Závazný pokyn 1/2018 k Dohodě o spolupráci 1. Vymezení stran 1. Předmětem Dohody o spolupráci je závazek zprostředkovatele jménem a na účet Modul Servis s.r.o. (dále také MS ) zprostředkovávat pojištění mezi klienty a pojistiteli a vykonávat činnosti s tím související za podmínek stanovených dohodou (dále jen zprostředkovatelská činnost ) a závazek MS zaplatit zprostředkovateli za tuto činnost níže sjednanou odměnu. 2. MS je v souladu se zákonem č. 38/2004 Sb., o pojišťovacích zprostředkovatelích a samostatných likvidátorech pojistných událostí (dále jen zákon o PZ ) v platném znění, pojišťovacím agentem a pojišťovacím makléřem a vyvíjí zprostředkovatelskou činnost v pojišťovnictví. MS je v souladu se zákonem o PZ a smlouvami s pojistiteli oprávněn vykonávat zprostředkovatelskou činnost ve spolupráci s podřízenými pojišťovacími zprostředkovateli. 3. Zprostředkovatel je nezávislým podnikatelem vykonávající zprostředkovatelskou činnost v pojišťovnictví na základě zákona o PZ v postavení podřízeného pojišťovacího zprostředkovatele. V rámci tohoto postavení bude docházet ke zpracování osobních údajů fyzických osob bez nichž nelze vykonávat činnost zprostředkování pojištění. Zprostředkovatel v rámci zprostředkování pojištění vystupuje v roli zpracovatele i správce osobních údajů. 2. Postavení zprostředkovatele jako zpracovatele osobních údajů 1. Povinnosti zprostředkovatele jako zpracovatele osobních údajů fyzických osob jsou obsaženy v Dohodě o spolupráci stanovené v předmětu pojištění. Jako zpracovatel osobních údajů zpracováváte osobní údaje dle pokynů MS a pro námi vymezené účely. Jde o následující činnosti: a. předkládání nabídek pojistných smluv, provádění přípravných prací směřujících k uzavření pojistné smlouvy (zjišťování potřeb, testy vhodnosti a přiměřenosti) a uzavírání pojistných smluv se zájemci naším jménem a na náš účet, b. zajišťování klientského servisu ve vztahu k pojistným smlouvám Vaším prostřednictvím uzavřených nebo, které Vám byly dány do správy. 2. V případě, že námi stanovené účely překročíte nebo budete zpracovávat osobní údaje fyzických osob bez našeho doloženého (zdokumentovaného) pokynu, stáváte se vůči takovému zpracování sami správcem osobních údajů, a to se všemi povinnostmi, které příslušné předpisy na ochranu osobních údajů správci připisují. 3. Postavení zprostředkovatele jako správce osobních údajů 1. Povinnosti zprostředkovatele jako správce osobních údajů fyzických osob jsou všechny činnosti vykonávané mimo ujednaný rámec Dohody o spolupráci. Těmito činnostmi mohou být např.: a. Marketingové aktivity vůči fyzickým osobám (nelze využít nakoupené databáze klientů). Marketingové aktivity nesmějí být prováděny jménem MS nebo pojistitele. b. Zprostředkovatelská činnost, kdy o své vůli vybírá zprostředkovatel potencionální zájemce o uzavření pojistné smlouvy a zpracovává jejich osobní údaje pro naplnění zákonem č. 38/2004 Sb. stanoveného účelu výkonu zprostředkovatelské činnosti v pojišťovnictví předkládání návrhů na uzavření pojistných smluv klientům a provádění přípravných činností směřujících k uzavření pojistných smluv. c. Plnění v rámci právní povinnosti (zákonné povinnosti účetní zákon, daňové zákony atp.). d. Všechny účely, které máte stanoveny na základě oprávněného zájmu. Např. interní evidence klientů vedená mimo kalkulační programy MS a CRM systém MS zajišťující 1
žádný chod činnosti zprostředkovatele. Archivování mailové korespondence s klientem atp. (nejedná se o kompletní výčet činností, pouze o příklady) 2. Jako správce osobních údajů musíte plnit informační povinnost, provádět záznamy o činnostech zpracování atp. Podrobně se s těmito opatřeními seznámíte v nařízení GDPR. 3. Podrobnější popis postavení zprostředkovatele jako správce nebo zpracovatele osobních údajů je rozveden ve stanovisku č. 1/2005 - Činnost pojišťovacích zprostředkovatelů a oznamovací povinnost vydaných Úřadem pro ochranu osobních údajů (https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=1481&n=stanovisko-c- 1-2005-cinnost-pojistovacich-zprostredkovatelu-a-oznamovaci-povinnost&p1=3938). 4. Pokyny pro zprostředkovatele Zprostředkovatel je povinen s účinností od 25.5.2018 řídit se následujícími pokyny. 1. Zprostředkovatel nemůže do zpracování osobních údajů, které vykonává v souvislosti s výkonem zprostředkovatelské činnosti pro MS, zapojit dalšího zpracovatele. Zprostředkovatel může do zprostředkování pojištění, jejíž součástí je zpracování osobních údajů, zapojit pouze vlastní zaměstnance. Zprostředkovatel je povinen informovat o zapojení nového zaměstnance do zpracování osobních údajů. Stejně tak je povinen informovat o ukončení zapojení zaměstnance na zpracování osobních údajů. MS k tomuto účelu vede interní přehled zprostředkovatelů a jejích zaměstnanců, kteří se na zprostředkování pojištění podílejí. Zaměstnanec zprostředkovatele se může zapojit do procesu zprostředkování pojištění pouze po předchozím souhlasu MS. Ten bude udělen po splnění všech kvalifikačních požadavků pro výkon zprostředkovatelské činnosti v pojištění. Za udělení souhlasu lze považovat zřízení přístupu do kalkulačních programů MS a vybraných pojistitelů. 2. Zprostředkovatel je povinen zavést technická a organizační opatření k ochraně osobních údajů, a to minimálně v rozsahu: a. Pojišťovací prostředkovatel je povinen přijmout a udržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. b. Pojišťovací zprostředkovatel dále vhodným způsobem zajistí, že zaměstnanci zprostředkovatele budou zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném MS a odpovídajícím těmto pokynům a právním předpisům, zejména zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání. c. Při zpracování osobních údajů budou osobní údaje uchovávány výlučně na zabezpečených serverech nebo na zabezpečených nosičích dat, jedná-li se o osobní údaje v elektronické podobě. d. Za účelem naplnění těchto pokynů zprostředkovatel přijal a udržuje vhodnou kombinaci technicko-organizačních opatření a principů k zajištění požadované úrovně zabezpečení, mezi které patří zejména: zajištění toho, že přístup k osobním údajům mají pouze pověřené osoby zprostředkovatele; zabránění neoprávněnému přístupu k datovým nosičům; antivirová ochrana a kontrola neoprávněných přístupů; zajištění toho, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze pověřené osoby; 2
provádění šifrování a pseudonymizace osobních údajů; schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování a provádění kontrol zavedených opatření a jejich korektního fungování pravidelně kontrolovat; schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů. 3. V případech, kdy prostředkovatel zpracovává osobní údaje v rámci jednoho nebo více informačních systémů, je pak povinen aplikovat ještě další opatření a principy, zejména: pořizování elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány; zajištění toho, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby; proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; ochrana perimetru informačního systému, např. víceúrovňovým firewallem; šifrovaný přenos dat prostřednictvím IT technologií a sítí; servery s osobními údaji musí vykazovat vysokou míru fyzického zabezpečení, tedy jsou např. uzamčeny v serverovně; a případné zálohy dat prováděné do jiné lokality jsou prováděny šifrovaným přenosem a přístup k nim mají pouze pověřené osoby zprostředkovatele. 4. Při zpracování osobních údajů v jiné než elektronické podobě budou osobní údaje uchovány v místnostech s náležitou úrovní zabezpečení, do kterých budou mít přístup výlučně pověřené osoby. 5. Zprostředkovatel je povinen na písemnou žádost MS přijmout v přiměřené lhůtě stanovené další záruky za účelem technického a organizačního zabezpečení osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům. 6. V případě zjištění porušení záruk dle bodu 2 odst. c) těchto pokynů je zprostředkovatel povinen zajistit stav odpovídající zárukám neprodleně poté, co zjistí, že záruky porušuje, nejpozději však do 3 pracovních dnů poté, co je k tomu MS vyzván. 7. V případě, že zprostředkovatel zjistí porušení zabezpečení osobních údajů, které jako zpracovatel zpracovává pro MS (která je zpracovatelem osobních údajů pro pojistitele - správce), je povinen to ihned, nejpozději do 24 hodin od zjištění porušení zabezpečení osobních údajů, ohlásit MS, a to e-mailovou zprávou na adresu gdpr@modulservis.cz. Oznámení podle tohoto bodu bude obsahovat přinejmenším: popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů; jméno a kontaktní údaje pověřence pro ochranu osobních údajů, pokud ho má, nebo jiného kontaktního místa, které může poskytnout bližší informace; popis pravděpodobných důsledků porušení zabezpečení osobních údajů; popis opatření, která zprostředkovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Není-li možné poskytnout všechny výše uvedené informace současně s oznámením o porušení zabezpečení osobních údajů, zprostředkovatel je poskytne postupně bez zbytečného odkladu, co tyto informace získá. 3
8. Zprostředkovatel není oprávněn jménem MS nebo pojistitele přebírat žádosti subjektů údajů o výkon práv subjektu údajů. V případě, že se na zprostředkovatele fyzická osoba s takovou žádostí obrátí, je zprostředkovatel povinen fyzickou osobu informovat o tom, že žádost o výkon práv subjektu údajů adresovanou MS nebo pojistiteli by měl fyzické osobě předat přímo MS nebo pojistiteli. Pokud zprostředkovatel od subjektu údajů žádost o výkon práv subjektu údajů adresovanou MS nebo pojistiteli přijme, je povinen fyzickou osobu upozornit, že bude považována za doručenou MS nebo pojistiteli až okamžikem, kdy se dostane do její dispoziční sféry; v takovém případě je zprostředkovatel povinen předat žádost vždy MS ihned, nejpozději do 3 pracovních dnů ode dne, kdy zprostředkovatel takovou žádost od subjektu údajů obdržel, a to e-mailem na adresu: gdpr@modulservis.cz. Je-li žádost adresována pojistiteli, MS žádost bez odkladu předá pojistiteli. 9. Zprostředkovatel je povinen poskytnout MS součinnost při plnění povinnosti reagovat na žádost o výkon práv subjektů údajů vznesených subjektem údajů na MS nebo pojistitele, a to zejména sdělením MS požadovaných informací, či předáním MS požadovaných dokumentů. Zprostředkovatel je povinen poskytnout MS součinnost dle předchozí věty ve lhůtě uvedené ve výzvě MS k poskytnutí součinnosti, jinak ve lhůtě 3 pracovních dnů ode dne doručení žádosti MS zprostředkovateli. 10. Zprostředkovatel není oprávněn jménem MS nebo pojistitele přijímat od fyzické osoby hlášení o možném porušení ochrany osobních údajů. V případě, že se na zprostředkovatele fyzická osoba s takovou informací obrátí, je zprostředkovatel povinen fyzickou osobu informovat o tom, že hlášení o možném porušení ochrany osobních údajů adresované MS nebo pojistiteli (nikoli tedy přímo zprostředkovateli) by měla fyzická osoba předat přímo MS nebo pojistiteli. 11. Zprostředkovatel je povinen informovat MS o tom, že vůči němu v souvislosti se zpracováním osobních údajů byla zahájena kontrola nebo správní řízení ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu, nejpozději do 3 pracovních dnů ode dne, kdy se o zahájení takové kontroly, resp. správního řízení dozvěděl. MS dále má povinnost tuto kontrolu nebo správní řízení oznámit pojistiteli. Oznámení dle předchozí věty je zprostředkovatel povinen zaslat MS emailovou zprávou na adresu: gdpr@modulservis.cz. Zprostředkovatel je dále povinen informovat MS o průběhu a výsledcích kontroly, resp. řízení dle 1. věty tohoto bodu 11., a to způsobem a v rozsahu, který zprostředkovateli sdělí MS. 12. Zprostředkovatel je povinen seznámit klienta (pojistníka) před podpisem pojistné smlouvy o zpracování osobních údajů fyzických osob majících vztah k realizovanému pojištění, a to v rozsahu: informační memorandum pojistitele, informační memorandum MS. Zprostředkovatel je dále povinen seznámit klienta (pojistníka) se souhlasem se zpracováním osobních údajů pro obchodní sdělení, a to v rozsahu: souhlas pro obchodní sdělení pojistitele, souhlas pro obchodní sdělení MS. Postup seznámení s informačním memorandem a souhlasy bude stanoven samostatným pokynem. 13. Zprostředkovatel je povinen informovat své zaměstnance o zpracování jejich osobních údajů v rozsahu Informačního memoranda pro zaměstnance podřízených pojišťovacích zprostředkovatelů, které MS předá zprostředkovateli. A to jak Informačního memoranda ve vztahu MS a zprostředkovatele, tak Informačního memoranda ve vztahu pojistitele a podřízeného pojišťovacího zprostředkovatele. 4
14. Zástupce zprostředkovatele nebo jiná osoba oprávněná jednat za zprostředkovatele bere na vědomí, že její identifikační a kontaktní údaje a záznamy vzájemné komunikace MS zpracovává na základě oprávněného zájmu, a to pro účely vnitřní administrativní potřeby (včetně tvorby evidencí) a ochrany právních nároků MS. 15. Zástupce zprostředkovatele, jiná osoba oprávněná jednat za zprostředkovatele nebo jakákoliv pověřená osoba má v souvislosti se zpracováním svých osobních údajů právo na přístup k osobním údajům, právo na jejich opravu a výmaz, právo na omezení zpracování a právo podat námitku proti zpracování. Další informace o zpracování osobních údajů a o možnostech uplatnění jednotlivých práv naleznete na našich webových stránkách www.modulservis.cz/ochrana-osobnich-udaju. 16. MS zpracovává osobní údaje po dobu trvání Dohody o spolupráci a dále maximálně do doby uplynutí promlčecí doby práv vzniklých z případného porušení Dohody o spolupráci či protiprávního jednání zprostředkovatele. 17. MS si vyhrazuje právo tyto pokyny průběžně aktualizovat podle úpravy pokynů zpracování osobních údajů vydaných pojistiteli. 18. Pro zvýšení právní jistoty zprostředkovatele nahrazují tyto pokyny dosavadní ujednání Dohody o spolupráci, které se týkají ochrany osobních údajů a závazku mlčenlivosti v rámci zprostředkování pojištění. 5. Přílohy: Informační memorandum pro podřízené pojišťovací zprostředkovatele Modul Servis s.r.o. příloha č. 1 Kooperativa pojišťovna a.s. příloha č. 2 Česká podnikatelská pojišťovna a.s. příloha č. 3 Europe Assistance s.a. příloha č. 4 (doplnění dalších informačních memorand pojistitelů bude probíhat po jejich dodání ze strany pojistitele) V Plzni dne 17.5.2018 Za Modul Servis s.r.o. Mgr. Ing. Vladimír Beneš Jednatel 5