SMART AUTOHOF SRL
POLITICĂ INTERNĂ PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL
Versiunea nr. 1
Ultima actualizare: 18.05.2018
POLITICĂ INTERNĂ PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL
SMART AUTOHOF SRL
CAPITOLUL I
DISPOZIŢII GENERALE
1. SCOPUL ŞI SFERA DE APLICARE1.1 Prezenta Politică Internă Privind Protecția Datelor cu Caracter Personal (în continuare, “Politica”) are ca scop stabilirea unor principii și norme de conduită care se aplică în cadrul societății Smart Autohof SRL (în continuare, “Societatea”) în ceea ce privește colectarea și prelucrarea datelor cu caracter personal ale persoanelor fizice, pentru asigurarea colectării și prelucrării acestora într-un mod cât mai sigur posibil, cu respectarea drepturilor individuale și a vieții private, precum și în conformitate cu reglementările în vigoare.
1.2 Prezenta Politică se referă la exercitarea drepturilor şi obligaţiilor pe care Societatea le are în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile Societății cu persoanele vizate, cu alte Societăți, precum şi cu alte persoane fizice sau juridice. Normele cuprinse în această Politică nu aduc atingere altor obligaţii legale imperative sau deontologice ce revin Societății.
1.3 Principiile detaliate în cuprinsul acestei Politici ar trebui să fie luate în considerare pentru cele mai bune practici în cadrul Societății și trebuie respectate în momentul colectării și prelucrării datelor cu caracter personal pentru a asigura securitatea datelor cu caracter personal colectate și respectarea obligațiilor de protecție a datelor, atunci când se răspunde la solicitările de la persoane fizice în ceea ce privește datele, precum și în alte situații care pot apărea în contextul activității Societății.
1.4 Toți angajații Societății trebuie să cunoască responsabilul pentru protecția datelor al Societății și modalitatea de contactare a acestuia. Această politică se va aplica întregului personal al Societății. Angajații Societății trebuie să cunoască prevederile acestei Politici și să respecte prevederile acesteia în orice moment. Nerespectarea acestei Politici constituie abatere disciplinară.
1.5 Această Politică completează celelalte politici adoptate de Societății în contextul colectării și prelucrării de date cu caracter personal. Societatea își rezervă dreptul de a completa sau modifica această Politică prin politici și îndrumări suplimentare în mod periodic. Toate aceste politici pot fi accesate pe www.s-mailling.ro.
1.6 Dacă aveți orice întrebări vă rugăm să îl contactați pe dl. Iulian Ignat, responsabil pentru protecția datelor în cadrul Societății, la adresa de email protectiadatelor@smart-autohof.ro.
1.7 Pentru aplicarea corespunzătoare a acestei Politici, se vor avea în vedere următoarele anexe atașate acestei Politici:
(a) Anexa 1: Date prelucrate și scopurile prelucrării de date;
(b) Anexa 2: Politica de confidențialitate și securitate a prelucrării datelor cu caracter personal destinată utilizatorilor site-ului www.s-mailling.ro;
(c) Anexa 3: Model de clauze destinate clienților Societății;
(d) Anexa 4: Model informare și exprimare consimțământ pentru angajații clienților Societății;
(e) Anexa 5: Notificare privind prelucrarea de date cu caracter personal ale salariaților;
(f) Anexa 6: Model de clauze destinate a fi utilizate în relația cu furnizorii Societății care ajung să dețină date colectate de către Societății;
(g) Anexa 7: Model de răspuns către persoanele vizate;
(h) Anexa 8: Procedura de notificare a incidentului privitor la datele cu caracter personal;
(i) Anexa 9: Model de formular semnalare incident privitor la datele cu caracter personal;
(j) Anexa 10: Model de anunț de monitorizare video a incintelor Societății;
(k) Anexa 11: Model instrument de evaluare a impactului privind protecția datelor.
2. CADRUL LEGAL
2.1 În vederea elaborării prezentei Politici, s-au avut în vedere respectarea dispoziţiilor legale referitoare la protecţia dreptului la viaţa intimă, familială şi privată și cele privitoare la prelucrarea datelor cu caracter personal, astfel cum acestea sunt prevăzute în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (“GDPR”).
2.2 Adoptarea GDPR reprezintă concretizarea unor eforturi susținute ale Comisiei Europene de a uniformiza legislația aplicabilă în statele membre cu privire la protecția datelor cu caracter personal în scopul de a crea cadrul legal necesar și protecția drepturilor indivizilor în era digitală. GDPR urmează să devină aplicabil în mod direct în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018, fără ca vreo măsură de transpunere să fie necesară la nivel național.
3. SITUAȚII CÂND ESTE RELEVANTĂ ACEASTĂ POLITICĂ
3.1 Această Politică trebuie consultată atunci când sunt gestionate date personale într-un context profesional, inclusiv pe cele ale clienților, furnizorilor, partenerilor sau colegilor. Datele cu caracter personal sunt definite ca fiind “orice informație referitoare la o persoană fizică identificată sau identificabilă” (a se vedea “persoanele vizate” de mai jos). Definiția datelor cu caracter personal este foarte extinsă și poate include următoarele: (i) date de identificare, precum numele, codul numeric personal, data nașterii etc.; (ii) detalii privind familia și stilul de viață; (iii) detalii financiare; (iv) detalii privind locul de muncă; (v) detalii privind nivelul de educație și instruire al persoanei.
3.2 Societatea colectează numai un set limitat de date cu caracter personal, în scopuri strict legate de desfășurarea activității sale. Având în vedere însă amploarea definiției datelor cu caracter personal, se recomandă să se aplice principiile stabilite în această Politică de fiecare dată când este implicată o bază de date, cu excepția cazului când este evident că aceasta nu conține date despre indivizi (de exemplu, baze de date care conțin informații strict tehnice cu privire la un produs).
4. REGULI ESENȚIALE DE AVUT ÎN VEDERE
4.1 Normele legale privind protecția datelor cu caracter personal sunt concepute pentru a se asigura că datele cu caracter personal sunt utilizate numai în scopurile pentru care sunt furnizate și pentru a acorda persoanelor fizice un anumit grad de control asupra datelor lor. Regulile prezentate pe scurt în această Politică decurg de la aceste principii de bază.
4.2 În lumina celor de mai sus, Societatea trebuie să se asigure că persoanele de la care sunt colectate date cu caracter personal sunt pe deplin informate cu privire la (i) scopul colectării datelor; (ii) modul lor de păstrare și durata de timp în care datele sunt stocate; precum și (iii) modul în care persoanele vizate pot accesa și monitoriza modul în care Societatea le utilizează informațiile. În toate situațiile, datele cu caracter personal trebuie să fie păstrate în siguranță și actualizate, să fie utilizate numai în scopurile pentru care au fost furnizate, iar în momentul în care utilizarea s-a încheiat, datele trebuie să fie șterse. În mod similar, în cazul în care o persoană dorește să știe ce date deține Societatea despre ea, Societatea ar trebui să poată răspunde cu promptitudine. De asemenea, Societatea ar trebui să nu trimită informații de marketing în cazul în care s-a solicitat dezabonarea sau oprirea transmiterii de asemenea informații.
4.3 Consimțământul persoanei în sensul colectării și prelucrării datelor cu caracter personal este esențial în contextul protecției datelor. În anumite circumstanțe, Societatea nu are nevoie de consimțământul unei persoane pentru a putea folosi datele sale, de exemplu, în cazul în care această utilizare este necesară în scopul executării unui contract. De exemplu, un client care înaintează o comandă știe că datele sale trebuie să fie stocate și utilizate pentru a putea să beneficieze de serviciile Societății. Cu toate acestea, în alte cazuri Societatea trebuie să obțină consimțământul persoanelor și, în același timp, să fie pregătită pentru a prezenta dovada concretă că persoanele vizate au convenit în mod expres ca Societatea să le utilizeze datele.
4.4 Regulile privind protecția datelor cu caracter personal pot fi respectate cu ușurință, odată ce sunt cunoscute principiile care guvernează acest domeniu și dacă această problematică este abordată cu bun simț și responsabilitate. Aceasta Politică contribuie la înțelegerea reglementărilor principale privind protecția datelor cu caracter personal, pentru ca riscul încălcării acestora să devină minor.
5. DEFINIREA TERMENILOR
5.1 Termenii folosiţi au următorul sens:
ANSPDCP sau Autoritatea Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
consimțământ consimțământ al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
date cu caracter personal datele cu caracter personal reprezintă orice informaţii ce au legătură cu o persoană identificată sau identificabilă. Informaţiile pot fi date cu caracter personal chiar dacă nu este cunoscut numele persoanei, adresa de email, numărul de telefon sau alţi identificatori “evidenţi”. Conform GDPR, datele cu caracter personal pot include identificatori online, cum ar fi cookie-uri sau adrese IP, precum şi numere de identificare precum ID-uri atribuite utilizatorilor. datele cu caracter personal vor include (fără a se limita la) următoarele: nume, adresa, cod poştal sau zip în funcţie de ţara sau regiune; data naşterii; număr paşaport; număr carte de identitate; adresa IP; cookie-uri; date de geolocalizare (date GPS); date biometrice (de ex. amprente); video-uri cu persoana respectivă; detalii bancare; opinii/preferinţe dacă pot conduce la identificarea persoanei;
date personale sensibile în general, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase și filozofice, apartenența sindicală, datele privind sănătatea sau viața sexuală etc.;
încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
operator de date un operator de date este persoana (persoană fizică, societate sau organism public), care singur sau împreună cu alții stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. O singură prelucrare a datelor cu caracter personal poate avea mai mulți operatori de date;
persoana vizată persoana fizică ale cărei date cu caracter personal sunt colectate și prelucrate. Persoanele vizate sunt persoane identificate sau identificabile. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. Acesta poate fi un afiliat al operatorului de date sau al unei terțe părți care furnizează servicii de externalizare. Ca un exemplu, o companie care furnizează servicii de salarizare unui client, fără a avea nici un acces direct la angajații ale căror fișe de salariu le emite sau nicio autonomie în modul în care operează prelucrarea, ar fi considerată ca un procesator de date;
responsabilul pentru protecția datelor (en. data protection officer (DPO)) poate fi o persoană din interiorul companiei sau poate fi cineva angajat pe bază de contract, care are în atribuții luarea tuturor măsurilor necesare pentru a asigura conformarea operatorului de date la rigorile legislației privind protecția datelor cu caracter personal.
5.2 Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de GDPR.
6. CATEGORII DE PERSOANE VIZATE ÎN CADRUL SOCIETĂȚII
6.1 Date referitoare la angajați
(a) În cadrul Societății, datele angajaților sunt folosite mai ales pentru activitățile de zi cu zi, cum ar fi salarizare, beneficii sau instruire. Aceste tipuri de utilizare sunt în general permise, deoarece acestea sunt necesare pentru a permite Societății să-și îndeplinească obligațiile față de angajații săi. Prin urmare, Societatea nu este obligată să obțină consimțământul angajaților.
(b) Cu toate acestea, există anumite tipuri de informații și unele utilizări care nu sunt strict necesare sau cerute și pentru acest motiv angajaților li se va comunica un anunț de informare cuprinzând scopul utilizării datelor personale și (acolo unde este cazul) solicitarea acordului scris pentru a procesa datele.
(c) Anexa 5 conține notificarea standard privind colectarea și prelucrarea datelor cu caracter personal, care urmează să fie furnizată salariaților în legătură cu colectarea datelor lor cu caracter personal.
6.2 Date referitoare la alte persoane
(a) În activitatea sa, Societatea colectează date cu caracter personal privitoare la persoane care sunt angajate sau reprezentante ale partenerilor săi de afaceri. Societatea ar trebui să obțină acordul persoanelor vizate la colectarea și procesarea datelor lor. Anexa 4 conține un model de notificare cuprinzând scopul utilizării datelor personale și (acolo unde este cazul) solicitarea acordului scris pentru a procesa datele cu caracter personal ale persoanelor fizice (de obicei angajați sau colaboratori ai clienților Societății); iar
(b) Anexa 6 conține clauze standard, care pot fi utilizate în contractele de prestări servicii sau alte contracte comerciale încheiate de Societate atunci când aceasta acționează în calitate de client/operator de date.
CAPITOLUL II
PRINCIPIILE PRIVIND COLECTAREA ȘI PROCESAREA DATELOR CU CARACTER PERSONAL DE CĂTRE SOCIETATE
7. LEGALITATEA ŞI TRANSPARENȚA
7.1 Societatea recunoaşte şi respectă dreptul la viaţă intimă, familială şi privată, prelucrarea datelor cu caracter personal desfăşurându-se în conformitate cu prevederile legale în vigoare.
8. RESPONSABILITATEA
8.1 Societatea utilizează datele cu caracter personal ale persoanelor vizate prin intermediul unei baze de date alcătuite din informaţii obţinute direct de la persoanele vizate pe baza consimţământului exprimat de acestea şi informaţii furnizate de orice sursă externă autorizată de lege.
8.2 Societatea este responsabilă pentru datele cu caracter personal aflate sub controlul său, precum şi pentru datele transferate către terţi.
8.3 Persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei datelor cu caracter personal, precum şi a principiilor prevăzute în această Politică sunt numai persoane angajate în cadrul Societății şi care au ca atribuţii colectarea, utilizarea și prelucrarea datelor cu caracter personal.
9. LEGITIMITATEA ȘI SCOPUL PRELUCRĂRII DE DATE CU CARACTER PERSONAL
9.1 În cursul activității sale, Societatea poate colecta și procesa datele personale stabilite în Anexa 1. Aceasta poate include datele pe care Societatea le primește direct de la o persoană vizată (de exemplu, prin completarea formularelor sau prin corespondența prin poștă, telefon, email sau altfel) și datele pe care Societatea le primește din alte surse (inclusiv, de exemplu, parteneri de afaceri, subcontractanți în domeniul tehnic, servicii de plată și de livrare etc.).
9.2 Societatea va prelucra datele personale doar pentru scopurile specificate în Anexa 1 sau în alte scopuri autorizate în mod specific de lege. Societatea va notifica acele scopuri persoanei vizate când colectează datele sau cât mai curând posibil după aceea. Persoanele vizate vor fi informate atât asupra categoriilor de date care sunt prelucrate, scopul prelucrării precum şi consecinţele refuzului acestora de a furniza Societății datele solicitate.
9.3 În cadrul Societății, colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.
10. MINIMIZAREA COLECTĂRII DATELOR ȘI ANONIMIZAREA DATELOR
10.1 Societatea va prelucra doar datele personale necesare a fi prelucrate în scopul desfășurării activității sale. Astfel, Societatea va trebui să evalueze în mod continuu cum să limiteze cât mai bine datele personale pe care le colectează doar la ceea ce este strict necesar și cum să păstreze aceste date pentru o anumită perioadă de timp având în vedere importanța pe care o au pentru activitatea comercială, precum și potrivit oricărei alte durate contractuale identificate.
10.2 Societatea va căuta întotdeauna modalități de a îmbunătăți securitatea privind ștergerea datelor personale la sfârșitul ciclului de viață al acestora. Acest lucru va avea loc printr-o pregătire ulterioară a angajaților cu privire la manipularea datelor, soluții tehnologice și procese. De asemenea, acest demers se va desfășura și prin descoperirea și identificarea de proceduri de arhivare automată și ștergere în siguranță a datelor, fișierelor și înregistrărilor.
10.3 Oricând este posibil, datele ar trebui stocate într-o stare anonimizată sau agregată întrucât astfel nu mai sunt clasificate ca fiind date cu caracter personal în scopul GDPR.
10.4 În cazul în care acest lucru nu este posibil, ar trebui luate măsuri separate în ceea ce privește factorii identificatori, astfel încât persoanele vizate să nu poată fi ușor identificate. Acest lucru poartă denumirea de “anonimizare” și este privit în mod favorabil de GDPR în ceea ce privește securitatea, încălcarea securității datelor, pierdere și furt.
10.5 Minimizarea datelor ar trebui luată în considerare la începutul și pe parcursul tuturor proiectelor Societății, în folosirea sistemelor/dezvoltarea aplicațiilor și în sisteme de stocare fișiere. Acest principiu trebuie reținut în mod permanent pe durata ciclului de viață a datelor.
10.6 Este recomandată stabilirea unor termene/programări pentru ștergerea datelor. În cazul în care acestea sunt sub formă de seturi de date, proiecte, fișiere, aplicații, sisteme care au nevoie ca datele să fie păstrate pe o perioadă mai lungă decât este recomandat, atunci acestea vor trebui revizuite și, în cazul în care obțin aprobare, vor fi înregistrate în într-un registru special de date confidențiale ca excepții.
10.7 Cel puțin departamentele resurse umane și financiar din cadrul Societății vor publica o clasificare a datelor pe care le colectează și prelucrează și vor include și termenele recomandate pentru ștergerea datelor.
10.8 Se vor păstra copii de rezervă (en. backups) atâta timp cât este prevăzut prin lege (în general 7 ani). Pe viitor, copiile de rezervă vor fi concepute în așa fel încât să fie accesibile și ușor de revizuit. Datele personale vor trebui șterse din copiile de rezervă în măsura în care este posibil.
10.9 Exemple specifice de minimizare a datelor ce au loc în cadrul proceselor de colectare a datelor, de prelucrare a datelor, proiecte, sisteme/aplicații, fișiere de stocare, vor fi notate în mod obișnuit și, acolo unde este cazul, vor fi raportate persoanei responsabile pentru protecția datelor pentru a fi notate în documentele de inventariere a datelor.
10.10 Societatea va trebui să ia în calcul descurajarea clienților care intenționează să transmită către Societate și personalul său date personale care nu sunt necesare pentru activitatea desfășurată de Societate.
10.11 Datele ar trebui șterse în cazul în care nu mai sunt în uz cât mai curând posibil și nu mai târziu de 12 luni de la data încetării folosirii acestora, cu excepția cazului în care acestea sunt necesare pentru alte motive, care au fost documentate. Ștergerea datelor va trebui aprobată la nivelul conducerii Societății și va fi agreată cu persoana responsabilă cu protecția datelor ca parte din planurile de implementare a GDPR.
11. CONSIMŢĂMÂNTUL ȘI INTERESUL LEGITIM
11.1 Precizări generale
(a) Ca regulă generală, în lumina legislației aplicabile, dacă nu este aplicabilă nicio exceptare, Societatea va trebui să obțină consimțământul persoanelor ale căror date le colectează. Societatea nu are nevoie să obțină consimțământul pentru colectarea sau prelucrarea datelor personale dacă există un interes legitim ca Societatea să procedeze astfel, de exemplu în situația în care colectarea de date se efectuează în scopuri comerciale. În toate cazurile, acest aspect ar trebui revizuit cu atenție.
(b) Consimțământul și interesul legitim sunt cele două motive/cerințe legale în ceea ce privește procesarea, pe care Societatea le va folosi cel mai des. Consimțământul este metoda preferată în contextul GDPR. Societatea va putea să colecteze sau să prelucreze date fără consimțământul persoanei vizate, atunci când o astfel de colectare sau prelucrare este în interesul legitim al operatorului de date. Cu toate acestea, acest lucru se poate face numai dacă este satisfăcut criteriul privind evaluarea legitimă a interesului, astfel cum acesta este prezentat în detaliu mai jos.
(c) Interesele legitime nu pot fi invocate retroactiv. Prin urmare, evaluarea intereselor legitime trebuie evaluate la începutul colectării de date. În cazul în care evaluarea realizată indică lipsa interesului legitim, Societatea se va baza întotdeauna pe consimțământ.
11.2 Interesul legitim și evaluarea acestuia
(a) Dacă Societatea se bazează pe „interes legitim”, Societatea va păstra o evidență a evaluării realizate, astfel încât să se poată demonstra că Societatea a luat în considerare în mod corespunzător drepturile și libertățile persoanei vizate.
(b) Exemple de interes legitim: (i) încheierea contractelor de muncă, de servicii etc.; (ii) prelucrarea în scopul asigurării securității rețelelor și a informațiilor, inclusiv prevenirea accesului neautorizat la rețelele de comunicații electronice și oprirea deteriorării sistemelor informatice și de comunicații electronice; (iii) raportarea posibilelor infracțiuni sau amenințări la adresa securității publice către o autoritate competentă.
(c) Societatea ar trebui să ia în considerare și așteptările persoanelor vizate atunci când evaluează dacă interesele legitime sunt depășite de interesele persoanelor vizate. Interesele și drepturile fundamentale ale persoanelor vizate „ar putea, în special, să prevaleze” asupra intereselor operatorului în cazul în care persoanele vizate „nu se așteaptă în mod rezonabil la o prelucrare ulterioară”.
(d) Este de reținu că autoritățile publice nu vor putea să se bazeze pe „interes legitim” pentru a conferi legitimitate prelucrării datelor efectuate în îndeplinirea funcțiilor lor.
(e) Pentru a se putea baza pe interesul legitim ca motiv justificat pentru prelucrarea datelor, Societatea trebuie să efectueze și să înregistreze o evaluare pentru a verifica dacă acest motiv este aplicabil. O astfel de evaluare va fi înregistrată. Înregistrarea se poate efectua fie printr-un e-mail, fie printr-un document separat.
(f) Următoarele întrebări ar trebui adresate atunci când se examinează dacă interesul legitim reprezintă o opțiune care ar putea fi implementată:
(i) Care este scopul prelucrării datelor personale?
(ii) De ce este importantă prelucrarea datelor cu caracter personal? Interesul legitim poate fi cel al operatorului sau al unei terțe părți căreia îi pot fi dezvăluite datele cu caracter personal. Motivul pentru colectarea și prelucrarea datelor trebuie să fie o nevoie argumentată în mod clar, iar scopul trebuie să fie evident și legitim – doar posesia datelor nu poate fi un scop în sine.
(iii) Există un alt mod de a atinge obiectivul identificat? Dacă există mai multe modalități de atingere a obiectivului, atunci ar trebui să se utilizeze o evaluare de impact asupra vieții private pentru identificarea activității de prelucrare cel mai puțin intruzivă.
(g) Trebuie să se efectueze un test de echilibrare între drepturile persoanei vizate și drepturile operatorului de date. Drepturile persoanei vizate nu trebuie să depășească drepturile celui ce prelucrează datele. În considerarea acestui aspect, trebuie ținută seama de așteptările rezonabile ale persoanelor în cauză, de impactul pe care această prelucrare îl poate avea asupra lor și de garanțiile care sunt sau ar putea fi oferite.
(h) În cazul în care prelucrarea nu este necesară în scopuri profesionale, atunci interesele legitime nu pot fi invocate, iar Societatea trebuie să solicite consimțământul persoanei vizate pentru astfel de activități de prelucrare.
11.3 Obținerea consimțământului
(a) Cu excepția cazului în care se aplică o exceptare (cum ar fi existența unor interese legitime ale Societății), persoana vizată trebuie să consimtă în prealabil la prelucrarea datelor sale cu caracter personal. Nu există nicio formă particulară pe care trebuie să o aibă consimțământul, dar aceasta trebuie să fie exprimat în mod ferm și neechivoc în privința colectării și prelucrării datelor cu caracter personal.
(b) În anumite situații prevăzute de legislația în vigoare, este necesar acordul expres. Consimțământul expres este necesar în cazul colectării de date sensibile, dar și pentru un transfer de date cu caracter personal către o țară din afara Uniunii Europene. La data acestei Politici, Societatea nu transferă date cu caracter personal în afara României, însă Societatea colectează unele date care pot fi considerate sensibile (de ex. date care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice);
(c) Consimțământul expres impune ca persoana vizată să fie de acord cu o anumită utilizare sau divulgare a datelor sale cu caracter personal (de exemplu, prin bifarea unei căsuțe sau semnarea unui formular). Descrierea utilizării intenționate a acestor date trebuie să fie foarte precisă, iar Societatea va păstra dovada consimțământului persoanei vizate.
(d) Pentru situația colectării de date cu caracter personal prin intermediul site-ului Societății sau a altor site-uri deținute sau care vor fi deținute de Societate, site-ul va conține politica de confidențialitate care explică modul în care vor fi colectate și utilizate datele personale. Modelul acestei politici se regăsește în Anexa 2.
(e) În cadrul Societății, consimţământul în scopul colectării datelor cu caracter personal se exprimă prin completarea de declaraţii însoţite de note de informare a persoanelor vizate în legătură cu prelucrarea datelor cu caracter personal.
11.4 Date sensibile
(a) GDPR conține noi dispoziții menite să sporească protecția datelor sensibile. Colectarea de date sensibile necesită întotdeauna consimțământul explicit.
(b) Astfel de date includ: (i) apartenență rasială sau etnică; (ii) opinii politice; (iii) convingeri religioase sau filozofice; (iv) apartenența sindicală; (v) prelucrarea datelor biometrice, genetice, în scopul unic de a identifica o persoană fizică; sau (vi) date privind sănătatea sau date privind viața sexuală sau orientarea sexuală.
(c) Conform GDPR, există obligaţia de a deţine acordul explicit de la persoanele vizate de a prelucra datele sensibile cu caracter personal. Pentru acest tip de date există un prag mai înalt decât cerinţa generală pentru consimţământ în baza GDPR.
(d) O variantă alternativă de a prelucra datele sensibile fără consimţământ ar putea fi adoptată doar dacă oricare din condiţiile următoare este îndeplinită. Conform GDPR, datele sensibile pot fi prelucrate fără consimţământ în următoarele cazuri:
(i) sunt necesare pentru îndeplinirea obligaţiilor conform legislaţiei din domeniul muncii, securităţii sociale sau legii privind protecţia socială său conform contractelor colective;
(ii) sunt necesare în vederea protejării intereselor vitale ale unei persoane vizate care este incapabilă din punct de vedere fizic sau legal de a-şi da consimţământul;
(iii) sunt prelucrate de un organism non-profit cu scop politic, filozofic, religios sau sindical cu condiţia ca prelucrarea să aibă în vedere doar membrii sau foştii membri (sau cei care au contact în mod regulat cu aceştia în scopurile menţionate) şi cu condiţia să nu existe nicio divulgare către un terţ, fără consimţământ;
(iv) reprezintă date făcute publice în mod vădit de către persoana vizată. (Notă: A nu se înţelege că social media sau alte postări online ale persoanelor vizate se califică drept date “făcute publice”. Solicitaţi asistență de specialitate de la persoana responsabilă cu protecția datelor);
(v) sunt necesare din motive de interes public în baza legislaţiei Uniunii Europne sau statelor membre care este proporțională cu scopul urmărit sau care conţine măsurile corespunzătoare de păstrare;
(vi) sunt necesare în scopuri de medicină preventivă sau ocupațională, pentru evaluarea capacității de muncă a angajatului, diagnosticul medical, asigurarea de îngrijire medicală sau socială, tratamentul sau gestionarea sistemelor de îngrijire socială sau medicală şi a serviciilor în baza legislaţiei Uniunii sau Statelor Membre sau a unui profesionist din domeniul sănătăţii; sau
(vii) sunt necesare pentru motive de interes public în zona sănătăţii publice, precum protecţia împotriva unor pericole serioase asupra sănătăţii sau pentru asigurarea unor standarde înalte de îngrijire medicală şi produse medicale sau aparatură medicală.
(e) Societatea va acorda o atenţie deosebită în momentul manipulării şi stocării datelor sensibile și se va asigura că sunt permanent stocate în siguranţă şi manipulate în mod corespunzător.
11.5 Consimțământul exprimat de copii
(a) În activitatea sa, Societatea nu colectează date cu caracter personal privitoare la copii. Totuși, trebuie menționat faptul că potrivit GDPR, consimțământul exprimat de copii în vederea permiterii prelucrării datelor acestora nu este valabil – consimțământul trebuie exprimat de părinți sau tutori. Vârsta prestabilită a unui copil conform GDPR este de până la 16 ani, cu excepția cazului în care o legislație specifică dintr-o anumită jurisdicție permite o vârstă mai mică. Orice colectare de date ale copiilor necesită aprobare prealabilă expresă din partea responsabilului cu protecția datelor al Societății.
11.6 Limba consimțământului și modul de înregistrare a consimțământului
(a) Pentru a obține consimțământul activ, Societatea trebuie să precizeze scopul pentru care se utilizează datele și să solicite persoanei vizate să accepte colectarea pentru o astfel de utilizare. Utilizările specificate trebuie să fie lipsite de ambiguitate, prin urmare, notificarea privind colectarea datelor trebuie specificate cât mai multe detalii despre scopul utilizării datelor.
(b) Consimțământul va fi:
(i) înregistrat (ideal ar fi în scris și se poate obține pe cale electronică);
(ii) inclus într-un document separat la orice acord, adică să nu fie cuprins într-un document sau notificare privind politica de confidențialitate;
(iii) acordat în mod liber; și
(iv) revocat cu ușurință, astfel cum a fost acordat.
(c) Dacă este colectat online, consimțământul nu trebuie acordat printr-o casetă de opțiuni pre-bifată. Persoanele vizate trebuie să bifeze activ caseta și să își exprime acordul.
(d) Dacă este colectat în persoană, consimțământul ar trebui să fie înregistrat sub o anumită formă, cum ar fi să fie înregistrat pe video, însă acesta nu trebuie să fie în mod obligatoriu în scris. În toate cazurile, Societatea trebuie să se asigure că deține o evidență din care să rezulte că a fost obținut consimțământul.
11.7 Revizuirea consimțământului
(a) Consimțământul trebuie revizuit și evaluat în mod regulat, în mod ideal la fiecare 12 luni. O astfel de revizuire poate fi facilitată de anumite metode de cercetare prin care se asigură reluarea regulată a interacțiunii cu participanții și oportunitățile de a confirma participarea acestora în continuare. De exemplu, o perioadă de 5 ani în care consimțământul nu a fost reafirmat este prea lungă.
(b) În cadrul altor metode sau cercetări prin care se asigură o interacțiune unică sau foarte limitată cu participanții, reafirmarea anumitor aspecte privind consimțământul poate fi îngreunată. De asemenea, prin anumite metode de cercetare pasivă care rulează în fundal ar trebui să se identifice modalități de a furniza notificări ocazionale prin alertarea participanților la monitorizare și trimitere la detalii privind politica de confidențialitate.
12. DREPTURILE PERSOANELOR FIZICE VIZATE
12.1 În conformitate cu GDPR, dacă Societatea se bazează pe consimțământul persoanelor fizice ca și modalitate legală de prelucrare a datelor cu caracter personal, atunci aceste persoane vizate vor avea anumite drepturi cu privire la datele cu caracter personal. Aceste drepturi sunt prezentate în paragraful 27 și următoarele.
12.2 Prin urmare, Societatea se va asigura că are sisteme care să îi permită să adere la și să respecte aceste drepturi.
12.3 Societatea va notifica toate persoanele fizice în legătură cu aceste drepturi din cadrul politicilor sale de confidențialitate, în momentul colectării sau prelucrării datelor.
13. LEGITIMITATEA DEZVĂLUIRII
13.1 Societatea va prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizata îşi da anterior consimţământul şi pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.
13.2 Accesul la datele prelucrate va fi permis numai angajaţilor Societății, în îndeplinirea obligaţiilor de serviciu.
14. LEGITIMITATEA STOCĂRII
14.1 Societatea se obligă să ia toate măsurile necesare pentru păstrarea datelor cu caracter personal de o manieră exactă, completată şi actualizată, pentru a îndeplini scopurile pentru care acestea au fost colectate. Datele inexacte sau incomplete vor fi rectificate sau eliminate din evidenţa curentă.
14.2 Datele cu caracter personal vor fi păstrate numai pe perioada necesară îndeplinirii scopurilor stabilite, cu respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.
14.3 În urma verificărilor periodice, datele cu caracter personal deţinute de Societate care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege.
15. SECURITATEA PRELUCRĂRILOR
15.1 Societatea are obligaţia de a lua toate măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal. În acest scop, la bazele de date vor avea acces numai persoane autorizate, iar copierea datelor se va putea face numai la locul în care sunt gestionate.
16. TRANSFERURI INTERNAȚIONALE
16.1 Societatea nu transferă date cu caracter personal în afara României. Totuși, în cazul în care Societatea ar decide transferul datelor personale în afara Spațiului Economic European (SEE), Societatea se va asigura că vor fi luate măsuri de protecție sau garanții adecvate. O astfel de protecție se poate realiza sub forma unor clauze contractuale standard.
17. COOKIES
17.1 Cookie-ul este un fişier text de mici dimensiuni pe care un site îl salvează în calculatorul sau dispozitivul utilizatorului atunci când este vizitat. Datorită cookie-urilor, site-ul reţine, pe o perioadă de timp, acţiunile şi preferinţele utilizatorului (login, limbă, dimensiunea caracterelor şi alte preferinţe de afişare). Astfel, utilizatorul nu mai trebuie să le reintroducă ori de câte ori revine la site sau navighează de pe o pagină pe alta.
17.2 Site-ul Societății utilizează cookies pentru a reține: (i) preferinţele de afişare ale utilizatorilor, cum ar fi contrastul, culoarea sau dimensiunea caracterelor; (ii) dacă utilizatorul a răspuns la un sondaj pop-up privind utilitatea conţinutului (pentru a nu fi întrebat din nou); (iii) dacă utilizatorul a acceptat (sau nu) utilizarea cookie-urilor pe site. De asemenea, site-ul Societății utilizează cookies pentru a colecta statistici anonime privind modul în care utilizatorul a ajuns pe site şi materialele video pe care acesta le-a vizualizat.
17.3 Ca regulă, Societatea trebuie să (i) spună utilizatorilor că folosește cookie-uri, (ii) să explice modul în care sunt folosite cookie-urile, și (iii) să obțină consimțământul utilizatorului pentru a stoca cookie-uri pe dispozitivele lor. Consimțământul pentru plasarea cookie-urilor trebuie să fie obținut înainte de plasarea cookie-ului și / sau înainte ca informațiile stocate în echipamentul terminal al utilizatorului să fie colectate.
17.4 Cu toate acestea, Societatea este scutită de obținerea consimțământului utilizatorilor în cazul în care aceste cookie-uri sunt din categoriile identificate de Grupul de Lucru constituit în temeiul articolului 29 al Directivei 95/46/EC. Pentru un sumar al acestora, a se vedea site-ul http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_4).
17.5 Aceste cookie-uri ar trebui să fie șterse la finalul sesiunii (cookie-uri de sesiune), cu excepția cazului în care utilizatorul solicită în mod expres ca Societatea să păstreze aceste cookie-uri pe echipamentul lor pentru mai mult timp decât durata sesiunii (cookie-uri persistente), prin bifarea unei casete “ține-mă minte” sau “ține minte alegerea mea”, care trebuie să fie însoțită de un link către declarația de confidențialitate standard, oferind utilizatorilor o descriere a cookie-urilor pe care le folosește Societatea.
17.6 În scopul obținerii consimțământului pentru utilizarea cookie-urilor în timpul procesului de înregistrare, în special prin acceptarea termenilor de utilizare, informația cu privire la utilizarea de cookie-uri trebuie evidențiată. Nu este suficient ca aceste informații să fie furnizate în același format ca și alte informații cu privire la confidențialitate. Se vor putea folosi ferestre de tip pop-up și tehnici similare (pagini splash, bare de mesaje, bare de antet) pentru a obține consimțământul utilizatorului nu numai pentru cookie-urile utilizate de Societate, dar, de asemenea, pentru orice cookie-uri de terță parte:
17.7 În cazul în care utilizatorul este de acord, un cookie de opt-in poate fi plasat și nu mai este necesară obținerea din nou a consimțământului. În cazul în care utilizatorul refuză cookie-uri, se poate plasa un cookie de renunțare pe echipamentul utilizatorului, pentru ca utilizatorul să nu fie nevoit să refuze cookie-ul în viitor. În cazul care utilizatorul nu face nici o alegere, sau în cazul în care șterge toate cookie-urile între vizite, va fi necesar ca utilizatorul să își exprime din nou consimțământul la o vizită ulterioară prin utilizarea unei alte ferestre pop-up (sau o metodologie alternativă de consimțământ).
17.8 Utilizatorii site-ului Societății trebuie să aibă în orice moment posibilitatea de a-și retrage consimțământul pentru stabilirea de cookie-uri.
CAPITOLUL III
GESTIONAREA ȘI CONTROLUL DATELOR
18. MAPAREA DATELOR ȘI REGISTRUL DE EVIDENȚĂ A DATELOR
18.1 GDPR obligă fiecare organizație să țină o evidență a activităţilor de prelucrare a datelor şi să păstreze aceasta evidență actualizată sub forma unui registru de evidență a datelor.
18.2 Prin urmare, Societatea trebuie să țină o evidență a informaţiilor în legătură cu activităţile sale de prelucrare a datelor şi să păstreze aceste informaţii actualizate.
18.3 Societatea dezvoltă un proces de culegere şi stocare a informaţiilor despre activitățile de prelucrare pe care le desfăşoară (i.e. maparea datelor). Procesul de inventariere a datelor va face să se asigure că orice altă distribuire de date cu caracter personal rămâne compatibilă cu GDPR şi sprijină, de asemenea, obligaţiile Societății cu privire la drepturile persoanelor, de exemplu cererile de acces ale persoanelor vizate, procedura de ştergere a datelor şi administrarea cazurilor de încălcare a securităţii datelor.
19. EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR
19.1 Societatea va evalua riscurile legate de colectarea și prelucrarea datelor în cadrul unei evaluări a impactului asupra protecției datelor (eng. data protection impact assessment sau DPIA). O astfel de evaluare se va putea realiza asupra metodelor de colectare a datelor, activităților de prelucrare a datelor sau la începutul unei relații contractuale noi cu o terță parte pentru a semnala riscurile legate de protecția datelor, domeniile care trebuie modificate sau notificate responsabilului pentru protecția datelor în scop de consiliere. Vor fi efectuate și revizuite evaluările succesive privind riscurile legate de protecția datelor.
20. MANIPULAREA DATELOR
20.1 Conform GDPR, Societatea are obligația să se asigure că datele cu caracter personal colectate și prelucrate sunt permanent securizate şi protejate împotriva prelucrărilor neautorizate sau ilegale şi împotriva pierderii, distrugerii sau deteriorării în mod accidental.
20.2 Societatea deține numeroase măsuri tehnice pentru a asigura îndeplinirea acestei obligaţii. Cu toate acestea, Societatea trebuie să se asigure că datele cu caracter personal sunt protejate prin măsuri organizatorice suplimentare inclusiv instrucţiuni privind modalitatea de clasificare şi manipulare ulterioară a datelor, inclusiv a datelor cu caracter personal.
20.3 Clasificarea datelor prelucrate este importantă pentru a stabili ce nivel de securitate trebuie atribuit datelor şi ce măsuri va trebui să adoptaţi pentru a proteja aceste date. De exemplu, nu este recomandabil ca toate datele să fie clasificate ca necesitând cel mai înalt grad de protecţie întrucât acest lucru ar putea afecta capacitatea Societății de a-și desfăşura activitatea. În mod egal, anumite tipuri de date, inclusiv datele cu caracter personal, vor necesita acel nivel de clasificare pentru a preveni producerea unei încălcări serioase.
20.4 Instrucţiunile Societății privind clasificarea şi manipularea datelor trebuie respectate în orice moment. În cazul în care nu sunteţi siguri în privinţa aplicării acestor instrucţiuni, trebuie să abordaţi problema împreună cu superiorul ierarhic.
20.5 Clasificarea Datelor
(a) Etichetarea fizică a acestor date cu nivelul de clasificare al acestora poate fi utilă pentru a clarifica modul în care acestea ar trebui manipulate.
(b) Acest lucru se poate realiza prin includerea clasificării în numele fişierului, marcarea documentelor, inclusiv în antetul/subsolul documentului etc.
20.6 Manipularea Datelor
(a) Odată ce datele au fost clasificate şi s-a stabilit nivelul de protecție necesar, următorul pas este asigurarea că datele sunt manipulate în mod corespunzător. ‘Manipularea’ se aplică următoarelor activităţi:
(i) Stocare;
(ii) Transfer;
(iii) Păstrare;
(iv) Eliminare.
20.7 Instrucțiuni suplimentare
(a) Pentru transferuri securizate, Societatea folosește software-ul „gzip” cu parola de encriptare a materialului arhivat. Transmiterea datelor se va face prin protocolul sftp , prin intermediul aplicatiei de transfer securizat “file-zilla client . Acest software va fi folosit și pentru transmiterea către exterior şi, după caz, în interior, a oricăror date cu caracter personal.
(b) Fişierele care conţin date sensibile vor trebui securizate cu parolă şi întotdeauna intocmite prin intermediul „MS Excel” sau „MS word” dupa caz, si vor fi transmise catre intern şi extern conform punct. 20.7 (a).
(c) Includerea anumitor date cu caracter personal în conţinutul email-urilor este inevitabilă. Pe cât posibil, această practică trebuie eliminată în vederea respectării cerinţei privind ‘Minimizarea Datelor’ (respectiv includerea datelor în multe email-uri, copii de rezervă). De asemenea, este de semnalat faptul că, în cazul în care apare o cerere de acces, aceste informaţii ar putea fi incluse în conţinutul furnizat persoanei care solicită accesul.
(d) În general, toate informațiile gestionate trebuie tratate cu atenție pentru a observa dacă apar date cu caracter personal, indiferent de format şi scop, de exemplu evaluări ale performanțelor, reclamaţii respondenţi, documente recrutare, întrucât acestea pot face parte din cererea de acces. De regulă, se va încerca minimizarea, securizarea și ștergerea lor, în cel mai scurt timp.
(e) În cazul în care li se aduce la cunoştinţă un incident privind datele cu caracter personal, personalului Societății i se cere să consulte instrucţiunile Societății privind incidentele de date, prevăzute în cuprinsul paragrafului 36 din această Politică.
21. RESPONSABILITĂȚI INTERNE
21.1 Potrivit GDPR, operatorul trebuie să desemneze un responsabil cu protecția datelor dacă, printre altele, activitățile principale ale operatorului constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date.
21.2 În dorința de a răspunde cât mai bine imperativului protejării datelor cu caracter personal, Societatea va numi din rândul angajaților săi o persoană responsabilă cu protecția datelor (eng. “data protection officer” sau “DPO”).
21.3 Responsabilitățile persoanei responsabile cu protecția datelor sunt următoarele:
(a) va ține la curent conducerea Societății cu privire la responsabilitățile, riscurile și problemele legate de protecția datelor;
(b) va revizui periodic toate procedurile și politicile privind protecția datelor;
(c) se va asigura de faptul că personalul Societății este conștient de această Politică și o aplică în mod corect și va asigura instruire și consiliere privind protecția datelor pentru toți membrii personalului Societății;
(d) va răspunde la întrebările privind protecția datelor adresate de personalul Societății, membrii conducerii Societății și alte părți interesate;
(e) va furniza consultanță reprezentanților Societății în cazul în care aceștia au întrebări cu privire la această Politică;
(f) va răspunde persoanelor fizice, cum ar fi clienții și angajații care doresc să știe ce date personale ale acestora sunt deținute de Societății;
(g) va verifica și va aproba împreună cu terțele părți care gestionează datele Societății, orice contracte sau acorduri privind prelucrarea datelor;
(h) va monitoriza utilizarea datelor cu caracter personal și va alerta departamentul juridic dacă există o problemă de conformitate; și
(i) va păstrarea evidențe ale colectării și procesării de date sub forma registrelor relevante.
21.4 Având în vedere faptul că Societatea colectează și procesează date cu ajutorul mijloacelor IT, managerului departamentului IT îi revin următoarele obligații privitoare la protejarea datelor cu caracter personal:
(a) se va asigura că toate sistemele, serviciile, software-ul și echipamentul utilizate de Societate respectă standardele de securitate acceptabile;
(b) va verifica și va scana cu regularitate orice hardware și software de securitate pentru a se asigura că acestea funcționează corect;
(c) va analiza orice servicii oferite de terțe părți pe care Societatea le ia în considerare în vederea utilizării pentru stocarea sau prelucrarea datelor.
22. SECURITATEA BAZELOR DE DATE
22.1 Pentru Societate este esențial să garanteze securitatea tuturor informațiilor personale pe care le colectează. Următoarele măsuri minime de securitate sunt puse în aplicare la nivelul Societății:
(a) Bazele de date administrate de Societate sunt protejate prin parolă dacă sunt transferate pe laptop-uri și dispozitive portabile de stocare, pentru a preveni accesul neautorizat;
(b) Accesul la bazele de date este acordat numai persoanelor care administrează și / sau folosesc bazele de date (pe bază de necesitate, adică fără accesul unei categorii de personal);
(c) Parolele sunt schimbate în mod regulat;
(d) Bazele de date sunt supuse unui proces de back-up care se reia în mod regulat pentru prevenirea pierderii sau distrugerii accidentale a datelor
(e) Se va evita permiterea accesului de la distanță la bazele de date, în cazul în care acest lucru nu este strict necesar, deoarece crește riscul accesului neautorizat;
(f) Numai persoanele autorizate pot avea acces la bazele de date sau sisteme de evidență care conțin informații;
(g) În cazul în care terțe părți urmează să stocheze la un moment dat date în numele Societății, Societatea va lua toate măsurile rezonabile pentru a se asigura ca acești terți respectă aceleași standarde ca și Societatea în vederea protejării datelor cu caracter personal și semnează un contract care conține clauze model;
(h) În cazul în care Societatea va alege să folosească servicii cloud, Societatea va obține asigurări de la furnizorii acestor servicii cu privire la modul în care datele din cloud vor fi păstrate în condiții de siguranță, securitatea rețelei cloud, și sistemele existente pentru a preveni hacking-ul sau perturbarea accesului la date.
23. AUDITURI INTERNE
23.1 Se vor desfășura în mod regulat audituri interne pentru a se determina dacă Societatea acționează în conformitate cu Politica din prezentul document. Toți angajații vor fi obligați să acorde sprijinul unor astfel de audituri.
23.2 De asemenea, în cazul în care Societatea ar primi audituri din partea clienților, Societatea va încerca să se conformeze unor astfel de proceduri atunci când va fi necesar pentru a-și îndeplini obligațiile contractuale.
24. ACTUALIZAREA ȘI ȘTERGEREA INTRĂRILOR DIN BAZELE DE DATE
24.1 Informațiile conținute într-o bază de date ar putea să nu mai fie corecte sau relevante după trecerea unei anumite perioade de timp. Potrivit principiilor de protecție a datelor, Societatea este responsabilă de păstrarea intrărilor bazei de date actuale și / sau de ștergerea lor atunci când acestea nu mai sunt necesare.
24.2 Pentru a asigura actualitatea intrărilor din baza de date, Societatea va lua măsuri precum: furnizarea de declarații anuale clienților și angajaților, care stabilesc informațiile deținute pe aceștia sau care furnizează o metodă de verificare a datelor, cum ar fi accesul online securizat la detaliile despre client pe un site web unde datele pot fi actualizate.
24.3 La finalul perioadei de păstrare notificată de către Societate către ANSPDCP sau atunci când o intrare din baza de date devine irelevantă (de exemplu, deoarece compania despre ai cărei reprezentanți legali ai Societății deține informații a fost radiată), datele cu caracter personal ar trebui să fie revizuite și eliminate în siguranță în cazul în care nu mai sunt necesare.
24.4 Bazele de date fizice, pe suport de hârtie vor fi revizuite în mod regulat și intrările care nu mai sunt relevante vor fi șterse. Aceste informații trebuie distruse în siguranță (tocate) și aruncate în pubele cu documentele confidențiale și nu în pubele generale. În cazul în care Societatea va apela la un furnizor de servicii de arhivare, Societatea se va asigura că orice informații care sunt trimise spre arhivare sunt revizuite în mod regulat sau că sunt distruse după un termen stabilit, cu respectarea tuturor rigorilor necesare menținerii confidențialității datelor.
25. RESPONSABILITATEA FURNIZORILOR DE SERVICII
25.1 În măsura în care Societatea transferă date cu caracter personal unor furnizori de servicii (de exemplu, prestatorilor de servicii externalizate de salarizare sau de marketing), Societatea va lua măsuri rezonabile pentru a se asigura că acești furnizori de servicii vor trata informațiile cu cel puțin la fel de multă grijă ca și Societatea.
25.2 Anexa 6 conține un model de limbaj standard care urmează să fie incluse în contractele cu furnizorii cărora Societatea ar urma să le transfere o parte din datele cu caracter personal colectate.
26. INSTRUIREA PERSONALULUI
26.1 Membrii personalului Societății care se ocupă de gestiunea datelor cu caracter personal beneficiază de sesiuni de formare în această materie.
26.2 Toți membrii personalului Societății au obligația de a consulta această Politică ori de câte ori ajung să colecteze sau să proceseze date cu caracter personal. În caz de dubiu, membrii personalului Societății pot contacta responsabilul cu protecția datelor sau departamentul juridic cu întrebări cu privire la aplicarea acestei Politici.
26.3 Toți membrii personalului Societății trebuie să urmeze un instructaj anual privitor la aplicarea GDPR. Instructajul va fi realizat fie online, fie față în față. Este responsabilitatea tuturor managerilor din primul nivel ierarhic să se asigure că personalul participă la astfel de sesiuni de instructaj, iar participarea trebuie să fie confirmată de către departamentul de resurse umane. Nerespectarea acestei dispoziții poate fi considerată abatere disciplinară.
CAPITOLUL IV
DREPTURILE PERSOANELOR FIZICE ȘI GESTIONAREA CERERILOR DE LA PERSOANELE VIZATE
27. DREPTURILE PERSOANELOR FIZICE ȘI TRANSPARENȚA ÎN CONTEXTUL FURNIZĂRII DE INFORMAȚII
27.1 Societatea recunoaște următoarele drepturi ale persoanelor fizice:
(a) dreptul de a fi informat;
(b) dreptul de acces;
(c) dreptul la rectificare;
(d) dreptul de ștergere;
(e) dreptul de retragere a consimțământului;
(f) dreptul de restricționare a prelucrării;
(g) dreptul de portabilitate a datelor;
(h) dreptul de a ridica obiecții; și
(i) drepturile legate de luarea în mod automat a deciziilor și crearea de profiluri.
27.2 Dacă o persoană fizică solicită ca una sau mai multe dintre aceste drepturi să fie exercitate și condițiile relevante sunt îndeplinite, Societatea va examina și va răspunde la o astfel de solicitare cu asistență în termen de 30 de zile. Astfel de solicitări vor fi abordate cu atenție, iar responsabilul pentru protecția datelor va fi întotdeauna notificat în cazul în care se va primi o astfel de solicitare. Pentru mai multe informații privind conformarea în cazul unor astfel de solicitări, a se vedea Capitolul V din această Politică (paragraful 35 și următoarele) și Anexa 7 – Model de răspuns către persoanele vizate atașată acestei Politici.
27.3 Transparența și furnizarea de informații accesibile persoanelor fizice cu privire la modul în care Societatea folosește datele personale este importantă pentru Societate. Următoarele detalii vor fi incluse în toate notificările privind confidențialitatea și înregistrate în legătură cu modalitatea prin care Societatea colectează datele și cum le utilizează:
(a) Ce date sunt colectate?
(b) Cine le colectează?
(c) Cum sunt colectate datele?
(d) De ce sunt colectate datele?
(e) Cum vor fi utilizate datele?
(f) Cui vor fi comunicate datele?
(g) Care sunt identitatea și datele de contact ale operatorilor de date?
(h) Perioada de retenție a datelor.
28. DREPTUL DE A FI INFORMAT
28.1 La cerere, atunci când legea nu interzice, Societatea va comunica informaţii referitoare la: (i) categoriile de date cu caracter personal pe care le prelucrează; (ii) sursele de la care au fost colectate datele cu caracter personal; (iii) scopurile prelucrării, precum şi (iv) dacă unui terţ i-au fost dezvăluite aceste date.
28.2 În cazul în care dezvăluirea datelor este impusă de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), Societatea va lua toate măsurile rezonabile pentru a se asigura că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale incidente.
29. DREPTUL DE ACCES LA DATELE CU CARACTER PERSONAL ȘI DREPTUL DE OPOZIȚIE
29.1 Potrivit legislației aplicabile, orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puţin următoarele:
(a) informaţii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;
(b) comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor;
(c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;
(d) informaţii privind existenţa dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate;
(e) informaţii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal de a înainta plângere către autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului.
29.2 De asemenea, persoanele vizate se pot opune la folosirea datelor lor, cu condiția să aibă motive întemeiate de a face acest lucru (de ex. opoziția la utilizarea datelor în scopul marketingului direct).
29.3 O persoană vizată nu are dreptul de a accesa datele cu caracter personal ale altei persoane vizate.
30. DREPTUL DE INTERVENȚIE/ RECTIFICARE ȘI DREPTUL LA ȘTERGERE
30.1 Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
30.2 De asemenea, persoanele vizate pot solicita Societății să actualizeze sau să șteargă informațiile pe care le deține despre ea. De exemplu, o persoană fizică, reprezentant legal al unui client, poate dori să actualizeze detaliile sale de contact.
30.3 Potrivit reglementărilor aplicabile, orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
(a) rectificarea, actualizarea, blocarea sau ştergerea datelor incomplete sau inexacte;
(b) transformarea în date anonime a datelor a căror prelucrare nu este conformă legislației în vigoare;
(c) notificarea către terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a) sau b) de mai sus, dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.
30.4 Societatea va păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, precum şi o evidenţă a datelor transferate către alţi operatori. Evidenţele vor conţine datele care au fost rectificate şi datele care au fost transferate.
30.5 Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.
30.6 Societatea se va asigura că, în cazul în care, o anumită persoană vizată solicită încetarea prelucrării datelor sale, va putea restricționa și preveni continuarea prelucrării care are loc în alte domenii. Societatea se va asigura de asemenea de faptul că toți membrii personalului vor beneficia de instruirea necesară în această privință.
31. DREPTUL DE RETRAGERE A CONSIMȚĂMÂNTULUI
31.1 Persoana vizată îşi poate retrage consimţământul în orice moment, notificând Societatea în acest sens.
31.2 Societatea va informa persoana vizată în legătură cu procedura şi efectele retragerii consimţământului.
31.3 Societatea va consolida / implementa procese care să permită ștergerea datelor personale din sisteme și a înregistrărilor în cauză. Această prevedere se refera inclusiv la backup-urile viitoare.
32. DREPTUL DE OPOZIȚIE
32.1 Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată, prelucrarea nu mai poate viza datele în cauză.
32.2 Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit şi fără nicio justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ sau să fie dezvăluite unor terţi într-un asemenea scop.
33. DREPTURILE LEGATE DE LUAREA ÎN MOD AUTOMAT A DECIZIILOR ȘI CREAREA DE PROFILURI
33.1 “Crearea de profiluri” este un concept nou în lumina GDPR. “Crearea de profiluri” reprezintă prelucrarea automată utilizată în vederea evaluării aspectelor personale ale unei persoane fizice, în special în vederea analizării sau a preconizării performanțelor acesteia la locul de muncă, precum și a sănătății, preferințelor personale, localizării sau comportamentului.
33.2 În cazul în care Societatea ar recurge la crearea de profiluri, persoanele vizate trebuie să fie înștiințate cu privire la intenția Societății de a utiliza asemenea prelucrări în cadrul anunțurilor privind confidențialitatea / politicilor de confidențialitate. Dacă astfel de decizii referitoare la crearea de profiluri dau naștere unor efecte juridice asupra persoanei vizate, atunci acestea trebuie să aibă un drept de apel, iar acest tip de creare de profiluri va necesita consimțământul explicit al persoanei vizate.
33.3 Segmentarea și crearea de profiluri sunt diferite în ceea ce privește procesul și scopul, însă sunt înrudite. Segmentarea implică identificarea și utilizarea unor serii de variabile pentru a defini / descrie un public țintă. Procesul are ca rezultat împărțirea populației în categorii / grupuri de „persoane asemănătoare” bazate pe caracteristici specifice. De obicei, segmentarea este un pas preliminar în crearea de profile.
33.4 Crearea de profiluri este procesul de identificare a unui individ ca fiind membru al unui anumit grup sau categorie și luarea unui anumit tip de decizii pe baza unei astfel de identificări. GDPR consideră crearea de profiluri drept o tehnică de prelucrare automată a datelor care vizează dezvoltarea sau obținerea unor cunoștințe predictive din datele care pot fi ulterior utilizate ca bază pentru luarea deciziilor. Pentru a fi considerată „creare de profiluri”, prelucrarea datelor trebuie: (i) să fie automatizată, (ii) să fie efectuată pe date personale și (iii) să aibă ca scop evaluarea, analiza sau prezicerea aspectelor personale referitoare la o anumită persoană fizică.
34. DREPTUL LA PORTABILITATEA DATELOR
34.1 Datorită specificului activității Societății, probabilitatea primirii unor solicitări de a transfera datele personale de pe serverele Societății către un alt furnizor sunt scăzute. Cu toate acestea, Societatea trebuie să fie pregătit să întâmpine astfel de solicitări, adaptându-se pe măsură ce aceste cereri sunt transmise și procesate.
CAPITOLUL V
CERERI ALE PERSOANELOR VIZATE ȘI INCIDENTE PRIVIN DATELE –
PROCEDURI INTERNE
35. FORMATUL CERERII PERSOANEI VIZATE ȘI PERIOADA STANDARD DE RĂSPUNS
35.1 În vederea exercitării drepturilor prevăzute mai sus, persoana vizată va înainta Societății o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal. Societatea va face posibilă transmiterea cererilor în format electronic (de exemplu, prin email). Atunci când o solicitare se face în format electronic, informațiile trebuie furnizate într-o formă electronică utilizată în mod obișnuit, cu excepția cazului în care persoana fizică solicită altfel.
35.2 Societatea este obligată să comunice persoanei vizate informațiile solicitate sau detalii privind măsurile luate în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului privind modalitatea de comunicare. Prin urmare, Societatea trebuie să se asigure că există procese care să permită transmiterea unui răspuns în timp util. În unele cazuri, Societatea s-ar putea afla în situația de a nu putea răspunde în totalitate respectivei persoane fizice în acest interval de timp. Totuși, Societatea va încerca întotdeauna să respecte acest interval sau cel puțin să informeze persoana vizată despre măsurile în desfășurare la momentul respectiv.
35.3 Răspunsul ar trebui să permită persoanei să cunoască ce informații sunt deținute în legătură cu ea și ce fel de prelucrare se desfășoară. În răspunsul la o solicitare, este posibil ca operatorii de date să fie nevoiți să furnizeze informații suplimentare, cum ar fi perioada relevantă de păstrare a datelor și dreptul de a corecta datele inexacte.
35.4 Societatea nu va avea dreptul de a percepe nicio taxă pentru a răspunde la solicitările de acces, cu excepția cazului în care o astfel de solicitare este vădit nefondată sau excesivă. Este posibil ca Societatea să perceapă taxe de copiere în cazul în care persoanele interesate vor solicita copii.
35.5 Societatea se va asigura că va putea să acționeze în baza unei solicitări din partea unei persoane fizice privind accesarea sau modificarea datelor aflate în bazele de date ale Societății. Acest lucru va implica un sistem de urmărire a datelor prin întregul sistem al Societății și notificarea unor astfel de solicitări, astfel încât sistemele Societății vor trebui să se adapteze pentru a permite o astfel de capacitate.
35.6 Operatorii de date / persoanele împuternicite de operatori cu prelucrarea datelor pot reține datele cu caracter personal dacă divulgarea acestora ar „afecta negativ drepturile și libertățile celorlalte persoane”. Răspunsul nu trebuie să includă informații care ar putea prejudicia confidențialitatea altei persoane. Această prevedere se extinde asupra drepturilor de proprietate intelectuală, secretelor comerciale și, în unele cazuri, comunicărilor legale privilegiate. Orice întrebări în acest sens ar trebui să fie direcționate către persoana responsabilă pentru protecția datelor din cadrul Societății.
35.7 Solicitările de acces ale persoanelor vizate reprezintă adesea începutul unor potențiale litigii, și, prin urmare, în cazul primirii unor asemenea solicitări, vor fi înștiințați atât persoana responsabilă cu protecția datelor, cât și departamentul juridic al Societății.
36. INCIDENTE PRIVIND DATELE
36.1 GDPR solicită operatorilor de date să notifice încălcările de securitate a datelor cu caracter personal autorităţilor responsabile cu protecţia datelor (în cazul României, ANSPDCP ) în termen de 72 de ore de la data luării la cunoştinţă. În cazuri cu risc ridicat, incidentele de date vor fi notificate şi persoanelor afectate. Societățile vor avea de asemenea obligaţia de a menţine un registru cu toate incidentele de date, indiferent dacă acestea sunt sau nu notificate ANSPDCP sau persoanelor vizate.
36.2 În cazul în care există certitudinea sau bănuială că a avut loc un incident de securitate cu date personale, persoana care are această certitudine sau suspiciune are obligaţia strictă de a urma procedura de mai jos privind incidentele privitoare la datele cu caracter personal.
37. PROCEDURA PRIVIND INCIDENTELE PRIVITOARE LA DATELE CU CARACTER PERSONAL
37.1 În cazul în care orice membru al personalului Societății cunoaşte sau suspectează un incident de securitate sau o încălcare a securităţii datelor cu caracter personal, următorii pași vor trebui urmaţi imediat:
(a) Completarea formularului privind incidentul de date (Anexa 9 la Politica privind protecția datelor), oferind cât mai multe detalii posibil despre problemă;
(b) Semnalarea incidentului la departamentul juridic, ataşând formularul privind incidentul de date completat cu informaţiile necesare;
(c) Notificarea persoanei responsabilă cu protecția datelor la nivelul Societății, ataşând formularul privind incidentul de date completat cu informaţiile necesare;
(d) Notificarea managerului din nivelul imediat superior ierarhic şi conducerii superioare ataşând formularul privind incidentul de date completat cu informaţiile necesare.
37.2 Această procedură va fi urmată imediat (în termen de 24 de ore de la apariţia suspiciunii/luării la cunoştinţă a incidentului sau a încălcării de date). Notificările de la paşii (b) – (d) de mai sus vor trimise în acelaşi timp.
37.3 Nerespectarea acestei proceduri constituie abatere disciplinară.
37.4 Personalul nu va încerca să stabilească gravitatea problemei sau dacă este nevoie sau nu de informarea nivelurilor superioare sau de notificare, aceasta fiind o sarcină care ține de atribuțiile persoanei responsabile cu protecția datelor.
37.5 Nu vor fi transmise notificări externe fără consultare şi îndrumare din partea persoanei responsabile cu protecția datelor și din partea departamentului juridic al Societății.
CAPITOLUL VI
38. DISPOZIŢII FINALE
38.1 Această Politică a fost adoptată în şedinţa AGA a Societății din data de 18.05.2018, cu posibilitatea revizuirii periodice, în funcţie de modificările şi completările legislative aplicabile, precum şi de nivelul de dezvoltare tehnologică.
38.2 Această Politică se completează cu prevederile legale în domeniul protecţiei datelor cu caracter personal.
Smart Autohof SRL