки клиент,  с  когото  е сключен възлагателен договор (съгласно чл. 301 ал./1/ и ал./2/ от Кодекса за Застраховането). Досиетата на клиентите на дружеството се съхраняват в шкафове с ограничен достъп до тях само от служители на Дружеството.

2. Местонахождение на картотечните шкафове – находящи се в затворени помещения, оборудвани със сигнално охранителна система.

3. При отпадане на основанието или постигане на целта на обработване и при изтичане на срока за съхранение, унищожаването на тези документи се извършва по начин, който предотвратява всякаква възможност за бъдещо разчитане на данните.

4. Лицата с пряк достъп до документи, съдържащи лични данни, са длъжни да уведомят незабавно прекия си ръководител, който от своя страна да съобщи на Длъжностното лице по защита на личните данни, в случай на установяване на неправомерен достъп или ползване на съответната информация, включваща лични данни, или на неправомерно проникване в помещение, в което тази информация се съхранява.

5. Мерките по предходните точки се спазват и от служителите, които по повод изпълнението на служебните си задължения са поискали предоставянето им от служителите, при които се поддържат първоначално събраните данни.

6. Длъжностното лице по защита на личните данни на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД поддържа информация за сигналите и инцидентите по предходната алинея, анализира пропуските и предлага мерки за отстраняването им.

7. За архивиране на документите се спазват Вътрешните правила за архивиране на документите в „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД.

8. Достъпът и предоставянето на данни от тези регистри се осъществяват по възможност без изнасяне на оригиналните носители извън помещенията, в които се съхраняват. Трудовите досиета на служителите се съхраняват в архивите на счетоводната къща, обслужваща нуждите на дружеството, спазвайки всички необходими мерки за защитана личните данни, строго регламентирани в междудоговорните взаимоотношения.

Регистри, поддържани на технически носител в електронен вид

Чл.  26. Къмданните, поддържани в електронните системи на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, се прилагат следните мерки:

  1. Форма на организация и съхраняване на личните данни – воденето на регистри за клиенти на дружеството на технически носител се осъществява    чрез    специализиран    софтуерен    продукт,    разработен,
  2. поддържан, обслужван и подсигурен от специализирана софтуерна фирма.    Достъпа    до    регистъра    е    контролиран    чрез    персонално

потребителско име и парола на съответния служител на дружеството, защитени с SSL сертификат. Информацията се съхранява на сървъри, собственост на софтуерната фирма, с която има сключен договор за обслужване и поддържка.

2. Местонахождение на компютрите – компютрите от които има достъп до отдалечената база данни с данни на клиентите се помещават в затворени помещения, оборудвани със сигнално охранителна система.

3. Достъп – достъпа до компютрите е персонализиран, чрез персонално потребителско име и парола, предоставени на служителя.

4. Програмно-апаратни мерки за гарантиране нивото на сигурност (примерно изброяване – моля пригодете ги съобразно Вашите нужди):

  • Мрежата, изградена в офисите на Дружеството се базира изключително на комуникационни устройства, които предоставят богат набор от възможности, свързани със сигурността на достъпа до информация;
  • Работните станции, свързани в тази вътрешна мрежа са преминали през допълнително обработване – заличаване на данните, които не са необходими на съответните обработващи лични данни, и ограничаване на възможността за поставяне на USB флаш, сваляне на информация на друг вид носители на данни, инсталиране на софтуер и т.н., посредством което е минимизиран рискът от изтичане на информация.

Чл. 27. Минималните изисквания към регистрите, съдържащи лични данни, спрямо които се поддържа средно ниво на защита, са:

1. Временните файлове, изпращани между служители по повод изпълнение на служебните им задължения и съдържащи лични данни, се изтриват след изпълнение на съответната задача или се изтриват личните данни в тях.

2. В случай на загуба на данни, това обстоятелство се съобщава на Комисията по защита на личните данни.

Чл.  28.  Защитата на системите, използването на пароли, ограниченията за достъп и правилата за работа с тях, както и спецификацията на техническите ресурси, прилагани за обработка на данни, реда за съхраняване и унищожаване на информационните носители и реда за архивиране и възстановяване на данни в случай на загуба, са в съответствие с утвърдените вътрешни правила и инструкции на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД.

Раздел VI

Длъжностно лице по защита на личните данни

Чл. 29. (1). Поради естеството, обхвата и целите на операциите по обработване на данни, които изискват редовно и систематично мащабно наблюдение  на субектите на данни, както и необходимостта от обработване на специални категории данни и в отговор на изискване на законодотелството в „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД се назначава  Длъжностно лице по защита на личните данни, чиято цел е контрол на дейността и гарантиране, че дружеството спазва задължението си по защита личните данни на субектите на данни.

(2). Назначаването на Длъжностното лице по защита на личните данни се извършва с Решение на Управителя на дружеството.

(3). Всички структурни звена в „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД  са длъжни да оказват съдействие на Длъжностно лице по защита на личните данни и да изпълняват неговите предписания, във връзка с обработването и защитата на личните данни.

(4). Субектите на данни могат да се обръщат към Длъжностното лице по защита на личните данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно законодателството.

Чл. 30. Изискванията към Длъжностното лице по защита на личните данни:

1. Длъжностното лице по защита на личните данни трябва да е независимо и да не получава никакви указания във връзка с изпълнение на задачите си, като не може да бъде освобождавано от длъжност или санкционирано от   дружеството или обработващ лични данни за изпълнението на своите задачи.

2. Длъжностното лице по защита на личните данни може да изпълнява и други задачи и задължения, стига това да не води до конфликт на интереси.

3.    Длъжностното   лице   по   защита   на   данните   е   длъжно   да   спазва секретността и поверителността на изпълняваните от него задачи в съответствие с законовите разпоредби.

Чл. 31. (1). Задължения на длъжностното лице по защита на личните данни:

  1. Да информира и съветва дружеството, обработващите лични данни и служителите, които извършват обработване, за техните задължения, свързани със защитата на личните данни.

2. Да   наблюдава   спазването   на   законодателството   във   връзка   със защитата на личните данни, на Политиката на дружеството за защита на личните данни, включително възлагането на    отговорности, повишаването   на   осведомеността   и   обучението   на   персонала, участващ в операциите по обработване на данни.

3. При поискване на преддоставя съвети по отношение на оценката на въздействието върху защитата на данните.

4. При нужда да дава предписания по организацията по водене на регистрите и правата за достъп на служители, съгласно предвидените мерки за гарантиране на адекватна защита;

5. Да си сътрудничи с надзорните органи в лицето на Комисията за защита на личните данни (КЗЛД) и поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;

6. Да подпомага установяването на обстоятелства, свързани с нарушаване на защитата на регистрите.

(2). Дружеството подпомага Длъжностното лице по защита на личните данни при изпълнение на посоченото в ал.1, като осигуряват ресурсите, необходими за изпълнение на тези задачи, достъпа до личните данни и операциите по обработването, а така също поддържа неговите експертни знания.

Раздел VІII

Процедура за достъп до лични данни от титулярите на данните или трети лица, подаване на възражения и жалби

Общи положения при разглеждане на молби и жалби, свързани с лични данни

Чл. 32. (1). Всички сигнали на клиенти, свързани с лични данни се завеждат в деловодството  на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД и  се регистрират в регистъра на жалбите отделно.

(2). Клиент може да подаде заявление за достъп до лични данни чрез всички канали за подаване на молби, жалби или възражения.

(3). „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД   се произнася в 14- дневен срок от подаването на молбата, жалбата или възражението.

(4). Длъжностното лице по защитата на данните изготвя отговора до клиента. За взетото решение въз основа на подадена молба, жалба или възражение се информира

ръководителя на съответното структурно звено за предприемане на предписаните от Комисията по защита на личните данни мерки.

(5).  При упражняване правата на субектите на данни по този Раздел се прилагат Вътрешните правила за упражняване правата на субектите на данни.

Достъп до лични данни от страна на лицето, за което се отнасят

Чл. 33.  Всеки клиент на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД може да подаде молба до дружеството, с която да поискаупражняване на правата си, съгласно Раздел III от настоящата Политика.

Чл. 34. Ако данните, до които се иска достъп, представляват класифицирана информация, достъпа се отказва.

Достъп до лични данни от трети лица

Чл. 35. В случай, че трето лице иска достъп до данните на клиент на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, които не представляват тайна или класифицирана информация, исканите данни се предоставят само в случай, че едновременно са изпълнени следните условия:

1. съществува законен интерес на лицето, искащо данните;

2. не може да се направи извод, че интересите на титуляра на данните има преимущество спрямо интересите на лицето, искащо разкриването на данните;

3. получателят на данните попада в кръга от лица, за който титулярът на данните  предварително  е уведомен  относно възможността за разкриване   на негови данни или титулярът е уведомен за разкриването на неговите данни след постъпване на искането от третото лице;

4. лицето, за което се отнасят данните е дало своето изрично писмено съгласие.

Чл. 36. Ако исканите данни съдържат тайна или класифицирана информация, се спазват изискванията за забрана за разкриването им.

Държавни органи – искания за достъп

Чл. 37. (1) При постъпило искане от държавен орган за предоставяне на информация, която  съдържа и  лични  данни, се  спазва специалния  нормативен  акт, който регламентира реда за предоставяне на съответния вид информация.

(2)  Когато  в  писмото,  в  което  се  съдържа искането  на  държавния  орган,  се съдържат лични данни, които индивидуализират определени клиенти, в писмото- отговор индивидуализиращата информация за клиента не се включва по-голям обем данни, освен ако такива се изискват от органа.

(3) При постъпило искане за предоставяне на конкретни лични данни, копие от писмото на съответния орган се предоставя и на Комисията по защита на личните данни в „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, с оглед потвърждение на основанието по закон и предприемане на необходимите действия, съгласно Закона.

Подаване на възражения и жалби

Чл. 38. Физическо лице може да направи възражение или да отправи искане пред „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД относно:

1. обработването на личните му данни при наличие на законово основание за това; при преценка, че възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;

2. обработването на личните му данни за целите на директния маркетинг, независимо от първоначално изразеното писмено съгласие;

3. уведомяване преди личните му данни да бъдат разкрити за пръв път на трети лица, независимо от първоначалното му писмено съгласие, като му бъде предоставена възможност да възрази срещу такова разкриване или използване. В случай, че без това разкриване или използване   съществува пречка за изпълнение на задължения по застрахователен договор, договорът се прекратява, като клиентът се уведомява за това.

4. в случай, че лицето не е подало заявление по предходната точка, с което иска да бъде уведомявано преди всяко разкриване на негови данни, то също може да възрази срещу разкриването, като съответният застрахователен договор ще бъде прекратен.

Раздел IX

Прехвърляне, проверка и съвместно обработване на лични данни между „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД и друг

Администратор

Прехвърляне на данни от „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД на друг администратор на лични данни по силата на договор

Чл.  39.  (1).  Предоставянето  на  клиентски  данни  от  „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД  на други администратори, включително от държави от ЕС, по силата на споразумение се извършва при спазване на условията и предвидените възможности, определени с настоящите Правила, като при липса на предварително уведомление за възможните категории получатели, задължително титулярът на данните се уведомява за предоставянето непосредствено преди или след извършването му.

(2). Уведомлението по ал.1 съдържа следната информация:

1. категориите лични данни, които се предоставят;

2. получателят на данните;

3. целите на обработването.

(3). Когато прехвърлянето е към субект от друга държава, извън ЕС, се спазват специфичните изисквания на Закона за такъв вид прехвърляне.

Получаване от страна на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД на данни от друг администратор

Чл. 40. При водене на преговори и сключване на договори за провеждане на съвместни кампании с други търговци, които предвиждат получаване от тях на лични данни на техни клиенти, от контрагента се изисква да гарантира спазване на ЗЗЛД при предоставяне на данните на „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД.

Чл. 41. В случай че в хода на съвместната кампания клиент изрази несъгласие с обработването на негови лични данни, когато клиентът не е страна по застрахователен и/или друг тип търговски договор, сключен със „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД, както и не се е съгласявал писмено за обработване на информация, отнасяща се до него, данните незабавно се унищожават на основание отпадане на целта на обработването.

Раздел X

Правила за вписване на лични данни в застрахователни договори на

„ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД

Чл. 42. В застрахователните договори, по които „ЗАСТРАХОВАТЕЛЕН БРОКЕР ГРАНД ИНШУРАНС“ ЕООД е страна, личните данни относно клиентите са в обем, който е достатъчен за индивидуализацията на клиента, освен ако от естеството на договора не следва друго.

Чл. 43.  Задължително при съставяне на договори (възлагателни и др.) се включва текст относно начина на обработване на личните данни на клиента и получаване на необходимите съгласия за обработване на лични данни, чието съдържание е съобразено с характера на продукта.

Чл. 44. Контролът върху изпълнение на настоящата Политика се осъществява от Длъжностното лице по защитата на данните.

Заключителни разпоредби

Настоящата Вътрешна политика е приета от Управителя на дружеството на 22.05.2018 г., актуализирана на 14.06.2018 г.и сведена до знаението на всички служители на дружеството.