Поверителност и лични данни

!!! УВЕДОМЛЕНИЕ !!!
По чл.33, пар2 от Регламент/ЕС/ 2016/679 от Закона за личните данни нарушение на сигурността на личните данни обработвани от ЗБ Инс консултинг ООД, Пловдив, Потребител на уеб базизирана информационна система Sirma Inshurance Enterprice, на SirmaISC АД

Уважаеми Дами и Господа,

Уведомяваме Ви, че на 06.01.2021г. в 17,36ч. с e-mail, бяхме известени от Сирма Ай Си Ес АД, че има установено нарушение на сигурността на личните данни, обработвани в информационната система Sirma Inshurance Enterprice, изразяващ се в достъп до справки по текущи полици на наши крайни клиенти. Същия достъп е осъществен, чрез нерагламентирано използване на потребителски акаунти. Данни за точния брой и конкретните лица, засегнати от нарушението не ни бяха дадени. Своевременно сменихме всички пароли на ползваните от нас акаунти и инициирахме процес по задължителна активация на двуфакторна автентикация на всички потребители, който процес към момента е приключен.

С това уведомление, считаме че сме изпълнили ангажиментите си по чл. 34, пар2 от Регламент/ЕС/ 2016/679.


ПРАВИЛА И ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ ПРИ РАБОТА С ЛИЧНИ ДАННИ ПО СМИСЪЛА НА РЕГЛАМЕНТ ЕС 2016/679

Моля, прочетете внимателно тази наша политика за поверителност, тъй като тя съдържа важна информация за това:
• кои сме ние;
• как и защо събираме, съхраняваме, използваме и споделяме Вашата лична информация;
• Вашите права във връзка с Вашата лична информация и как да процедирате в случай, че имате оплаквания.

1.Кои сме ние като администратор на лични данни?
Ние сме Застрахователен Брокер ИНС КОНСУЛТИНГ ООД и осъществяваме дейност с разрешение 52-ЗБ/15.06.2005 на КФН. Седалището и адресът на дружеството са: гр. Пловдив, ул. Тодор Г. Влайков 19.
Застрахователният брокер извършва застрахователно и презастрахователно посредничество, т.е. дейност по представяне, предлагане или друга подготвителна работа за сключване на застрахователни и/или презастрахователни договори, или по сключване на такива договори, или даване на съвети и съдействие за обслужването и изпълнението на такива договори, включително при настъпването на застрахователно събитие. Той е длъжен да действа коректно, честно и професионално при разпространение на застрахователни продукти, съгласно най-добрия интерес на ползвателите на застрахователни услуги. Всяка информация от разпространител на застрахователни продукти, отправена към ползватели на застрахователни услуги, в това число маркетинговите съобщения, трябва да е вярна, ясна и да не е подвеждаща.
Когато работим с Ваша лична информация, ние се ръководим от приложимото законодателство за защита на личните данни и сме отговорни като администратор на лични данни (АЛД) за целите на това законодателство. Субектът на лични данни е собственик на разкриваните пред нас такива данни, които ние използваме добросъвестно и законосъобразно. Ако при осъществяване дейността си сме получили Ваши лични данни, независимо дали по сключен договор за посреднически услуги като застрахователен брокер или без такъв формален договор при определени от закона случаи, и тези данни са за конкретни застрахователни дружества , от които събираме за Вас оферти с цел сключване на застрахователен договор или съпътстваща такъв договор услуга (например пътна помощ, оценка на активи, правни и финансови съвети и др., предлагани от наши партньори), или с Ваше знание и съгласие работим с други разпространители на застрахователни продукти (застрахователи/ застрахователни посредници), то тези трети лица също ще се считат отделно за АЛД съгласно приложимото законодателство за защита на данните. Ние не носим отговорност за практиките за защита на личните данни на трети страни и можете директно да получите достъп до политиките за поверителност на нашите партньори.

2.Нормативна база
По отношение на защита на личните данни се прилага българското законодателство и европейското такова, имащо пряко действие на територията на България, съгласно правната рамка на ЕС за защита на личните данни. Основните нормативни актове като Общ регламент относно защита на личните данни /Регламент (ЕС) 2016/679/ – ОРЗД, Закон за защита на личните данни (ЗЗЛД) и всички посочени нормативни актове като правна рамка, но не само, в сайта на Комисията за защита на личните данни (КЗЛД) – https://www.cpdp.bg .

3. Какви лични данни събираме и използваме
„Лични данни“ е информация, която Ви идентифицира или може да бъде използвана за идентифициране на Вас, като например Вашето име, данни за контакт, информация за сключените сделки и тяхната история. Това може да включва и информация за това как използвате нашите услуги, независимо дали при пряк контакт или посредством електронните медии и технологии. Всички други използвани термини и понятия като „Споделени лични данни”; „Администратор” „Съвместен администратор“ „Обработващ“, „Субект на лични данни”, „Нарушение на сигурността на личните данни”, „Обработване”, „Специални категории лични данни”, „Надзорен орган” и т.н. имат същото значение като в ОРЗД и приложимото национално законодателство.

Събираме и обработваме следните лични данни:
3.1. На служители, работещи за брокера по трудов договор и лица, подпомагащи дейността ни по граждански договор:
3.1.1. По документ за самоличност – имена, ЕГН, адрес, месторождение; номер, срок на валидност и издател на документа за самоличност.
3 .1.2.данни за трудовата биография, образование на физическото лице и др. , с оглед необходимите нормативните изисквания за изпълнение на работата – вид на образованието с диплома/ друг документ за квалификация; гражданско-правен и здравен статус – когато се изисква по закон за заеманата длъжност; контакти: електрона поща, адрес за кореспонденция, телефон и др.; банкова информация – обслужваща банка, IBAN/SWIFT код.
Договорите и прилежащата информация се съхранява в личните досиета на лицата, на хартиен и електронен носител (фирмените компютри).
3.2. На застрахователни дружества, с които имаме посреднически договори. Тези договори, съдържащи данни на лицата, представляващи страните, се класират основно в папки и класьори на хартиен/електронен носител.
3.3. На ползватели на застрахователни продукти – с оглед вида на договора или за определяне рисковия профил на клиента:
3.3.1. По документ за самоличност – имена, ЕГН, постоянен адрес, месторождение; номер, срок на валидност и издател на документа за самоличност;
3.3.2. Друга информация относно субекта/предмета на конкретен застрахователен договор –допълнителни данни за кандидата за застраховане като професия, длъжност, месторабота, гражданство, семейно положение; контакти: електрона поща, адрес за кореспонденция , телефон; икономическа активност; банкова (обслужваща банка, IBAN/SWIFT код), финансова и данъчна информация, застрахователна история, пол, възраст и други.
3.3.3. В досиетата на клиентите ни се събира и съхранява още информация за лични данни на техни представители (по закон или по пълномощие), действителни собственици, трети лица, които без упълномощаване извършват сделка от тяхно име за чужда сметка, ползващи се лица и други лица, свързани по някакъв начин със застрахователния договор; данни относно здравословното състояние на лицето и други чувствителни данни, дотолкова доколкото те са необходими за сключване и обслужване на застрахователния договор.
Личните данни се събират, обработват, съхраняват и споделят от служители на брокера, които осъществяват пряко дейност по застрахователно посредничество, като отговорността за тяхната дейност и квалификация се носи от застрахователния брокер. Списък на тези лица се предоставя на Комисията за финансов надзор и нашите договорни партньори.
4. Защо имаме нужда от Вашите лични данни, как и с каква цел ги обработваме и защитаваме
4.1. По принцип ние искаме Вашите лични данни основно с договорно правно основание – с оглед да сме в състояние да Ви предлагаме нашите услуги на застрахователен брокер -прозрачно, добросъвестно и законосъобразно:
Да сключим договор с Вас за застрахователно посредничество като застрахователен брокер, в повечето случаи писмен, освен в предвидените от закона случаи, когато не е необходим писмен договор, например при някои задължителни застраховки.
Да анализираме Вашите нужди и изисквания от конкретни застраховки и компетентно, в разбираема форма да Ви предлагаме застрахователни продукти като съберем за Вас достатъчно оферти от застрахователите. На базата на събраните оферти правим справедлив анализ на събраната информация и класираме офертите, като се ръководим от най-добрия Ваш интерес като кандидат за застраховане. Обобщаваме, като изготвяме персонализирана препоръка защо следва да изберете определено предложение според нас.
Естествено Вие може да се съгласите или да направите друг избор, но благодарение на нас това ще бъде Ваше информирано решение.
Да изпълним задълженията си по сключени с наше посредничество Ваши застрахователни договори и съпътстващи услуги.
Да Ви консултираме професионално по Ваше искане по други Ваши застрахователни договори, сключени без наше посредничество.
Споделянето на лични данни помежду ни има още и за цел да подпомогне комуникация ни, да обезпечи ефикасното и ползотворно управление на договорните ни права и задължения.
Да гарантира спазването на всички наши законови задължения по отношение опериране и споделяне на Ваши лични данни.
4.2. Ние гарантираме, че обработваме споделените лични данни добросъвестно и законосъобразно, въз основа на подходящо правно основание.
Обработването е законосъобразно, когато е налице някое от правните основания, изчерпателно изброени в чл. 6, параграф 1 от ОРЗД. (Приложение 2: Отговор на КЗЛД по поставен въпрос за основанията за обработка на лични данни и случаите, когато не се изисква съгласие за тази обработка – https://www.cpdp.bg в рубрика „бъдете информирани“ – актуални въпроси от обществен интерес) Спазвайки принципа за прозрачност събираната информация обработваме по начин тя да е лесно достъпна и разбираема, с ясни и недвусмислени формулировки. Събираните лични данни са подходящи, свързани с и максимално ограничени до необходимото във връзка с целите, за които се обработват.
Отговорността за обработването на искания за упражняване на правата на субекти на данни принадлежи на страната, получила искането. Страните се съгласяват да си съдействат и да осигурят разумна и бърза помощ (в рамките на 5 работни дни), за да могат да спазват исканията за упражняване правата на субектите на данни и да отговорят на всякакви други запитвания или жалби от субектите на лични данни.
4.3. Запазване и заличаване на данни
4.3 .1. Получателят на лични данни не съхранява или обработва споделени лични данни по-дълго от необходимото за осъществяване на целите, за които са събрани конкретните данни.
4.3.2. Независимо от точка 4.3.1. страните продължават да пазят споделените лични данни в съответствие с всички законови или професионални периоди на съхранение, приложими за тях.
4.3 .3. Получателят на лични данни се задължава да върне всички споделени лични данни на Разкриващия лични данни при следните обстоятелства:
4.3.3. 1. при прекратяване на договорните отношения между страните;
4.3.3.2. след като обработването на споделените лични данни вече не е необходимо за целите, за които първоначално са били споделени.
4.4. При невъзможност данните да бъдат върнати по реда на т. 4.3.3. или при изрична договорка на страните, получателят унищожава споделените лични данни. Задължението по предходното изречение не се прилага, ако страната има законово задължение или легитимен интерес да съхранява данните.
4.5 . Предаване на споделени лични данни
4.5.1. Прехвърляне на споделени лични данни означава всяко споделяне на лични данни от получателя на лични данни с трета страна, разположена на територията или извън Европейския съюз („ЕС“) или Европейското икономическо пространство („ЕИП“), и включва, но не се ограничава до следното:
4.5 .1.1. обмен на споделените лични данни с всяка друга трета страна;
4.5 .1.2. съхраняване на споделени лични данни на сървъри;
4.5.1.3. възлагане на обработката на споделени лични данни на подизпълнители;
4.5 .1.4. предоставяне на трети страни достъп до споделените лични данни.
4.6. Страната Получател на лични данни не трябва да разкрива или прехвърля споделени лични данни извън ЕИП, без да гарантира, че ще бъде предоставена адекватна и еквивалентна защита на споделените лични данни.
4.7. Сигурност и обучение
4.7.1. Разкриващият лични данни е отговорен за сигурността на предаването на всички споделени лични данни при прехвърлянето им на получателя на лични данни, като използва подходящи технически методи.
4.7.2. Страните се договарят да приложат подходящи технически и организационни мерки за защита на споделените лични данни, които притежават, срещу неразрешено или незаконно обработване и срещу случайна загуба, унищожаване, повреда, промяна или разкриване, включително, но не само:
4.7.2.1. гарантиране, че техническото оборудване, включително преносимо оборудване, се съхранява в заключващи се зони, когато е без надзор;
4.7.2.2. да не оставят преносимо оборудване, съдържащо лични данни без надзор;
4.7.2.3. гарантиране, че всеки от персонала на Администратора използва подходящи сигурни пароли за влизане в системи или бази данни, съдържащи споделените лични данни;
4.7.2.4. ограничаване на достъпа до съответните бази данни и системи до тези на нейните служители и подизпълнители, които трябва да имат достъп до личните данни и гарантиране, че паролите се променят и редовно се актуализират, за да се предотврати неуместен достъп, когато лицата вече не са ангажирани от съответната страна;
4.7.2.5. провеждане на редовна оценка на заплахите или тестване за проникване в системите;
4.7.2.6. гарантиране, че всички служители, работещи с лични данни, са били осведомени за техните отговорности по отношение на обработката на лични данни;
4.7.2.7. позволяване извършването на инспекции и оценки от другата страна по отношение на взетите мерки за сигурност или представяне на доказателства за тези мерки, ако това бъде поискано.
4. 8 . Нарушения в сигурността на данните и процедури за докладване:
4.8.1. Всяка страна се задължава да уведоми другата страна възможно най-скоро за всяка потенциална или действителна загуба на споделените лични данни и във всеки случай на идентифициране на потенциална или действителна загуба, като предостави информацията, необходима да се прецени какви действия са необходими с оглед на приложимото законодателство.
4.8.2. Точка 4.7.1. на този раздел се прилага и за всякакви нарушения на сигурността, които могат да компрометират сигурността на споделените лични данни.
4.8.3. Страните се споразумяват да предоставят разумна помощ, за да улеснят обработването на всяко нарушение на сигурността на личните данни по ефикасен и съвместим начин.
4.9. Решаване на спорове със субектите на данни или органите за защита на личните данни:
4.9.1. В случай на спор или иск, предявен от субект на данни или от орган за защита на личните данни относно обработката на споделени лични данни срещу една или срещу двете страни, всяка страна се задължава да информира незабавно другата страна за всички такива спорове или искове.
4.9.2. Страните се съгласяват да решават спорове по т. 4.8.1. по взаимно разбирателство и своевременен начин, включително чрез процедура по медиация, започната от субект на данни или от орган по защита на личните данни
4.10. Съответствие с приложимите закони. Всяка страна по настоящото приложение се задължава да:
4.10.1. обработва споделените лични данни в съответствие с всички приложими нормативни
актове, които се прилагат за операциите по обработка на лични данни.
4.10.2. отговоря в разумен срок и, доколкото е възможно, да се допитва до съответния орган по защита на личните данни във връзка със поделените лични данни.
4.10.3. предприема всички необходими стъпки, за да гарантира спазването на мерките за сигурност, посочени по-горе.
4.11 . Разкриващият лични данни се ангажира да гарантира, че споделените лични данни са точни.
5. Права на субектите на данни
5.1.Право на достъп относно какви данни се обработват; с какви точно цели; за какъв срок; дали, на какво основание и на какви трети лица се предоставят данните;
5.2. Право на коригиране в случай на неточност и непълнота В случай, че ние установим неточности в споделените лични данни, уведомяваме субекта на данни да подаде точни данни.
5.3. Право на изтриване (право “да бъдеш забравен”): когато данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел; законното основание за обработването е съгласие на субекта на данни и той го оттегли; субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване; личните данни трябва да бъдат изтрити с цел спазване на друго правно задължение, произтичащо от законодателството;
5.4. Право на ограничаване на обработването, когато: точността на личните данни или правомерното им обработване се оспорва от субекта на данни;
5.5. Право на възражение срещу обработване на личните му данни, дори когато основанието е необходимост за целите на легитимния интерес на администратора – за извършване на преценка за приоритета на обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции. Когато се възразява срещу обработката на лични данни за целите на директния маркетинг администраторът е длъжен да прекрати обработването им за тази цел.
5.6. Право да не бъдеш субект на автоматизирано вземане на решение. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране.
5.7. Право на пренос на данни. Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.
6.Как процедираме при нарушаване на правата Ви за защита на личните данни

В случай че при ползване на нашите професионални услуги считате, че правата Ви на субект на лични данни са нарушени, сме създали следната процедура за подаване на жалби :
1.Всяка писмена жалба подадена до нас на хартиен носител или като електронен файл по електронната поща на съответния брокер се вписва в нарочена за целта книга с входящ №, като на жалбоподателя се отбелязва този № на неговото копие на жалбата (съответно му се изпраща на електронната му поща, от която е подадена жалбата);
2. В зависимост от конкретния казус, законният представител на брокера или упълномощен от него служител разглежда случая, при необходимост провежда разговор с жалбоподателя и в 1 -месечен срок от постъпване на жалбата отговаря писмено (или по електронната поща), ако по време преговорите проблемът на жалбоподателя не е решен в негова полза, което обстоятелство жалбоподателят отбелязва собственоръчно върху входираната жалба (или в отделен документ покаже удовлетвореност) и се подписва .
3. В случай че правата на жалбоподателя са нарушени от трето лице (например от застраховател), в рамките на нашата компетентност му съдействаме да подаде жалба към конкретния нарушител.
4. Във всички случаи съобщаваме на клиента, че може да се жалва и директно до КЗЛД -https://www.cpdp.bg, както и до Комисията за финансов надзор съгласно http://www.fsc.bg/bg/za-potrebitelya/zhalbi/, както и че има право да защити правата си по съдебен ред, съгласно българското законодателство.

Ние сме Ваш доверен представител в застраховането и защитата на правомерните Ви интереси в тази област е наш професионален ангажимент. Не се колебайте да потърсите нашата специализирана помощ на посочените адреси и контакти.

Настоящите Правила бяха приети от Управителния съвет на Дружеството на 14-06-2019г., гр. Пловдив

Scroll to Top