Niniejsza Polityka określa warunki i porządek, w jakim osoby fizyczne, których dane osobowe są przetwarzane przez Towarzystwo Ubezpieczeń Lev Ins AD (Lev Ins, Spółka, My), mogą wykonywać swoje prawa zgodnie z przepisami dotyczącymi ochrony danych osobowych.
CZĘŚĆ 1: POSTANOWIENIA OGÓLNE
1.1. Lev Ins przetwarza, przechowuje i chroni dane osobowe zebrane w trakcie swojej działalności, w sposób przejrzysty, zgodny z prawem i zgodnie z celami, dla których dane są gromadzone.
1.2. Niniejsza polityka ma również zastosowanie do sposobu, w jaki pracownicy Spółki przetwarzają dane osobowe dla celów dystrybucji produktów ubezpieczeniowych, zawierania polis ubezpieczeniowych, wypełniania zobowiązań z tytułu umów ubezpieczenia oraz zaspokajania roszczeń z tytułu umów ubezpieczenia w ramach obowiązków pracowniczych. Pracownicy zobowiązani są do przestrzegania następujących zasad przy przetwarzaniu danych osobowych:
1.2.1 Dane osobowe są przetwarzane zgodnie z prawem i w dobrej wierze.
1.2.2. Dane osobowe są zbierane dla konkretnych, ściśle określonych i zgodnych z prawem celów lub celów o podobnym charakterze i nie są poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
1.2.3. Dane osobowe, które są gromadzone i przetwarzane w ramach zarządzania zasobami ludzkimi są adekwatne, związane z celami, dla których są przetwarzane i nie wykraczają poza te cele.
1.2.4. Dane osobowe są dokładne i w razie potrzeby aktualizowane.
1.2.5. Dane osobowe są usuwane lub poprawiane, gdy okaże się, że są niedokładne lub niezgodne z celami, dla których są przetwarzane.
1.2.6. Dane osobowe są przechowywane w formie umożliwiającej identyfikację osób fizycznych, których dotyczą, przez okres nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane.
1.3. Pracownicy przetwarzający dane osobowe przechodzą wstępne i okresowe szkolenia z zakresu zachowania poufności oraz zapoznają się z obowiązującymi przepisami prawa.
1.4. Wszelkie dane osobowe oraz inne informacje, na podstawie których można zidentyfikować osobę fizyczną, są gromadzone i przetwarzane tylko wtedy, gdy jest to konieczne i w zakresie niezbędnym do wykonywania obowiązków służbowych pracownika, pod warunkiem, że czynności te są wykonywane w ramach nadanych pracownikowi uprawnień oraz zgodnie z wymogami prawa w zakresie ochrony danych osobowych.
CZĘŚĆ 2: DEFINICJE
Podane poniżej definicje mają następujące znaczenie:
"Dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej osoby fizycznej lub osoby fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub co najmniej jedna cecha, charakterystyczna dla fizycznej, fizjologicznej, genetycznej, umysłowej, intelektualnej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej;
"Profilowanie" oznacza każdą formę zautomatyzowanego przetwarzania danych osobowych, polegającą na wykorzystaniu danych osobowych do oceny niektórych aspektów osobistych dotyczących osoby fizycznej, a w szczególności do analizy lub prognozy aspektów związanych z wykonywaniem obowiązków zawodowych przez tę osobę fizyczną, jej sytuacją ekonomiczną, zdrowiem, osobistymi preferencjami, zainteresowaniami, wiarygodnością, zachowaniem, lokalizacją lub przemieszczaniem się;
"Podmiot danych" oznacza osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jedna lub więcej cech szczególnych dotyczących fizycznej, fizjologicznej, genetycznej, umysłowej, intelektualnej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej;
"Przetwarzanie" oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawie danych osobowych przy pomocy środków automatycznych lub innych, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, konsultowanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub udostępnianie danych w inny sposób, porządkowanie lub łączenie, ograniczanie lub niszczenie;
CZĘŚĆ 3: PRAWA PODMIOTÓW DANYCH OSOBOWYCH
Osoby, których dane dotyczą, mają następujące prawa w odniesieniu do swoich danych osobowych:
1. Prawo dostępu;
2. Prawo do sprostowania;
3. Prawo do przenoszenia danych;
4. Prawo do bycia usuniętym (prawo do bycia zapomnianym);
5. Prawo do żądania ograniczenia przetwarzania danych;
6. Prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych;
7. Prawo osoby, której dane dotyczą, do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
Prawo dostępu do danych
2.1. Na żądanie Lev Ins udziela osobie, której dane osobowe dotyczą, następujących informacji:
2.1.1 potwierdzenie, czy Lev Ins przetwarza dane osobowe tej osoby, czy nie;
2.1.2 kopię danych osobowych osoby, które są przetwarzane przez Lev Ins, w przypadku gdy nie narusza to praw i prawnie uzasadnionych interesów innych osób, oraz
2.1.3 wyjaśnienia dotyczące przetwarzanych danych.
2.2. Wyjaśnienie na podstawie Art. 2.1.3. zawiera następujące informacje dotyczące danych osobowych przetwarzanych przez Lev Ins:
2.2.1 cele przetwarzania;
2.2.2 odpowiednie kategorie danych osobowych;
2.2.3 odbiorców lub kategorii odbiorców, którym dane osobowe są lub będą ujawniane, w szczególności odbiorców w krajach trzecich lub organizacjach międzynarodowych;
2.2.4 jeśli to możliwe, planowany okres przechowywania danych osobowych, a jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu;
2.2.5 istnienie prawa do żądania sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych osobowych dotyczących osoby, której dane dotyczą, lub do wniesienia sprzeciwu wobec takiego przetwarzania;
2.2.6 prawo do odwołania się do organu nadzorczego;
2.2.7 jeżeli dane osobowe nie zostały zebrane przez osobę, której dane dotyczą, wszelkie dostępne informacje na temat ich źródła;
2.2.8 istnienie zautomatyzowanego podejmowania decyzji, w tym profilowania, oraz informacje o zastosowanej logice, a także o znaczeniu i przewidywanych konsekwencjach tego przetwarzania dla osoby, której dane dotyczą;
2.2.9. jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem danych.
2.3. Wyjaśnienia dotyczące przetwarzanych danych obejmują informacje, które Lev Ins przekazuje osobom, których dane dotyczą, za pośrednictwem informacji o polityce prywatności.
3.1. Na żądanie podmiotu danych osobowych Lev Ins może dostarczyć kopię danych osobowych, które są przetwarzane.
3.2. Dostarczając kopię danych osobowych, Lev Ins nie ujawnia następujących kategorii danych:
3.2.1 dane osobowe osób trzecich, chyba że osoby te wyraźnie wyraziły na to zgodę;
3.2.2 danych, które stanowią tajemnicę handlową, własność intelektualną lub informacje poufne;
3.2.3 inne informacje, które są chronione na mocy obowiązującego prawa.
3.3. Udzielenie dostępu podmiotom danych osobowych nie może negatywnie wpływać na prawa i wolności osób trzecich ani prowadzić do naruszenia obowiązku prawnego Lev Ins.
4.1. Where requests for access are manifestly unfounded or excessive, in particular because of their repetitive nature, Lev Ins may charge a reasonable fee based on the administrative costs of providing the information.
4.2. Lev Ins ocenia indywidualnie w każdym przypadku, czy wniosek jest ewidentnie bezzasadny lub nadmierny.
4.3 W przypadku, gdy wniosek o dostęp do danych osobowych jest oczywiście bezzasadny, Lev Ins może odmówić dostępu, uzasadniając swoją odmowę i informując osobę, której dane dotyczą, o przysługującym jej prawie wniesienia skargi do Komisji Ochrony Danych.
Prawo do sprostowania
5.1. Podmioty danych mogą zażądać sprostowania swoich danych osobowych przetwarzanych przez Lev Ins w przypadku, gdy te ostatnie są niedokładne lub niekompletne.
5.2. Upon satisfying of a request for rectification of personal data, Lev Ins notifies the other recipients to whom the data have been disclosed (e.g. public authorities, service providers) so that they can reflect the changes.
Prawo do bycia usuniętym ("prawo do bycia zapomnianym")
6.1. Na żądanie, Lev Ins jest zobowiązany do usunięcia danych osobowych, jeżeli zachodzi którykolwiek z następujących powodów:
6.1.1 dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetworzone;
6.1.2 osoba, której dane dotyczą, wycofuje swoją zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej do przetwarzania danych;
6.1.3 osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie istnieją żadne prawnie uzasadnione podstawy nadrzędne wobec przetwarzania;
6.1.4 osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego.
6.1.5 dane osobowe były przetwarzane niezgodnie z prawem;
6.1.6 dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego ciążącego na Lev Ins;
6.1.7 dane osobowe zostały zebrane w związku ze świadczeniem usług społeczeństwa informacyjnego na rzecz dzieci w rozumieniu art. 8 (1) rozporządzenia (UE) 2016/679.
6.2 Lev Ins nie jest zobowiązany do usunięcia danych osobowych w zakresie, w jakim przetwarzanie jest niezbędne:
i. do wykonywania prawa do wolności wypowiedzi i prawa do informacji;
ii. do przestrzegania obowiązku prawnego Lev Ins, który wymaga przetwarzania;
iii. ze względu na interes publiczny w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 rozporządzenia (UE) 2016/679;
iv. do celów archiwizacji w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 rozporządzenia (UE) 2016/679, o ile prawo do usunięcia danych może uniemożliwić lub poważnie utrudnić realizację celów przetwarzania; lub
v. w celu ustalenia, wykonania lub obrony roszczeń prawnych.
Prawo do ograniczenia przetwarzania
7.1. Osoba, której dane dotyczą, ma prawo zażądać ograniczenia przetwarzania, gdy zachodzi którakolwiek z następujących podstaw:
7.1.1 osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych na okres umożliwiający administratorowi sprawdzenie prawidłowości danych osobowych;
7.1.2 przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
7.1.3 administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
7.1.4 Osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu na podstawie uzasadnionego interesu Lev Ins i trwa dochodzenie, czy podstawa prawna administratora ma pierwszeństwo przed interesami osoby, której dane dotyczą.
7.2. Lev Ins może przetwarzać dane osobowe, których przetwarzanie jest ograniczone, wyłącznie w następujących celach:
1. do przechowywania danych
2. za zgodą osoby, której dane dotyczą;
3. do ustalenia, dochodzenia lub obrony roszczeń ;;
4. o ochronę praw innej osoby fizycznej; lub
5. ze względu na ważny interes publiczny.
7.3. Gdy osoba, której dane dotyczą, zażądała ograniczenia przetwarzania i którejkolwiek z podstaw określonych w art. 7.1. powyżej istnieje, Lev Ins poinformuje go przed zniesieniem ograniczenia przetwarzania.
Prawo do przenoszenia danych
8.1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które jej dotyczą i które dostarczył Lev Ins.
8.2. Na żądanie dane te mogą zostać przekazane innemu administratorowi wyznaczonemu przez osobę, której dane dotyczą, o ile jest to technicznie wykonalne.
8.3. Osoba, której dane dotyczą, może skorzystać z prawa do przenoszenia w następujących przypadkach:
1. przetwarzanie odbywa się za zgodą osoby, której dane dotyczą;
2. przetwarzanie odbywa się na podstawie zobowiązania umownego;
3. przetwarzanie odbywa się w sposób zautomatyzowany.
8.4. Prawo do przenoszenia nie może negatywnie wpływać na prawa i wolności innych osób.
Prawo do sprzeciwu
9.1. Osoba, której dane dotyczą, ma prawo wnieść sprzeciw wobec przetwarzania jej danych osobowych przez Lev Ins, jeżeli dane są przetwarzane na jednej z następujących podstaw:
9.1.1 przetwarzanie jest niezbędne do wykonania zadania leżącego w interesie publicznym lub do wykonania oficjalnych uprawnień powierzonych administratorowi;
9.1.2 przetwarzanie jest niezbędne do celów związanych z uzasadnionymi interesami Lev Ins lub strony trzeciej;
9.1.3 Przetwarzanie danych obejmuje profilowanie.
9.2. Administrator zaprzestaje przetwarzania danych osobowych, chyba że udowodni, że istnieją ważne podstawy prawne do jego kontynuowania, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub do ustalenia, dochodzenia lub obrony roszczeń. .
Prawo do sprzeciwu wobec danych osobowych do celów marketingu bezpośredniego
10.1. Przetwarzając dane osobowe na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych w tym celu, w tym w zakresie profilowania związanego z marketingiem bezpośrednim.
10.2. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, przetwarzanie danych osobowych w tych celach zostaje zakończone.
Prawo do interwencji człowieka w zautomatyzowane podejmowanie decyzji
11.1. W przypadkach, gdy Lev Ins podejmuje zautomatyzowane indywidualne decyzje, w tym profilowanie lub je wyklucza, które mają skutki prawne dla osób fizycznych lub w podobny sposób wpływają na nie w istotny sposób, te osoby fizyczne mogą zażądać ponownego rozpatrzenia decyzji z udziałem człowieka, a także wyrazić swoją punkt widzenia.
11.2. Lev Ins dostarcza osobom fizycznym podlegającym zautomatyzowanemu podejmowaniu decyzji istotne informacje o zastosowanej logice, a także o znaczeniu i przewidywanych konsekwencjach tego przetwarzania dla osoby.
CZĘŚĆ 4: PROCEDURA WYKONYWANIA PRAW PODMIOTÓW DANYCH OSOBOWYCH
12.1. Osoby, których dane dotyczą, mogą skorzystać z uprawnień wynikających z niniejszego Regulaminu poprzez złożenie wniosku o skorzystanie z odpowiedniego uprawnienia.
12.2. Żądanie realizacji praw osób, których dane dotyczą, można złożyć w następujący sposób:
1. Elektronicznie na następujący adres e-mail dpo@lev-ins.com;
2. Na miejscu w biurze Lev Ins;
3. Pocztą na adres siedziby firmy Lev Ins: Sofia, 51D Cherni Vrah Blvd.
12.3. Żądanie realizacji praw dotyczących danych osobowych powinno zawierać następujące informacje:
1. Identyfikacja osoby - imię i nazwisko oraz PIN / numer polisy / numer klienta;
2. Kontakty w celu uzyskania informacji zwrotnych - adres, telefon, e-mail;
3. Zapytanie - opis żądania.
13.1 Lev Ins udziela informacji o działaniach podjętych w związku z wnioskiem o wykonanie praw podmiotów w ciągu miesiąca od otrzymania żądania.
13.2. W razie potrzeby termin ten może zostać przedłużony o kolejne dwa miesiące, biorąc pod uwagę złożoność i liczbę wniosków ze strony konkretnej osoby. Lev Ins poinformuje osobę o każdym takim przedłużeniu w ciągu miesiąca od otrzymania wniosku, wskazując przyczyny opóźnienia.
13.3. Lev Ins nie jest zobowiązany do udzielenia odpowiedzi na żądanie, jeśli nie jest w stanie zidentyfikować osoby, której dane dotyczą.
13.4. Lev Ins może zażądać dostarczenia dodatkowych informacji niezbędnych do zweryfikowania tożsamości osoby, której dane dotyczą, gdy istnieją uzasadnione obawy co do tożsamości wnioskującej osoby fizycznej.
13.5. Jeżeli wniosek składany jest drogą elektroniczną, w miarę możliwości informacje przekazuje się drogą elektroniczną, chyba że osoba, której dane dotyczą, zażądała inaczej.