Nota de informare
Anexa nr. 7
la Politica de securitate
Nota de informare
privind modul de prelucrare și protecție a datelor cu caracter personal
I. Identitatea și datele de contact ale operatorului și ale reprezentantului acestuia
1. ÎCS,,EUROLIFE Broker de Asigurare” SRL, IDNO 1009600005209, cu sediul înregistrat în mun. Chișinău, str. Tighina 49/3, ap. 43 reprezintă o persoană juridică de drept privat (societatea cu răspundere limitată1).
II. Cadrul juridic aplicabil și jurisdicția
1. Operațiunile de prelucrare a datelor cu caracter personal efectuate în sistemul de evidență beneficiarii contractuali sunt efectuate sub controlul operatorului de date - ÎCS,,EUROLIFE Broker de Asigurare” SRL
2. La prelucrarea datelor cu caracter personal în cadrul sistemului de evidență „beneficiarii contractuali” se vor aplica în mod corespunzător cerințele următoarelor acte:
- Convenția nr. 108 pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal (xxxx://xxxxxxxxxxxxx.xx/xx/xxxxxxxxxxxxx000/);
1 Art. 17. alin. (1) din Legea cu privire la antreprenoriat și înreprinderi, societatea cu răspundere limitată reprezintă întreprinderi fondate de două şi mai multe persoane juridice şi (sau) persoane fizice, care şi-au asociat bunurile în scopul desfăşurării în comun a unei activităţi de antreprenoriat, sub aceeaşi firmă, în baza contractului de constituire (de societate) şi a statutului.
- Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXXXXX%0X00000X0000;
- Legea nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal (xxxx://xxx.xxxxxxx.xx/xx/000000/);
- Hotărârea Guvernului nr. 1123 din 14.12.2010 privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal (xxxx://xxx.xxxxxxx.xx/xx/000000/) precum și alte acte normative.
III.Categoriile de date cu caracter personal prelucrate
3. Operatorul poate colecta următoarele categorii de date cu caracter personal: numele, prenumele, tipul actului, seria și numărul, data eliberării, oficiul de care a fost eliberat, termenul de valabilitate, data și locul nașterii, adresa de domiciliu/reședința, IDNP, ocupația, datele bancare, semnătura, telefon, date de contact, email și alte date necesare realizării raporturilor juridice încheiate.
4. În dependență de tipul contractului și a serviciilor solicitate, ne-consemnarea categoriilor de date cu caracter personal enunțate supra, ar putea duce la imposibilitatea prestării serviciilor solicitate.
IV. Modul de colectare și de prelucrare a datelor cu caracter personal
5. Datele cu caracter personal sunt prelucrate de către operatorul de date manual, automatizat sau mixt. Datele cu caracter personal prelucrate manual se referă la datele care pot fi colectate și ulterior prelucrate pe suport de hârtie (cotnracte, cereri, referințe etc.), în mod automatizat se referă la datele prelucrate prin soluțiile software utilizate pe dispozitivele de
calcul luate la balanța operatorului, în mod mixt, se referă la datele care pot fi colectate prin soluțiile automatizate iar ulterior prelucrate pe suport de hârtie.
6. Operatorul va prelucra datele cu caracter personal mixt, cu excepția situațiilor în care subiectul datelor își va manifesta dreptul de a nu fi supus unei decizii individuale sau a dreptului de opoziție.
7. Datele cu caracter personal pot fi colectate de la subiectul de date cu caracter personal sau de la alte persoane care dețin consimțământul subiectului de date cu caracter personal vizat pentru astfel de operațiuni de prelucrare a datelor.
8. Operatorul de date nu utilizează alte surse publice sau private în scopul atribuirii de noi informații profilului electronic creat cu excepția cazului în care prelucrarea este bazată pe consimțământul subiectului de date sau pe un alt temei legal.
9. Înaintea colectării datelor cu caracter personal, subiectul de date confirmă că a luat cunoștință cu prezenta Notă de informare. Subiectul de date va fi informat despre aceste cerințe inclusiv telefonic sau față în față. Termenele și condițiile de prelucrare a datelor cu caracter personal sunt afișate la sediul și pe pagina web - www. eurolife.md.
10. Datele cu caracter personal pot fi accesate în sistemul de evidență beneficiarii contractuali de către angajații operatorului sau după caz a partenerilor contractuali în numele cărora sunt colectate datele cu caracter personal, a persoanei împuternicite de către operator conform atribuțiilor funcționale, de către subiectul de date vizat sau de către persoanele ce dețin consimțământul subiectului de date, sau de către organele de control, la ccererea motivată a acestora.
11. Datele cu caracter personal nu pot fi transmise sau utilizate de către alte companii în alte scopuri decât cele pentru care au fost colectate inițial, cu excepția situației în care există consimțământul subiecților de date cu caracter personal.
12. În fiecare situație în care va fi modificat modul de prelucrare a datelor cu caracter personal, subiecții de date vor fi preavizați, oferindu-li-se un termen rezonabil privind oferirea consimțământului sau manifestării dreptului de opoziție în acest sens precum și adaptate procedurile organizatorice și tehnice interne.
13. În cazul în care informația cu accesibilitate limitată este utilizată de către angajații companiei sau a persoanei împuternicite de către operator în alte scopuri decât cele prestabilite expres de operator, aceste activități se consideră a fi contrare acestor reglementări, în acest sens, angajatul se va constitui în calitate de operator de date distinct de companie.
V. Stocarea datelor cu caracter personal
14. Datele cu caracter personal care au fost colectate manual, sunt stocate în sistemul de evidență beneficiarii contractuali la sediul operatorului de date cu caracter personal sub formă de cartotecă, accesul la care este restricționat.
15. Datele cu caracter personal colectate automatizat sau mixt sunt stocate în sistemul de evidență beneficiarii contractuali sunt stocate prin intermediul mijloacelor software și hardware sub controlul operatorului de date.
16. Datele cu caracter personal vor fi stocate de către operator pe toată perioada existenței raporturilor juridice de prestare a serviciilor.
17. Soluțiile software asigură ținerea evidenței log-urilor privind accesul persoanelor precum și al activităților realizate în sistem pe un termen nu mai mic de 2 ani din momentul înregistrării acestora.
18. În cazul în care subiectul de date cu caracter personal nu va dori să beneficieze de serviciile companiei, la cererea acestuia, datele cu caracter personal care-l vizează vor fi:
a) Transformate în date de arhivă conform Indicatorului documentelor-tip și al termenelor lor de păstrare pentru organele administrației publice, pentru instituțiile, organizațiile și întreprinderile Republicii Moldova și a Instrucțiunii privind aplicarea Indicatorului aprobat prin Ordinul nr. 57/2016 de către Serviciul de Arhivă de Stat;
b) Datele cu caracter personal vor fi pseudonimizate în cazul în care subiectul de date va permite acest fapt;
c) Datele cu caracter personal vor fi anonimizate;
d) Datele cu caracter personal vor fi șterse sau distruse ireversibil.
VI. Scopul prelucrării datelor cu caracter personal
19. Datele cu caracter personal sunt colectate și prelucrate în scop de:
a) prestare a serviciilor și raportare către organele de control;
b) evidență și statistică;
c) prospectare comercială/marketing;
d) onorarea altor obligații ce rezultă din raportul juridic stabilit cu clienții.
20. Modificarea scopurilor de prelucrare a datelor cu caracter personal se va efectua prin notificarea Centrului Național pentru Protecția Datelor cu Caracter Personal și subiecților de date cu caracter personal.
VII. Temeiurile legale pentru prelucrarea datelor cu caracter personal
21. Datele cu caracter personal pot fi prelucrate în temeiul consimțământului subiectului de date sau în baza unor prevederi legale.
22. Prelucrarea datelor cu caracter personal în cazul furnizării serviciilor de marketing direct, realizat prin oferirea informațiilor promoționale, ofertelor personalizate sau programelor de reduceri, programelor publicate, sau operațiunile de prelucrare a datelor cu caracter personal care nu rezultă din raporturile contractuale, se va efectua doar în baza consimțământului subiectului de date încheiat adițional.
23. Necesitatea existenței consimțământului pentru prelucrarea datelor se referă și la situațiile în care datele cu caracter personal sunt colectate de la alți subiecți decât cei vizați în scop de marketing direct.
24. Consimțământul la prelucrarea datelor cu caracter personal va fi colectat pentru fiecare situație specifică care nu este acoperită de raportul contractual. Oferirea consimțământului
pentru astfel de prelucrări este opțională și nu poate influența volumul și calitatea raporturilor prestabilite inițial. Consimțământul nu poate fi oferit și retras retroactiv.
25. În scopul încheierii contractului de prestare a serviciilor sau executării acestuia, la cererea subiectului de date, în calitate de temei pentru prelucrarea datelor cu caracter personal servește raportul juridic declanșat sau încheiat.
26. Nu se va încheia un consimțământ separat dacă datele sunt colectate direct de la client (prin intervievarea/chestionarea față în față sau prin telefon, sau datele vor fi înregistrate în sistem prin interfața web), în cazul:
a) acțiunilor necesare înaintea încheierii contractului ce se referă la depunerea unei cereri on- line, prin telefon sau la sediul operatorului;
b) activităților indispensabile executării contractului care se referă la ținerea evidenței beneficiarilor, evaluarea și îmbunătățirea serviciilor, precum și alte aspecte de ordin civil care rezultă din raporturile juridice încheiate.
27. În toate cazurile de prelucrare a datelor cu caracter personal operatorul sau persoanele împuternicite de către operator vor informa subiecții de date cel puțin despre: scopul pentru care sunt colectate datele, temeiul legal, volumul și categoriile de date, termenul de stocare, modul de utilizare, persoanele împuternicite de către operator precum și drepturile subiecților de date.
28. Operatorul de date cu caracter personal informează că datele cu caracter personal pot fi utilizate și în alte scopuri prevăzute expres de lege, cum ar fi: la solicitarea organelor din sectorul polițienesc sau organelor cu funcție de control - activități pe care operatorul de date nu le poate prestabili însă le ia în calcul atunci când colectează datele cu caracter personal. În cazul unor astfel de situații, operatorul de date va verifica corespunderea solicitării sub aspect de respectare a principiilor de protecție a datelor cu caracter personal și le va executa doar în cazul existenței scopului și temeiului legal.
29. Prelucrarea datelor cu caracter personal se consideră a fi contrară, indiferent de faptul se face în temeiul consimțământului subiectului de date sau în baza unui raport contractual,
dacă prelucrarea de date nu corespunde principiilor de conformitate și securitate prevăzute de Politica de securitate a operatorului.
VIII. Destinatarii datelor cu caracter personal
30. Operatorul poate dezvălui datele cu caracter personal către:
a) Partenerii contractuali ai operatorului;
b) persoana împuternicită de către operator conform contractului sau instrucțiunii;
c) subiectul de date sau reprezentantul său legal;
d) organele de control la solicitarea acestora;
e) autoritățile responsabile din Republica Moldova.
31. Transmiterea către alte persoane terțe este interzisă.
IX. Drepturile subiecților de date cu caracter personal
32. Dreptul la informare - constă în dreptul de a fi informat înainte de a fi colectate și prelucrate datele cu caracter personal cu privire la identitatea operatorului, scopul în care se face prelucrarea datelor, destinatarii sau categoriile de destinatari ai datelor, existența drepturilor prevăzute de Legea privind protecția datelor cu caracter personal, precum și condițiile în care pot fi exercitate.
33. Dreptul de acces la date - constă în dreptul de a obține de la operator în temeiul unei cereri, confirmarea/infirmarea faptului dacă datele cu caracter personal care-l vizează au fost sau nu prelucrate, informații referitoare la scopurile și categoriile de date prelucrate, destinatarii sau categoriile de destinatari cărora le sânt dezvăluite datele, modul în care se efectuează prelucrarea automatizată a datelor, consecințele juridice generate de prelucrarea datelor pentru subiectul de date și modul de exercitare a dreptului de intervenție asupra datelor cu caracter personal.
34. Dreptul de intervenție - constă în obținerea în baza unei cereri, rectificarea, actualizarea, blocarea, ștergerea sau transformarea în date anonime a informațiilor a căror prelucrare nu
este conformă cu cerințele Legii privind protecția datelor cu caracter personal, în special a datelor incomplete sau inexacte.
35. Dreptul de opoziție - constă în dreptul de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa particulară, că datele care îl vizează să facă obiectul unei prelucrări, cu excepția cazurilor în care există dispoziții legale care prevăd altfel.
36. Dreptul de a nu fi supus unei decizii individuale - constă în posibilitatea de a cere și de a obține retragerea, anularea sau reevaluarea oricărei decizii care produce efecte juridice în privința subiectului de date care a fost adoptată exclusiv pe baza unei prelucrări automatizate destinate să evalueze unele aspecte ale personalității sale, precum competența profesională, credibilitatea, comportamentul ori alte asemenea aspecte.
37. Dreptul la justiție - constă în dreptul de a se adresa Centrului Național pentru Protecția Datelor cu Caracter Personal sau instanței de judecată, pentru apărarea sau repunerea în drepturile lezate.
XV. Datele de contact ale responsabilului de protecția datelor
38. Realizarea drepturilor subiecților de date sau obținerea detaliilor privind politica operatorului de date în ceea ce privește respectarea regimului juridic al protecției datelor cu caracter personal poate fi realizat prin înaintarea unei solicitări la adresa juridică mun. Chișinău, str. Tighina 49/3 sau telefonic 00 373 0022 888144 către administratorul operatorului de date.
XVI. Dreptul de a depune o plângere la Autoritatea de supraveghere
39. Subiecții de date cu caracter personal care consideră că prelucrarea datelor sale nu este conformă cu cerințele legislației din domeniul protecției datelor cu caracter personal pot înainta Centrului Național pentru Protecția Datelor cu Caracter Personal o plângere în
termen de 30 de zile din momentul depistării încălcării (mun. Chișinău, str. Xxxxxxx Xxxx 48, email - xxxxxx@xxxxxxxxxxxxx.xx, 0037322 811 807).