Registro de las actividades de tratamiento (Art. 30 RGPD)

1. Nombre y dirección de las empresas responsables

Grupo empresarial DR-WALTER (de ahora en adelante DR-WALTER). El grupo empresarial incluye DR-WALTER GmbH y DR-WALTER Versicherungsmakler GmbH.

DR-WALTER GmbH
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
Alemania

T +49 2247 9194 -0
F +49 (0) 2247 9194 -40
info(at)dr-walter.com
www.dr-walter.com

Registro mercantil: Siegburg HRB 4701
NIF-IVA: DE 212252105

DR-WALTER Versicherungsmakler GmbH
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
Alemania

T +49 2247 9194 -0
F +49 (0) 2247 9194 -40
info(at)dr-walter.com
www.dr-walter.com

Registro mercantil: Siegburg HRB 14554
NIF-IVA: DE 314696745

2. Directores del grupo empresarial

Dipl.-Kfm. Reinhard Bellinghausen (CEO)

Timo Dreger (COO)

3. Responsable de la protección de datos (Art. 37 RGPD)

Bianca Mahlberg

4. Fines de la recogida, procesamiento y utilización de datos (Art. 5 RGPD)

La realización de negocios de seguros; distribución, venta, administración y realización de contratos de seguros en el país y en el extranjero y todos los negocios relacionados con esto. El almacenamiento y procesamiento de datos personales para fines propios así como por encargo y en nombre de las compañías de seguros participantes.

El artículo 6, apartado 1b RGPD constituye el fundamento jurídico para el procesamiento de datos personales para fines contractuales y precontractuales. En caso de necesitar categorías especiales de datos personales (p.ej. historiales médicos), DR-WALTER obtendrá un consentimiento conforme al artículo 9, apartado 2j RGPD relacionado con el § 27 de la Ley alemana de protección de datos (BDSG). Conforme al artículo 21 RGPD se puede en todo momento revocar un consentimiento dado.

5. Grupo/s de personas afectadas, datos o categorías afectados

Se recogen, procesan y utilizan datos personales de los siguientes grupos de personas:

• Datos de personas interesadas (interés en cuanto al producto, direcciones, direcciones IP anónimos, datos demográficos y geográficos en clúster),
• Datos del cliente (dirección, direcciones IP anónimos, datos demográficos y geográficos en clúster, datos del contrato de seguro, datos de las prestaciones del seguro, cuentas bancarias, dado el caso datos de peritos, datos de proceso y de quejas),
• Datos de médicos, clínicas, y datos de salud,
• Datos de empleados, datos de postulantes, datos de agentes/corredurías/agencias (datos personales para la administración, regulación y liquidación),
• Datos de socios y agencias, agentes y corredurías (direcciones, datos de liquidación y prestaciones) si estos son necesarios para la realización de los fines nombrados en la sección 4.

6. Destinatarios de los datos o categorías de destinatarios (Art. 28 RGPD)

• Entidades internas de DR-WALTER que participan en la realización de los correspondientes procesos de negocios.
• Administraciones públicas que reciben los datos por prescripción legal (p.ej. organismos de la seguridad social, administraciones financieras, tribunales, BAFin).
• Contratistas externos (asociaciones de seguros y empresas de servicios).
• Otras entidades externas como entidades de crédito (prestaciones de seguro y recaudación de cuotas de seguro), corredurías y agencias de seguros en el marco de su trabajo como agentes así como entidades de notificación de las asociaciones de seguros.

7. Medidas técnicas y organizativas (Art. 32 RGPD)

Hemos adoptado medidas significativas técnicas y organizativas para poder garantizar la protección de sus datos personales. Aquí usted encuentra un resumen de dichas medidas.

1. Confidencialidad

a) Control de acceso físico

Prohibir a toda persona no autorizada el acceso a los equipos utilizados para el tratamiento de datos personales.

• Se está realizando un control permanente de acceso físico a los edificios de oficinas por los colegas en el lobby. Para las otras oficinas se realiza un control de acceso físico por los colegas trabajando en las secciones respectivas.
• Una regulación de acceso físico diferenciada les permite a los colaboradores el acceso únicamente a ciertas partes de la empresa.
• De un modo general, el acceso está prohibido a toda persona no autorizada y especialmente externa. Se necesita la autorización explícita por un colaborador, explicando la razón para tener acceso al edificio.
• Existen candados de seguridad así como una regulación de llaves.
• Los servidores se encuentran en espacios confinados.
• Almacenamientos de datos en respaldos portátiles (p.ej. CD/DVD, videos) se guardarán en espacios protegidos.
• Edificios y el área de la empresa están protegidos por un sistema de alarma, vigilancia de vídeo, sensores de movimiento e iluminación.

Informaciones sobre el derecho de acceso del interesado en caso de videovigilancia

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a las informaciones mencionadas en el artículo 15 de la RGPD.

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan y, dado el caso, a que se completen los datos personales que sean incompletos (Art. 16 RGPD).

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias mencionadas en el art. 17 RGPD, p.ej. si los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos (derecho de supresión).

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones mencionadas en el artículo 18 de la RGPD, p.ej. cuando el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones (Artículo 21 RGPD).

Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento (art. 77 RGPD). El interesado puede reclamar este derecho ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción.

Los datos de contacto de la autoridad de control competente son:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Frau Bettina Gayk
Postfach 20 04 44
40213 Düsseldorf
Alemania

Correo electrónico: poststelle@ldi.nrw.de

b) Control de acceso al sistema

Prohibir a toda persona no autorizada el acceso a y el uso de los equipos utilizados para el tratamiento de datos.

• Para el acceso a los sistemas se necesitarán datos de acceso como nombre de usuario y contraseña.
• Existe una directiva de contraseña.
• Autorizaciones de acceso inválidas se retirarán rápidamente.
• Se crean archivos de registro de las sesiones de usuario.
• Las estaciones de trabajo están protegidas por un programa antivirus.
• El personal de limpieza se elige con cuidado obligándole a la protección de datos por el empleador.

c) Control de acceso a los datos

Medidas para garantizar que, para la utilización de un sistema de tratamiento de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y que no se puedan leer, copiar, modificar o suprimir datos personales durante el procesamiento, la utilización y después del almacenaje sin autorización.

• En el marco del procesamiento de trabajo acordado están autorizadas para leer, copiar, modificar y suprimir los datos únicamente las personas que se ocupan de la recopilación, utilización y procesamiento de los datos personales. En este contexto existen regulaciones claras en cuanto a la concesión de autorizaciones de acceso que toman en cuenta un acceso diferenciado (leer, modificar, suprimir) y que regulan el acceso a diferentes niveles.
• Saliendo del puesto de trabajo se pueden proteger los documentos de papel contra un acceso o conocimiento no autorizado teniendo la posibilidad de utilizar armarios o compartimentos con cerradura.
• Un cortafuegos protege sus datos contra un acceso de redes que no son de confianza (p.ej. el internet).
• Se evaluará regularmente la eficacia de las instalaciones de seguridad técnica.
• Los documentos de papel y memorias portátiles de datos se almacenarán en armarios con candado (política de escritorio limpio).

d) Control de separación

Medidas para garantizar que datos recopilados con fines distintos podrán ser tratados de manera separada.

• En cuanto a datos personales de diferentes clientes se realizará una separación lógica de datos (según el cliente).

2. Integridad

a) Control de transmisión

Medidas para garantizar que datos personales no pueden ser leídos, copiados, modificados o suprimidos sin autorización durante la transferencia electrónica o durante su transporte o almacenamiento en memorias. Y que se podrá comprobar y constatar el lugar donde esté prevista la transmisión de datos personales por instalaciones de transmisión de datos.

• Se prohíbe utilizar memorias externas (memoria USB, disco duro, CD, DVD) afuera del entorno empresarial protegido.
• Se garantiza la destrucción de datos cumpliendo la normativa relativa a la protección de datos. En cuanto a documentos de papel la destrucción se realiza con una desfibradora según el nivel de protección reglamentado. Memorias (p.ej. un disco duro defecto) se destruyen físicamente.

b) Control de entrada

Medidas para garantizar que se puede comprobar y constatar con posterioridad quién introdujo, modificó o suprimó datos personales en los sistemas de procesamiento de datos.

• Para garantizar que se pueda comprobar con posterioridad si, quién y cuando se introdujeron, modificaron o suprimieron datos personales en los sistemas de procesamiento de datos existe una protocolización correspondiente.
• Se protocolan también las tareas de administración.
• La protección contra escritura impide que se puedan sobrescribir los datos.

3. Disponibilidad y resistencia

a) Control de disponibilidad

Medidas para garantizar que los datos personales serán protegidos contra la destrucción y pérdida accidentales.

• En caso de haberlo estipulado en el contrato, los datos son protegidos contra la destrucción y pérdida accidentales.
• Existe un concepto de backup y recuperación.
• Los backups serán comprobados periódicamente para ver si la restauración es posible sin dificultades.
• Se realizarán regularmente entrenamientos para simular situaciones de emergencia (p.ej. un incendio) y entrenar la restauración de datos.

b) Recuperabilidad inmediata

Medidas para garantizar que los datos personales podrán ser recuperados inmediatamente en caso de un incidente físico o técnico.

• Existe un concepto para la restauración de la actividad comercial después de una emergencia.

4. Los procedimientos de comprobación y evaluación

a) La administración de protección de datos

• Existe un concepto de protección de datos y de seguridad que se comprueba periódicamente.
• El concepto de protección de datos y de seguridad se adaptará a condiciones cambiadas.

b) Control de pedidos

Medidas para garantizar que los datos personales recopilados durante un pedido sólo se podrán tratar de acuerdo con las instrucciones del cliente.

• La descripción del servicio, que se acordó como base para el proceso de trabajo entre proveedor y cliente, define claramente el tipo, alcance y objetivo del procesamiento de datos.
• Los colaboradores encargados con el proceso de trabajo están informados sobre el alcance del servicio.
• Para el proceso de trabajo acordado se utilizarán en su caso soluciones de nube. Los centros de datos utilizados se encuentran dentro de la UE. La comunicación de datos a través de una nube está cifrada.
• El proveedor dispone de un responsable de la protección de datos.

8. Plazos indicativos para la eliminación de los datos (Art. 17 RGPD)

La autoridad legislativa ha dictado múltiples obligaciones y plazos de conservación de datos. Tras la expiración del plazo los datos correspondientes se eliminan de forma rutinaria si ya no son necesarios para el contrato. En el caso de que esto no afecte a los datos, estos se eliminan cuando no tengan lugar los fines nombrados en la sección 4.

9. Transmisión planificada a terceros países (art. 20 RGPD)

Se realiza una transmisión a terceros países (Google Analytics, véase https://www.google.de/policies/privacy/).