General Data Protection Regulation (GDPR)

1. Cui se aplică această informare

Această pagină se aplică aplicațiilor noastre de asigurări adresate pieței din România, inclusiv proiectelor pentru RCA, calculator RCA, CASCO, locuință, călătorie, avion, sănătate și altor produse similare operate de SUNERGOS IT SRL.

Este o informare specifică pentru aplicațiile de asigurări și completează Politica de confidențialitate generală a site-ului. În prezent, o parte dintre aceste aplicații sunt informative sau de pre-lansare. Dacă activăm fluxuri noi de ofertare, emitere sau gestionare de documente, vom actualiza această pagină astfel încât să reflecte exact datele colectate și temeiurile aplicabile.

2. Operatorul de date

Operatorul datelor pentru aceste aplicații este:

Pentru întrebări privind protecția datelor, cereri GDPR sau sesizări privind securitatea datelor, ne puteți scrie la adresa de mai sus.

3. Principiile după care vom colecta datele

În aplicațiile de asigurări vom urmări câteva reguli simple și stricte:

• colectăm doar datele necesare pentru scopul concret cerut de utilizator;
• nu cerem date sensibile mai devreme decât este necesar în flux;
• separăm clar datele necesare pentru ofertare, emitere, marketing și analytics;
• nu folosim căsuțe pre-bifate pentru consimțământ;
• nu vindem date personale și nu le folosim pentru profilare comercială ascunsă;
• revizuim periodic câmpurile din formulare pentru a elimina datele inutile.

4. Ce date colectăm în prezent

În forma actuală a portofoliului, colectarea este limitată și diferă de la produs la produs:

• Liste de așteptare / notificări la lansare: în majoritatea aplicațiilor de pre-lansare colectăm doar adresa de email introdusă voluntar în formular.
• Calculator RCA fără date personale: folosim parametri precum tipul vehiculului, tipul proprietarului, puterea motorului, grupa de vârstă, zona de înmatriculare, masa autorizată și clasa Bonus-Malus. Acest flux este conceput să funcționeze fără CNP, fără nume și fără număr de înmatriculare.
• Comparații și selecții de produse: în unele aplicații reținem doar selecțiile tehnice necesare pentru afișarea comparației dintre pachete, fără a solicita direct date de identificare.
• Date tehnice și de securitate: ca orice serviciu web, putem prelucra loguri tehnice, adrese IP, user-agent, request IDs și date de diagnostic strict pentru securitate, prevenirea abuzurilor și funcționarea serviciului.

5. Ce date putem colecta atunci când activăm cereri de ofertă sau emitere

Dacă activăm fluxuri complete de ofertare, achiziție sau administrare a polițelor, este posibil să solicităm numai datele relevante pentru produsul ales, de exemplu:

• Date de identificare: nume, prenume, serie și număr act identitate, CNP sau alt identificator cerut de asigurător, data nașterii.
• Date de contact: email, telefon, adresă de domiciliu sau corespondență.
• Date pentru RCA / CASCO: categorie vehicul, marcă, model, an fabricație, serie șasiu, număr de înmatriculare, date despre proprietar, istoric Bonus-Malus și alte informații necesare pentru calculul primei sau emiterea poliței.
• Date pentru locuință: adresa imobilului, tipul construcției, suprafață, an construcție, destinația locuinței, nivelul de acoperire solicitat.
• Date pentru călătorie / avion: destinație, perioadă de călătorie, număr de persoane asigurate, vârste și alte detalii strict necesare produsului ales.
• Date pentru sănătate: numai dacă produsul sau asigurătorul le cere și numai în limitele permise de lege; acestea pot include declarații privind starea de sănătate, antecedente relevante sau alte informații medicale strict necesare.

Dacă un flux de ofertare sau emitere este găzduit direct de un asigurător, broker sau alt partener, acea entitate poate acționa ca operator independent pentru etapa respectivă și vă va pune la dispoziție propria informare GDPR.

6. Scopurile prelucrării și temeiurile legale

Vom prelucra datele numai pentru scopuri clare și pe temeiuri corespunzătoare, inclusiv:

• La cererea dumneavoastră, înainte de contract (art. 6 alin. (1) lit. (b) GDPR): pentru a răspunde unei solicitări de ofertă, simulare, comparație sau emitere.
• Pentru executarea contractului (art. 6 alin. (1) lit. (b) GDPR): dacă achiziționați o poliță, dacă administrăm documente contractuale sau dacă oferim suport post-vânzare.
• Pentru obligații legale (art. 6 alin. (1) lit. (c) GDPR): de exemplu, obligații fiscale, contabile, obligații de conformitate, cerințe ASF sau obligații privind apărarea drepturilor în justiție.
• Pentru interes legitim (art. 6 alin. (1) lit. (f) GDPR): securitate, prevenirea fraudei, apărarea drepturilor, administrarea tehnică a serviciilor și analytics limitat, proporțional și transparent.
• Pe baza consimțământului (art. 6 alin. (1) lit. (a) GDPR): pentru comunicări de marketing, newslettere, cookies neesențiale sau alte prelucrări opționale.

În cazul datelor privind sănătatea sau al altor categorii speciale de date, vom prelucra astfel de informații numai dacă există un temei suplimentar valabil potrivit art. 9 GDPR, cum ar fi consimțământul explicit sau un alt temei permis de legislația aplicabilă pentru produsul respectiv.

7. Când furnizarea datelor este obligatorie

Nu toate câmpurile vor fi obligatorii. Totuși, anumite date sunt necesare pentru a vă putea furniza serviciul cerut. Dacă nu primim datele esențiale pentru o ofertă, emitere de poliță sau verificare contractuală, este posibil să nu putem procesa solicitarea.

Pentru marketing și comunicări promoționale vom separa clar consimțământul de cererea principală de ofertă sau achiziție.

8. Cui putem transmite datele

Datele pot fi comunicate, în măsura necesară, către următoarele categorii de destinatari:

• asigurători, brokeri, parteneri de distribuție sau procesatori implicați în ofertare, emitere ori administrarea poliței;
• furnizori de hosting, email, analytics, stocare, securitate și alte servicii IT folosite pentru operarea aplicațiilor;
• consultanți juridici, fiscali, contabili sau auditori, atunci când accesul este necesar și justificat;
• autorități publice, instanțe, organe de control sau alte entități dacă legea ne obligă;
• furnizori de plăți sau servicii de facturare, dacă activăm plata online.

Toți destinatarii vor primi doar datele necesare rolului lor, iar acolo unde aceștia acționează ca persoane împuternicite vom încheia acorduri conforme cu art. 28 GDPR.

9. Transferuri în afara SEE

Atunci când folosim furnizori care stochează sau accesează date din afara Spațiului Economic European, vom verifica existența unui mecanism legal adecvat, cum ar fi o decizie de adecvare, clauze contractuale standard sau alte garanții recunoscute de GDPR.

Nu vom transfera date în afara SEE doar pentru comoditate; orice transfer va fi limitat la ceea ce este necesar pentru operarea serviciului.

10. Cât timp păstrăm datele

Vom stabili perioade de retenție diferite în funcție de scop:

• Emailuri pentru pre-lansare sau notificări: până la lansarea produsului, retragerea consimțământului sau cel mult 12 luni de la ultima interacțiune, dacă nu justificăm o perioadă mai scurtă.
• Cereri de ofertă nefinalizate: doar cât este necesar pentru răspuns și follow-up rezonabil, după care datele vor fi șterse sau anonimizate, cu excepția situațiilor în care legea impune altfel.
• Date contractuale, fiscale și contabile: pe durata relației contractuale și ulterior conform termenelor de arhivare prevăzute de legislația aplicabilă.
• Date sensibile: numai pentru perioada strict necesară scopului pentru care au fost solicitate și cu măsuri sporite de protecție.

11. Cookies, analytics și marketing

Ca regulă, preferăm analytics fără cookies pentru măsurarea traficului și a performanței produselor. Dacă o aplicație folosește cookies sau identificatori neesențiali, aceștia vor fi activați doar după informare clară și, acolo unde legea o cere, după consimțământul dumneavoastră.

Comunicările de marketing vor fi trimise doar dacă există un temei legal distinct. Vă veți putea dezabona oricând, fără efect asupra serviciilor contractuale.

12. Securitatea datelor

Aplicăm măsuri tehnice și organizatorice rezonabile pentru a proteja datele împotriva accesului neautorizat, pierderii, distrugerii sau divulgării. Aceste măsuri pot include control al accesului, autentificare, jurnalizare, criptare în tranzit, separarea mediilor și revizuirea periodică a drepturilor de acces.

Accesul la date personale va fi limitat la persoanele și sistemele care au nevoie reală de ele pentru îndeplinirea scopului declarat.

13. Decizii automate și profilare

Nu intenționăm să luăm decizii exclusiv automate care să producă efecte juridice asupra dumneavoastră fără intervenție umană din partea noastră. Dacă un asigurător sau partener aplică propriile sale reguli de underwriting, scoring sau antifraudă, acea prelucrare poate fi guvernată de propria sa informare GDPR.

14. Drepturile dumneavoastră

În condițiile prevăzute de GDPR, aveți următoarele drepturi:

• dreptul de acces la datele prelucrate;
• dreptul la rectificare;
• dreptul la ștergere;
• dreptul la restricționarea prelucrării;
• dreptul la portabilitatea datelor;
• dreptul la opoziție, inclusiv față de prelucrarea bazată pe interes legitim;
• dreptul de a vă retrage consimțământul în orice moment pentru prelucrările bazate pe consimțământ;
• dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, în condițiile art. 22 GDPR;
• dreptul de a depune o plângere la autoritatea de supraveghere competentă.

Pentru exercitarea drepturilor, ne puteți scrie la office@sunergos.ro. Vom răspunde, de regulă, în cel mult o lună de la primirea cererii.

15. Autoritatea de supraveghere

Dacă apreciați că prelucrarea datelor dumneavoastră încalcă GDPR, aveți dreptul să depuneți o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

16. Modificări ale acestei pagini

Vom actualiza această pagină ori de câte ori schimbăm în mod relevant categoriile de date, scopurile, temeiurile, partenerii implicați sau arhitectura produselor. Data ultimei actualizări este afișată în partea de sus a paginii.