Захист персональних даних - Harmonie Mutuelle

Наші 8 зобов’язань захистити ваші персональні дані

8 областей сильної відданості

даних

Управління даними згідно з Harmonie Mutuelle

Збір даних

Використання персональних даних

Дані про стан здоров’я

Комерційне використання даних

Передача даних

Захист даних та конфіденційність

Права суб'єктів даних

Завантажте всі наші 8 сфер взаємодії

Використання та захист даних Гармоні Мутюель у 10 питаннях

Що таке GDPR ?

Для адаптації до цифрових викликів та забезпечення кращого контролю за особистими даними Загальний регламент про захист даних (GDPR) набув чинності 25 травня 2018 р. Він посилює права приватних осіб та робить державні органи більш відповідальними та приватних осіб, які обробляють їх дані. Цей новий європейський регламент відповідає французькому закону "Informatique et Libertés" 1978 року та посилює контроль з боку громадян за використанням даних, що стосуються них.

Що таке особисті дані ?

«Персональні дані» складаються з «будь-якої інформації, що стосується ідентифікованої або ідентифікованої фізичної особи». Особу можна ідентифікувати:

  • безпосередньо (приклад: прізвище, ім’я);
  • опосередковано (приклад: за допомогою ідентифікатора (номер замовника), (телефонного) номера, біометричних даних, кількох конкретних елементів, характерних для їхньої фізичної, фізіологічної, генетичної, психологічної, економічної, культурної чи соціальної ідентичності, а також їхнього голосу чи картини).

Ідентифікація фізичної особи може бути здійснена:

  • з окремих даних (приклад: номер соціального страхування, ДНК);
  • від перетину набору даних (приклад: жінка, яка живе за такою-то адресою, народилася в такий-то день, передплатила такий-то журнал та активістка в такому-то об’єднанні).

Що таке обробка персональних даних ?

"Обробка персональних даних" - це операція або сукупність операцій, що стосуються персональних даних, незалежно від використовуваного процесу: збір, запис, організація, збереження, адаптація, модифікація, вилучення, консультація, використання, передача шляхом передачі, розповсюдження або будь-яка інша форма надання.

Які категорії даних збирає Гармоні Мутюель та з якою метою ?

HARMONIE MUTUELLE для того, щоб виконати свою місію та надати послуги та послуги, на які передплачено бенефіціарів, та керувати відносинами з членами та клієнтами, потребує певних персональних даних. Вони можуть мати різний характер, залежно від різних видів діяльності, що здійснюються Гармоні Мютюель (додаткове медичне страхування, страхування, страхування позичальників, пенсійні заощадження, профілактика тощо).

Ці дані, зібрані безпосередньо від Бенефіціарів, - це в основному ідентифікаційні дані, професійна та сімейна ситуація, економічні та банківські дані. До цього додаються дані, отримані під час користування нашими послугами або перегляду цифрового середовища, а також дані, отримані в результаті управління контрактом (відшкодування витрат на догляд, виплата відшкодування збитків, надання послуги).

Занотовувати, певні види діяльності, такі як страхування позичальників та позичальників, виправдовують обробку медичних даних. Вони збираються під час підписки відповідно до конкретного та суворо контролюючого процесу, щоб забезпечити дотримання медичної таємниці. Ці дані обробляються лише за згодою страхувальника і призначені виключно для медичного консультанта для управління договором.

Які відповідні обов'язки мають компанії, які підписуються від імені своїх працівників ?

Компанія залишається відповідальною за обробку кадрів своїх працівників, включаючи впровадження додаткових схем соціального захисту. Як результат, компанія відповідає за обробку даних, що стосуються встановлення та розгортання контракту, а також оновлення переданої інформації з метою отримання прав своїх працівників у компанії взаємного страхування. Тому компанія має право передавати взаємні, безпосередньо або шляхом збору індивідуальних форм приналежності своїх працівників, персональні дані, необхідні для їх приналежності.

ВЗАЄМНА ГАРМОНІЯ, як тільки приєднання відбулося, вступає в прямі правові та договірні відносини з працівниками компанії, які таким чином стають нашими членами. На цій стадії процесу, а також за все виконання укладеного контракту, взаємна компанія бере на себе відповідальність за обробку даних.

Як Harmonie Mutuelle використовує особисті дані ?

HARMONIE MUTUELLE збирає та обробляє лише персональні дані, які є для нього суворо необхідними в контексті своєї діяльності, щоб пропонувати якісні продукти та послуги та адаптовані до потреб кожної людини.

Ми використовуємо дані для:

  • Ефективно виконувати наші завдання, починаючи від фази до укладення договору і закінчуючи виконанням наших зобов’язань. Це передбачає виконання всіх операцій, необхідних для підписання, управління (включаючи комерційні) та виконання наших договірних зобов'язань, а також будь-якої операції, що стосується організації інституційного життя згідно з нашими статутами.
  • Надайте підтримку та корисні та адаптовані пропозиції. Йдеться про можливість виявити потреби кожної людини, щоб надалі персоналізувати стосунки з нашими членами та клієнтами, пропонуючи їм адаптовані пропозиції.
  • Виконуйте наші юридичні та нормативні зобов’язання та захищайте наші законні інтереси. Це передбачає дотримання наших зобов’язань, пов’язаних із боротьбою з шахрайством, відмиванням грошей або фінансуванням тероризму, а також надання нам можливості захищати свої інтереси в суді, зберігаючи відповідні докази.

Ми не передаємо будь-які персональні дані третім особам поза договірними рамками без вашої згоди. Дані призначені лише для уповноваженого персоналу Взаємної компанії. У межах суворого обмеження використання, згаданого вище, вони також можуть передаватися субпідрядникам, партнерам та професійним організаціям, уповноваженим Взаємною компанією та сприяти здійсненню цих видів використання. Вони також можуть виконувати юридичні та регуляторні зобов'язання на їх прохання до офіційних органів та адміністративних чи судових органів, зокрема в контексті боротьби з відмиванням грошей або боротьби з фінансуванням тероризму. з законодавчими положеннями.

Ми їх приймаємо виключно на території країни-члена Європейського Союзу або в країні, що пропонує достатні гарантії у значенні Європейської Комісії.

Ми не тримаємо дані ніж час, необхідний для досягнення різних цілей та видів використання, описаних вище, та відповідно до різних правових положень, що стосуються строку давності або будь-якого іншого конкретного періоду, встановленого наглядовим органом, у галузевій довідці (стандарти для страхового сектору).

Що Harmonie Mutuelle вже робить для забезпечення безпеки та конфіденційності персональних даних? ?

HARMONIE MUTUELLE має такі організаційно-технічні системи для управління ризиками ІТ-безпеки:

З точки зору безпеки

  • Організація безпеки
    Безпекою інформаційних систем Harmonie Mutuelle керує CISO, а оперативно впроваджується ІТ-відділом Harmonie Mutuelle. Harmonie Mutuelle також має спеціальну команду оперативної безпеки, яка відповідає за технічне адміністрування та оперативне управління інцидентами в галузі безпеки.
  • Політика безпеки
    Harmonie Mutuelle має загальну політику безпеки, затверджену Генеральним управлінням, а також кілька стандартів безпеки, що визначають цілі безпеки, яких слід досягти. Ця політика безпеки базується на стандартах ISO 27001 та 27002.
  • План ліквідації наслідків катастрофи (PRA)
    Harmonie Mutuelle має PRA, яким керує спеціальна команда, спрямована на забезпечення належної доступності та відновлення даних у випадку великої катастрофи на її ІТ-обладнанні. Цей план відновлення бізнесу, зокрема, покладається на можливості віртуалізації.

Щодо конфіденційності

Усі користувачі Harmonie Mutuelle мають номінативні рахунки для забезпечення простежуваності транзакцій. Для технічних адміністраторів впроваджено рішення щодо управління правами привілейованого доступу. Огляд привілейованих прав проводиться щороку командою безпеки.

Мережа операторів, залучених до даних, довірених Harmonie Mutuelle, підпадає під дію зобов’язань щодо конфіденційності, матеріалізованих в контракті між нами та оператором, а для критичних операцій та/або для зовнішніх сторін додатково в документі про зобов’язання.

Усі користувачі Harmonie Mutuelle (внутрішні та зовнішні) використовують іменні рахунки, що дозволяє надавати доступ лише тим, кого торкається процес.

Для технічних адміністраторів впроваджено рішення щодо управління правами привілейованого доступу. Огляд привілейованих прав проводиться щороку командою безпеки.

З точки зору цілісності

Harmonie Mutuelle забезпечує цілісність довірених йому даних та їх обробку з міркувань якості обслуговування та безперервності бізнесу. Кожен новий процес є предметом аналізу, який може призвести до створення систем для перевірки цілісності даних, якими обмінюються та реєструються. Доступ до інформаційних систем обмежений, щоб обмежити ризик людських помилок, що впливають на цілісність даних.

З точки зору розміщення

Harmonie Mutuelle має власний захищений Центр обробки даних (доступ до захищеної будівлі, резервування систем електропостачання та телекомунікацій, сигналізації та відеозахисту) у Франції (кімната Lampertz), який безпосередньо управляється внутрішніми командами Harmonie Mutuelle, дотримуючись набору процедур, оформлених офіційно. Цей центр обробки даних розташований у районі, вільному від екологічних ризиків. Він доступний командам Гармоні Мюель менш ніж за 20 хвилин. Цей центр обробки даних обладнаний власними засобами безпечного знищення даних (безпечне логічне стирання або безпечне знищення жорстких дисків залежно від типів носіїв).

До постачальників послуг, які використовує Harmonie Mutuelle, застосовуються однакові вимоги щодо розміщення: центри обробки даних повинні розташовуватися в Європі, і ми надаємо перевагу тим, що встановлені у Франції; також вони повинні бути на достатньому рівні безпеки (як з точки зору логічної, так і фізичної безпеки).

З точки зору прозорості

HARMONIE MUTUELLE працює за двома осями:

  • Перший - покращити виявлення інцидентів безпеки та їх кваліфікацію,
  • Друга вісь складається з розробки та розгортання процедури повідомлення про порушення безпеки в CNIL протягом відведеного періоду в 72 години та, якщо це можливо, у відповідних осіб для виконання наших регуляторних зобов'язань.

Додаткова система для компаній-клієнтів

Harmonie Mutuelle має кілька середовищ відповідно до належних практик безпеки (виробництво/попереднє виробництво) і може запропонувати своїм клієнтам кілька безпечних засобів обміну, залежно від характеру даних, що передаються (наприклад, рішення для контейнеризації), і має власну інфраструктуру управління сертифікатами ( PKI).

З точки зору обізнаності

Щоквартально проводяться очні сесії, присвячені темам, обраним командою CISO відповідно до новин Гармоні Мютюель та службою безпеки, наданою командою, що супроводжуються письмовим повідомленням. Також щокварталу, що стосується всіх працівників, що працюють на ІС.

Модулі електронного навчання (один, присвячений ІТ-безпеці, а інший, присвячений GDPR), були створені на внутрішній платформі електронного навчання Harmonie Mutuelle. Вони є частиною обов’язкового навчання всіх працівників.

У той же час на цих темах на національному рівні також застосовуються різні спеціальні національні механізми підвищення обізнаності (плакати, листівки, какемоно тощо).

Де знаходиться Гармоні Мутюель у відповідності з GDPR ?

HARMONIE MUTUELLE здійснив активний процес дотримання GDPR близько 5 основних проектів (відповідність, безпека інфраструктури, субпідряд та партнерства, згода та прозорість, підтримка змін).

У цьому контексті було проведено кілька заходів, таких як призначення посадової особи з питань захисту даних у квітні 2018 року, створення оперативної групи, відповідальної за управління та реалізацію різних проектів, та створення юридичної групи, відповідальної за дотримання договору.

Кілька інших дій були визначені пріоритетними на кінець 2018 року та першу половину 2019 року, і зараз вони в основному ініційовані: картографування та реєстр операцій з обробки, посилення прозорості шляхом перегляду повідомлень про юридичну інформацію, підвищення обізнаності наших працівників, а також огляд договорів субпідряду та партнерства.

У той же час були розпочаті або заплановані інші дії, що доповнюють цей процес дотримання, такі як, зокрема, розробка процедур повідомлення про порушення правил безпеки або тих, що стосуються здійснення особистих прав.

Наші додаткові зобов'язання перед компаніями-клієнтами

Окрім надання необхідних гарантій щодо захисту даних для працівників компаній-клієнтів, HARMONIE MUTUELLE також бере на себе зобов'язання перед підписаними компаніями:

  • Надати допомогу Клієнту-передплатнику з метою реагування на органи влади за операції з обробки, за які він залишається відповідальним.
  • Співпрацювати з Клієнтом, який підписався, з метою дотримання GDPR, співпрацювати з ним для виконання будь-якого ЗВС або підтримувати його для сприяння здійсненню їх прав зацікавленими особами.
  • Дозволити Замовнику, який підписався, згідно з умовами, які будуть узгоджені з останнім на підставі договору, проводити аудит GDPR.

Для цього спеціальні контактні пункти
Щодо персональних даних та GDPR: [email protected]
Щодо безпеки інформаційних систем: [email protected]

Конкретно, які права мають члени та їх бенефіціари ?

Член та його бенефіціари мають:

  • Про їхні персональні дані: право доступу, виправлення, стирання або перенесення їх даних, а також право визначати директиви, що стосуються їхньої долі після їх смерті.
  • Про процедури: в межах законних інтересів Взаємного, права на обмеження та права на опозицію (наприклад, право протистояти використанню персональних даних для комерційних пошукових цілей та/або профілювання).
  • За згодою: право контролювати свою згоду, зв’язавшись із взаємною компанією, щоб вимагати відписки будь-якого комерційного доручення або, відкликаючи свою згоду на надсилання електронних листів інформації та новин із взаємних посилань за посиланням для відписки, наданим у кожній партії.
  • У разі скарги стосовно обробки їхніх персональних даних, право на контакт з Комісією національної інформації та свободи (CNIL).