Polityka ochrony danych osobowych

Wprowadzenie
 
Niniejsza polityka ma na celu wspieranie wdrOżEnia i STOSOWANIA rozporządzenia Parlamentu europejskiego i rady (ue) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektyWy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO” w Europ Assistance (EA), W szczególności:
  • ARt. 2 dotyczy zasad, które muszą inspirować przetwarzanie danych osobowych;
  • ART. 3 wprowadza kluczowe wymagania, które należy wprowadzić w przetwarzaniu danych osobowych;
  • w art. 4 i 5 określono wymagania, które należy wprowadzić w życie, gdy SPÓŁka DZIAŁA jako aDMINISTRATOR danych lub przetwarzający dane w związku z konkretnymi przetwarzaniem danych osobowych;
  • aRT. 6 określa wymagania, które należy spełnić przy wyznaczaniu inspektora ochrony danych;
  • ART. 7 określa zasady identyfikacji organu nadzorującego ochronę danych osobowych.
 
 
 

 
SPIS TREŚCI
Słownik i Definicje............................................................................................................................................................................................ 3
1    Wstęp........................................................................................................................................................................................................... 4
1.1     Cele                                                                                                                                                                                                           4
1.2     autorzy i zatwierdzenie                                                                                                                                                                          4
1.3     wejście w Życie                                                                                                                                                                                       4
1.4     Zasady wdrożenia                                                                                                                                                                                  4
2    Podstawowe zasady przetwarzania Danych Osobowych............................................................................................................. 5
3    Podstawowe wymagania........................................................................................................................................................................ 6
4    Podstawowe Wymagania dla Administratora................................................................................................................................... 6
4.1     Przetwarzanie Danych osobowych zgodnei z prawem                                                                                                                  6
4.2     Informowanie Osoby, której dane dotyczą o Przetwarzaniu Danych Osobowych                                                                     7
4.3     Umożliwienie Osobie, której dane dotyczą wykonywania przysługujących jej praw                                                                7
4.4     Ochrona Danych Osobowych z założenia (Data protection by design and by default)                                                            8
4.5     Rejestr Czynnośći przetwarzania danych osobowych                                                                                                                    8
4.6     Wprowadzenie technicznych i organizacyjnych środków ochrony Danych Osobowych, odpowiednich do ryzyka Przetwarzania Danych Osobowych                                                                                                                                                                                            8
4.7     Zgłoszenie Organowi Nadzoru oraz zawiadomienie Osoby, których dane dotyczą, o Naruszeniu Ochrony Danych        9
4.8     Ocena skutków Przetwarzania dla ochrony Danych Osobowych (Ocena Skutków Przetwarzania Danych - DPia)           9
4.9     Wprowadzenie adekwatnych środków ochrony w przypadku przekazywania Danych osobowych poza Europejski Obszar Gospodarczy                                                                                                                                                                                                        9
4.10    Wybór Przetwarzającego                                                                                                                                                                      9
5    Podstawowe Wymagania w stosunku do Przetwarzającego..................................................................................................... 10
6    Inspektor Ochrony Danych – Korespondent ds. Ochrony Danych............................................................................................ 10
6.1     Wyznaczenie                                                                                                                                                                                         10
6.1.1   Wyznaczenie IOD                                                                                                                                                                                 10
6.1.2 Wyznaczenie lokalnych korespondentów ds. Danych osobowych                                                                                               11
6.2     Zadania                                                                                                                                                                                                  11
6.2.2 Zadania DPC                                                                                                                                                                                           11
6.2.2 ZAdania IOD                                                                                                                                                                                             12
6.2.3 Wymagania wstępne                                                                                                                                                                              13
6.2.4   Niezależność IOD i Korespondenta ds. Ochrony danych                                                                                                             13
6.2.5   Wymagania w zakresie wiedzy i doświadczenia                                                                                                                           13
6.2.6   Zadania IOD i Korespondentów ds ochrony danych                                                                                                                     14
7    Wiodący Organ Nadzorczy................................................................................................................................................................... 14
 
 

 
Słownik i Definicje
Skrót/Termin
Wyjaśnienie/Definicja

AMSB
Organ administrujący, zarządzający lub nadzorujący. W przypadku, gdy na mocy prawa krajowego przewidziano dwupoziomowy system zarządzania obejmujący organ zarządzający i organ nadzorczy, AMSB oznacza organ zarządzający lub organ nadzorczy lub oba te organy zgodnie z odpowiednimi przepisami krajowymi lub w przypadku, gdy nie określono nikogo w odpowiednim ustawodawstwie krajowym, organ zarządzający.
W przypadku EAH, ASMB odnosi się do Rady Dyrektorów.

Podmiot z Grupy
Każda spółka / filia należąca do Grupy Generali, w tym oddziały.

Administrator
Osoba fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Przetwarzanie danych
Operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Przetwarzający
Osoba fizyczną lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Ocena Skutków dla Ochrony Danych (DPIA)
 
Ocena skutków planowanych czynności Przetwarzania danych na ochronę danych osobowych, które mają być przeprowadzane przez Administratora, gdy rodzaj Przetwarzania, w szczególności przy użyciu nowych technologii, oraz przy uwzględnieniu charakteru, zakresu, kontekstu i celów Przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Osoba, której dane dotyczą
Możliwa do zidentyfikowania bezpośrednio lub pośrednio osoba fizyczna, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Odpowiedzialny
Osoba lub jednostka organizacyjna odpowiedzialna za ocenę ryzyka związanego ze skutkami Naruszenia Danych Osobowych, do którego doszło obszarze, za który ponosi odpowiedzialność na podstawie zakresu obowiązków służbowych i ustalenie odpowiednich działań naprawczych.

Dane o karalności
Dane Osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

Dane Osobowe
Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, tj. osobie, której dane dotyczą.

Naruszenie Danych Osobowych
Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub Przetwarzanych w inny sposób.

Kadra zarządzająca
Prezes Zarządu, Dyrektor, Kierownik lub osoba stojąca na czele jednostki organizacyjnej Administratora odpowiedzialna za zarządzanie daną jednostka organizacyjną Administratora podlegająca bezpośrednio kierownikowi danej jednostki organizacyjnej.

Dane wrażliwe
Dane Osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również dane genetyczne, dane biometryczne pozwalające na jednoznaczne zidentyfikowanie osoby fizycznej lub Danych Osobowe dotyczące zdrowia, seksualności lub orientacji seksualnej.

 
1Wstęp
1.1       Cele
Grupa Generali i Europ Assistance (EA) uważają dane osobowe za główny składnik aktywów, który należy chronić. Przetwarzanie Danych Osobowych zgodnie z najlepszymi praktykami jest istotną częścią strategii EA wobec klientów, pracowników i wszystkich innych interesariuszy.
Celem niniejszej Polityki ochrony danych jest określenie kluczowych wymagań, jakie należy spełnić podczas przetwarzania danych osobowych przy stosowaniu postanowień RODO.
 
1.2       autorzy i zatwierdzenie
Polityka została zatwierdzona przez Radę Dyrektorów Assicurazioni Generali na wniosek Działu Compliance, a następnie zatwierdzona przez Rade Dyrektorów Europ Assistance Holding w dniu 13 kwietnia 2018 roku.
Dział Compliance EAH został upoważniony przez Radę Dyrektorów Europ Assistance do zatwierdzania nieistotnych zmian w niniejszej Polityce.
Dyrektor Generalny EAH, Inspektor Ochrony Danych EAH oraz Compliance Officer w EAH są uprawnieni i zobowiązani do wdrożenia szczegółowych wytycznych w celu wsparcia skutecznej realizacji niniejszej Polityki.
 
1.3       wejście w Życie
Polityka wchodzi w życie z dniem 1 maja 2018 roku.
Polityka będzie poddawana przeglądowi co najmniej raz na trzy lata i za każdym razem, gdy zajdzie potrzeba uwzględnienia zmian w przepisach, sytuacji rynkowej i / lub praktykach, strategii lub organizacji EA.
 
1.4       Zasady wdrożenia
  1.  
Niniejsza polityka określa ogólne zasady oraz minimalne wymagania, które muszą być wdrożone przez wszystkie podmioty z Grupy EA, mające siedzibę w Unii Europejskiej (UE) w zakresie Przetwarzania Danych Osobowych. Niniejsza polityka ma również zastosowanie do podmiotów, które nie mają siedziby na terenie Unii Europejskiej, o ile:
  1. oferują towary i usługi osobom przebywającym w UE lub
  2. monitorują ich zachowanie, jeśli zachowanie ma miejsce w UE.
 
Wspólne zasady ogólne określone w § 3 poniżej muszą być przestrzegane również przez wszystkie pozostałe podmioty z Grupy EA, zgodnie ze stosownymi przepisami prawa obowiązującymi w kraju, w którym się znajdują i zgodnie z zasadą proporcjonalności.
Od AMSB każdego Podmiotu z Grupy EA wymaga się przyjęcia niniejszej Polityki. Ilekroć tworzy się wspólne przedsięwzięcie lub inna formę współpracy, należy ocenić, czy niniejsza Polityka lub równoważne standardy są stosowane przez wspólne przedsięwzięcie/ partnerów.
 
1.4.2    Odstępstwa i zmiany
1.4.2.1                   Odstępstwa
Dział Compliance EAH zgłasza wszelkie wnioski o wyłączenie stosowania niniejszej Polityki do Działu Compliance Grupy Generali, który jest upoważniony do zatwierdzenia wszelkich odstąpień oraz, w razie potrzeby, do poinformowania Rady Dyrektorów Assicurazioni Generali.
Jeśli przepisy lokalne różnią się od postanowień niniejszej Polityki, Podmiot z Grupy EA musi uzyskać zwolnienie z przestrzegania Działu Compliance Grupy Generali.
Wniosek o wyłączenie spod stosowania niniejszej Polityki powinien być zgłoszony przez Dział Compliance do Oficera Compliance (EAH) wyższego rzędu, a na koniec do Oficera Compliance w Grupie Generali.
 
1.4.2.2   Istotne Zmiany
Jeśli wymagania lokalne różnią się od postanowień niniejszej Polityki z powodu nieusuwalnych niezgodności w zakresie struktury organizacyjnej i / lub z modelem operacyjnym i biznesowym odpowiedniego Podmiotu z Grupy EA, wszelkie istotne zmiany i odstępstwa musza zostać zatwierdzone przez Compliance Oficera Grupy Generali.
Wniosek o odstępstwo składa Dział Compliance do Oficera Compliance (EAH) wyższego rzędu, a na koniec do Oficera Compliance w Grupie Generali.
 
1.4.2.3   Nieistotne Zmiany
Zmiany nieistotne to zmiany dotyczące formalnych aspektów niniejszej Polityki lub wprowadzenia dalszych szczegółów na poziomie lokalnym, które nie są sprzeczne z zasadami i postanowieniami niniejszej Polityki. Nieistotne zmiany zatwierdzane są przez AMSB Podmiotu z Grupy wprowadzającego te zmiany.
 
2Podstawowe zasady przetwarzania Danych Osobowych
W trakcie przetwarzania Danych Osobowych należy przestrzegać następujących zasad.
Dane Osobowe muszą być:
  1. Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla Osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).
Przetwarzanie Danych Osobowych jest zgodne z prawem, jeśli odbywa się w oparciu o podstawę prawną wskazaną w
§ 4.1 Polityki. Przetwarzanie jest rzetelne I przejrzyste dla Osoby, której dane dotyczą, jeśli osobie tej w chwili zbierania Danych Osobowych udzielono informacji, o których mowa w § 4.2 Polityki;
  1. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami ("ograniczenie celu");
  2. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
  3. prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby Dane Osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
  4. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane ("ograniczenie przechowywania"). Po upływie tego okresu Dane Osobowe mogą być przechowywane jedynie w sposób, który uniemożliwia identyfikację Osób, których dane dotyczą. Środkami służącymi do uniemożliwienia identyfikacji są w szczególności: usunięcie, zaczernienie, przerobienie i anonimizację, o ile środki te nie są sprzeczne z obowiązującymi przepisami i regulacjami w zakresie ochrony danych osobowych;
  5. Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych Osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za
pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
 
Należy zastosować lub wdrożyć odpowiednie środki techniczne i organizacyjne ochrony Danych Osobowych w sposób określony w § 4.6 Polityki.
 
Administrator obowiązany jest wykazać, że postępuje zgodnie z powyższymi zasadami ("rozliczalność"), w szczególności przez wdrożenie odpowiednich regulacji, procedur oraz innych środków, pośród których należy wymienić Rejestr czynności przetwarzania Danych Osobowych (§ 4.5 Polityki), przeprowadzenie DPIA (§ 4.8 Polityki), kontroli stanu wdrożenia zasad i wymagań w zakresie ochrony Danych Osobowych.
 
 
3Podstawowe wymagania
Uwzględniając wyżej przedstawione zasady należy wdrożyć różne wymagania w zależności od tego, czy Dane Osobowe są przetwarzane przez Podmiot z Grupy jako Administratora albo Przetwarzającego.
Zarówno Administrator, jak i Przetwarzający, zapewniają, że pracownicy przetwarzający Dane Osobowe zostali właściwie poinstruowani i przeszkoleni, tak aby Dane Osobowe były przetwarzane zgodnie z niniejszą Polityką i obowiązującymi przepisami prawa.
 
4Podstawowe Wymagania dla Administratora
W każdym przypadku Przetwarzania Danych Osobowych jako Administrator Podmiot z Grupy EA postępuje w następujący sposób:
 
4.1       Przetwarzanie Danych osobowych zgodnei z prawem            
 
Przetwarzanie Danych Osobowych odbywa się zgodnie z prawem, jeśli:
  1. Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. jest niezbędne do wykonania umowy, której stroną jest Osoba, której dane dotyczą, lub do podjęcia działań na żądanie Osoby, której dane dotyczą, przed zawarciem umowy;
  3. jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
  4. jest niezbędne do ochrony żywotnych interesów Osoby, której dane dotyczą lub innej osoby fizycznej;
  5. jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
  6. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności Osoby, której dane dotyczą, wymagające ochrony Danych Osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
 
4.2       Informowanie Osoby, której dane dotyczą o Przetwarzaniu Danych Osobowych
Osoba, której dane dotyczą musi zostać poinformowana o Przetwarzaniu Danych Osobowych.
 
 
4.3       Umożliwienie Osobie, której dane dotyczą wykonywania przysługujących jej praw
Osoba, której dane dotyczą, z zastrzeżeniem wyjątków określonych przez obowiązujące przepisy, ma:
  1. Prawo dostępu: prawo do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, do uzyskania dostępu do nich bez nieuzasadnionej zwłoki;
  2. Prawo do sprostowania: prawo do niezwłocznego sprostowania lub uzupełnienie dotyczących jej danych osobowych, które są nieprawidłowe lub niekompletne.
  3. Prawo do usunięcia danych (prawo do bycia zapomnianym): prawo do żądania od administratora niezwłocznego usunięcia dotyczących jej Danych Osobowych bez względu na to, gdzie są przechowywane lub magazynowane;
  4. Prawo do ograniczenia przetwarzania: prawo do żądania ograniczenia Przetwarzania Danych Osobowych. Jeżeli Przetwarzanie zostało ograniczone Dane Osobowe można wyłącznie przechowywać, chyba że Osoba, której dane dotyczą, wyraziła zgodę na inne Przetwarzanie, lub jest to niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
  5. Prawo do przenoszenia Danych Osobowych: prawo Osoby, której dane dotyczą, do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego Danych Osobowe jej dotyczących oraz do przesłania tych Danych Osobowych innemu Administratorowi;
  6. Prawo do sprzeciwu: prawo do sprzeciwienia się z przyczyn związanych ze szczególną sytuacją Osoby, której dane dotyczą, wobec przetwarzania dotyczących jej Danych Osobowych. Po skorzystaniu z tego prawa Administratorowi nie wolno już przetwarzać tych Danych Osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do Przetwarzania, nadrzędnych wobec interesów, praw i wolności Osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. W każdym jednakże przypadku, jeśli Osoba, której dane dotyczą, wniosła sprzeciw wobec takiego sposobu Przetwarzania zabronione jest Przetwarzanie Danych Osobowych na cele marketingu bezpośredniego.
  7. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu: prawo Osoby, której dane dotyczą, aby nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Mając na uwadze przysługujące uprawnienia Osobie, której dane dotyczą, koniecznym jest w szczególności:
- zdefiniowanie procedury umożliwiającej łatwe wykonywanie praw przez Osoby, których dane dotyczą i szybkie podejmowanie wszelkich dalszych działań;
- poinformowanie Osoby, której dane dotyczą muszą być poinformowane o wszelkich dotyczących ich działaniach;
- pouczenie Osoby, której dane dotyczą o jej prawach i zasadach korzystania z tych uprawnień.
O ile nie zaszły wyjątkowe okoliczności, wszystkie działania i informacje kierowane do Osób, których dane dotyczą, są dla nich bezpłatne.
 
4.4       Ochrona Danych Osobowych z założenia (Data protection by design and by default)
Administrator, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, w celu skutecznej realizacji opisanych wyżej zasad oraz spełnienia wymagań wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu ochrony danych.
Wszelkie nowe operacje, procesy lub transakcje przed ich wdrożeniem, muszą zostać poddane udokumentowanej ocenie z punktu widzenia ochrony Danych Osobowych, tak by zapewnić identyfikację wszystkich odpowiednich środków technicznych i organizacyjnych ochrony Danych Osobowych, a następnie konsekwentnego ich stosowania w trakcie realizacji operacji, procesu lub transakcji (Privacy by design).
Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane Osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (Privacy by default). Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu przechowywania oraz ich dostępności. W szczególności środki te zapewniają, że Dane Osobowe nie są domyślnie udostępniane, to jest bez interwencji Osoby, której dane dotyczą nieokreślonej liczbie osób fizycznych.
Powyższe działania w szczególności muszą zostać podjęte w trakcie projektowania, rozwijania, wyboru lub używania oprogramowania, usług lub towarów, które mają wpływ na Przetwarzanie Danych Osobowych lub pozostają w związku z Danymi Osobowymi (zasady określone w § 3 Polityki).
 
4.5       Rejestr Czynnośći przetwarzania danych osobowych
 
Każdy Podmiot z Grupy, działając jako Administrator albo Podmiot przetwarzający prowadzi Rejestr czynności Przetwarzania Danych Osobowych, który jest dostępny dla organu nadzoru (Urząd Ochrony Danych Osobowych). Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora, Przetwarzający tworzy i prowadzi Rejestr czynności przetwarzania Danych Osobowych osobno dla każdego z Administratorów.
 
4.6       Wprowadzenie technicznych i organizacyjnych środków ochrony Danych Osobowych, odpowiednich do ryzyka Przetwarzania Danych Osobowych
 
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, EA wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku
Podczas identyfikowania tych środków przestrzegano podejścia opartego na ryzyku. W podejściu opartym na ryzyku wzięto pod uwagę stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
 
4.7       Zgłoszenie Organowi Nadzoru oraz zawiadomienie Osoby, których dane dotyczą, o Naruszeniu Ochrony Danych
 
EA wdrożył Procedurę postępowania w sprawie naruszenia ochrony danych osobowych w celu zapewnienia właściwego zarządzanie przypadkami naruszenia ochrony danych osobowych, w tym bezzwłocznego zgłaszania, to jest nie później niż w ciągu 72 godzin od uzyskania informacji o naruszeniu do właściwego organu nadzorczego oraz, w stosownych przypadkach, w celu zawiadomienia o takim naruszeniu Osób, których dane dotyczą.
 
4.8       Ocena skutków Przetwarzania dla ochrony Danych Osobowych (Ocena Skutków Przetwarzania Danych - DPia) 
 
W przypadku wystąpienia określonych przesłanek należy przeprowadzić ocenę skutków przetwarzania danych dla ochrony Danych Osobowych („DPIA”). DPIA ma na celu:
  1. opisanie czynności Przetwarzania Danych Osobowych;
  2. ocenę konieczności i proporcjonalności tych czynności w świetle celów Przetwarzania;
  3. pomoc w zarządzaniu ryzykiem dla podstawowych praw i wolności Osób, których dane dotyczą podmiotów danych, jakie może powstać w związku z takim Przetwarzaniem.
 
4.9       Wprowadzenie adekwatnych środków ochrony w przypadku przekazywania Danych osobowych poza Europejski Obszar Gospodarczy
W przypadku przekazywania Danych Osobowych poza Europejski Obszar Gospodarczy (EOG) Podmiot z Grupy upewnia się, że zostały zastosowane następujące środki ochrony.
Wybierając środki ochrony należy preferować je w następującym porządku:
  1. kraj spoza EOG zapewnia odpowiedni poziom ochrony Danych Osobowych, zgodnie z oceną Komisji Europejskiej; lub
  2. podpisywane są standardowe klauzule ochrony danych osobowych przyjęte przez Komisję Europejską; lub
  3. przekazanie jest niezbędne do wykonania umowy między Administratorem a Osobą, której dane dotyczą; lub
  4. przekazanie jest niezbędne do ustanowienia, wykonania lub obrony w ramach roszczenia prawnego; lub
  5. Osoba, której dane dotyczą, jednoznacznie wyraża zgodę na przekazanie określonych Danych Osobowych; lub
  6. jako sprawa rezydualna, tj., gdy przeniesienie ma charakter jednorazowy i dotyczy tylko ograniczonej liczby Osób, których dane dotyczą, a jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Podmiot z Grupy pod warunkiem, że wszystkie okoliczności zostały ocenione, a Administrator danych przyjął wszystkie niezbędne zabezpieczenia dla Przetwarzania, a organ nadzorczy został należycie poinformowany o przeniesieniu.
 
Podmioty z Grupy uwzględnia, że przepisy dotyczące przekazywania danych osobowych w kontekście transgranicznym mają zastosowanie nie tylko do przekazywania danych osobowych przez Podmioty z Grupy do osób trzecich (np. do dostawców, sprzedawców), ale także pomiędzy Podmiotami z Grupy.
 
4.10     Wybór Przetwarzającego
 
Przed wyborem Przetwarzającego należy się upewnić, że Przetwarzający wprowadził i stosuje odpowiednie środki techniczne i organizacyjne, które zapewnią zgodność z zasadami i wymogami dotyczącymi ochrony Danych Osobowych, a także wykonywanie praw Osób, których dane dotyczą. Ilekroć do wykonywania czynności obejmujących przetwarzanie Danych Osobowych wybierany jest zewnętrzny dostawca/usługodawca, niezbędne jest pisemne wyznaczenie tego zewnętrznego dostawcy jako Przetwarzającego.
Postanowienia Polityki Outsourcingu EA obowiązują i powinny być stosowane.
5Podstawowe Wymagania w stosunku do Przetwarzającego
Ilekroć w odniesieniu do konkretnego Przetwarzania Danych Osobowych Podmiot z Grupy działa jako Przetwarzający Dane Osobowe, zobowiązany jest:
  1. przetwarzać Dane Osobowe zgodnie z zasadami określonymi w § 3 Polityki oraz obowiązującymi przepisami i regulacjami dotyczącymi ochrony danych osobowych;
  2. dopilnować, aby osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub były zobowiązane do zachowania poufności;
  3. przetwarzać Dane Osobowe zgodnie z instrukcjami Administratora, chyba że obowiązujące przepisy stanowią inaczej;
  4. prowadzić rejestr wszystkich czynności związanych z Przetwarzaniem danych;
  5. wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony Przetwarzania danych;
  6. jeśli to niezbędne wyznaczyć Inspektora Ochrony Danych (na poziomie Europ Assistance Holding) oraz Korespondenta ds. Danych Osobowych (na poziomie Podmiotu z Grupy EA;
  7. w przypadku przekazania danych osobowych poza EOG, zastosować zabezpieczenia opisane w § 4.9 Polityki;
  8. podpisać umowę lub inny akt prawny regulujący stosunki z Administratorem;
  9. powstrzymać się od wyznaczenia dalszego podmiotu przetwarzającego dane bez uprzedniej wyraźnej zgody Administratora. Jeśli Przetwarzający otrzymał ogólne pisemne upoważnienie do dalszego powierzania czynności Przetwarzania danych, zobowiązany jest w odpowiednim czasie poinformować Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających dane w celu umożliwienia Administratorowi zgłoszenia sprzeciwu wobec takich zmian;
  10. Przetwarzający powierzając Przetwarzanie danych dalszym podmiotom w celu przeprowadzenia określonych czynności przetwarzania w imieniu Administratora zobowiązany jest zawrzeć umowę z tym dalszym Przetwarzającym, aby nałożyć na niego takie same obowiązki w zakresie ochrony Danych Osobowych, jak określone w umowie powierzeniu przetwarzania Danych Osobowych łączącej go z Administratorem;
  11. Udzielać pomocy Administratorowi w wypełnianiu jego obowiązków związanych z realizacją wniosków w zakresie praw Osób, których dane dotyczą, wymienionych w § 4.3 Polityki.
 
6Inspektor Ochrony Danych – Korespondent ds. Ochrony Danych
6.1       Wyznaczenie
6.1.1    Wyznaczenie IOD
Działając jako Administrator lub Przetwarzający, Podmiot z Grupy EA wyznaczy Inspektora Ochrony Danych, zwanego dalej IOD, jeśli wykonuje:
  1. czynności polegające na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  2. przetwarza na dużą skalę szczególne kategorie danych osobowych (Dane Wrażliwe) lub Dane o karalności, w ramach swojej działalności podstawowej.
Funkcję IOD można zlecić innemu Podmiotowi z Grupy EA lub osobom trzecim. Outsourcing działań IOD należy uznać za "krytyczny" zgodnie z postanowieniami Polityki Outsourcingu EA. Dla celów koordynacji i spójności, Europ Assistance zdecydował o wyznaczeniu jednego Inspektora Ochrony Danych na poziomie Europ Assistance Holding, który będzie działał jako IOD dla wszystkich Podmiotów z Grupy EA. Ocena potrzeby lub możliwości powołania inspektora ochrony danych jest dokonywana przez AMSB każdego Podmiotu z Grupy EA i musi zostać włączona do protokołu danego posiedzenia.
Aby być skutecznym, Inspektor Ochrony Danych ma jasno określony zakres obowiązków, odpowiednio usytuowany w strukturze EA jako niezależna funkcja i niezbędna część systemu kontroli wewnętrznej.
Inspektor ochrony danych podlega bezpośrednio AMSB. Administrator zapewnia, że zajmowane stanowisko i zakres obowiązków inspektora ochrony danych nie powoduje konfliktu interesów.
Zgodnie z ogólną zasadą w przypadku powołania w Podmiocie z Grupy EA jednostki organizacyjnej odpowiedzialnej za funkcje compliance inspektor ochrony danych winien być usytuowany w strukturze organizacyjnej w ramach tej funkcji. W przeciwnym wypadku ustanowia się samodzielne stanowisko służbowe.
 
6.1.2 Wyznaczenie lokalnych korespondentów ds. Danych osobowych
 
W celu spełnienia wymagań wynikających z art. 37 ust. RODO ("Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych pod warunkiem, że inspektor ochrony danych jest łatwo dostępny z każdego zakładu") oraz zaleceń Grupy Roboczej Art. 29 ("łatwo dostępny inspektor ochrony danych musi skutecznie komunikować się z podmiotami danych i współpracować z organem nadzorczym; Oznacza to, że dane kontaktowe inspektora ochrony danych muszą być dostępne i muszą być w stanie komunikować się w odpowiednim języku "), inspektor ochrony danych Europ Assistance Holding będzie wspierany przez lokalną strukturę Korespondentów ds. Danych Osobowych (DPC).
Mianowanie DPC jest dokonywane przez AMSB każdego Podmiotu z Grupy EA i powinno być odzwierciedlone w protokole z posiedzenia AMSB. DPC może zostać wyznaczony na poziomie Podmiotu z Grupy EA lub na poziomie danego kraju wedle według uznania AMSB.
 
6.2       Zadania
 
6.2.2 Zadania DPC
Korespondent ds. Ochrony Danych odgrywa kluczową rolę we wspieraniu wdrożenia obowiązujących przepisów i regulacji dotyczących ochrony danych osobowych oraz w ułatwianiu ich przestrzegania, nawet jeśli to od Kadry zarządzającej zależy działanie i wykazanie, że każda konkretna czynność przetwarzania danych osobowych została przeprowadzona zgodnie z obowiązującymi przepisami.
Do zadań Korespondenta ds. Ochrony Danych należy w szczególności:
  1. informowanie Administratora, Przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego Polityki oraz o treści obowiązujących przepisów i regulacji w zakresie ochrony danych osobowych;
  2. monitorowanie przestrzegania niniejszej Polityki oraz obowiązujących przepisów i regulacji w zakresie ochrony danych osobowych oraz polityk Przetwarzającego w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty, przyjmując również podejście oparte na ryzyku, które pozwala;
  3. informowanie AMSB, że ​​wymagana jest , a po osiągnięciu porozumienia w sprawie takiego wymogu, udzielanie porad w odniesieniu do DPIA (czy należy przeprowadzić DPIA, jaką metodologię zastosować, niezależnie od tego, czy należy przeprowadzić wewnętrzną ocenę skutków lub wewnętrznie ją zlecić, jakie zabezpieczenia zostaną zastosowane w celu ograniczenia wszelkiego ryzyka dla praw i wolności Osób, których dane dotyczą) oraz monitorowanie jej wyników (niezależnie od tego, czy DPIA została prawidłowo przeprowadzona, czy w międzyczasie można prowadzić działania związane z Przetwarzaniem Danych Osobowych i jakie środki bezpieczeństwa należy przyjąć oraz czy ich wnioski są zgodne z przepisami ustawowymi i wykonawczymi w zakresie ochrony danych);
  4. współpraca z organem nadzorczym;
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
  6. wspiera Inspektora Ochrony Danych w udzielaniu odpowiedzi organowi nadzorczemu w kwestiach związanych z przetwarzaniem, w tym w ramach wcześniejszych konsultacji w związku z wynikami DPIA, wskazującymi, że przetwarzanie spowodowałoby wysokie ryzyko w przypadku braku środków zaradczych przedsięwziętych przez właściwy Podmiot z Grupy EA,
  7. ocena na szczeblu lokalnym incydentów naruszeń ochrony danych osobowych ("fałszywie pozytywny") i ich oceny przez osoby Odpowiedzialne przed ich przekazaniem do Inspektora Ochrony Danych EA i / lub Dyrektora Generalnego EA, zgodnie z procedurą zarządzania naruszeniem danych EA.
DPC określi roczny plan kontroli oparty na ocenie ryzyka oraz będzie o jego wynikach informował AMSB. Ponadto DPC jest odpowiedzialny za zgodności działań EA z zasadami zawartymi w niniejszej Polityce, rozpowszechnianie najlepszych praktyk i wspieranie kultury ochrony danych we wszystkich jednostkach organizacyjnych EA.
 
6.2.2 ZAdania IOD
 
Na poziomie Europ Assistance Holding, zakres odpowiedzialności IOD odpowiada zakresowi odpowiedzialności I zadaniom Korespondentów ds. Ochrony Danych na poziomie lokalnym.
IOD wspiera i nadzoruje decyzje i działania Korespondentów ds. Ochrony Danych, którzy informują na bieżąco IOD o swojej działalności.
IOD dokonuje przeglądu analiz oceny naruszenia ochrony danych przeprowadzonych przez DPC i wydaje ostateczne zalecenia właściwemu AMSB w sprawie zgłaszania naruszeń ochrony danych organowi nadzorczemu.
Jednakże to AMSB właściwego Podmiotu z Grupy EA jest ostatecznie zobowiązany do zgłoszenia naruszenia ochrony danych zgodnie z Procedurą postępowania w sprawie naruszenia ochrony danych osobowych EA.

IOD EA jest również odpowiedzialny za zawiadomienie o wszelkich poważnych naruszeniach ochrony danych osobowych inspektora Ochrony Danych Grupy Generali oraz o planowanych środkach zaradczych / działaniach informacyjnych przed zgłoszeniem takiego naruszenia organowi nadzorczemu.

IOD ustala z DPC roczny plan kontroli oparty na ryzyku i koordynuje regularne raportowanie w zależności od potrzeb do Kadry zarządzającej i / lub AMSB na poziomie lokalnym Europ Assistance Holding i Assicurazioni Generali.

Ponadto IOD jest odpowiedzialny za zapewnienie zgodności z kluczowymi zasadami zawartymi w niniejszej Polityce oraz rozpowszechnianie najlepszych praktyk i wspieranie kultury ochrony danych osobowych we wszystkich podmiotach prawnych EA.
 
6.2.3 Wymagania wstępne
Aby wykonać powyższe zadania, należy zapewnić, że IOD oraz Korespondent ds. Ochrony Danych zostali we właściwym czasie i we właściwy sposób zaangażowani we wszystkie operacje, czynności i transakcje związane z ochroną Danych Osobowych. Zapewnienie już na wstępie, że IOD lub Korespondent ds. Ochrony Danych zostaną poinformowani i oraz zostanie zasięgnięta ich opinia, ułatwi przestrzeganie obowiązujących przepisów i zapewni ochronę prywatności z uwzględnieniem zasady “privacy by design”, powinno to być zatem standardową procedurą we wszystkich Podmiotach z Grupy EA.
 
6.2.4    Niezależność IOD i Korespondenta ds. Ochrony danych
AMSB zapewnia, że IOD jest niezależny.
W celu zachowania swojej niezależności, Inspektor Ochrony Danych:
  1. powinien dysponować własnym budżetem, odpowiednimi zasobami (tj. finansowymi, infrastrukturalnymi i personelem) oraz wystarczająco długim czasem na wykonywanie swoich zadań;
  2. nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań;
  3. nie może zostać zwolniony lub ukarany za wypełnianie swoich zadań;
  4. nie można wydawać mu wiążących poleceń co do załatwienia konkretnej sprawy, jakie wyniki należy osiągnąć, jak zbadać skargę lub skonsultować się z organem nadzoru, czy też co do treści opinii związane z prawem ochrony danych osobowych lub jakąkolwiek konkretną interpretacją prawa;
  5. ma prawo wyrazić zdanie odrębne w przypadku decyzji, które są niezgodne z prawem o ochronie danych osobowych lub jego radą/opinią; w przypadku, gdy AMSB nie zgadza się z radą/opinią inspektora ochrony danych, obowiązane są należycie udokumentować i uzasadniać przyczyny nieprzestrzegania zaleceń inspektora ochrony.
Niezależność IOD oraz jego usytuowanie w strukturze jako podmiotu nadzorującego Korespondentów ds. Ochrony Danych w szczególności prawo do wydawania ostatecznych I wiążących rekomendacji skutkuje zapewnieniem niezależności Korespondentów ds. Ochrony Danych.
 
6.2.5    Wymagania w zakresie wiedzy i doświadczenia
Inspektor ochrony danych musi posiadać wiedzę specjalistyczną w zakresie:
  1. krajowych i europejskich przepisów i praktyk w zakresie ochrony danych;
  2. operacji przetwarzania danych osobowych prowadzonych przez właściwy Podmiot z Grupy EA;
  3. zasad i procedur obowiązujących we właściwym Podmiocie z Grupy EA;
  4. przedmiotu działalności i branży, w której działa właściwy Podmiot z Grupy EA.
 
Można wymagać wyższego poziomu wiedzy specjalistycznej, jeżeli działania prowadzone przez odpowiedni Podmiot z Grupy EA są szczególnie złożone lub wiążą się z dużą ilością Danych Osobowych lub te ostatnie są systematycznie przekazywane poza EOG. AMSB zapewnia IOD możliwość ciągłego szkolenia, aby mógł on stale podnosić poziom swojej wiedzy specjalistycznej.
Z uwagi na dużą ilość Podmiotów z Grupy EA tam, gdzie jest to niezbędne IOD będzie się opierał i wspomagał na wiedzy i doświadczeniu Korespondentów ds. Ochrony Danych.
AMSB uwzględnia, że umożliwienie IOD stałego szkolenia doprowadzi do podniesienia jego poziomu kwalifikacji.
Wymagania w zakresie wiedzy I doświadczenia dotyczące IOD znajdują odpowiednie zastosowanie do Korespondentów ds. Ochrony Danych.
 
6.2.6    Zadania IOD i Korespondentów ds ochrony danych
IOD:
  • tworzy wytyczne i procedury operacyjne dotyczące wdrożenia zasad dotyczących danych osobowych dla Korespondentów ds. Ochrony Danych, którzy dostosowują je do wymagań poszczególnych krajów,
  • definiuje metodologię, którą należy zastosować (w razie potrzeby) w odniesieniu do operacji przetwarzania danych osobowych i przekazuje ją Korespondentom ds. Ochrony Danych. Korespondent ds. Ochrony Danych uzgadnia z IOD wszelkie odstępstwa lub wyłączenia, które są niezbędne z punktu widzenia wymagań lokalnych do wdrożenia metodologii. 
 
IOD na poziomie Europ Assistance Holding oraz Korespondent ds. Ochrony Danych na poziomie krajowym:
  • we współpracy z AMSB prowadzi kontrole w zakresie oceny zagadnień związanych z ochroną danych osobowych;
  • jest systematycznie angażowany na najwcześniejszym etapie we wszystkie kwestie związane z ochroną danych osobowych;
  • jest niezwłocznie informowany o naruszeniu Danych Osobowych lub innym incydencie.
 
IOD wspierany na poziomie lokalnym przez Korespondenta ds. Ochrony Danych:
  • udziela porad w przypadku przeprowadzenia oceny skutków dla ochrony danych;
  • działa jako punkt kontaktowy dla organu nadzoru w kwestiach związanych z Przetwarzaniem, w tym w ramach wcześniejszych konsultacji (w przypadku DPIA) i konsultowania, w razie potrzeby, w odniesieniu do każdej innej kwestii.
 
Korespondent ds. Ochrony Danych na poziomie lokalnym a IOD na poziomie Europ Assistance Holding pełni rolę punktu kontaktowego dla Osób, których dane dotyczą np. w przypadku wykonywania ich praw.
 
7 Wiodący Organ Nadzorczy
 
Jeśli konieczne jest zidentyfikowanie wiodącego organu nadzorczego dokonują tego wspólnie Inspektorzy Ochrony Danych
EA i Generali Group.
 

Portfolio

Organizacja wynajmu Ferrari California
Organizacja urodzin w kasynie
Organizacja życzeń niestandardowych
Dostarczenie karuzeli na posesję klienta
Wyznanie miłości podczas spektaklu
Organizacja biletów do Filharmonii
Zaplanowanie egzotycznej podróży
Oświadczyny na wyspie zakochanych
Aranżacja rejsu wybrzeżem chorwacji