o+erv.png
Polityka Prywatności

Polityka prywatności

 

 

I. Klauzule informacyjne

1. Klauzula informacyjna dla osób kontaktujących się z ERV

Administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) jest Europäische Reiseversicherung AG z siedzibą w Monachium działająca przez Oddział w Polsce, ul. Chmielna 101/102, 80-748 Gdańsk, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w Gdańsku VII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000214412, NIP 2040000303, Regon 193072350, kapitał zakładowy 52 000 000 EUR.

Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 pkt b) RODO tj. gdy przetwarzanie jest niezbędne do wykonania umowy ubezpieczenia, której stroną jest osoba, której dane dotyczą. Jeżeli nie są Państwo stroną umowy ubezpieczenia z administratorem i kontaktują się Państwo w innej sprawie, podstawą przetwarzania jest art. 6 ust. 1 pkt f), a więc uzasadniony interes administratora, polegający na konieczności przetworzenia danych osobowych w celu udzielenia odpowiedzi.

Nie przewiduje się ujawnienia danych osobowych z wyjątkiem następujących odbiorców:

  • osoby, której dane dotyczą,
  • osoby upoważnionej do przetwarzania danych,
  • przedstawiciela administratora,
  • podmiotu przetwarzającego na zlecenie (np. centrum pomocy assistance),
  • organów państwowych lub organów samorządu terytorialnego, którym dane mogą być udostępniane w związku z prowadzonym postępowaniem.

Dane osobowe mogą być transferowane do podmiotów wspierających z siedzibą w krajach trzecich na podstawie umów z zastosowaniem standardowych klauzul ochrony danych przyjętych lub zatwierdzonych przez Komisję Europejską (KE) - wyłącznie w celu i w zakresie zapewnienia wsparcia Ubezpieczonemu za granicą zgodnie z warunkami ubezpieczenia. 

Dane osobowe będą przechowywane z uwzględnieniem okresów retencji wymaganych przez prawo powszechne, w tym przez okres niezbędny do wykonania umowy ubezpieczenia  oraz przez okres przedawnienia ewentualnych wzajemnych roszczeń pomiędzy Stronami.

Osoba, której dane osobowe dotyczą, ma prawo do żądania od administratora dostępu do tych danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, oraz prawo do wniesienia sprzeciwu wobec przetwarzania, do przenoszenia danych, a także do wniesienia skargi do organu nadzorczego.

Podanie danych osobowych jest dobrowolne, ale jest konieczne do zawarcia i wykonania umowy ubezpieczenia. Odmowa podania danych osobowych będzie skutkować brakiem możliwości zawarcia i wykonania umowy ubezpieczenia, w tym udzielania pomocy assistance. W przypadku podania danych osobowych na inne cele, podanie danych osobowych jest dobrowolne, ale konieczne do udzielenia odpowiedzi.

Dane osobowe nie będą  wykorzystywane przez administratora w celach zautomatyzowanego podejmowania decyzji, w tym profilowania.

We wszystkich sprawach związanych z przetwarzaniem danych osobowych przez administratoraw tym w celu uzyskania dalszych informacji w związku z przekazaniem danych osobowych do krajów trzecich, należy kontaktować się z inspektorem ochrony danych pod adresem e-mail: iod@erv.pl.

 

2. Klauzula informacyjna dla ubezpieczonych w ERV

Administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) jest Europäische Reiseversicherung AG z siedzibą w Monachium działająca przez Oddział w Polsce, ul. Chmielna 101/102, 80-748 Gdańsk, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w Gdańsku VII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000214412, NIP 2040000303, Regon 193072350, kapitał zakładowy 52 000 000 EUR.

Administrator przetwarza dane osobowe na podstawie art. 6 ust. 1 pkt b) RODO tj. gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, w celu zawarcia i wykonania umowy ubezpieczenia.

Nie przewiduje się ujawnienia danych osobowych z wyjątkiem:

  • osoby, której dane dotyczą,
  • osoby upoważnionej do przetwarzania danych,
  • przedstawiciela administratora,
  • podmiotu przetwarzającego na zlecenie,
  • organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Dane osobowe mogą być transferowane do podmiotów wspierających z siedzibą w krajach trzecich na podstawie umów z zastosowaniem standardowych klauzul ochrony danych przyjętych lub zatwierdzonych przez Komisję Europejską (KE) - wyłącznie w celu i w zakresie zapewnienia wsparcia ubezpieczonemu za granicą zgodnie z warunkami ubezpieczenia. 

Dane osobowe będą przechowywane przez okres niezbędny do wykonania umowy ubezpieczenia  oraz przez okres przedawnienia wzajemnych roszczeń pomiędzy Stronami, a także z uwzględnieniem okresów retencji wymaganych przez prawo powszechne.

Osoba, której dane osobowe dotyczą, ma prawo do żądania od administratora dostępu do tych danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, oraz prawo do wniesienia sprzeciwu wobec przetwarzania, lub przenoszenia danych. Osoba, której dane osobowe dotyczą, ma prawo do wniesienia skargi do organu nadzorczego.

Podanie danych osobowych na cele realizacji umowy ubezpieczenia jest dobrowolne, ale jest konieczne do jej zawarcia i wykonania . Odmowa podania danych osobowych będzie skutkować brakiem możliwości zawarcia i wykonania umowy ubezpieczenia.

Dane osobowe nie będą wykorzystywane przez administratora w celach zautomatyzowanego podejmowania decyzji, w tym profilowania.

We wszystkich sprawach związanych z przetwarzaniem danych osobowych przez administratora, w tym w celu uzyskania dalszych informacji w związku z przekazaniem danych osobowych do krajów trzecich, należy kontaktować się z inspektorem ochrony danych pod adresem e-mail: iod@erv.pl.

 

3. Klauzula informacyjna dla użytkowników „mojeERV”

Administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) jest Europäische Reiseversicherung AG z siedzibą w Monachium działająca przez Oddział w Polsce, ul. Chmielna 101/102, 80-748 Gdańsk, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w Gdańsku VII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000214412, NIP 2040000303, Regon 193072350, kapitał zakładowy 52 000 000 EUR.

Administrator przetwarza dane osobowe na podstawie art. 6 ust. 1 pkt b) RODO tj. gdy przetwarzanie jest niezbędne do wykonania umowy - regulaminu świadczenia usługi „mojeERV”, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem tej umowy, w celu jej zawarcia i wykonania, a także na podstawie art. 6 ust. 1 f), tj. ze względu na uzasadniony interes administratora w postaci marketingu produktów własnych.

Nie przewiduje się ujawnienia danych osobowych z wyjątkiem:

  • osoby, której dane dotyczą,
  • osoby upoważnionej do przetwarzania danych,
  • przedstawiciela administratora,
  • podmiotu przetwarzającego na zlecenie,
  • organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Dane osobowe będą przechowywane przez okres świadczenia usługi „mojeERV”, przez okres przedawnienia ewentualnych wzajemnych roszczeń pomiędzy Stronami, a także z uwzględnieniem okresów retencji wymaganych przez prawo powszechne.

Osoba, której dane osobowe dotyczą, ma prawo do żądania od administratora dostępu do tych danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, oraz prawo do wniesienia sprzeciwu wobec przetwarzania, do przenoszenia danych oraz do wniesienia skargi do organu nadzorczego.

Podanie danych osobowych na cele realizacji umowy świadczenia usługi „mojeERV” jest dobrowolne, ale jest konieczne do jej zawarcia i wykonania . Odmowa podania danych osobowych będzie skutkować brakiem możliwości zawarcia i wykonania umowy usługi Moje ERV.

Dane osobowe nie będą wykorzystywane przez administratora w celach zautomatyzowanego podejmowania decyzji, w tym profilowania. 

We wszystkich sprawach związanych z przetwarzaniem danych osobowych przez administratora, należy kontaktować się z inspektorem ochrony danych pod adresem e-mail: iod@erv.pl.

 

4. Klauzula informacyjna dla kontrahentów ERV, ich przedstawicieli i pracowników

Administratorem danych osobowych przekazanych w związku z nawiązaniem współpracy jest Europäische Reiseversicherung AG z siedzibą w Monachium działającym przez Oddział w Polsce, ul. Chmielna 101/102, 80-748 Gdańsk, wpisany do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w Gdańsku VII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000214412, NIP: 2040000303, REGON: 193072350, kapitał zakładowy 52 000 000 EUR.

Dane osobowe przetwarzane są w celu realizacji umowy, w celach podatkowych, rozliczeniowych, a także mogą zostać wykorzystane na cele marketingu bezpośredniego własnych produktów i usług.

Przekazanie danych administratorowi jest dobrowolne, a ich przetwarzanie odbywa się na podstawie umowy (art. 6 ust. 1 b) RODO), w związku z czym odmowa przekazania danych skutkuje brakiem możliwości nawiązania i wykonywania umowy.

Dane osobowe będą przetwarzane, wyłącznie dla wskazanych wyżej potrzeb, jedynie przez okres realizacji umowy, a po jej rozwiązaniu, przez okres przedawnienia ewentualnych wzajemnych roszczeń i wymagany prawem okres przechowywania dokumentacji rozliczeniowej. Dane przetwarzane na cele marketingowe mogą być przetwarzane do momentu zgłoszenia sprzeciwu.

Dane osobowe nie będą udostępniane innym podmiotom poza podmiotami przetwarzającym dane osobowe na zlecenie Administratora w celu prawidłowej obsługi procesu współpracy - np. dostawcy usług IT. Takie podmioty przetwarzają dane na podstawie umowy z  Administratorem i wyłącznie zgodnie z jego poleceniami i  nie mogą wykorzystywać danych osobowych w innych celach.

Dane osobowe nie będą wykorzystywane w celach zautomatyzowanego podejmowania decyzji, w tym profilowania.

Osobom, których dane są przetwarzane, przysługuje prawo dostępu do danych osobowych, żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych, prawo do przenoszenia danych osobowych, a także prawo wniesienia skargi do organu nadzorczego. 

We wszystkich sprawach związanych z przetwarzaniem danych osobowych przez Administratora, w tym w zakresie informacji o odpowiednich zabezpieczeniach w zakresie ochrony danych osobowych, które zostały zastosowane w związku z przekazaniem danych osobowych, należy kontaktować się z inspektorem ochrony danych pod adresem e-mail: iod@erv.pl.

 

II. Informator RODO

1. Co to jest RODO?

RODO (ang. GDPR) to Ogólne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie uchyla równocześnie wcześniejszą dyrektywę 95/46/WE.

 

2. Jaki jest cel RODO?

Celem regulacji jest ujednolicenie zasad przetwarzania danych osobowych na terenie Europejskiego Obszaru Gospodarczego.

 

3. Od kiedy obowiązują zmiany?

RODO stosuje się od dnia 25.05.2018 r.

 

4. Czy RODO oznacza koniec ustawy o ochronie danych osobowych z 1997 r.?

Tak, dotychczas obowiązująca ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tj. Dz. U. z 2016 r. poz. 922) została uchylona i w całości zastąpiona przepisami Rozporządzenia i nową ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000). Przepisy nowej ustawy stanowią uzupełnienie zapisów RODO.

 

5. Jakie rodzaje danych są chronione na mocy nowych przepisów?

Celem Rozporządzenia jest ochrona danych osobowych osób fizycznych.

„Dane osobowe” to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

„Możliwa do zidentyfikowania osoba fizyczna” to osoba, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie takich informacji, jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. 

Więcej informacji o RODO zawiera informator na stronie internetowej Ministerstwa Cyfryzacji. 

 

III. Rola ERV w procesie przetwarzania danych osobowych

ERV jest administratorem danych osobowych swoich klientów, pracowników, kontrahentów, a także osób kontaktujących się z ERV.

Administrator danych osobowych to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych w sposób bezpieczny oraz zgodny z przepisami prawa. Przez „przetwarzanie danych” rozumie się operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.

 

1. Jakiego rodzaju dane osobowe przetwarza ERV?

Zakres przetwarzanych danych osobowych jest każdorazowo ograniczony tylko i wyłącznie do tych danych, które są:

1.1.        zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,

1.2.        przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,

1.3.        adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

1.4.        prawidłowe i uaktualniane,

1.5.        przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,

1.6.        przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

W uzasadnionych przypadkach ERV może przetwarzać tzw. dane wrażliwe, dotyczące zdrowia swoich klientów lub pracowników.

 

2. W jakich celach i na jakiej podstawie ERV przetwarza dane osobowe?

Przetwarzanie danych osobowych przez ERV może mieć następujące podstawy prawne:

2.1.        Zgoda na przetwarzanie danych osobowych w jednym lub większej liczbie celów np. w celu świadczenia usługi „newsletter” lub podczas procesu rekrutacji. W przypadku przetwarzania na podstawie zgody, osoba która ją udzieliła, ma prawo cofnąć tę zgodę w dowolnym momencie. Pozostaje to bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (art. 6 ust. 1 lit. a RODO). 

2.2.        Przed zawarciem umowy, do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą. Dotyczy to w szczególności zawierania i wykonywania umów ubezpieczeniowych (art. 6 ust. 1 lit. b RODO ).

2.3.        Do wypełnienia obowiązku prawnego ciążącego na administratorze. Przesłanka ta ma zastosowanie m.in. przy przetwarzaniu na cele sprawozdawczości publicznoprawnej (ZUS, US), do prowadzenia dokumentacji księgowej i rozliczeniowej, realizacji obowiązków pracodawcy wobec pracowników, ze względu na obowiązek przechowywania określonych dokumentów, oraz do wykonania oceny ryzyka ubezpieczeniowego (art. 6 ust. 1 lit. c RODO).

2.4.        Do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. To przesłanka mająca zastosowanie wyjątkowo. Taka sytuacja może mieć miejsce np. w przypadku konieczności udzielenia pomocy assistance, w zakresie danych nie przetwarzanych na podstawie innych przesłanek legalności (art. 6 ust. 1 lit. d oraz art. 9 ust. 2 lit. c RODO).

2.5.        Do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Uzasadnionym interesem administratora jest np. przetwarzanie danych osobowych osoby, która z własnej inicjatywy kontaktuje się z ERV i oczekuje odpowiedzi na pytanie czy udzielenia informacji. Również w przypadku, gdy w toku likwidacji szkody ERV otrzymuje dokumenty podpisane przez personel medyczny, dane tych osób podlegają przetwarzaniu na bazie omawianej przesłanki. Inne możliwe sytuacje to wykorzystywanie danych własnych klientów na cele marketingu własnych usług lub produktów. Należy przy tym zwrócić uwagę, iż wykorzystywanie narzędzi komunikacji zdalnej do przedstawienia informacji handlowej (e-mail, telefon) wymaga uzyskania odrębnej zgody. Możliwe jest również przetwarzanie danych osobowych na cele bezpieczeństwa: pracowników i mienia, np. w postaci prowadzenia monitoringu wizyjnego lub elektronicznego, w celu podejmowania ewentualnych czynności w związku z przeciwdziałaniem przestępstwom ubezpieczeniowym czy reasekuracji ryzyk (art. 6 ust. 1 lit. f RODO).

2.6.        Do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Dotyczy to przetwarzania danych wrażliwych pracowników w zakresie wymaganych przez prawo (art. 9 ust. 2 lit. b RODO).

2.7.        Dla ustalenia, dochodzenia lub obrony przed roszczeniami. Taka sytuacja może mieć miejsce w przypadku zbierania danych o stanie zdrowia na etapie likwidacji szkody ubezpieczeniowej  (art. 9 ust. 2 lit. f RODO).

2.8.        Dla celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego. Jest to przesłanka dotycząca obowiązków ERV jako pracodawcy  (art. 9 ust. 2 lit. h RODO).

ERV nie stosuje automatycznego przetwarzania danych osobowych, w tym profilowania, które prowadziłoby do zautomatyzowanego podejmowania decyzji, m.in. w zakresie koniecznym do wyliczenia wysokości składki ubezpieczeniowej. Udział pracownika ERV obejmuje etap podejmowania decyzji i nie jest ograniczony wyłącznie do wprowadzenia danych osobowych do systemu, czy do nadzoru nad tym systemem.

 

3. Czy podanie danych osobowych jest obowiązkowe?

Podanie danych osobowych jest co do zasady dobrowolne. Trzeba mieć jednak na uwadze, że w wielu wypadkach może być warunkiem niezbędnym do podjęcia jakichkolwiek działań.

Nie jest możliwe udzielenie odpowiedzi na kontakt, rozpatrzenie wniosku czy żądania, o ile ERV nie dowie się, kim jest rozmówca. Podobnie bez podania danych osobowych nie jest możliwe przedstawienie oferty ubezpieczenia, czy wystawienie polisy. W trakcie trwania ochrony ubezpieczeniowej ERV będzie żądać podania danych osobowych w celu rozpoczęcia procesu likwidacji szkody, czy udzielenia pomocy assistance.

Jedynie w szczególnych przypadkach, np. związanych z koniecznością wystawienia faktury po wykonaniu usługi, podanie danych osobowych może być obowiązkowe, co wynika z przepisów powszechnie obowiązujących.

 

4. Jak długo ERV przechowuje dane osobowe klientów?

W części przypadków okresy przetwarzania danych osobowych wynikają z przepisów prawa. Na przykład czas przechowywania dokumentów ubezpieczeniowych jest regulowany ustawą. Dokumenty tego typu przechowuje się przez okres wykonywania umowy ubezpieczenia oraz przez okres przedawnienia ewentualnych wzajemnych roszczeń stron. Również okres przechowywania dokumentacji rachunkowej (np. faktury), czy pracowniczej wynika wprost z przepisów.

W innych wypadkach dane kontaktowe, dane osobowe są usuwane bezpośrednio po zrealizowaniu celu, w którym zostały zebrane.  Gdyby treść korespondencji sugerowała istnienie ewentualnych wzajemnych roszczeń pomiędzy stronami, dane będą mogły być przechowywane do momentu przedawnienia ewentualnych roszczeń mogących powstać pomiędzy stronami.

Dane wykorzystywane w celach marketingu bezpośredniego produktów własnych mogą być przetwarzane do czasu zgłoszenia sprzeciwu przez osobę, której dotyczą. Respektujemy przy tym ograniczenia w wykorzystaniu takich danych przy pomocy środków komunikacji zdalnej, wynikające z odrębnych przepisów.

 

5. Jakie prawa przysługują osobom fizycznym w związku z przetwarzaniem ich danych osobowych?

Osobom, których dane są przetwarzane, przysługują następujące prawa:

5.1.     dostępu do danych osobowych (art. 15 RODO),

5.2.     żądania ich sprostowania (art. 16 RODO), usunięcia (art. 17 RODO) lub ograniczenia ich przetwarzania (art. 18 RODO),

5.3.     do przenoszenia danych osobowych (art. 20 RODO),

5.4.     do wniesienia sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO).

Każdy może zgłosić żądanie skorzystania z tych praw, wysyłając wniosek na adres:

Europäische Reiseversicherung AG Oddział w Polsce

ul. Chmielna 101/102

80-748 Gdańsk

lub elektronicznie na adres iod@erv.pl.

ERV dokłada wszelkich starań, by odpowiedzieć merytorycznie najpóźniej w ciągu 30 dni od otrzymania wniosku. W razie niedotrzymania tego terminu, ERV informuje o przyczynach i nowym przewidywanym terminie zakończenia rozpatrywania wniosku.

Każda osoba ma prawo wniesienia skargi do organu nadzorczego, jeżeli uważa, że naruszono zasady ochrony jej danych osobowych.

 

6. Informacje o odbiorcach danych

ERV może ujawnić przetwarzane dane osobowe wyłącznie:

6.1.     podmiotom przetwarzającym na jego zlecenie ( tzw. „procesorom”),

6.2.     organom państwowym lub organom samorządu terytorialnego, w związku z prowadzonym postępowaniem,

6.3.     osobie, której dotyczą,

6.4.     innemu administratorowi danych, w przypadku istnienia stosownej przesłanki legalności (np. przepis ustawy, zgoda osoby zainteresowanej).

ERV jako administrator danych osobowych może powierzyć przetwarzanie danych osobowych tylko tym procesorom, którzy zapewniają bezpieczeństwo przetwarzania danych i zawarły z ERV stosowną umowę. Przykładami powierzenia są umowy na świadczenie usług podpisane z dostawcami usług IT, centrami pomocy assistance, agentami ubezpieczeniowymi, lekarzami. Umowy powierzenia danych osobowych do przetwarzania zewnętrznemu podmiotowi zawsze spełniają wymagania co do treści wynikające z art. 28 RODO.

Z powodu powierzania do przetwarzania, dane osobowe mogą być również transferowane do krajów trzecich, poza Europejski Obszar Gospodarczy, wyłącznie w celu i w zakresie zapewnienia wsparcia ubezpieczonemu za granicą zgodnie z warunkami ubezpieczenia. Warunkiem takiego powierzenia jest podpisanie umowy z wykorzystaniem standardowych klauzul ochrony danych przyjętych lub zatwierdzonych przez Komisję Europejską, lub gdy KE stwierdzi, że to państwo trzecie, terytorium, określony sektor lub sektory w państwie trzecim, lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony  albo wykorzystują inne narzędzie legalizujące przewidziane przez RODO.

 

7. Jakie obowiązki spoczywają na procesorach danych

Procesorzy danych osobowych (m.in agenci oferujący ubezpieczenia uzupełniające) są w ramach podpisanej umowy powierzenia zobowiązani między innymi do:

7.1.     przetwarzania danych osobowych wyłącznie na polecenie administratora danych;

7.2.     przestrzegania przepisów z zakresu ochrony danych osobowych;

7.3.     zapewnienia bezpieczeństwa przetwarzania powierzonych danych osobowych (art. 32 RODO);

7.4.     zachowania poufności przetwarzanych danych osobowych Klientów;

7.5.     zapewnienia pomocy administratorowi w wywiązaniu się z obowiązków wskazanych w RODO;

13.6.     przetwarzania (w tym przechowywania) danych osobowych przez okres nie dłuższy, niż wskazany przez administratora lub wynikający z przepisów prawa;

7.7.     usunięcia lub zwrotu danych osobowych po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych;

7.8.     zapewnienia, iż dane osobowe nie będą przetwarzane poza Europejskim Obszarem Gospodarczym.

 

IV. Cookies i logi dostępowe

1. Cookies

W ograniczonym zakresie ERV zbiera dane osobowe automatycznie za pośrednictwem plików cookies znajdujących się w naszych serwisach internetowych i w aplikacjach mobilnych. Cookies to małe pliki tekstowe zapisywane na komputerze użytkownika lub innym urządzeniu mobilnym, w czasie korzystania przez niego z serwisów internetowych i aplikacji mobilnych.. Pliki te służą m.in. korzystaniu z różnych funkcji danej strony internetowej lub potwierdzeniu, że dany użytkownik widział na niej określone treści Wśród plików cookies wyróżnić możne te, które są niezbędne do działania serwisów internetowych i aplikacji mobilnych ERV. Należące do tej kategorii pliki cookies wykorzystywane są, aby zapewnić: utrzymanie sesji użytkownika, zapisanie stanu sesji użytkownika, umożliwienie autoryzacji z wykorzystaniem logowania, zapisanie informacji niezbędnych do działania stron transakcyjnych w przypadku zawierania umów ubezpieczenia poprzez serwisy internetowe ERV, monitoring dostępności usług.

Kolejna kategoria plików cookies, to pliki, które nie są niezbędne do korzystania z serwisów internetowych i aplikacji mobilnych ERV, ale ułatwiają korzystanie z nich. Wykorzystuje się je, aby umożliwić: przywrócenie ostatnio odwiedzanego widoku przy następnym zalogowaniu, zapamiętanie wyboru użytkownika w kwestii zaprzestania wyświetlania wybranego komunikatu lub wyświetlenia go określoną liczbę razy, przywrócenie sesji użytkownika, sprawdzenie czy zapis do plików cookies funkcjonuje prawidłowo, umożliwienie automatycznego zalogowania, dopasowanie zawartości do preferencji użytkowników; ustawienie preferowanego języka, rozmiaru czcionki i innych tego typu właściwości ułatwiających pracę z serwisem internetowym i aplikacjami mobilnymi.

ERV korzysta też z usług podmiotów trzecich, których lista stale zmienia się, a które wykorzystują pliki cookies w następujących celach: monitorowanie ruchu w serwisach internetowych i aplikacjach mobilnych; zbieranie anonimowych, zbiorczych statystyk, które pozwalają nam zrozumieć, w jaki sposób użytkownicy korzystają z serwisów internetowych i aplikacji mobilnych i umożliwiają nam ciągłe doskonalenie naszych produktów, ustalanie liczby anonimowych użytkowników naszych serwisów internetowych , kontrolowanie jak często pokazywana jest użytkownikom wybrana treść, badanie jak często użytkownicy wybierają dany produkt, badanie zapisów na newslettery, wykorzystanie systemu personalizowanych rekomendacji dla e-commerce, wykorzystanie narzędzia do komunikacji, integrację z portalem społecznościom, płatności internetowe.

W momencie sporządzenia dokumentu lista takich podmiotów obejmuje:

1.1.     Google Analytics (więcej informacji oraz dodatek do przeglądarki blokujący Google Analytics: tools.google.com);

1.2.     Facebook (więcej informacji na stronie: www.facebook.com)

1.3.     Ecard (więcej informacji na stronie www.ecard.pl)

Użytkownik może zarządzać plikami cookies wykorzystywanymi przez ERV lub przez innych zewnętrznych dostawców, zmieniając ustawienia swojej przeglądarki internetowej. ERV zastrzega jednocześnie, że po odrzuceniu plików cookies niektóre funkcje oferowane przez nasze serwisy internetowe i aplikacje mobilne mogą nie działać prawidłowo, a nawet w niektórych przypadkach wiąże się to z całkowitym uniemożliwieniem korzystania.

 

2. Logi dostępowe

ERV zbiera informacje dotyczące korzystania z serwisów internetowych i aplikacji mobilnych przez użytkowników oraz ich adresy IP w oparciu o analizę logów dostępowych. Informacje te wykorzystuje w diagnozowaniu problemów związanych z pracą serwera, do analizowania ewentualnych naruszeń bezpieczeństwa oraz do zarządzania serwisami internetowymi i aplikacjami mobilnymi. Ponadto adres IP jest wykorzystywany przez ERV w celach statystycznych, tj. do gromadzenia i analizy danych demograficznych osób odwiedzających serwisy internetowe i aplikacje mobilne (np. informacji o regionie, z którego nastąpiło połączenie). Na podstawie uzyskanych w ten sposób informacji sporządzane są zbiorcze, ogólne zestawienia statystyczne, które w szczególnych przypadkach mogą być ujawniane osobom trzecim współpracującym z ERV. Obejmują one zwykle informacje o oglądalności serwisów internetowych. Zestawienia te nie zawierają żadnych danych pozwalających na identyfikację (określenie tożsamości) danego użytkownika serwisów internetowych i aplikacji mobilnych.

ERV może zostać zobowiązane do ujawnienia informacji dotyczących numeru IP danego użytkownika serwisów internetowych i aplikacji mobilnych na żądanie uprawnionych do tego organów państwa w związku z prowadzonymi przez nie postępowaniami w oparciu obowiązujące przepisy prawne.

 

V. Bezpieczeństwo

W celach zapewnienia bezpieczeństwa danych osobowych ERV stosuje:

1.1. pseudoanonimizację, szyfrowanie danych osobowych lub rozwiązania zamienne,

1.2. środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

1.3. środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostęp do nich w razie incydentu fizycznego lub technicznego,

1.4. regularne testowanie, mierzenie i ocenę skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W celu uzyskania dalszych informacji o środkach bezpieczeństwa prosimy o kontakt z IOD (iod@erv.pl).

 

Powołanie Inspektora Ochrony Danych

W trosce o bezpieczeństwo danych osobowych i zgodność z obowiązującym prawem ERV powołał Inspektora Ochrony Danych (IOD).

Rolą IOD jest wspieranie administratora danych osobowych w zapewnieniu przestrzegania RODO, w szczególności poprzez udzielanie zaleceń, porad, prowadzenie szkoleń, jak również współpraca z organem nadzorczym.

Aktualnie IOD w ERV jest radca prawny Jakub Gosz.

 

VI. Jak się skontaktować z ERV, żeby uzyskać więcej informacji o przetwarzaniu danych osobowych? 

Więcej informacji o przetwarzaniu danych przez ERV, w tym o stosowanych zabezpieczeniach i sposobach legalizacji transferu danych osobowych poza EOG, udziela Inspektor Ochrony Danych Osobowych.

W razie pytań prosimz o kontakt mailowy: iod@erv.pl, lub pocztowy - na adres:

Inspektor Ochrony Danych Osobowych

Europäische Reiseversicherung AG Oddział w Polsce

ul. Chmielna 101/102

80-748 Gdańsk