Protezione dati

 

INFOTMATIVA SUL TRATTAMENTO DEI DATI

 

Nel caso Lei sia un cliente

oppure presenti proposta per stipulare contratto assicurativo

La compagnia di assicurazione e quella di riassicurazione possono trattare dati personali durante il periodo di esistenza del rapporto giuridico di assicurazione, di riassicurazione oppure di agenzia come anche durante il periodo nel quale è possibile far valere un diritto relativo al rapporto giuridico di assicurazione, di riassicurazione oppure di agenzia. La finalità del trattamento dei dati può essere soltanto un obiettivo necessario per la valutazione della stipula, della modifica oppure del mantenimento del contratto, delle pretese derivanti dal contratto di assicurazione oppure altri, previsti nella presente normativa, Un trattamento per finalità diversa può esserre effettuato dalla compagnia di assicurazione oppure di riassicurazione soltanto con il Suo previo consenso. Lei non può subire svantaggi per il rifiuto come anche non può ottenere vantaggi per il consenso al trattamento. Le regole dettagliate del trattamento dei dati personali sono previste nel Regolamento 2016/679/UE del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati - successivamente riferito come Regolamento generale sulla protezione dei dati - e nelle normative ungheresi in vigore e la compagnia di assicurazione ha elaborato le proprie misure per la protezione dei dati in conformità ad esse.

La base del trattamento dei dati da parte della compagnia di assicurazione è in primo luogo la necessità di eseguire un contratto (art. 6 lettera b) del Regolamento generale sulla protezione dei dati), in secondo luogo quella di adempiere un obbligo legale al quale è soggetta la compagnia di assicurazione (art. 6 lettera c) del Regolamento generale sulla protezione dei dati). Capita che la compagnia di assicurazione debba trattare i dati per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (art. 6 lettera f) del Regolamento generale sulla protezione dei dati).

Il trattamento e l’elaborazione elettronica di categorie particolari di dati personali (come quelli relativi allo stato di salute) avviene perché Lei ha dato il proprio consenso al trattamento. In assenza di tale consenso la compagnia di assicurazione non è in grado di eseguire il contratto pertanto di seguito Lei deve rilasciare una dichiarazione sul consenso informato.

Pertanto la Compagnia di assicurazione tratta dati relativi allo stato di salute e li trasmette al responsabile del trattamento.

La compagnia di assicurazione pubblica sul proprio sito il nominativo, i dati identificativi dei responsabili per il trattamento e l’ambito dei dati a loro trasmessi nonché i trattamenti da loro operati.

Con specifico consenso scritto devono essere esonerate dall’obbligo legale di riservatezza medica le persone che trattano i dati relativi alla salute in quanto autorizzate per legge oppure con contratto, così in particolare il medico curante (ivi compresi i medici di famiglia e anche gli specialisti), il perito, il fornitore oppure le istituzioni di servizi sanitari, gli enti sanitari statali, i servizi di ambulanza ecc. Per la deroga come anche per il trattamento di tali dati e la loro trasmissione ai responsabili del trattamento Lei deve prestare il proprio consenso secondo le modalità previste.

In caso Lei stipuli il contratto per un minore come persona assicurata e/o come beneficiario dell’assicurazione, in qualità di titolare della responsabilità genitoriale deve estendere il consenso per il trattamento dei dati anche sul minore.

Lei ha diritto a revocare il Suo consenso in qualsiasi momento senza motivazione. Le conseguenze della revoca e le disposizioni relative al trattamento dei dati della Compagnia di assicurazione sono contenute nelle condizioni di assicurazione.

 

 

Nel caso Lei sia un cliente potenziale

Lei è considerato/a un cliente potenziale se

-          si iscrive alla newsletter,

-          presenta la candidatura per un annuncio di lavoro,

-          si presenta al rappresentante della compagnia di assicurazione in occasione di un qualche evento come cliente potenziale e comunica i Suoi dati personali.

Il trattamento dei dati personali in questo caso avviene sulla base del Suo consenso informato. Lei ha diritto, in qualsiasi momento e senza motivazioni, a revocare il proprio consenso al trattamento dei dati. La revoca del consenso non pregiudica la liceità del trattamento fino ad allora eseguito dalla compagnia di assicurazione.

Il trattamento basato sul consenso libero cessa se la finalità del trattamento viene a mancare.

La compagnia di assicurazione utilizza i dati personali per profilazione, per decisioni automatiche come anche trasferimento di dati esclusivamente sulla base di consenso libero.

I dati personali dei candidati per gli annunci di lavoro vengono conservati dalla Compagnia di assicurazione al massimo per 12 mesi dalla registrazione oppure dalla raccolta dei dati. In caso Lei richieda il trattamento dei dati anche oltre, deve presentare specifica richiesta scritta in tal senso.

 

Ulteriori informazioni importanti

 

Stabilimento principale: 1033 Budapest, Flórián tér 1. anche quando la compagnia di assicurazione tratta dati personali nell’ambito di attività transfrontaliere.

Autorità di controllo: Magyar Nemzeti Bank (indirizzo: 1013 Budapest, Krisztina krt. 39.; numero di telefono: + 36 80 203 776, numero di fax: + 36 1 489 9102; Email: ugyfelszolgalat@mnb.hu; recapito per corrispondenza: 1534 Budapest BKKP Postafiók: 777; https://www.mnb.hu

Autorità di controllo (in materia di protezione dei dati): Nemzeti Adatvédelmi és Információszabadság Hatóság [Autorità Nazionale per il Trattamento dei dati e la Libertà informativa] (indirizzo: 1125 Budapest, Szilágyi Erzsébet fasor 22c, recapito per corrispondenza: 1530 Budapest, Pf..5; c; recapiti: Telefono: +36 1 391 1400, fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)

Giurisdizione per le attività transfrontaliere: Un’autorità di controllo diversa da quella competente per territorio secondo lo stabilimento principale può essere competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l'oggetto della contestazione riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.

Nominativo e dati di contatto del responsabile della protezione dei dati:

dr. Csevár Antal, giurista capo, responsabile della protezione dei dati
1033 Budapest, Flórián tér 1.
jog@cig.eu

 

 

ELENCO DELLE SOCIETÀ DI ELABORAZIONE DEI DATI


Per visualizzare l'elenco delle società che elaborano i dati per CIG Pannónia First Hungarian General Insurance Ltd., fare clic qui.

 

 

MODULO DI DOMANDA DI PROTEZIONE DATI

Per inviare una richiesta di privacy, ti consigliamo di compilare il nostro modulo cliccando qui. Si prega di compilare il modulo compilato per inviare a jog@cig.eu email.

 

 

 

REGOLAMENTO SULLA PROTEZIONE DEI DATI

 

I.

Disposizioni generali

Obiettivo del regolamento è rendere conforme la CIG Pannonia Life Insurance Plc al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati - regolamento attuale, successivamente riferito come Regolamento generale sulla protezione dei dati), definire il trattamento, l’elaborazione elettronica dei dati personali, le modalità degli interessati per far valere i propri diritti e tutte le responsabilità ad essi connessi.

 

1.)    Campo di applicazione del regolamento

Le disposizioni del regolamento devono essere applicate dalla CIG Pannonia Life Insurance Plc (successivamente denominata Compagnia di assicurazione) per il trattamento dei dati personali, per il controllo dei processi relativi e per garantire i diritti agli interessati. Le misure previste nel regolamento devono essere applicate da tutte le persone che per conto della Compagnia di assicurazione svolgono attività di trattamento dati oppure di trattamento congiunto dei dati. Le normative prevedono per determinati titolari del trattamento e responsabili del trattamento disposizioni più severe di quelle previste nel Regolamento generale sulla protezione dei dati, così per tali dati personali si dovranno applicare le disposizioni più severe.

 

2.)    Validità temporale del regolamento 

Le disposizioni del regolamento entrano in vigore il giorno della firma allo stesso tempo dovranno essere applicate dal giorno 25 maggio 2018.


3.)    Base del regolamento

Il regolamento si basa sul piano d’azione istituito il giorno 20 dicembre 2017 sull’esito della valutazione d'impatto sulla protezione dei dati e dell’analisi GAP eseguiti dalla Field Consulting Zrt. tenendo in considerazione quanto disposto nell’art. 35 del Regolamento generale sulla protezione dei dati.

 

4.)    Definizioni

Le definizioni del presente regolamento corrispondono alle definizioni principali elencate nell’art. 4 del Regolamento generale sulla protezione dei dati con le seguenti integrazioni e disposizioni aggiuntive:

Profilazione: la compagnia di assicurazione svolge trattamento di dati per profilazione con il consenso dell’interessato ed esclusivamente per finalità di marketing.

Archivio: qualsiasi archivio elettronico e cartaceo che contiene, tratta oppure elabora elettronicamente dati personali rientranti nell’ambito di applicazione del Regolamento generale sulla protezione dei dati.

Stabilimento principale: 1033 Budapest, Flórián tér 1. anche quando la compagnia di assicurazione tratta dati personali nell’ambito di attività transfrontaliere.

Autorità di controllo: Magyar Nemzeti Bank (indirizzo: 1013 Budapest, Krisztina krt. 39.; numero di telefono: + 36 80 203 776, numero di fax: + 36 1 489 9102; Email: ugyfelszolgalat@mnb.hu; recapito per corrispondenza: 1534 Budapest BKKP Postafiók: 777; https://www.mnb.hu

Autorità di controllo (in materia di protezione dei dati): Nemzeti Adatvédelmi és Információszabadság Hatóság [Autorità Nazionale per il Trattamento dei dati e la Libertà informativa] (indirizzo: 1125 Budapest, Szilágyi Erzsébet fasor 22c, recapito per corrispondenza: 1530 Budapest, Pf..5; c; recapiti: Telefono: +36 1 391 1400, fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)

Giurisdizione per le attività transfrontaliere: Un’autorità di controllo diversa da quella competente per territorio secondo lo stabilimento principale può essere competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l'oggetto della contestazione riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.

 

5.)    Principi applicabili al trattamento di dati personali

La Compagnia di assicurazione, in relazione al trattamento dei dati personali eseguiti da essa, agisce secondo quanto previsto nell’art. 5 del Regolamento generale sulla protezione dei dati. Le disposizioni ivi previste vengono integrate ovvero vengono realizzate secondo le seguenti modalità:

-          Liceità, correttezza e trasparenza

Durante il trattamento e l’elaborazione elettronica dei dati la Compagnia di assicurazione rispetta pienamente le disposizioni del Regolamento generale sulla protezione dei dati, della normativa ungherese e del presente regolamento. È compito di tutti i dipendenti della Compagnia di assicurazione predisporre processi e procedure, moduli e consensi e dichiarazioni per il trattamento dei dati che corrispondono in tutto alle disposizioni basate su questi principi.

La Compagnia di assicurazione tratta i dati personali per l’esecuzione dei contratti assicurativi e per far fronte agli impegni legali. Negli altri casi il trattamento dei dati può avvenire esclusivamente con il consenso informato dell’interessato.

In caso di trattamento dei dati con consenso, la Compagnia di assicurazione acquisisce il consenso dell’interessato in modo documentabile: per iscritto oppure con registrazione della chiamata telefonica. In caso di trattamento dei dati con consenso, l’interessato può revocare in qualsiasi momento e senza motivazione il proprio consenso rilasciato liberamente. L’interessato deve essere informato di tale diritto al momento della registrazione dei dati.

Per il trattamento dei dati personali con il consenso dell’interessato dei minori è necessario acquisire il consenso del titolare della responsabilità genitoriale.

Qualora in seguito al trattamento dei dati con consenso, la Compagnia di assicurazione stipula un contratto con l’interessato, per il trattamento dei dati personali - a partire dalla presentazione della proposta di contratto oppure dalla stipula dello stesso oppure dall’identificazione dell’interessato secondo le modalità previste per la prevenzione del riciclaggio di denaro – per il trattamento dei dati personali si dovrà fare riferimento alle clausole contrattuali pertinenti.

Qualsiasi sia la modalità del trattamento dei dati l’interessato deve essere informato sui dati che la Compagnia di assicurazione tratta, su quali dati personali trasmette, a chi e per quali finalità trasmette i dati personali per l’elaborazione elettronica dei dati. L’informativa deve essere presente in primo luogo nelle clausole contrattuali e deve essere disponibile per gli interessati anche sul sito web della Compagnia di assicurazione. Allo stesso tempo si deve garantire che l’interessato, su richiesta, possa avere informazioni dalla Compagnia di assicurazione, come previsto nel Regolamento generale sulla protezione dei dati, sul trattamento dei dati personali, sui propri diritti di interessato.

La Compagnia di assicurazione può trattare categorie particolari di dati personali solo se l'interessato ha espresso il proprio consenso esplicito oppure per assolvere gli obblighi specifici dell'interessato in materia di diritto del lavoro. Tale trattamento dei dati personali avviene specialmente nel caso di contratti in cui la valutazione del rischio oppure il pagamento dell’indennizzo, ossia la stipula del contratto assicurativo e l’esecuzione del servizio derivante dal contratto dipende dallo stato di salute oppure dai cambiamenti nello stato di salute dell’interessato.

La Compagnia di assicurazione non effettua trattamento di dati personali relativi alle condanne penali. Tale divieto non si riferisce alle decisioni delle autorità che sostituiscono le richieste di prestazione della compagnia di assicurazione.

-          limitazione della finalità

La Compagnia di assicurazione tratta i dati personali solamente per finalità necessarie per il proprio funzionamento, per l’esecuzione dei contratti e fornire le prestazioni. Durante il trattamento non acquista, non vende, non trasmette e non mette a disposizione di terzi database che contengono dati personali.

-          minimizzazione dei dati

La Compagnia di assicurazione tratta esclusivamente tanti dati personali quanti sono assolutamente necessari per il funzionamento lecito e la gestione dei contratti.

-          esattezza

La Compagnia di assicurazione adotta tutte le misure ragionevoli e necessarie per l’esattezza e per l’aggiornamento dei dati personali. Aggiorna i dati personali ad intervalli regolari previsti nelle normative, con particolare riguardo alla legge in materia di riciclaggio di denaro nonché in seguito a notifiche degli interessati apporta le modifiche all’archivio.

-          limitazione della conservazione

La Compagnia di assicurazione cessa immediatamente il trattamento dei dati personali rientranti nell’ambito di applicazione del Regolamento generale sulla protezione dei dati per i quali possono non valere più le limitazioni della finalità e per i quali le normative consentono la cessione del trattamento.

-          integrità e riservatezza

La Compagnia di assicurazione adotta misure di protezione di livello tecnologico ragionevole per la struttura organizzativa degli organismi finanziari che garantiscono la sicurezza prevista per il trattamento e l’elaborazione elettronica dei dati personali. Per tale motivo impone una serie di requisiti a tutti i responsabili del trattamento dati e a tutti i titolari di trattamento congiunto di dati che trattano dati personali rientranti nell’ambito di applicazione del Regolamento generale sulla protezione dei dati per la Compagnia di assicurazione oppure che partecipino a una qualsiasi delle fasi dell’elaborazione elettronica dei dati.

-          responsabilizzazione

La Compagnia di assicurazione istituisce la propria organizzazione e procedura di trattamento dati in modo tale che il trattamento e l’elaborazione elettronica dei dati personali possano essere sorvegliati e che la stessa compagnia sia in grado di indicare chi quale operazione ha effettuato durante il trattamento.

 

6.)    Diritti degli interessati e garanzie per l’attuazione

a.)    Misure trasparenti

La Compagnia di assicurazione addotta le misure organizzative e tecniche al fine di poter fornire agli interessati l’informativa relativa al trattamento dei dati personali, per iscritto oppure oralmente, secondo i criteri e nei termini (30 giorni) previsti nel Regolamento generale sulla protezione dei dati.

L’informativa scritta deve essere fornita agli interessati prima di instaurare il rapporto contrattuale, prima del trattamento dei dati personali:

-          in caso di contratti assicurativi al momento della compilazione della proposta di contratto;

-          in altri casi al momento che i dati personali vengano comunicati oppure conosciuti.

L’informativa scritta è gratuita. L’informativa è da considerare scritta anche quando viene inviata all’interessato con messaggio elettronico su piattaforma elettronica propria dell’interessato.

L’informativa può essere rifiutata solamente nei casi previsti nelle normative.

È compito dei titolari dei dati provvedere affinché i regolamenti interni sui contatti con l’interessato, i moduli delle proposte e le condizioni contrattuali comprendano anche l’informativa. È il responsabile della protezione dei dati a provvedere affinché tali informative siano facilmente accessibili all’interessato sull’home page della Compagnia di assicurazione.

È possibile fornire all’interessato l’informativa sui propri diritti oralmente a condizione che sia comprovata l'identità dell'interessato e la sussistenza delle condizioni per ricevere l’informativa. Il responsabile per fornire allinteressato l’informativa su richiesta è, in primo luogo, il titolare dei dati dell’interessato e, in secondo luogo, la persona responsabile della protezione dei dati.

b.)   Informazioni da mettere a disposizione se i dati personali vengono ottenuti dall’interessato

L’informativa sul trattamento dei dati fornita all’interessato deve necessariamente contenere le seguenti informazioni di base:

-          l'identità e i dati di contatto della Compagnia di assicurazione quale titolare del trattamento dei dati;

-          nominativo e dati di contatto del responsabile della protezione dei dati;

-          finalità e base giuridica (con consenso, per esecuzione del contratto oppure per adempimento di un obbligo legale della compagnia di assicurazione) per il trattamento dei dati personali;

-          le categorie di dati personali interessate.

Nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

-          il periodo di conservazione dei dati personali oppure, se non è possibile indicare, i criteri utilizzati per determinare tale periodo;

-          se il trattamento si basa sui legittimi interessi perseguiti dalla Compagnia di assicurazione o da terzi;

-          in caso di trattamento con consenso, l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati come anche le conseguenze della revoca del consenso al trattamento dei dati;

-          il diritto di proporre reclamo a un'autorità di controllo;

c.)    Diritto di accesso dell'interessato

La Compagnia di assicurazione garantisce all’interessato il diritto all’accesso continuo ai dati personali e alle informazioni relative al trattamento dei dati secondo le seguenti modalità:

-          le informazioni generali sul trattamento dei dati sono accessibili sull’home page;

-          per i dati personali relativi all’esecuzione dei contratti secondo le condizioni contrattuali oppure l’informativa sulla protezione dei dati allegata al contratto;

-          per i singoli interessati su richiesta scritta oppure verbale relativa al trattamento dei propri dati personali

d.)   Diritto di rettifica

L'interessato ha il diritto di chiedere la rettifica dei dati personali, l'integrazione dei dati personali incompleti. Per adempire la richiesta dell’interessato, la Compagnia di assicurazione può richiedere all’interessato documenti personali e, con i dati in essi riportati, effettuare la rettifica oppure l’integrazione senza ingiustificato ritardo, comunque entro e non oltre 3 giorni lavorativi.

e.)    Diritto alla cancellazione (“diritto all'oblio”)

La Compagnia di assicurazione, per i motivi previsti nel Regolamento sulla protezione dei dati effettua senza ingiustificato ritardo, comunque entro e non oltre 3 giorni lavorativi la cancellazione dei dati personali dell’interessato.

L’interessato non ha il diritto alla cancellazione quando la conservazione dei dati personali è necessaria per la Compagnia di assicurazione per adempire gli impegni contrattuali oppure quelli previsti nelle normative ovvero sussistono altri legittimi interessi per la conservazione.

Per il rifiuto lecito della cancellazione il titolare dei dati è tenuto a chiedere il parere del responsabile della protezione dei dati.

f.)     Diritto di limitazione del trattamento

La limitazione del trattamento avviene su richiesta dell’interessato. In caso di tale richiesta dell’interessato va richiesto il parere del responsabile della protezione dei dati. Qualora il parere accolga la limitazione del trattamento, il titolare dei dati deve contrassegnare i dati personali dell’interessato su ogni supporto e in ogni registro di dati. Tale marcatura può avvenire contrassegnando il numero identificativo dell’interessato presente nel registro oppure, in caso di documentazione cartecea, apponendo delle note sulla prima pagina dei documenti.

g.)   Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare dei dati è tenuto ad informare l’interessato per iscritto sulla rettifica, cancellazione e limitazione dei dati.

h.)   Diritto alla portabilità dei dati

L'interessato ha il diritto di richiedere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti. L’interessato, in deroga al Regolamento generale sulla protezione dei dati, può esercitare tale diritto anche se la Compagnia di assicurazione tratta i dati non con il consenso dell’interessato, a condizione che il trattamento dei dati avvenga in modo automatizzato.

 

i.)     Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche

L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano se il trattamento dei dati serve esclusivamente per il perseguimento del legittimo interesse della compagnia di assicurazione oppure di un terzo, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

I dati personali dell’interessato devono essere contrassegnati se intende utilizzarli per finalità di marketing diretto oppure trasmetterli per tali finalità al gruppo oppure a imprese partner.

Per la trasmissione dei dati il consenso dell’interessato deve essere ottenuto per ogni partner contrattuale e segnalato nell’archivio di registro dei dati personali. Contrassegnare i dati è responsabilità della persona che effettua la registrazione dei dati.

In caso di trattamento dei dati personali per finalità di marketing diretto, si deve richiamare l’attenzione dell’interessato su tale fatto in occasione del primo contatto e la relativa informativa deve essere fornita in modo univoco e separatamente da qualsiasi altra informazione.

In caso l’interessato si oppone al trattamento dei dati personali per finalità di marketing diretto, i dati personali non possono essere più trattati per tali finalità. Ha diritto ad opporsi in qualsiasi momento e senza motivazione al trattamento dei dati per tali finalità. La Compagnia di assicurazione richiede che la notifica dell’opposizione sia documentabile. Si intende per notifica documentata quella fatta con chiamata telefonica registrata oppure di persona, per lettera, fax oppure con segnalazione al portale clienti.

La Compagnia di assicurazione ricorre al processo decisionale automatizzato relativo alle persone fisiche, ivi compresa la profilazione in caso di esplicito consenso dell’interessato. Il consenso deve essere ottenuto prima di adottare la misura e marcato nell’archivio. In questi casi l’interessato ha diritto di chiedere alla Compagnia di assicurazione l’intervento umano, di esprimere la propria opinione e di contestare la decisione. La Compagnia di assicurazione non può basare le decisioni automatizzate, ivi compresa la profilazione sulle categorie particolari di dati personali delle persone fisiche.

 

7.)    Trattamento ed elaborazione elettronica dei dati effettuati dalla Compagnia di assicurazione

La Compagnia di assicurazione, sulla base dei dati della valutazione dell’impatto e della continua analisi del rischio come anche di quanto previsto nel presente regolamento, adotta misure tecniche ed organizzative adeguate per garantire che il trattamento dei dati personali avvenga in conformità al presente regolamento. Tali misure vengono revisionate e, se del caso, aggiornate dal titolare del trattamento dei dati.

La Compagnia di assicurazione adotta adeguate misure tecniche e organizzative per garantire che durante il trattamento la protezione dei dati, fin dalla progettazione e per impostazione predefinita nel Regolamento, si realizzi con le modalità adeguate.

 

8.)    Trattamento congiunto dei dati

La Compagnia di assicurazione può trattare i dati congiuntamente se definisce gli obiettivi e gli strumenti del trattamento insieme ad altri titolari di trattamento. I contitolari del trattamento deveno mettere per iscritto tale trattamento, indicando per gli interessati anche la persona di contatto.

 

9.)    Elaborazione elettronica dei dati

La Compagnia di assicurazione può ricorrere a responsabili del trattamento per l’elaborazione elettronica dei dati alle seguenti condizioni:

-          responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato;

-          non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, della Compagnia di assicurazione. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa la Compagnia di assicurazione di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche;

-          il responsabile del trattamento si impegna con atto firmato ad attuare le condizioni previste nei cc. 3-5 dell’art. 28 del Regolamento,

-          nonché la notifica immediata delle violazioni dei dati personali alla Compagnia di assicurazione.

In caso la Compagnia di assicurazione affidi ad altri l’elaborazione elettronica di dati personali che allo stesso tempo costituiscono anche segreti assicurativi, nel contratto sull’elaborazione elettronica dei dati oppure su altre attività che comprendono anche l’elaborazione elettronica dei dati devono essere riservate anche le disposizioni della legge sull’attività delle imprese di assicurazione relative all’ousourcing.

Si può ricorrere all’attività di elaborazione elettronica dei dati solamente se il responsabile del trattamento si impegna a rispettare le condizioni di cui sopra e la Compagnia di assicurazione verifica se il responsabile del trattamento è in grado di rispettare le garanzie contrattuali in modo che i diritti degli interessati non vengano lesi.

 

10.)                       Registri delle attività di trattamento

Le singole unità organizzative della Compagnia di assicurazione devono tenere un registro con i dati personali da loro registrati e di conseguenza trattati, in conformità a quanto previsto nell’art, 30 del Regolamento. I registri - inventari di dati - devono essere redatti con indicazione dei singoli dati personali e dei trattamenti e devono contenere i dati principali dei responsabili del trattamento e anche i trattamenti da loro effettuati. La compagnia di assicurazione rende accessibile l’elenco delle persone incaricate dell’elaborazione elettronica dei dati personali, la lista aggiornata dei dati personali elaborati e dei relativi trattamenti pubblicandoli sulla propria home page.

I titolari dei dati sono tenuti a tenere dei registri. I compiti dei titolari dei dati sono previsti nelle mansioni di lavoro e nel presente regolamento. Il titolare dei dati al momento della cessazione del proprio rapporto di lavoro oppure dello spostamento in un’altra mansione è tenuto a consegnare il registro sui dati personali alla persona che subentra nel suo ruolo. La consegna deve essere registrata sulla documentazione di uscita oppure sulla scheda di passaggio delle consegne. In assenza di consegna il rapporto giuridico del titolare dei dati non può essere terminato in modo lecito.

È compito del titolare dei dati di provvedere affinché i regolamenti interni relativi all’attività delle unità organizzative impegnate nel trattamento dei dati (le istruzioni di lavoro) prevedano dei termini e indichino il responsabile per la cancellazione come anche le misure organizzative per la protezione dei dati personali e le modalità specifiche per garantire i diritti dell’interessato.

Le disposizioni relative alla sicurezza del trattamento dei dati, ai dati conservati nei raccoglitori giornalieri centrali, ivi compresi i dati personali derivati, provenienti dal sistema informativo, e al periodo della conservazione sono contenute nel Regolamento per la sicurezza informativa della Compagnia di assicurazione.

 

11.)                       Violazione dei dati personali

La persona che accerti una violazione dei dati personali, ivi compreso anche il responsabile per il trattamento, è tenuta a notificarla senza ritardo al titolare dei dati, responsabile per il trattamento dei dati personali in questione. Il titolare dei dati deve redigere un rapporto sulla violazione, contenente anche i dati dettagliati previsti nell’art. 33, c. 3 del Regolamento, e inoltrarlo al responsabile della protezione dei dati.

Il responsabile della protezione dei dati effettua, in base alla notifica sulla violazione dei dati personali, una valutazioni dei rischi. Qualora questa violazione dei dati personali sia suscettibile di presentare un rischio per i diritti e le libertà della persona fisica, il responsabile della protezione dei dati, entro e non oltre 72 ore dalla violazione la notifica all’autorità competente e in seguito tiene un registro sugli effetti della stessa e sulle precauzioni prese.

Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, deve essere corredata anche dei motivi del ritardo.

Il responsabile per la protezione dei dati registra ogni violazione dei dati personali.

 

12.)                       Comunicazione di una violazione dei dati personali all'interessato

Qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, il titolare del trattamento deve comunicare all’interessato senza indebito ritardo la violazione avvenuta indicando il contenuto previsto nel Regolamento.

Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati, prevedibili con le valutazioni;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

 

 

13.)                       Responsabile della protezione dei dati

Il responsabile della protezione dei dati è designato dalla Compagnia di assicurazione in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti.

Il responsabile della protezione dei dati è incaricato dei compiti previsti nell’art. 39 del Regolamento generale sulla protezione dei dati, così in particolare deve informare, fornire consulenza e controllare l’applicazione delle disposizioni relative alla protezione dei dati, sorvegliare lo svolgimento della valutazione di impatto, cooperare con l’autorità per la tutela dei dati e fungere da punto di contatto per questioni connesse al trattamento.

Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.

La Compagnia di assicurazione pubblica nel presente regolamento e anche sul proprio sito i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.

Il responsabile della protezione dei dati deve disporre delle informazioni e dei poteri per svolgere i propri compiti.

Il responsabile della protezione dei dati non deve ricevere alcuna istruzione per quanto riguarda l'esecuzione dei propri compiti. Il responsabile della protezione dei dati non può essere rimosso o penalizzato dalla Compagnia di assicurazione per l'adempimento dei propri compiti e deve riferire direttamente al vertice gerarchico della Compagnia di assicurazione.

Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti.

Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti.

La Compagnia di assicurazione prevede nei propri regolamenti interni organizzativi e operativi i diritti del responsabile della protezione dei dati e che non diano adito a un conflitto di interessi.

 

14.)                       Trasferimento di dati personali

Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali è ammesso se esiste una decisione di adeguatezza oppure sulla base di garanzie adeguate e disponibilità di mezzi di ricorso effettivi oppure nei casi previsti nel Regolamento come deroghe in specifiche situazioni.

Prima di instaurare la procedura di trasmissione dati deve essere sempre sentito il parere del responsabile della protezione dei dati.

 

15.)                       Possibilità di ricorso

L'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.