ОБАВЕШТЕЊЕ О ПРИВАТНОСТИ КЛИЈЕНАТА УДРУЖЕЊА ОСИГУРАВАЧА СРБИЈЕ
Удружење осигуравача Србије (УОС), као „надлежни орган који обрађује податке о личности у посебном сврхе“ (члан 27. Закона о заштити података о личности Републике Србије – ЗЗПЛ) је и Руковалац и Обрађивач. података. УОС прикупља и обрађује личне податке клијената (држављана Србије и власника возила из ЕУ и учесници у саобраћајним незгодама на територији Републике Србије осигураници и осигуравајућа друштва) за законито и легитимно пословање у интересу пословног система УОС, тако да за то није нужно потребна сагласност физичког субјекти података. Наша политика приватности и политика управљања информацијама Безбедност (ИСМС) детаљно описује како прикупљате, обрађујете, користите, штитите, чувате и делите своје лични подаци. Нашу Политику приватности можете видети на веб страници УОС-а [Линк].
1. ПОДАЦИ О ЛИЧНОСТИ КЛИЈЕНАТА КОЈЕ УОС СКУПЉА И ОБРАЂУЈЕ
За извршавање пословних процеса УОС према ЗАКОНУ О ОСИГУРАЊУ и ЗАКОНУ О ОБАВЕЗНОМ ОСИГУРАЊУ У САОБРАЋАЈУ скупља података о личности физичких и правних лица. Од физичких лица УОС скупља: име и презиме, адресне податке, ЈМБГ, бројеви личних докумената (лична карта, пасош, возачка и саобраћајна дозвола), адресе е-поште, видео снимке улаза/излаза и кретања у објекту УОС на главној локацији и резервним локацијама у Теленор Београд и Теленор Ниш, име и презиме и јединствени ИД запослених у УОС, податке о возилу, бројеве рачуна и здравствене податке, а од правних лица УОС скупља: име, адресне податке, ПИБ, МИБ, број рачуна и податке о возилима.
2. СВРХА ПРИКУПЉАЊА И ОБРАДЕ ПОДАТАКА О ЛИЧНОСТИ КЛИЈЕНАТА
У оквиру јавних овлашћења, УОС обавља послове националног бироа осигурања који произлазе из међународног споразума о осигурању власника моторних возила од одговорности за штету настале употреба моторних возила у земљи и иностранству; прописује и штампа обрасце и врши контролу употребе међународне зелене карте за осигурање власника моторних возила од одговорности за штету настале коришћење моторних возила у земљи и иностранству, као и обраду одштетних захтева у вези с тим осигурањем (зелена карта); води Информациони центар, Биро за накнаду штете и Регистар штетних догађаја; прикупља, обрађује, чува, доставља односно објављује на свом веб сајту податке од значаја за обављање послова поверених законом, укључујући и податке о постављеним одштетним захтевима по полиси осигурања за примену сваком бонус-малус систему, које су друштва за осигурање дужна да достављају УОС-у; УОС представља друштво за осигурање пред државним и другим надлежним органима у земљи и међународним организацијама за осигурање; обавља послове који настају у вези са обавезама гарантног фонда при Удружењу; одређује висину доприноса друштава за осигурање за образовање средства гарантног фонда при Удружењу; управља средствима гарантног фонда при Удружењу; прима одштетне захтеве, врши њихову процену и ликвидацију, исплаћује осигурану суму, односно накнаду штете, остварује регресне захтеве гарантног фонда при Удружењу у случајевима предвиђаним законом; утврђује висину доприноса који уплаћују друштва за осигурање ради обезбеђивања средстава за извршење послова Удружења поверених законом; доноси Кодекс о понашању у пословима обавезног осигурања, ближе прописује садржину података из става 2. члана 9. Закона о обавезном осигурању у саобраћају као и начин њиховог прикупљања, чувања и достављања и обавља друге послове утврђене законом. Податке из система видео надзора и картичног РФИД система УОС користи искључиво за физичко-техничко обезбеђење периметра, јавних и рестриктивних простора у објекту на главној локацији. Ови подаци се чувају у складу са законом – видео снимци 30 дана, а РФИД подаци запослених до краја радног односа запосленог у УОС.
3. СКУПЉАЊЕ И ОБРДА ПОСЕБНЕ КАТЕГОРИЈЕ ПОДАТАКА О ЛИЧНОСТИ
У оквиру описаних јавних овлашћења, УОС, између осталог, врши обраду одштетних захтева у вези са пословима Зелене карте и Гарантног фонда, води регистар штетних догађаја чиме је у обавези да прикупља, обрађује, чува здравствене податке грађана од значаја за обављање послова поверених законом, укључујући и податке о штетним догађајима (саобраћајним незгодама), као и о постављеним одштетним захтевима по свакој полиси осигурања за примену бонус-малус система, које су друштва за осигурање. дужна да достављају Удружењу. У складу са напред наведеним јавним овлашћењима из важећих закона Републике Србије који дефинишу област осигурања и област обавезног осигурања аутоодговорности, УОС легитимно обрађује посебну категорију здравствених података.
4. РАДЊЕ ОБРАДЕ ПОДАТАКА О ЛИЧНОСТИ КЛИЈЕНАТА У УОС
У оквиру описаних јавних овлашћења УОС прикупља личне податке или их друштва за осигурање, односно надлежни државни органи у складу са њиховим законским обавезама достављају у базу ИЦ УОС где се за потребе Извршење јавних овлашћења УОС (зелена карта, гарантни фонд, Информациони центар) у циљу остваривања права грађана и примене бонус – малус система (ИЦ УОС) врши њихова легитимна обрада и то: скупљање, снимање, организација, структуирање за унос у базу података, складиштење, адаптација или измена, извлачење, консултовање, употреба, откривање преносом, дистрибуција или стављање на располагање на други начин, усклађивање или комбиновање и рестрикције обраде. У складу са Законом о физичко техничком обезбеђењу УОС чува видео снимке и податке у РФИД картичном систему у законском року у складу са „Правилником о употреби видео надзора и РФИД картичног система УОС“ и проценом утицаја аутоматизоване обраде на права и слободе физичких лица.
5. ОРГАНИЗАЦИОНЕ ЈЕДИНИЦЕ УОС КОЈИ ИЗВРШАВАЈУ РАДЊЕ ОБРАДЕ ПОДАТАКА О ЛИЧНОСТИ КЛИЈЕНАТА
У УОС радње обраде извршавају запослени у организационим јединицама: Биро зелене карте, Гарантни фонд, Сектор финансија и рачуноводства, Сектор за правне, кадровске и опште послове и Информациони центар (ИЦ УОС).
6. ПРАВА И НАЧИН КОРИШЋЕЊА ПРАВА ЛИЦА ЧИЈИ СЕ ПОДАЦИ СКУПЉАЈУ И ОБРАЂУЈУ У УОС
Гарантована права на приступ лица чије податке обрађује УОС у посебне сврхе, (чл. 27 ЗЗПЛ) обезбеђују се том лицу на основу његовог писаног захтева, а изузетно се могу се ограничити, у целини или делимично (чл. 28 ЗЗПЛ), да би се: 1) избегло ометање службеног или законом. уређеног прикупљања информација, истраге или поступака УОС; 2) омогућило спречавање, истрага и откривање кривичних дела, гоњење учинилаца кривичних дела или извршење кривичних санкција у случају превара, и 3) заштитила права и слободе других лица. УОС, руковалац и обрађивач, писмено ће обавестити лице на које се подаци односе, без непотребног одлагања, а најкасније у року од 15 дана, да је приступ његовим подацима о личности одбијен или ограничен, као и о разлозима за одбијање или ограничење, или ако утврди да се подаци о личности подносиоца захтевају не обрађују у УОС, као и да се може притужбом обратити Поверенику, односно тужбом суду. Лица на која се подаци односе не могу остварити право на брисање података о личности у УОС. У случају захтева лица на која се подаци односе, руковалац ће уместо брисања података о личности ограничити обраду (чл. 32 ЗЗПЛ) у једном од следећих случајева, ако: 1) је тачност података о личности оспорена од стране. лица на које се подаци односе, а њихова тачност, односно нетачност се не може утврдити; 2) подаци о личности морају бити сачувани у циљу прикупљања и обезбеђивања доказа о превари; 3) подаци о личности морају бити сачувани из других разлога прописаних законом (чување података на основу којег је исплаћен/одбијен одштетни захтев и слично). Руковалац ће информисати лице на које се подаци односе о престанку ограничења обраде, пре него што ограничење престане да важи у року од 15 дана. Право на преносивост података другом руковаоцу лице на које се подаци односе не може користити (чл. 36 ЗЗПЛ) пошто је обрада нужна за извршење послова од јавног интереса УОС или за вршење службених овлашћења руковаоца (УОС). Лица на које се подаци односе немају право на приговор за обраду њихових података, пошто у УОС постоје законски разлози за обраду који претежу над интересима, правима или слободама лица на који се подаци односе, а у вези су са подношењем, остваривањем или одбраном правног захтева (Чл. 37 ЗЗПЛ).
7. ПРЕНОС ПОДАТАКА О ЛИЧНОСТИ ТРЕЋИМ ПРАВНИМ ИЛИ ФИЗИЧКИМ ЛИЦИМА
Пренос података који се прикупљају у оквиру јавних овлашћења Зелене карте, Гарантног фонда и Информационог центра, достављају се трећим правним или физичким лицима у Републици Србији и иностранству, само у случајевима када она имају адекватне организационе, техничке и кадровске мере заштите и законски основ за обраду истих као што су: правна и физичка лица на која се подаци односе; овлашћена лица (старатељи и правни заступници), односно, институције које и имају законски основ обраде: судство, тужилаштво, НБС, МУП, друштва за осигурање.
8. ЗАШТИТА ПОДАТАКА О ЛИЧНОСТИ КЛИЈЕНАТА У УОС
Лични подаци и информације у УОС су заштићени адекватним организационим, техничким и кадровским мерама на врло високом и ИСМС усаглашеном нивоу. Приступ електронским подацима је са корисничким изабраном јаком лозинком и овлашћењима само у обиму неопходном за обављење одређених систематизованих послова и са употребом безбедних пословних апликација. Приступ процесима за обраду података и базама у којима се подаци о личности обрађују, омогућен је само овлашћеним лицима запосленим у ИТ сектору УОС, док је приступ подацима у изузетно осетљивим базама могућ само директору ИЦ УОС, с обзиром да су подаци у табелама истих шифровани. У рачунарима менаџмента УОС (Кабинету) где се обрађују најосетљивији лични и пословни подаци, шифрују се дискови (БиЛоцкер). Рачунари и сервери у којима се обрађују подаци у ЗК, ГФ и ИЦ УОС заштићени су слојевитом заштитом по дубини ИКТ система (двострука ДМЗ периметарска рачунарска мрежа, Фиревалс, ИДС/ИПС, прокси сервером измештеним на клауд, који омогућава заштиту у раду од куће, системима за тестирање ИКТ система на рањивост у реалном времену и на пробој једном годишње, антивирусна/антималвер заштитом, централизовано логовање и контрола лог записа активности запослених у ИКТ систему УОС …) у рачунарским физичким и виртуелним подмрежама (ВЛАН) које су изоловане од приступа са Интернета. Папирнати документи се налазе у засебним рестриктивним просторијама којима је могућ приступ само уз ауторизационе картице за које се дигитално води дневник догађаја, а просторије су заштићене и систем видео надзора.
9. СКЛАДИШТЕЊЕ ПОДАТАКА О ЛИЧНОСТИ У УОС
Подаци о личности се складиште у току обраде, законског периода задржавања и архивирања у УОС на серверској архитектури Удружења осигуравача Србије у серверској соби смештеној у рестриктивном простору на примарној локацији, серверској соби у изнајмљено рестриктивном простору у Београду (Теленор) и серверској соби у рестриктивном простору на резервној локацији у Нишу (Теленор).
10. ПРЕНОС ПОДАТАКА О ЛИЧНОСТИ ИЗВАН РЕПУБЛИКЕ СРБИЈЕ
У процесу обраде података о личности у сектору Зелене карте, подаци о личности на које се подаци односе преносе се у иностранство.
11. ЗАКОНСКИ ОСНОВ И ПЕРИОД ЗАДРЖАВАЊА ПОДАТАКА О ЛИЧНОСТИ У УОС
У складу са ЗАКОНОМ О ОСИГУРАЊУ („Сл. гласник РС“, бр. 139/2014) члан 176., подаци о осигураницима, односно корисницима осигурања и други подаци значајни за остваривање права на накнаду штете, односно исплату уговорених износа чувају се 10 (десет) година после истека уговора о осигурању, а у случају настанка штетног догађаја, односно осигураног случаја – 10 (десет) година од утврђивања штете, односно уговорених износа. По истеку периода задржавања сви поверљиви подаци, посебно осетљиви подаци о личности се дигитално архивирају и чувају шифровани у базама података на оперативним и резервним локацијама УОС.
12. КОГА ТРЕБА У УОС КОНТАКТИРАТИ ЗА ВИШЕ ИНФОРМАЦИЈА?
УОС је према ЗЗПЛ обавезан да успостави улогу лица за заштиту података о личности које ће примати и обрађивати све упите, одговарати у законском року од 15 дана и одржавати све комуникације са Повереником. У складу са захтевима ЗЗПЛ све информације о подацима о личности, лица која се налазе односе могу добити на упит е-поштом на адресу: branko.damjanovic@uos.rs и office@uos.rs.
