Postup pri ochrane údajov
Žiadateľ vrátane všetkých jeho dcérskych spoločností, ktoré majú byť zahrnuté v poistení (ďalej len „žiadateľ“) preveril svoje procesy, procesy u dcérskych spoločností a identifikoval oblasti, ktoré by mohli byť v rozpore s dodržiavaním pravidiel nariadenia GDPR a / alebo jeho lokálnej právnej úpravy (ďalej len „GDPR“) a urobil potrebné kroky na to, aby bol v súlade s GDPR riadne zdokumentovaným spôsobom, najmä s odkazom na nasledovné oblasti:
1. Žiadateľ preukázateľne zdokumentoval, aké osobné údaje má k dispozícii, odkiaľ pochádzajú, s kým ich zdieľa a zároveň vedie záznamy o svojich činnostiach spracovania údajov
2. Žiadateľ preukázateľne identifikoval legislatívny rámec svojich aktivít spracovania údajov a prehodnotil svoje súčasné upozornenia o ochrane osobných údajov a v prípade potreby vykonal potrebné zmeny podľa požiadaviek GDPR
3. Žiadateľ preukázateľne preskúmal a v prípade potreby aktualizoval svoje interné postupy tak, aby zabezpečil, že garantuje všetky práva, ktoré majú jednotlivci v zmysle GPPR (vrátane, s ohľadom na vymazanie osobných údajov, poskytnutia údajov elektronicky, všeobecne používaného formátu a prístupu k údajom)
4. Žiadateľ preukázateľne preskúmal, ako získava, zaznamenáva, spravuje súhlas na spracovávanie dát a či je prípadne potrebné vykonať akékoľvek zmeny. Zároveň či obnovil potrebný súhlas, ak nespĺňa štandard GDPR
5. Žiadateľ preukázateľne preskúmal alebo upravil svoje interné postupy na odhaľovanie, oznamovanie a vyšetrovanie porušenia ochrany osobných údajov a má vedomosť o spôsobe informovania orgánu ochrany údajov (a prípadne aj niektorých ďalších orgánov) v prípade porušenia ochrany osobných údajov
6. Pokiaľ sa to v zmysle GDPR vzťahuje na žiadateľa, vykonal zároveň posúdenie vplyvu ochrany údajov
7. Pokiaľ sa to v zmysle GDPR vzťahuje na žiadateľa, určil osobu pre ochranu údajov (tzv. Data Protection Officer „DPO“), interného zamestnanca alebo externého poradcu pre ochranu údajov, ktorý preberá zodpovednosť za dodržiavanie ochrany údajov v zmysle GDPR a má vedomosti, podporu a právomoci efektívne vykonávať svoju úlohu DPO
8. Žiadateľ potvrdzuje, že nezhromažďuje a neukladá žiadne údaje o bankových kartách
9. Žiadateľ potvrdzuje, že nevykonáva žiadne činnosti v nasledujúcich odvetviach: zdravotnícke služby; telekomunikácie (vrátane internetu, prevádzkovania webových stránok, poskytovanie cloudových riešení, atď.); call centrá; telemarketingové služby; služby spracovania dát (outsourcing); poskytovanie, výroba a distribúcia elektriny, plynu, vody alebo iných médií; poskytovanie akýchkoľvek finančných, bankových a / alebo platobných služieb; poisťovacie služby a sprostredkovanie poistenia; verejná správa (štátne a miestne orgány, úrady a spoločnosti, v ktorých majú vlastnícky podiel); letecké spoločnosti; prevádzkovanie hazardných hier
10. Žiadateľ potvrdzuje, že nepoužíva systémy, ktoré ich výrobca / vývojár už nepodporuje v žiadnom kritickom systéme a existuje systém riadenia opravy platných systémov tzv. patch management proces pre kritické systémy a aplikácie
11. Žiadateľ potvrdzuje, že voči nemu nebol za posledných 5 rokov uplatnený / vznesený žiadny nárok, nemá vedomosť o žiadnej udalosti, skutočnosti alebo okolnosti, ktoré by mohli zakladať takýto prípadný nárok a ani nebolo voči nemu vedené žiadne konanie a ani vyšetrovanie z titulu akýchkoľvek skutočných alebo údajných konaní súvisiacich s pochybením pri ochrane údajov
12. Žiadateľ vykonáva pravidelné, automatické zálohovanie alebo postupy obnovenia kritických systémov, údajov a informácií
13. Žiadateľ má medzi internou a externou sieťou tzv. firewall a používa antivírusovú ochranu pred škodlivým softvérom, ochranu proti tzv. spyware alebo malware a má prístup do vlastného systému chránený minimálne prístupovým menom a heslo