OBAVEŠTENJE O PRIVATNOSTI KLIJENATA UDRUŽENJA OSIGURAVAČA SRBIJE
Udruženje osiguravača Srbije (UOS), kao „nadležni organ koji obrađuje podatke o ličnosti u posebnom svrhe“ (član 27. Zakona o zaštiti podataka o ličnosti Republike Srbije – ZZPL) je i Rukovalac i Obrađivač. podataka. UOS prikuplja i obrađuje lične podatke klijenata (državljana Srbije i vlasnika vozila iz EU i učesnici u saobraćajnim nezgodama na teritoriji Republike Srbije osiguranici i osiguravajuća društva) za zakonito i legitimno poslovanje u interesu poslovnog sistema UOS, tako da za to nije nužno potrebna saglasnost fizičkog subjekti podataka. Naša politika privatnosti i politika upravljanja informacijama Bezbednost (ISMS) detaljno opisuje kako prikupljate, obrađujete, koristite, štitite, čuvate i delite svoje lični podaci. Našu Politiku privatnosti možete videti na veb stranici UOS-a [Link].
1. PODACI O LIČNOSTI KLIJENATA KOJE UOS SKUPLJA I OBRAĐUJE
Za izvršavanje poslovnih procesa UOS prema ZAKONU O OSIGURANJU i ZAKONU O OBAVEZNOM OSIGURANJU U SAOBRAĆAJU skuplja podataka o ličnosti fizičkih i pravnih lica. Od fizičkih lica UOS skuplja: ime i prezime, adresne podatke, JMBG, brojevi ličnih dokumenata (lična karta, pasoš, vozačka i saobraćajna dozvola), adrese e-pošte, video snimke ulaza/izlaza i kretanja u objektu UOS na glavnoj lokaciji i rezervnim lokacijama u Telenor Beograd i Telenor Niš, ime i prezime i jedinstveni ID zaposlenih u UOS, podatke o vozilu, brojeve računa i zdravstvene podatke, a od pravnih lica UOS skuplja: ime, adresne podatke, PIB, MIB, broj računa i podatke o vozilima.
2. SVRHA PRIKUPLJANJA I OBRADE PODATAKA O LIČNOSTI KLIJENATA
U okviru javnih ovlašćenja, UOS obavlja poslove nacionalnog biroa osiguranja koji proizlaze iz međunarodnog sporazuma o osiguranju vlasnika motornih vozila od odgovornosti za štetu nastale upotreba motornih vozila u zemlji i inostranstvu; propisuje i štampa obrasce i vrši kontrolu upotrebe međunarodne zelene karte za osiguranje vlasnika motornih vozila od odgovornosti za štetu nastale korišćenje motornih vozila u zemlji i inostranstvu, kao i obradu odštetnih zahteva u vezi s tim osiguranjem (zelena karta); vodi Informacioni centar, Biro za naknadu štete i Registar štetnih događaja; prikuplja, obrađuje, čuva, dostavlja odnosno objavljuje na svom veb sajtu podatke od značaja za obavljanje poslova poverenih zakonom, uključujući i podatke o postavljenim odštetnim zahtevima po polisi osiguranja za primenu svakom bonus-malus sistemu, koje su društva za osiguranje dužna da dostavljaju UOS-u; UOS predstavlja društvo za osiguranje pred državnim i drugim nadležnim organima u zemlji i međunarodnim organizacijama za osiguranje; obavlja poslove koji nastaju u vezi sa obavezama garantnog fonda pri Udruženju; određuje visinu doprinosa društava za osiguranje za obrazovanje sredstva garantnog fonda pri Udruženju; upravlja sredstvima garantnog fonda pri Udruženju; prima odštetne zahteve, vrši njihovu procenu i likvidaciju, isplaćuje osiguranu sumu, odnosno naknadu štete, ostvaruje regresne zahteve garantnog fonda pri Udruženju u slučajevima predviđanim zakonom; utvrđuje visinu doprinosa koji uplaćuju društva za osiguranje radi obezbeđivanja sredstava za izvršenje poslova Udruženja poverenih zakonom; donosi Kodeks o ponašanju u poslovima obaveznog osiguranja, bliže propisuje sadržinu podataka iz stava 2. člana 9. Zakona o obaveznom osiguranju u saobraćaju kao i način njihovog prikupljanja, čuvanja i dostavljanja i obavlja druge poslove utvrđene zakonom. Podatke iz sistema video nadzora i kartičnog RFID sistema UOS koristi isključivo za fizičko-tehničko obezbeđenje perimetra, javnih i restriktivnih prostora u objektu na glavnoj lokaciji. Ovi podaci se čuvaju u skladu sa zakonom – video snimci 30 dana, a RFID podaci zaposlenih do kraja radnog odnosa zaposlenog u UOS.
3. SKUPLJANJE I OBRDA POSEBNE KATEGORIJE PODATAKA O LIČNOSTI
U okviru opisanih javnih ovlašćenja, UOS, između ostalog, vrši obradu odštetnih zahteva u vezi sa poslovima Zelene karte i Garantnog fonda, vodi registar štetnih događaja čime je u obavezi da prikuplja, obrađuje, čuva zdravstvene podatke građana od značaja za obavljanje poslova poverenih zakonom, uključujući i podatke o štetnim događajima (saobraćajnim nezgodama), kao i o postavljenim odštetnim zahtevima po svakoj polisi osiguranja za primenu bonus-malus sistema, koje su društva za osiguranje. dužna da dostavljaju Udruženju. U skladu sa napred navedenim javnim ovlašćenjima iz važećih zakona Republike Srbije koji definišu oblast osiguranja i oblast obaveznog osiguranja autoodgovornosti, UOS legitimno obrađuje posebnu kategoriju zdravstvenih podataka.
4. RADNJE OBRADE PODATAKA O LIČNOSTI KLIJENATA U UOS
U okviru opisanih javnih ovlašćenja UOS prikuplja lične podatke ili ih društva za osiguranje, odnosno nadležni državni organi u skladu sa njihovim zakonskim obavezama dostavljaju u bazu IC UOS gde se za potrebe Izvršenje javnih ovlašćenja UOS (zelena karta, garantni fond, Informacioni centar) u cilju ostvarivanja prava građana i primene bonus – malus sistema (IC UOS) vrši njihova legitimna obrada i to: skupljanje, snimanje, organizacija, struktuiranje za unos u bazu podataka, skladištenje, adaptacija ili izmena, izvlačenje, konsultovanje, upotreba, otkrivanje prenosom, distribucija ili stavljanje na raspolaganje na drugi način, usklađivanje ili kombinovanje i restrikcije obrade. U skladu sa Zakonom o fizičko tehničkom obezbeđenju UOS čuva video snimke i podatke u RFID kartičnom sistemu u zakonskom roku u skladu sa „Pravilnikom o upotrebi video nadzora i RFID kartičnog sistema UOS“ i procenom uticaja automatizovane obrade na prava i slobode fizičkih lica.
5. ORGANIZACIONE JEDINICE UOS KOJI IZVRŠAVAJU RADNJE OBRADE PODATAKA O LIČNOSTI KLIJENATA
U UOS radnje obrade izvršavaju zaposleni u organizacionim jedinicama: Biro zelene karte, Garantni fond, Sektor finansija i računovodstva, Sektor za pravne, kadrovske i opšte poslove i Informacioni centar (IC UOS).
6. PRAVA I NAČIN KORIŠĆENJA PRAVA LICA ČIJI SE PODACI SKUPLJAJU I OBRAĐUJU U UOS
Garantovana prava na pristup lica čije podatke obrađuje UOS u posebne svrhe, (čl. 27 ZZPL) obezbeđuju se tom licu na osnovu njegovog pisanog zahteva, a izuzetno se mogu se ograničiti, u celini ili delimično (čl. 28 ZZPL), da bi se: 1) izbeglo ometanje službenog ili zakonom. uređenog prikupljanja informacija, istrage ili postupaka UOS; 2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija u slučaju prevara, i 3) zaštitila prava i slobode drugih lica. UOS, rukovalac i obrađivač, pismeno će obavestiti lice na koje se podaci odnose, bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana, da je pristup njegovim podacima o ličnosti odbijen ili ograničen, kao i o razlozima za odbijanje ili ograničenje, ili ako utvrdi da se podaci o ličnosti podnosioca zahtevaju ne obrađuju u UOS, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu. Lica na koja se podaci odnose ne mogu ostvariti pravo na brisanje podataka o ličnosti u UOS. U slučaju zahteva lica na koja se podaci odnose, rukovalac će umesto brisanja podataka o ličnosti ograničiti obradu (čl. 32 ZZPL) u jednom od sledećih slučajeva, ako: 1) je tačnost podataka o ličnosti osporena od strane. lica na koje se podaci odnose, a njihova tačnost, odnosno netačnost se ne može utvrditi; 2) podaci o ličnosti moraju biti sačuvani u cilju prikupljanja i obezbeđivanja dokaza o prevari; 3) podaci o ličnosti moraju biti sačuvani iz drugih razloga propisanih zakonom (čuvanje podataka na osnovu kojeg je isplaćen/odbijen odštetni zahtev i slično). Rukovalac će informisati lice na koje se podaci odnose o prestanku ograničenja obrade, pre nego što ograničenje prestane da važi u roku od 15 dana. Pravo na prenosivost podataka drugom rukovaocu lice na koje se podaci odnose ne može koristiti (čl. 36 ZZPL) pošto je obrada nužna za izvršenje poslova od javnog interesa UOS ili za vršenje službenih ovlašćenja rukovaoca (UOS). Lica na koje se podaci odnose nemaju pravo na prigovor za obradu njihovih podataka, pošto u UOS postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose, a u vezi su sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva (Čl. 37 ZZPL).
7. PRENOS PODATAKA O LIČNOSTI TREĆIM PRAVNIM ILI FIZIČKIM LICIMA
Prenos podataka koji se prikupljaju u okviru javnih ovlašćenja Zelene karte, Garantnog fonda i Informacionog centra, dostavljaju se trećim pravnim ili fizičkim licima u Republici Srbiji i inostranstvu, samo u slučajevima kada ona imaju adekvatne organizacione, tehničke i kadrovske mere zaštite i zakonski osnov za obradu istih kao što su: pravna i fizička lica na koja se podaci odnose; ovlašćena lica (staratelji i pravni zastupnici), odnosno, institucije koje i imaju zakonski osnov obrade: sudstvo, tužilaštvo, NBS, MUP, društva za osiguranje.
8. ZAŠTITA PODATAKA O LIČNOSTI KLIJENATA U UOS
Lični podaci i informacije u UOS su zaštićeni adekvatnim organizacionim, tehničkim i kadrovskim merama na vrlo visokom i ISMS usaglašenom nivou. Pristup elektronskim podacima je sa korisničkim izabranom jakom lozinkom i ovlašćenjima samo u obimu neophodnom za obavljenje određenih sistematizovanih poslova i sa upotrebom bezbednih poslovnih aplikacija. Pristup procesima za obradu podataka i bazama u kojima se podaci o ličnosti obrađuju, omogućen je samo ovlašćenim licima zaposlenim u IT sektoru UOS, dok je pristup podacima u izuzetno osetljivim bazama moguć samo direktoru IC UOS, s obzirom da su podaci u tabelama istih šifrovani. U računarima menadžmenta UOS (Kabinetu) gde se obrađuju najosetljiviji lični i poslovni podaci, šifruju se diskovi (BiLocker). Računari i serveri u kojima se obrađuju podaci u ZK, GF i IC UOS zaštićeni su slojevitom zaštitom po dubini IKT sistema (dvostruka DMZ perimetarska računarska mreža, Firevals, IDS/IPS, proksi serverom izmeštenim na klaud, koji omogućava zaštitu u radu od kuće, sistemima za testiranje IKT sistema na ranjivost u realnom vremenu i na proboj jednom godišnje, antivirusna/antimalver zaštitom, centralizovano logovanje i kontrola log zapisa aktivnosti zaposlenih u IKT sistemu UOS …) u računarskim fizičkim i virtuelnim podmrežama (VLAN) koje su izolovane od pristupa sa Interneta. Papirnati dokumenti se nalaze u zasebnim restriktivnim prostorijama kojima je moguć pristup samo uz autorizacione kartice za koje se digitalno vodi dnevnik događaja, a prostorije su zaštićene i sistem video nadzora.
9. SKLADIŠTENJE PODATAKA O LIČNOSTI U UOS
Podaci o ličnosti se skladište u toku obrade, zakonskog perioda zadržavanja i arhiviranja u UOS na serverskoj arhitekturi Udruženja osiguravača Srbije u serverskoj sobi smeštenoj u restriktivnom prostoru na primarnoj lokaciji, serverskoj sobi u iznajmljeno restriktivnom prostoru u Beogradu (Telenor) i serverskoj sobi u restriktivnom prostoru na rezervnoj lokaciji u Nišu (Telenor).
10. PRENOS PODATAKA O LIČNOSTI IZVAN REPUBLIKE SRBIJE
U procesu obrade podataka o ličnosti u sektoru Zelene karte, podaci o ličnosti na koje se podaci odnose prenose se u inostranstvo.
11. ZAKONSKI OSNOV I PERIOD ZADRŽAVANJA PODATAKA O LIČNOSTI U UOS
U skladu sa ZAKONOM O OSIGURANJU („Sl. glasnik RS“, br. 139/2014) član 176., podaci o osiguranicima, odnosno korisnicima osiguranja i drugi podaci značajni za ostvarivanje prava na naknadu štete, odnosno isplatu ugovorenih iznosa čuvaju se 10 (deset) godina posle isteka ugovora o osiguranju, a u slučaju nastanka štetnog događaja, odnosno osiguranog slučaja – 10 (deset) godina od utvrđivanja štete, odnosno ugovorenih iznosa. Po isteku perioda zadržavanja svi poverljivi podaci, posebno osetljivi podaci o ličnosti se digitalno arhiviraju i čuvaju šifrovani u bazama podataka na operativnim i rezervnim lokacijama UOS.
12. KOGA TREBA U UOS KONTAKTIRATI ZA VIŠE INFORMACIJA?
UOS je prema ZZPL obavezan da uspostavi ulogu lica za zaštitu podataka o ličnosti koje će primati i obrađivati sve upite, odgovarati u zakonskom roku od 15 dana i održavati sve komunikacije sa Poverenikom. U skladu sa zahtevima ZZPL sve informacije o podacima o ličnosti, lica koja se nalaze odnose mogu dobiti na upit e-poštom na adresu: branko.damjanovic@uos.rs i office@uos.rs.