ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ЗАСТРАХОВАТЕЛЕН БРОКЕР

„Емплои Бенефитс“ ЕООД

 

Дефиниции

 

В настоящата Политика се използват следните дефиниции:

1. „Приложимо право“ означава приложимото законодателство на Европейския съюз и Република България по отношение на защитата на личните данни;

2. „ОРЗД“ означава Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ЕО („Общ регламент за защита на данните“);

3. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

4. „Обработване“ всяка операция или съвкупност от операции, извършвана с лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване чрез предаване, разпространение или друг начин, чрез който данните стават достъпни;

5. „Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

6. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии;

7. „Администратор“ означава физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на личните данни;

8. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган или друга структура, която обработва лични данни от името на администратора;

9. „Съгласие на субекта на данни“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

10. „Разкриващ лични данни" означава страната по този Договор, която предава лични данни на Получателя на лични данни;

11. „Получател на лични данни“ означава страната, която получава личните данни от Разкриващия личните данни;

12. Термините  „Субект на лични данни“, „Нарушение на сигурността на личните данни“, „Обработване", „Специални категории лични данни“ и „Надзорен орган“ имат същото значение като в ОРЗД и приложимото национално законодателство.

 

 

 

 

Раздел I

Общи положения

 

Чл. 1. Настоящата Политика за защита на личните данни на застрахователен брокер „Емплои Бенефитс“ ЕООД (Брокера)  определя правилата по отношение защитата на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския парламент.

 

Чл. 2. Настоящата Политика определя целите и средствата за защита на личните данни. Целта на Политиката по защитата на физическите лица във връзка с обработване на личните им данни се осъществява чрез:

1.              Установяване на ясни правила и координираност в дейността на служителите на ЗБ „Емплои Бенефитс“ ЕООД при събиране, записване, организиране, структуриране, съхраняване, промяна, употреба, разкриване чрез предаване, разгласяване на лични данни, ограничаване и изтриване на данни от водените от Брокера регистри, за да се гарантира неприкосновеността на правата на субектите на данни при обработване на свързаните с тях лични данни;

2.              Установяване на ясни правила при упражняване правата на субекта на данни по отношение на неговите данни;

3.              Регламентиране достъпа на служителите до данните в съответния Регистър на дейностите по обработване;

4.              Определяне Регистри на дейностите по обработване;

5.              Регламентиране на принципи, които трябва да се спазват при управление на данните;

6.              Определяне на необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни);

7.              Определяне нивата на въздействие върху обработваните лични данни и съответното ниво на защита.

 

Чл. 3. Настоящата Политика регламентира:

1. Принципите на дейността на ЗБ „Емплои Бенефитс“ ЕООД в качеството му на администратор на лични данни, в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и Закона за защита на личните данни;

2. Механизмите, регламентиращи въвеждането и спазването на горните принципи;

3. Правата на субектите на данни. Процедури при осъществяване правата на субектите на лични данни;

4. Функциите на ЗБ „Емплои Бенефитс“ ЕООД в качеството му на администратор;

5. Отношенията на ЗБ „Емплои Бенефитс“ ЕООД с дружества, които по силата на договор се явяват също администратори или обработващи лични данни;

6. Процедурата по оценка на въздействието върху обработваните лични данни и определяне нивата на въздействие и защита на обработваните лични данни.

 

 

 

 

 

Раздел II

 Принципи свързани с обработването и защитата на личните данни

 

Чл. 4. (1) Основните принципи на дейността по обработване на лични данни в ЗБ “Емплои Бенефитс” ЕООД са:

 

1. Законосъобразност, добросъвестност и прозрачност.

За да бъде обработването законосъобразно и добросъвестно, личните данни следва да бъдат обработвани на конкретни законни основания, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и Закона за защита на личните данни, уреждащи материята, както следва:

-       на основание легитимен интерес на брокера;

-       на основание спазването на законово задължение, наложено на брокера, в качеството му на администратор на данни;

-       на основание изпълнение на договор, по който субекта на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения;

-       на основание изрично съгласие на субекта на данни.

Изпълнението на принципа „прозрачност“ изисква всяка информация и комуникация във връзка с обработването на личните данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.

 

2. Ограничение на целите.

Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. По-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.

 

3. Свеждане на данните до минимум.

Събираните лични данни са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват.

 

4. Точност.

Събраните и обработвани от брокера лични данни следва да са точни и при необходимост да бъдат поддържани в актуален вид, като за целта брокерът предприема съответните мерки, за да се гарантира своевременното изтриване и коригиране на неточни лични данни, като се има предвид целите, за които те се обработват;

 

5. Ограничение на съхранението.

Личните данни се съхраняват за период не по-дълъг от необходимото за целите, за които те се обработват. Данните могат да се съхраняват за дълги срокове единствено за статичтически цели на брокера, при условие, че бъдат приложени съответните технически и организационни мерки, с цел да се гарантирани правата и свободите на субектите на данни.

 

6. Цялостност и поверителност.

Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни. За целта се прилагат подходящи технически и орагнизационни мерки в дружеството.

 

(2) Брокерът събира, обработва и съхранява личните данни на субектите на данни при:

1. гарантираност на неприкосновеността на личността и личния живот на субекта на данни при обработване на свързаните с него лични данни;

2. законосъобразно и добросъвестно обработване на данните;

3. обработване на данни само от лица, чиито служебни задължения изискват обработване на конкретните данни на принципа „необходимост да се знае“.

Мерките за защита на данните са функция от вида регистър, на който се поддържат, и нивото им на чувствителност.

(3) С цел гарантиране ограничението на съхранение на данните, в дружеството се създават и прилагат Вътрешни правила за съхранение на документите.

 

Чл. 5. (1) Брокерът не обработва лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до генетични и биометрични данни, които се обработват за целите единствено на идентифицирането на физическо лице;

4. се отнасят до сексуалния живот или сексуалната ориентация на физическото лице или до човешкия геном.

(2) Посочените в предходната алинея лични данни дружеството може да обработва само на законно уредените основания.

 

Чл. 6. Брокерът събира и обработва лични данни, свързани със здравословното състояние, както следва:

1. по отношение на служителите му, с оглед изпълнението на техните трудови задължения, при спазване изискванията на трудово-осигурителното законодателство;

2. по отношение на клиенти, които ползват застрахователни продукти чрез неговото посредничество, изискващо предоставянето на подобна информация, при спазване изискванията на Регламент (ЕС) 2016/679 на Европейския парламент, Закона за защита на личните данни  и/или друг правен акт на Република България, уреждащ и/или допълващ материята;

 

Чл. 7. (1) Брокерът може да обработва лични данни самостоятелно или чрез трети лица, в качеството им на обработващи лични данни и съвместни администратори, на основание на сключен с тях договор. Съответните договори трябва много ясно и точно да определят какви лични данни ще се обработват, как, в какъв срок, с каква цел. При обработване на съвместни администратори трябва ясно да се определят съответните права и задължения на двете страни, както и техните отговорности.

(2) Обработването на личните данни на субектите на данни се осъществява при прилагане на професионална конфиденциалност. Това изискване е задължително във взаимоотношенията между служителите, между служители и клиенти, както и спрямо третите лица, обработващи лични данни и съвместни администратори. В същата степен се изисква конфиденциалност и по отношение финансовото състояние на субектите на лични данни, както и извършваните от тях сделки;

            (3) Независимо дали Брокера обработва личните данни самостоятелно или чрез трети лица, в качеството им на обработващи лични данни и/или съвместни администартори, при обработването им винаги се прилагат принципите съгласно чл. 4 от настоящата Политика.

 

Раздел III

Права на субектите на данни

 

Чл. 8. (1) Правата на субектите на данни засягат всички лични данни на физическото лице, както и всички субекти на данни, чиито данни се обработват от Брокера.

(2) Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и Брокера спазва, са както следва:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване (право „да бъдеш забравен“);

4. Право на ограничаване на обработването;

5. Право на възражение срещу обработването на лични данни;

6. Право на субекта на лични данни да не бъде обект на решение, основаващо единствено на автоматизирано обработване;

7. Право на преносимост на данни;

 

Чл. 9. (1) Правото на достъп на субекта на данни представлява правото да получи от Брокера, в качеството му на администратор на данни, потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до личните си данни и следната информация:

·       цели на обработването;

·       съответните категории лични данни;

·        категории получатели, пред които са или ще бъдат разкрити личните данни;

·       предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;

·       съществуването на правото да се изиска коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;

·       правото на жалба до надзорен орган;

·       когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;

·       съществуването на автоматизирано вземане на решение, включително профилиране, и информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данни.

·       когато личните данни се предават на трета държава или на международна организация, субектът на данни има право да бъде информиран относно подходящите гаранции във връзка с предаването;

Чл. 10. (1). При искане от субекта на лични данни, Брокерът може да предостави копие от личните данни, които са в процес на обработване.

(2). При предоставяне на копие от лични данни, не може да разкрива следните категории данни:

1. лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това;

2. данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация;

3. друга информация, която е защитена съгласно приложимото законодателство;

(3). Предоставянето на достъп на субекти на лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на Брокера.

 

Чл. 11. (1). Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, Брокерът може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп.

(2). За всеки отделен случай, Брокерът преценява дали дадено искане е явно неоснователно или прекомерно.

(3). При отказ за предоставяне на достъп до лични данни, Брокерът аргументира отказа си и информира субекта на данни за правото му да подаде жалба до Комисията за защита на личните данни (КЗЛД).

 

Чл. 12. Субектът на данни има право да поиска личните му данни, обработвани от Брокера, да бъдат коригирани, в случай че последните са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Брокера данни, той е длъжен да уважи такова искане, като в тези случаи трябва да уведоми другите получатели, на които са били разкрити тези данни, така че те да могат да отразят измененията.

 

Чл. 13. (1) Субектът на данни има право на изтриване (право „да бъдеш забравен“) на данните му. При поискване, Брокерът е задължен да изтрие лични данни, ако е налице някое от следните основания:

·       личните данни вече не са необходими за целите, за които са били събрани и не съществува нова законосъобразна цел;

·       законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие и липсва друго правно основание за обработване;

·       субектът на данни възразява срещу обработването и липсва друго правно основание за обработване;

·       личните данни са били обработвани незаконосъобразно;

·       личните данни трябва да бъдат изтрити с цел спазване на правно задължение на Брокера;

·       личните данни са събрани във връзка с предлагане на услуги на информационното общество на субект на данни – дете по смисъла на Регламент (ЕС)2016/679.

 

(2) Правото на изтриване на данните на субекта на данни не следва да се прилага от Брокера, доколкото обработването е необходимо:

·       за спазване на правно задължение на Брокера;

·       за установяването, упражняването или защитата на правни претенции;

·       по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3 от Регламент (ЕС) 2016/679;

·       за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1 от Регламент (ЕС) 2016/679, доколкото съществува вероятност правото на изтриване да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;

 

Чл. 14. (1) Субектът на данни има право да изиска от Брокера да ограничи обработването на личните му данни, когато се прилага едно от следното:

·       точността на личните данни се оспорва от субекта на данни за срока, който позволява да се извърши проверка на точността на личните данни;

·       когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

·       когато Брокерът не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или защитата на правни претенции;

(2) Когато обработването на данни е ограничено съгласно условията на ал. 1, такива данни се обработват, само за следните цели:

·     за съхранение на данните

·     със съгласието на субекта на данните;

·     за установяването, упражняването или защитата на правни претенции;

·     за защита на правата на друго физическо лице;

·     поради важни основания от обществен интерес;

(3) Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и Брокера съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

 

Чл. 15. (1) Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на Брокера. В този случай Брокерът може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.

(2) Когато субектът на данни възрази срещу обработването на личните му данни за целите на директния маркетинг, Брокерът прекратява обработването им за тази цел.

 

Чл. 16. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. Това правило не се прилага, ако решението е необходимо за сключване или изпълнението на договор между Брокера и субекта на данни.

 

Чл. 17. (1) Субектът на данни има право да получи личните данни, които го засягат и които той е представил на Брокера, в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

(2) Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна на Брокера към друг администратор само ако това е технически осъществимо.

(3). Субектът на личните данни може да упражни правото на преносимост в следните случаи:

1. обработването е основано на съгласието на субекта на личните данни;

2. обработването е основано на договорно задължение;

3. обработването се извършва по автоматизиран начин;

(4). Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.

 

Чл. 18. (1). Субектите на лични данни могат да упражнят правата съгласно тази Политика, като подадат искане за упражняване на съответното право.

 

(2). Искане за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:

1. По електронен път на следния имейл адрес ***

2. На място в офис на Брокера;

3. По пощата на адреса на офис на Брокера: ****

(3). Искането за упражняване на права на лични данни следва да съдържа следната информация:

1. Идентификация на лицето – име и ЕГН/номер на полица/клиентски номер

2. Контакти за обратна връзка – адрес, телефон, електронна поща

3. Искане – описание на искането

Чл. 19. (1). Брокерът предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането.

(2). При необходимост, този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Брокерът информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.

(3). Брокерът не е задължен да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните.

(4). Брокерът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.

(5). Когато искането е подадено с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

 

 

Раздел IV

Оценка на въздействието на защита на данните

 

Чл. 20.(1) Във всеки един случай, когато има вероятност операциите по обработването на данни да доведат до висок риск за правата и свободите на физическите лица, дружеството извършва оценка на въздействието на предвидените операции.

(2) Оценката на въздействие съдържа най-малко следното:

            - системен опис на предвидените операции по обработване и целите на обработването;

            - оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

            - оценка на рисковете за правата и свободите на субектите на данни;

            - мерките, предвидени за справяне с рискове, мерките за сигурност и механизмите за осигуряване на защитата на личните данни;

              Чл. 21. Принципите, при които се провежда процедурата по оценка на въздействието са целенасоченост, задълбоченост, всеобхватност и своевременност:

              - принципът за „целенасоченост“ се изразява в задължението на Брокера да извърши процедурата по оценка по отношение на всеки воден регистър на лични данни;

              - принципът за „задълбоченост“ се изразява в задължението на Брокера да отчете характера на обработваните лични данни, организирани в регистри;

              - принципът за „всеобхватност“ се изразява в задължението на Брокера да извърши процедурата по обща оценка по отношение на всички водени от него регистри на лични данни;

              - принципът за „своевременност“ изисква от Брокера незабавно да извършва процедура по оценка при всяка промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

 

              Чл. 22. (1). Оценка на въздействието, определя нивата на въздействие и нивата на защита на обработваните лични данни.

              (2) Критериите, съобразно които се извършва оценката на въздействието, са „Поверителност“, „Цялостност“ и „Наличност“.

.             (3) За целите на тази Политика, се определят следните нива на въздействие:

-       Изключително високо ниво на въздействие;

-       Високо ниво на въздействие;

-       Средно ниво на въздействие;

-       Ниско ниво на въздействие.

              (4). Определя се нивото на въздействие по всеки критерий във всеки отделен регистър. Най-високото ниво на въздействие определя нивото на въздействие на съответния регистър на лични данни.

              (5). За целите на тази Политика се определят следните нива на защита на обработваните лични данни, които, в зависимост от определените нива на въздействие на съответните регистри на лични данни, Брокера, като администратор, е задължен да прилага:

-       при ниско ниво на въздействие - ниско ниво на защита;

-       при средно ниво на въздействие - средно ниво на защита;

-       при високо ниво на въздействие - високо ниво на защита;

-       при изключително високо ниво на въздействие - изключително високо ниво на защита.

            (6) Всяко ниво на защита на обработваните лични данни представлява съвкупността от технически и организационни мерки за физическа, персонална, документална, информационна и/или друга защита, които Брокера, като администратор, следва да прилага, с цел защита на личните данни и на субектите на лични данни от неправомерно обработване на данни, както и с цел управление на въздействието върху обработваните лични данни, върху физическо лице, или група физически лица.

 

(7). Оценка на въздействието се извършва регулярно на всеки 2 години, както и при всяка съществена промяна на характера на обработваните лични данни.

 

Раздел V

Регистри на дейностите по обработване

 

Чл. 23. (1). В настоящия раздел са изброени примерните изисквания при обработката на лични данни в зависимост от вида носител, на който се поддържат регистрите и нивото на чувствителност на данните.

(2). Като администратор на лични данни, Брокерът води следните регистри:

            1. регистър „Клиентски досиета”, по сключени чрез неговото посредничество застрахователни договори и образувани застрахователни преписки /щети. В него се обработват лични данни на клиенти на Брокера, страни/или техни представители/ и ползващи лица по застрахователни договори.

            2. регистър „Управление на човешките ресурси”, създаден с цел организиране дейността на Брокера във връзка с управление на персонала. В него се обработват лични данни на лица-служители на брокера, кандидати за работа и стажанти;

            3. регистър „Доставчици на услуги и Граждански договори“ по сключени от Брокера договори с външни доставчици. В него се обработват лични данни на контрагенти и/или лица по договори с външни доставчици на услуги, външни експерти и други, които подпомагат извършване дейността му.

(3). Съгласно предвидения в закона ред и в зависимост от дейността на Брокера, могат да бъдат създадени допълнително и други регистри.

(4). Личните данни в горните регистри се събират, обработват и съхраняват от съответните служители, участващи в процеса по администриране и обслужване на съответната  дейност.

 

Чл. 24. В регистър „Клиентски досиета“ се водят и съхраняват следните групи лични данни за клиенти на Брокера, техни представители/законни или по пълномощие/, действителни собственици, трети лица, които без упълномощаване извършват сделка от тяхно име за чужда сметка, ползващи се лица и други лица, свързани по някакъв начин със застрахователния договор, сключен с посредничеството на Брокера:

а/ данни относно физическата идентичност на лицата по представен от лицето документ за самоличност – имена, ЕГН, дата на раждане, номер на лична карта или друг документ за самоличност, по който ФЛ може да бъде идентифицирано, дата и година на издаване на документа, издател, адрес на ФЛ, телефони и др.

б/ данни относно икономическата идентичност на лицето – финансово състояние на лицето, когато това се налага с оглед вида на застраховката или за определяне рисковия профил на клиента от гледна точка на мерките срещу изпиране на пари и финансиране на тероризма.

в/ данни относно здравословното състояние на лицето, дотолкова доколкото те са необходими за сключване и обслужване на застрахователния договор.

 

Чл. 25. В регистър „Управление на човешките ресурс“ се водят и съхраняват следните групи лични данни за служителите на Брокера по трудов или граждански договор:

а/ данни относно физическата идентичност на лицата – по представен от лицето документ за самоличност – имена, ЕГН, номер на лична карта или друг документ за самоличност, по който ФЛ може да бъде идентифицирано, дата и година на издаване на документа, издател, адрес на ФЛ, месторождение, телефони и др;

б/ данни относно образованието на физическото лице – вид на образованието, място, номер и дата на издаване на дипломата. Когато е необходимо се представят – и данни относно допълнителна квалификация. Данните са необходими с оглед спазване нормативни или установени със щатното разписание изисквания за заемане, респективно за освобождаване на определени длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

в/ данни относно трудовата дейност на физическото лице – упражнявана професия, трудова биография. Данните са от значение при избора на подходящо за съответната длъжност лице. Предоставят се на основание нормативно задължение във всички случаи, когато е необходимо;

г/ други данни - лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност в случаите изисквани от закона.

Горната информация се съхранява в личните досиета на служителите.

 

Чл. 26. (1). В регистър  „Доставчици на услуги и Граждански договори“ по сключени от Брокера договори с външни доставчици се водят и съхраняват лични данни за страните по договорите/ЮЛ и ФЛ/ или техните представители. Същите се обработват само с оглед изпълнение на задълженията по договорите и за съответните срокове. След прекратяване на договорите, личните данни следва да се унищожат съгласно вътрешните правила на дружеството.

 

Чл. 27. (1). Регистрите се водят в следните форми:

1. Регистри, водени на хартиен носител;

2. Регистри, водени на технически носител;

 

Чл. 28. (1) Писмената (документална) форма на организация и съхраняване на личните данни се състои в съхранение на данните в папки (кадрови досиета, досиета на изпълнители и клиенти) за всеки служител или наето по граждански договор лице, както и за всеки клиент, с когото е сключен договор.

(2) Минималните изисквания към регистрите, поддържани на хартиен носител, са:

1. Съхранение на носителите в заключващи се помещения, до които достъп нямат външни лица, а при необходимост и в шкафове със секретни ключалки;

2. При отпадане на основанието или постигане на целта на обработване и при изтичане на срока за съхранение унищожаването на тези документи се извършва по начин, който предотвратява всякаква възможност за бъдещо разчитане на данните.

3. Лицата с пряк достъп до документи, съдържащи лични данни, са длъжни да уведомят незабавно прекия си ръководител в случай на установяване на неправомерен достъп или ползване на съответната информация, включваща лични данни, или на неправомерно проникване в помещение, в което тази информация се съхранява.

4. Достъпът и предоставянето на данни от тези регистри се осъществяват по възможност без изнасяне на оригиналните носители извън помещенията, в които се съхраняват. Трудовите досиета на служителите не се изнасят извън офиса на Брокера.

 

Чл. 29. Данните, поддържани на технически носители в електронен вид от Брокера, съществуват на локален компютър или в мрежа, несвързана с обществената мрежа. Към тях се прилагат мерки, съответстващи на средно ниво на защита, като минимално изискване.

 

Чл. 30. Регистрите, спрямо които се прилага средно ниво на защита, са всички електронни масиви с клиентски данни и данни за други лица, свързани с услугите на Брокера.

 

Чл. 31. Минималните изисквания към регистрите, съдържащи лични данни, спрямо които се поддържа средно ниво на защита, са:

1.               Временните файлове, изпращани между служители по повод изпълнение на служебните им задължения и съдържащи лични данни, се изтриват след изпълнение на съответната задача или се изтриват личните данни в тях.

2.              В случай на загуба на данни, това обстоятелство се съобщава на Комисията по защита на личните данни.

3.              За да се осигури индивидуална отчетност и да се провери самоличността на потребителя, от всеки потребител се изисква да пази поверителна информация за лична идентификация (парола). Споделянето на информация за автентикацията е забранено.

4.              За да се гарантира сигурността на информацията, съхранявана по електронен път, всички преносими компютърни устройства трябва да се прибират на сигурно място и заключват, когато не се използват. Компютри и лаптопи не трябва да се оставят отключени, когато не се работи на тях. Ако служителите трябва да напускат бюрата си по каквато и да е причина, те трябва да заключват компютъра с помощта на "Lock" (Win+L) функцията.

 

 

Раздел VI

Процедура за достъп до лични данни от титулярите на данните или трети лица, подаване на възражения и жалби

 

Достъп до лични данни от страна на лицето, за което се отнасят

 

Чл. 32. Всеки Клиент на Брокера може да подаде молба, с която да поиска упражняване на правата си, съгласно Раздел III от настоящата Политика.

 

Чл. 33. Ако данните, до които се иска достъп, представляват класифицирана информация, достъпът се отказва.

Достъп до лични данни от трети лица

 

Чл. 34. В случай, че трето лице иска достъп до данните на Клиент на Брокера, които не представляват тайна или класифицирана информация, исканите данни се предоставят само в случай, че едновременно са изпълнени следните условия:

1. съществува законен интерес на лицето, искащо данните;

2. не може да се направи извод, че интересите на титуляря на данните имат преимущество спрямо интересите на лицето, искащо разкриването на данните.

3. получателят на данните попада в кръга от лица, за който титулярят на данните предварително е уведомен относно възможността за разкриване на негови данни или титулярят е уведомен за разкриването на неговите данни след постъпване на искането от третото лице.

4. лицето, за което се отнасят данните, е дало своето изрично писмено съгласие.

 

Чл. 35. Ако исканите данни съдържат тайна или класифицирана информация, се спазват изискванията за забрана за разкриването им.

 

Държавни органи – искания за достъп

 

Чл. 36. (1) При постъпило искане от държавен орган за предоставяне на информация, която съдържа и лични данни, се спазва специалния нормативен акт, който регламентира реда за предоставяне на съответния вид информация.

 

(2) Когато в писмото, в което се съдържа искането на държавния орган, се съдържат лични данни, които индивидуализират определени Клиенти, в писмото-отговор индивидуализиращата информация за клиента не се включва по-голям обем данни, освен ако такива се изискват от органа.

 

(3) При постъпило искане за предоставяне на конкретни лични данни, копие от писмото на съответния орган се предоставя и на Комисията по защита на личните данни в Брокера, с оглед потвърждение на основанието по закон и предприемане на необходимите действия, съгласно Закона.

 

Подаване на възражения и жалби

 

Чл. 37. Физическо лице може да направи възражение или да отправи искане пред Брокера относно:

1. обработването на личните му данни при наличие на законово основание за това. При преценка, че възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани.

2. обработването на личните му данни за целите на директния маркетинг, независимо от първоначално изразеното писмено съгласие.

3. уведомяване, преди личните му данни да бъдат разкрити за пръв път на трети лица, независимо от първоначалното му писмено съгласие, като му бъде предоставена възможност да възрази срещу такова разкриване или използване. В случай, че без това разкриване или използване съществува пречка за изпълнение на задължения по застрахователен договор, договорът се прекратява, като Клиентът се уведомява за това.

4. в случай, че лицето не е подало заявление по предходната точка, с което иска да бъде уведомявано преди всяко разкриване на негови данни, то също може да възрази срещу разкриването, като съответният застрахователен договор ще бъде прекратен.

Раздел VII

Прехвърляне, проверка и съвместно обработване на лични данни между Брокера и друг администратор

 

Прехвърляне на данни от Брокера на друг администратор на лични данни по силата на договор

 

Чл. 38. (1) Предоставянето на клиентски данни от Брокера на други администратори, включително от държави от ЕС, по силата на споразумение се извършва при спазване на условията и предвидените възможности, определени с настоящата Политика, като при липса на предварително уведомление за възможните категории получатели, задължително титулярят на данните се уведомява за предоставянето непосредствено преди или след извършването му.

(2) Уведомлението по ал.1 съдържа следната информация:

1. категориите лични данни, които се предоставят;

2. получателят на данните;

3. целите на обработването.

(3) Когато прехвърлянето е към субект от друга държава, извън ЕС, се спазват специфичните изисквания на Закона за такъв вид прехвърляне.

 

Получаване от страна на Брокера на данни от друг администратор

 

Чл. 39. При водене на преговори и сключване на договори за провеждане на съвместни кампании с други търговци, които предвиждат получаване от тях на лични данни на техни Клиенти, от контрагента се изисква да гарантира спазване на ЗЗЛД при предоставяне на данните на Брокера.

 

Чл. 40. В случай че в хода на съвместната кампания Клиент изрази несъгласие с обработването на негови лични данни, когато Клиентът не е страна  по застрахователен и/или друг тип търговски договор, сключен с Брокера, както и не се е съгласявал писмено за обработване на информация, отнасяща се до него, данните незабавно се унищожават на основание отпадане на целта на обработването.

 

 

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

 

§1. Настоящата Политика е в съответствие с Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ЕО и Закона за защита на личните данни.

§2. Настоящата Политика е утвърдена със Заповед на управителя на Застрахователен брокер „Емплои Бенефитс“ ЕООД от № 2 от 27.10.2023 г.