Politica de confidențialitate

1. Cadrul general al Politicii de Guvernanță a Datelor cu Caracter Personal

1.1. Obiective

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental înscris în Carta Drepturilor Fundamentale a Uniunii Europene.
Groupama acordă o importanță specială respectării libertăților și drepturilor fundamentale ale oricărei persoane fizice (clienți, salariați, utilizatori ai site-ului Groupama etc).
Respectarea vieții private și protecția datelor cu caracter personal sunt factori esențiali pentru a inspira încredere și siguranță, două valori de bază ale Grupului Groupama.
Având în vedere diversitatea activităților sale, Groupama prelucrează date cu caracter personal în diverse scopuri și folosind o gamă largă de mijloace. Protejarea drepturilor fundamentale constituie o prioritate pentru conducerea companiei, pentru angajați, pentru partenerii noștri contractuali.
Conștienți de importanța protecției datelor cu caracter personal, de riscurile la care ne expunem în cazul unei încălcări a securității datelor și de necesitatea de a avea un proces de gestionare a riscurilor, Groupama a implementat măsurile necesare pentru respectarea tuturor normelor aplicabile.
Acest angajament se traduce prin faptul că Groupama se asigură că prelucrările proprii de date cu caracter personal nu aduc atingere identității umane, drepturilor omului, vieții private sau libertăților individuale. De asemenea, Groupama se angajează să respecte drepturile persoanelor vizate și să ia toate măsurile necesare pentru a proteja confidențialitatea datelor cu caracter personal.
Angajamentul companiei noastre se traduce și prin adoptarea acestei Politici de Guvernanță a Datelor cu Caracter Personal.
Obiectivul Politicii de Guvernanță a Datelor cu Caracter Personal este de a stabili un cadru care să asigure conformitatea cu cerințele Regulamentului General privind Protecția Datelor (GDPR).
În acest sens, prezentul document descrie următoarele:

• Contextul general în care guvernanța datelor personale este pusă în acord cu strategia Groupama,
• Domeniul de aplicare a Politicii de Guvernanță a Datelor cu Caracter Personal,
• Principiile generale de aplicare a protecției datelor cu caracter personal,
• Mijloacele de protecție a datelor cu caracter personal,
• Organizarea Guvernanței datelor personale, în special rolurile și responsabilitățile tuturor părților implicate în prelucrările de date.

Prezenta Politică este completată de documente și de instrumente suplimentare (ghiduri, materiale de formare, metodologii, proceduri, bune practici etc.) care să permită atingerea obiectivelor stabilite.

1.2. Cadrul legal

Regulamentul UE 2016/679 din 12 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit și “Regulament General privind Protecția Datelor” sau “GDPR”) a intrat în vigoare la 25 mai 2016 și este aplicabil în toate statele membre ale UE începând cu 25 mai 2018.
Regulamentul General privind Protecția Datelor / GDPR stabilește obligațiile ce le revin companiilor (evaluarea impactului asupra protecției datelor, asigurarea protecției datelor începând cu momentul conceperii și în mod implicit, minimizarea datelor prelucrate, notificarea către autoritatea pentru protecția datelor și către persoanele vizate a încălcărilor privind protecția datelor cu caracter personal) și prevede drepturi suplimentare pentru persoanele vizate (informare, portabilitatea datelor, drept de retragere a consimțământului sau de restricționare a prelucrării, dreptul la o cale de atac judiciară, acțiuni colective etc).
În ceea ce privește guvernanța datelor cu caracter personal, Regulamentul General privind Protecția Datelor:

• impune implementarea de măsuri tehnice și organizatorice adecvate pentru a asigura respectarea cerințelor Regulamentului, a legislației naționale în materie de protecție a datelor personale și a regulilor interne ale Groupama (principiul responsabilității);
• prevede desemnarea unui DPO (Data Protection Officer – Responsabil pentru protecția datelor) care să se asigure că regulile de protecție a datelor cu caracter personal sunt puse în aplicare.

1.2.1. Cadrul legal general

• Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare;
• Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE – Regulamentul general privind protecția datelor (denumit în continuare GDPR);
• Legea nr. 682/2001 privind ratificarea Convenției pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981, cu modificările și completările ulterioare;
• Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, cu modificările și completările ulterioare;
• Legea nr. 365/2002 privind comerțul electronic, cu modificările și completările ulterioare.

1.2.2. Cadrul legal specific activității de asigurări

• Legea nr. 237/2015 privind autorizarea și supravegherea activității de asigurare și reasigurare:
  Art. 25 alin. (6)
  „Societățile utilizează datele cu caracter personal ale contractanților, inclusiv codul de identificare fiscală, numai în scopul administrării contractelor sau al instrumentării dosarelor de daună, cu respectarea legislației naționale referitoare la prelucrarea datelor cu caracter personal și libera circulație a acestor date”;
• Legea nr. 236/2018 privind distribuția în asigurări.

1.3. Domeniul de aplicare

Politica de Guvernanță a Datelor cu Caracter Personal se aplică tuturor angajaților Groupama.

1.4. Definiții

• Date cu caracter personal
  Orice informație privind o persoană fizică identificată sau care poate fi identificată (Persoană vizată) direct sau indirect, prin referire la un număr de identificare sau la unul sau mai multe elemente care îi sunt proprii (nume, prenume, număr de identificare, e-mail, adresă IP, voce, fotografie, date de localizare).
• Prelucrare
  Constituie prelucrare orice operațiune sau ansamblu de operațiuni care vizează datele cu caracter personal, indiferent de procedeul utilizat (prelucrări automatizate sau neautomatizate de date) și anume: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau orice altă formă de punere la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
• Operator
  Persoană fizică sau juridică care, singur sau în comun cu alte persoane, determină scopurile și mijloacele prelucrării datelor cu caracter personal.
• Persoană Împuternicită
  Persoană fizică sau juridică care prelucrează date cu caracter personal în numele Operatorului.
• Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
  Autoritatea națională independentă care are misiunea de a se asigura de respectarea reglementărilor privind datele cu caracter personal.
• Responsabilul pentru Protecția Datelor – DPO
  Persoana desemnată de Groupama, în baza calităților profesionale și a cunoștințelor în materie de protecție a datelor personale, cu rolul de a monitoriza respectarea Regulamentului General privind Protecția Datelor.

2. Principiile generale ale protecției datelor cu caracter personal

Următoarele cerințe trebuie să fie respectate înainte de a pune în aplicare orice prelucrare a datelor cu caracter personal. Orice modificare ulterioară a unei astfel de prelucrări trebuie să îndeplinească, de asemenea, aceste cerințe.
Încălcările în ceea ce privește conformitatea pot genera sancțiuni administrative (avertisment, notificare oficială, ordinul de a înceta o prelucrare), amenzi aplicate societăților și/sau conducerii acestora cu o valoare stabilită în funcție de gravitatea abaterilor constatate.

Groupama, în calitate de Operator de date, trebuie să demonstreze în orice moment măsurile aplicate pentru respectarea reglementărilor privind protecția datelor cu caracter personal.
Principiile de protecție a datelor cu caracter personal trebuie să fie luate în considerare începând cu momentul conceperii / inițierii unei noi activități de prelucrare și în mod implicit.
În ceea ce privește securitatea și confidențialitatea datelor, conformitatea va presupune și respectarea politicilor interne referitoare la Securitatea Sistemelor de Informații.

2.1. Scopuri determinate, explicite și legitime

Datele cu caracter personal trebuie să fie colectate în mod echitabil, legal și transparent în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
Datele sunt colectate în mod echitabil când persoana vizată este informată cu privire la prelucrarea datelor utilizate (scopuri, destinatari, durata de păstrare) și cu privire la modul în care își poate exercita drepturile.
Persoanele vizate trebuie să fie informate cu privire la prelucrare fie la momentul colectării datelor, fie într-un termen rezonabil în cazul în care datele sunt colectate în mod indirect (prin intermediul unui terț).
Prelucrarea datelor este considerată legală dacă este identificat unul dintre următoarele temeiuri juridice:

• Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte (ex.: contractul de asigurare),
• Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice (ex.: activități de marketing),
• Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine companiei Groupama,
• Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice
• Prelucrarea este necesară în scopul îndeplinirii intereselor legitime urmărite de Groupama

2.2. Principiul minimizării datelor

Datele colectate trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
Datele cu caracter personal trebuie să fie exacte și, în cazul în care este necesar, să fie actualizate. În funcție de scopurile pentru care sunt prelucrate, datele cu caracter personal care sunt inexacte sunt corectate fără întârziere sau vor fi șterse.

2.3. Durata de păstrare a datelor

Datele pot fi păstrate pentru o durată ce nu depășește durata necesară pentru atingerea scopurilor pentru care sunt prelucrate, cu respectarea legilor aplicabile.
Atunci când nu mai sunt necesare, datele sunt anonimizate sau distruse.
Persoanele vizate sunt informate cu privire la durata de păstrare a datelor lor (sau cu privire la criteriile care permit determinarea acestei durate).

2.4. Date sensibile / Categorii speciale de date cu caracter personal

Colectarea și prelucrarea următoarelor categorii de date cu caracter personal sunt interzise:

• Date care dezvăluie originea rasială sau etnică, opiniile politice, convingerile filozofice sau confesiunea religioasă, apartenența sindicală;
• Date genetice, date biometrice utilizate pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală ori orientarea sexuală.

Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Restricții similare sunt aplicabile și în contextul prelucrării de date cu caracter personal referitoare la condamnări penale și infracțiuni.
În anumite condiții permise de prevederile legale, este posibilă și prelucrarea categoriilor speciale de date cu caracter personal (ex.: consimțământ explicit, anonimizarea datelor, utilizarea datelor în scop statistic etc.).

2.5. Prelucrări specifice

Anumite prelucrări pot necesita implementarea unor măsuri suplimentare de protecție, având în vedere că pot genera riscuri ridicate pentru drepturile și libertățile persoanelor. De asemenea, în cazul unor astfel de prelucrări ce generează riscuri ridicate, poate fi consultată autoritatea de supraveghere.

Astfel, o atenție deosebită este acordată următoarelor tipuri de prelucrări de date:

• Prelucrare în vederea generării de contacte potențiale, lead-uri de vânzări;
• Prelucrarea unor:
  • date sensibile privind infracțiunile, condamnările sau diverse măsuri de securitate conexe,
  • date biometrice,
  • codul numeric personal / CNP,
  • date cu caracter personal ale copiilor;
    • Prelucrări susceptibile de a nu permite unei persoane exercitarea unui drept, accesul la un serviciu sau la posibilitatea de a încheia un contract (exemple: prelucrări necesare activităților de antifraudă, prevenirea spălării banilor și/sau a finanțării terorismului, crearea unor liste de clienți indezirabili);
    • Prelucrarea care implică:
      • o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice (ex.: profilare),
      • accesul pe scară largă la categorii speciale de date,
      • o monitorizare sistematică la scară largă a unei zone accesibile publicului.

2.6. Drepturile persoanelor

Orice persoană vizată ale cărei date sunt prelucrate dispune de o serie de drepturi care trebuie respectate de către Operator, respectiv:

• Dreptul la o informare concisă, transparentă, inteligibilă și ușor accesibilă privind prelucrarea înainte ca aceasta să aibă loc, inclusiv transmiterea de informații cu privire la identitatea Operatorului, scopurile prelucrării datelor, destinatarii și modalitățile de exercitare a drepturilor;
• Dreptul de a consimți la prelucrarea datelor proprii și la retragerea acestui consimțământ (în anumite condiții);
• Dreptul de acces, de rectificare, de ștergere, blocare, limitare sau de a se opune prelucrării datelor cu caracter personal, dreptul la portabilitatea datelor prelucrate sau de a depune o plângere la o autoritate de supraveghere;
• Dreptul la o cale de atac judiciară efectivă împotriva Operatorului sau a unei Persoane Împuternicite pentru orice persoană vizată ce consideră că i-au fost încălcate drepturile conferite de Regulament și dreptul de a mandata o organizație constituită în mod valid pentru a iniția o procedură în numele său (acțiuni colective);
• Dreptul la despăgubiri pentru orice persoană care a suferit o daună materială sau morală din cauza unei încălcări a reglementărilor menționate mai sus.

Exercitarea acestor drepturi este facilitată de Operator, iar documentele referitoare la prelucrarea datelor cu caracter personal (Note de informare, Politici de prelucrare a datelor cu caracter personal, alte documente contractuale și/sau condiții specifice de prelucrare a datelor în contextul încheierii unui contract de asigurare, utilizării site-ului și/sau aplicațiilor Groupama România) sunt formalizate, ușor accesibile oricărei persoane vizate și fac publice detaliile cu privire la prelucrările datelor cu caracter personal realizate.

2.7. Asigurarea securității și confidențialității datelor

Datele cu caracter personal sunt prelucrate într-un mod care să asigure securitatea acestora prin aplicarea de către Groupama a unor măsuri tehnice și organizatorice adecvate.
Având în vedere tipul datelor, domeniul de aplicare, contextul, scopul, riscurile generate de prelucrare și de tehnologiile utilizate, Groupama implementează măsurile necesare pentru a asigura securitatea datelor, inclusiv pentru prevenirea coruperii, ștergerii, prelucrării în scopuri necorespunzătoare sau a accesului la date de către terți neautorizați. Groupama alocă resurse pentru a asigura confidențialitatea, integritatea, disponibilitatea și reziliența datelor și implementează proceduri pentru testarea, analiza și evaluarea periodică a eficacității măsurilor implementate.
Groupama se asigură că fiecare Persoană Împuternicită oferă garanții suficiente cu privire la punerea în aplicare a măsurilor tehnice și organizatorice adecvate care să garanteze că toate prelucrările de date îndeplinesc cerințele legale în vigoare privind protecția datelor cu caracter personal. Aceste obligații și garanții sunt formalizate prin includerea în contractele încheiate cu Persoanele Împuternicite de clauze specifice cu privire la prelucrarea datelor cu caracter personal, fără ca acestea să exonereze Groupama de obligația de a se asigura că măsurile sunt eficiente.
Pentru a răspunde obligațiilor privind securitatea și confidențialitatea datelor, în cadrul Groupama sunt definite și implementate politici privind Securitatea Sistemului de Informații, politici adaptate dimensiunii companiei, tipului de date prelucrate și riscurilor existente.

2.8. Transferul de date către țările din afara Uniunii Europene

Transferul de date către un stat care nu este membru al Uniunii Europene este posibil doar dacă acest stat asigură un nivel de protecție considerat ca fiind adecvat în vederea prelucrării la care sunt supuse datele sau dacă există garanții juridice adecvate sau dacă transferul se încadrează în sfera derogărilor legale permise.
Externalizarea totală sau parțială a prelucrării de date, găzduirea bazelor de date și accesul la distanță din altă țară (de exemplu pentru asigurarea de mentenanță informatică) constituie transferuri de date.
Atunci când Groupama utilizează o Persoană Împuternicită, compania verifică dacă aceasta sau Sub-Împuterniciții implicați realizează un transfer de date către o țară din afara Uniunii Europene, caz în care evaluează și încadrează transferul în funcție de aceste țări de destinație.

3. Mijloace și metode pentru atingerea obiectivelor acestei politici

3.1. Sensibilizare, formare și comunicare

Întreg personalul Groupama participă periodic la training-uri cu privire la principiile de protecție a datelor cu caracter personal. Forma și frecvența acestor sesiuni de training sunt evaluate și actualizate anual.
Groupama realizează periodic acțiuni de informare și comunicare pentru toți angajații cu privire la eventuale modificări și cu privire la obligațiile care le revin în ceea ce privește protecția datelor cu caracter personal.

3.2. Registrul activităților de prelucrare a datelor cu caracter personal

Groupama menține un Registru al activităților de prelucrare.
Responsabilul cu protecția datelor (DPO), cu sprijinul Corespondenților GDPR din fiecare Departament, realizează și actualizează registrul activităților de prelucrare a datelor cu caracter personal implementate la nivelul Groupama.
Registrul activităților de prelucrare a datelor este pus la dispoziția autorității de control la cerere.

3.3. Documentație (politici, proceduri)

• Groupama pune în aplicare măsuri tehnice și organizatorice pentru a se asigura și a putea demonstra că prelucrările de date au fost efectuate în conformitate cu regulile de protecție a datelor cu caracter personal. Aceste măsuri sunt re-examinate și actualizate periodic.
• Prezența Politică de Guvernanță a Datelor cu Caracter Personal este aprobată de Consiliul de Administrație. Această politică este revizuită cel puțin anual sau ori de câte ori este necesar.
• Politica de Guvernanță a datelor cu caracter personal este completată de următoarele proceduri interne:
• Manualul drepturilor persoanelor vizate,
• Procedura privind gestionarea încălcării securității datelor cu caracter personal,
• Procedura privind instruirea și informarea angajaților privind protecția datelor cu caracter personal,
• Procedura privind evaluarea impactului asupra protecției datelor.

3.4. Evaluarea impactului asupra protecției datelor

Groupama realizează o evaluare a impactului asupra protecției datelor în cazul activităților de prelucrare ce pot genera riscuri la adresa drepturilor și libertăților fundamentale ale persoanelor vizate sau în cazul în care activitățile de prelucrare se regăsesc în cele enumerate la art. 1 din Decizia 174/2018 a ANSPDCP. În funcție de rezultatul evaluărilor, Groupama pune în aplicare măsuri pentru diminuarea riscurilor identificate.
Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și în eventualitatea inițierii de prelucrări bazate pe utilizarea de tehnologii noi, Groupama propune măsuri de diminuare a riscurilor identificate.

În acest scop, următoarele măsuri sunt puse în aplicare:

• Principiile de protecție a datelor sunt integrate de la momentul conceperii activităților de prelucrare de date cu caracter personal sau de la momentul propunerii de modificări (minimizarea datelor, durata de păstrare limitată, restricționarea accesului, anonimizare);
• Evaluarea riscurilor este efectuată atunci când se începe orice proiect ce implică colectarea și prelucrarea de date cu caracter personal.

Responsabilul cu protecția datelor / DPO-ul se asigură că evaluările de impact asupra protecției datelor sunt realizate înainte de implementarea operațiunii de prelucrare. Pe lângă echipele de Project Management și owner-ii de proiect, în aceste evaluări de impact sunt implicați și responsabilii IT Security care evaluează măsurile de securitate și care pot propune îmbunătățiri. De asemenea, și funcția de DPO poate transmite recomandări de modificare a procesului de prelucrare în scopul reducerii eventualului impact negativ asupra persoanelor vizate.
Dacă măsurile propuse pentru a respecta principiile fundamentale și pentru gestionarea riscurilor sunt considerate suficiente, iar riscurile reziduale sunt acceptabile, evaluările de impact sunt aprobate de conducerea Groupama. În caz contrar, evaluarea impactului asupra protecției datelor este reluată și sunt propuse măsuri noi al căror obiectiv este de a minimiza riscurile identificate.
Atunci când evaluarea impactului asupra protecției datelor indică faptul că prelucrarea ar putea genera un risc ridicat, DPO-ul poate consulta autoritatea de protecție a datelor (ANSPDCP).
Evaluările de impact sunt păstrate de DPO ca anexă la fiecare proces de prelucrare din Registrul prelucrărilor.
Evaluarea impactului este revizuită ori de câte ori apare o modificare a riscurilor prezentate și cel puțin o dată la trei ani.

3.5. Încălcarea securității datelor cu caracter personal

O încălcare a securității datelor cu caracter personal este reprezentată de orice acțiune care conduce la distrugerea în mod accidental sau ilicit, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
În cazul în care se produce o încălcare a securității datelor cu caracter personal, Groupama notifică această încălcare autorității competente de protecție a datelor în cel mai scurt termen sau în maxim 72 de ore de la luarea la cunoștință, cu excepția cazului în care această încălcare nu este susceptibilă să genereze riscuri pentru drepturile și libertățile persoanelor vizate. Dacă este necesar vor fi notificate și persoanele vizate cu privire la incident.
Orice persoană care are cunoștință de o încălcare a securității datelor cu caracter personal ca urmare a unui incident de securitate informatică sau de altă natură (efracție, divulgare eronată de informații, utilizare necorespunzătoare a datelor) anunță persoanele desemnate în acest sens de Groupama cât și funcția de DPO.
Pentru prevenirea încălcării securității datelor cu caracter personal Groupama:

• a implementat măsuri tehnice și organizatorice care permit detectarea încălcărilor de securitate a datelor cu caracter personal,
• a desemnat persoane de contact către care sunt notificate aceste încălcări și care au responsabilitatea gestionării acestora,
• a fost creată și difuzată o procedură internă pentru gestionarea încălcărilor de securitate,
• au fost incluse în toate contractele cu terții care sunt implicați în prelucrarea de date cu caracter personal clauze prin care Groupama să fie notificată cu privire la orice încălcare a securității datelor cu caracter personal,
• orice încălcare a securității datelor cu caracter personal este înregistrată, fiind documentate activitățile de gestionare a acestora (indicarea faptelor, efectele potențiale ale încălcării, măsurile luate pentru remediere, planuri de acțiune adecvate aprobate de Conducerea Groupama),
• dacă este cazul, pentru reducerea riscurilor de încălcare a securității datelor, Groupama actualizează și evaluările de impact asupra protecției datelor anterior realizate.

De fiecare dată când se produce o încălcare a securității datelor cu caracter personal este pusă în aplicare, fără întârzieri nejustificate, procedura specifică de gestionare a acestor evenimente. DPO-ul este informat cu privire la fiecare încălcare a securității datelor, precum și cu privire la măsurile corective implementate.
Groupama este direct responsabilă pentru managementul încălcărilor securității datelor cu caracter personal, pentru notificarea acestora către autoritatea de protecție a datelor cu caracter personal și, dacă este cazul, pentru notificarea persoanelor vizate. DPO-ul consiliază compania cu privire la gestionarea încălcării securității datelor și oferă suport în funcție de natura încălcării.

3.6. Monitorizare continuă

Groupama se asigură în permanență că prelucrările de date sunt în conformitate cu reglementările privind protecția datelor (Regulamentul General privind Protecția Datelor sau alte prevederi ale dreptului Uniunii Europene sau ale legislației naționale). Societatea realizează verificări interne de conformitate.
În cazul în care aceste verificări evidențiază deficiențe, Groupama implementează măsurile corective necesare pentru a asigura respectarea Regulamentului GDPR.

3.7. Audituri

DPO-ul se asigură în permanență, prin intermediul unor misiuni de audit, că reglementările privind protecția datelor cu caracter personal sunt respectate.
Aceste audituri fac obiectul unui raport care este destinat Conducerii Groupama.
În urma acestor audituri, în cazul identificării unor aspecte de neconformitate, DPO-ul propune un plan de acțiuni și o serie de măsuri pentru corecția problemelor identificate.