Politica generală de prelucrare a datelor cu caracter personal
| Întocmită de operatorii asociați | TEKNO FM S.R.L.
SOLEIL PROFESIONAL SERVICE S.R.L |
|
| Data întocmirii | 25.01.2022 | |
| Aprobată de | administratori Adina SOARE, Ștefan SOARE | |
| Semnături | ||
| Frecvența revizuirii | Anuală |
| Data următoarei revizuiri | 25.01.2023 |
TOC HYPERLINK \l „__RefHeading__3450_1430608550”A.Data Processing (prelucrarea datelor cu caracter personal) 4
HYPERLINK \l „__RefHeading__3452_1430608550”a.i.1.Operatorii de date 4
HYPERLINK \l „__RefHeading__3454_1430608550”a.i.2.Care este scopul prezentei politici? 4
HYPERLINK \l „__RefHeading__3456_1430608550”a.i.3.Definiții 4
HYPERLINK \l „__RefHeading__3458_1430608550”a.i.4.Principiile prelucrării 6
HYPERLINK \l „__RefHeading__3460_1430608550”a.i.5.Datele cu caracter personal prelucrate în cadrul operatorilor 6
HYPERLINK \l „__RefHeading__3462_1430608550”a.i.6.Managementul accesului la Resursele operatorilor 9
HYPERLINK \l „__RefHeading__3464_1430608550”a.i.7.Utilizarea Dispozitivelor Mobile device 9
HYPERLINK \l „__RefHeading__3466_1430608550”a.i.8.Arhivarea documentelor 9
HYPERLINK \l „__RefHeading__3468_1430608550″7.1.Arhivarea documentelor financiar-contabile 9
HYPERLINK \l „__RefHeading__3470_1430608550″7.2.Arhivarea altor documente 10
HYPERLINK \l „__RefHeading__3472_1430608550”8.Termene de păstrare. Ștergerea datelor cu caracter personal 10
HYPERLINK \l „__RefHeading__3474_1430608550″8.1.Cazurile în care se va proceda la ștergerea datelor 10
HYPERLINK \l „__RefHeading__3476_1430608550″8.2.Termene de păstrare 11
HYPERLINK \l „__RefHeading__3478_1430608550″8.3.Procedura de ștergere 12
HYPERLINK \l „__RefHeading__3480_1430608550”9.Destinatarii / categoriile de destinatari ai datelor cu caracter personal, inclusiv divulgarea către terțe părți 12
HYPERLINK \l „__RefHeading__3482_1430608550″9.1.Definirea noțiunilor de destinatar și terțe părți 12
HYPERLINK \l „__RefHeading__3484_1430608550″9.2.Categoriile de destinatari, inclusiv terțele părți către care operatorii divulgă datele cu caracter personal 12
HYPERLINK \l „__RefHeading__3486_1430608550″9.3.Prelucrarea datelor împreună cu Facebook Irlanda 13
HYPERLINK \l „__RefHeading__3488_1430608550”10.Drepturile persoanelor vizate 14
HYPERLINK \l „__RefHeading__3490_1430608550″10.1.Dreptul la informare (art. 12-14 din Regulament) 14
HYPERLINK \l „__RefHeading__3492_1430608550″10.2.Dreptul de acces (art. 15 din Regulament) 14
HYPERLINK \l „__RefHeading__3494_1430608550″10.3.Dreptul la rectificarea datelor cu caracter personal inexacte (art. 16 din Regulament) 14
HYPERLINK \l „__RefHeading__3496_1430608550″10.4.Dreptul de a fi uitat (dreptul la ștergerea datelor – art. 17 din Regulament) 14
HYPERLINK \l „__RefHeading__3498_1430608550″10.5.Dreptul la restricționarea prelucrării datelor cu caracter personal (art. 18 din Regulament) 15
HYPERLINK \l „__RefHeading__3500_1430608550″10.6.Dreptul la retragerea consimțământului (art. 7 alin. 3 din Regulament) 15
HYPERLINK \l „__RefHeading__3502_1430608550″10.7.Dreptul la portabilitatea datelor (art. 20 din Regulament) 16
HYPERLINK \l „__RefHeading__3504_1430608550″10.8.Dreptul de a se opune (art. 21 din Regulament) 16
HYPERLINK \l „__RefHeading__3506_1430608550″10.9.Dreptul de a depune o plângere în fața unei autorități de supraveghere (art. 77 din Regulament) 16
HYPERLINK \l „__RefHeading__3508_1430608550″10.10.Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoanele vizate sau le afectează în mod similar într-o măsură semnificativă (art. 22 din Regulament) 16
HYPERLINK \l „__RefHeading__3510_1430608550″10.11.Dreptul la o cale de atac judiciară (art. 79 din Regulament) 16
HYPERLINK \l „__RefHeading__3512_1430608550”11.Transparența informațiilor, a comunicărilor modalitatea de exercitare a drepturilor persoanei vizate 17
HYPERLINK \l „__RefHeading__3514_1430608550”12.Transferul datelor cu caracter personal către o țară terță UE/ SEE 18
HYPERLINK \l „__RefHeading__3516_1430608550”B.Data Privacy & Data Security (Confidențialitatea și Securitatea datelor) 20
HYPERLINK \l „__RefHeading__3518_1430608550”13.Confidențialitatea și securitatea datelor 20
HYPERLINK \l „__RefHeading__3520_1430608550″13.1.Angajamentul și responsabilitatea operatorilor 20
HYPERLINK \l „__RefHeading__3522_1430608550″13.2.Responsabilitatea salariaților 20
HYPERLINK \l „__RefHeading__3524_1430608550”14.Măsuri de securitate 21
HYPERLINK \l „__RefHeading__3526_1430608550”C.Data breach (Încălcarea securității datelor cu caracter personal) 23
HYPERLINK \l „__RefHeading__3528_1430608550”15.Încălcarea securității datelor cu caracter personal 23
HYPERLINK \l „__RefHeading__3530_1430608550″15.1.Breșe în sistemul de date. Tipuri de încălcări ale securității datelor cu caracter personal 23
HYPERLINK \l „__RefHeading__3532_1430608550″15.2.Obligația salariaților de a notifica încălcările/ suspiciunile în ceea ce privește încălcarea securității datelor 23
HYPERLINK \l „__RefHeading__3534_1430608550″15.3.Posibilele consecințe ale încălcării securității datelor cu caracter personal 23
HYPERLINK \l „__RefHeading__3536_1430608550″15.4.Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal 24
HYPERLINK \l „__RefHeading__3538_1430608550″15.5.Informarea persoanelor vizate cu privire la încălcarea securității datelor cu caracter personal 25
HYPERLINK \l „__RefHeading__3540_1430608550″15.6.Responsabilitatea și păstrarea evidenței 25
HYPERLINK \l „__RefHeading__3542_1430608550”16.Revizuire 25
HYPERLINK \l „_Toc93666996”
Data Processing (prelucrarea datelor cu caracter personal)
Operatorii de date
Prezenta politică aparține companiilor TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L., care vor acționa în calitate de operatori asociați de date, conform Acordului de prelucrare a datelor cu caracter personal încheiat între aceștia.
| Operatorii de date | ||
| Denumire | TEKNO FM S.R.L. | SOLEIL PROFESIONAL SERVICE S.R.L. |
| Reprezentant | Stefan SOARE | Adina SOARE |
| Sediu | Dumbrăvița (Com. Dumbrăvița), str. Petőfi Sándor, nr. 41, spațiul nr. 7,
Jud. Timiș |
Dumbrăvița (Com. Dumbrăvița), str. Petőfi Sándor, nr. 41, spațiul nr. 10, Jud. Timiș |
| Cod fiscal | RO19188011 | RO40441936 |
| Nr. ORC | J35/751/2007 | J35/263/2019 |
Care este scopul prezentei politici?
Scopul prezentei politici este adoptarea și implementarea la nivelul operatorilor a procedurilor de prelucrare a datelor cu caracter personal, a măsurilor tehnice și organizatorice necesare pentru păstrarea confidențialității și integrității datelor cu caracter personal, în vederea asigurării îndeplinirii cerințelor din Regulamentul (UE) 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare ”Regulamentul”).
Prezenta politică se completează cu următoarele politici: Politica privind controlul accesului, Politica MD, Politica de confidențialitate publicată pe Website-ul HYPERLINK „http://www.teknofm.ro/”www.teknofm.ro și Politica Cookies (împreună denumite ”Politicile GDPR”).
Nerespectarea Politicilor GDPR reprezintă abatere disciplinară gravă și atrage răspunderea disciplinară, patrimonială sau de altă natură a persoanei vinovate.
Definiții
„Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
”Categorii speciale de date cu caracter personal” sunt datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. Din cauza sensibilității lor, categoriile speciale de date sensibile pot fi prelucrate doar în condiții foarte stricte.
„Date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia.
„Prelucrarea datelor” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
”Operator” înseamnă persoana fizică sau juridică care (singură sau împreună cu altele), stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În înțelesul prezentei politici, companiile TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L. sunt operatori de date cu caracter personal.
”Operatori asociați” înseamnă doi sau mai mulți operatori care stabilesc în comun scopurile și mijloacele de prelucrare. În înțelesul prezentei politici, companiile TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L. sunt operatori asociați de date cu caracter personal.
”Persoană împuternicită de operator” înseamnă persoana fizică sau juridică care prelucrează datele cu caracter personal în numele operatorului. În anumite cazuri, TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L. pot folosi serviciile unor persoane împuternicite pentru a prelucra date cu caracter personal.
„Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
”Resursele operatorilor” înseamnă sistemele, aplicațiile, rețelele, documentele, informațiile confidențiale și datele cu caracter personal deținute sau folosite de TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L.;
”MD” înseamnă dispozitivele mobile (Mobile Devices) puse la dispoziție de operatori pentru realizarea sarcinilor profesionale;
”Politica MD” înseamnă politica privind MD, implementată în cadrul operatorilor care reglementează (i) condițiile în care vor fi utilizate MD, (ii) măsurile de securitate necesar a fi respectate, (iii) configurarea MD, (iv) reguli pentru asigurarea protecției vieții private a utilizatorilor, (v) drepturi de autor, (vi) reguli privind returnarea MD, (vii) măsuri pentru a preveni încălcarea securității și procedura de urmat în cazul în care o asemenea încălcare se produce precum și (viii) răspunderea utilizatorilor.
”Website” înseamnă site-ul web operat de operatori respectiv HYPERLINK „http://www.teknofm.ro/”www.teknofm.ro
”DPA” sau ”Data Processing Agreement” înseamnă acordul de prelucrare a datelor cu caracter personal întocmit conform prevederilor Regulamentului.
”Cookie” înseamnă un fișier text de mici dimensiuni care este descărcat pe echipamentul terminal al utilizatorului (cum ar fi, de exemplu, un computer sau un smartphone) atunci când utilizatorul accesează un site web și care permite site-ului web să recunoască dispozitivul respectiv și să stocheze anumite informații despre preferințele sau istoricul căutărilor utilizatorului.
Principiile prelucrării
Legalitate, echitate & transparență. Datele cu caracter personal vor fi prelucrate doar în baza unui temei legal și într-o manieră transparentă față de persoanele căreia îi aparțin datele. Compania va informa persoanele vizate într-o manieră clară și transparentă despre cum va utiliza datele cu caracter personal ale acestora.
Limitarea la scop. Datele personale vor fi colectate doar în scopuri determinate, explicite și legitime și nu vor fi prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
Reducerea la minim. Datele trebuie să fie adecvate, relevante și limitate în sensul că se vor colecta strict acele date necesare în raport cu scopurile în care acestea sunt colectate.
Exactitate. Datele trebuie să fie exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.
Limitări legate de stocare. Datele trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
Integritate și confidențialitate. Datele trebuie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
Datele cu caracter personal prelucrate în cadrul operatorilor
În relația cu persoanele care solicită o ofertă de preț
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru realizarea intereselor legitime ale operatorilor, acelea de a emite și gestiona ofertele de preț solicitate de potențialii clienți | Numele, prenumele, datele de contact, funcția și locul de muncă ale persoanei cu care operatorii intră în contact în legătură cu oferta de preț solicitată, date referitoare la Produsele sau Serviciile care prezintă interes pentru persoanele vizate | Demersuri înainte de încheierea unui contract [Art. 6 alin.(1) lit. b) din Regulament]
Interes legitim [Art. 6 alin.(1) lit. f) din Regulament] |
În relația cu clienții, furnizorii și colaboratorii precum și în relația cu reprezentanții și persoanele de contact ale clienților, furnizorilor și colaboratorilor
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru realizarea intereselor legitime ale operatorilor, acelea de a încheia și executa contractele cu clienții, furnizorii și colaboratorii acestora și de a-și apăra drepturile în justiție precum și pentru îndeplinirea obligațiilor legale ale operatorilor | Nume, prenume, date de contact (telefon/ e-mail), adresă de facturare, adresă de domiciliu/ livrare, date referitoare la plăți și conturi bancare, istoric comenzi și alte date furnizate sau care rezultă din interacțiunea cu persoana vizată | Executarea contractului
[Art. 6 alin. (1) lit. b) din Regulament] Obligația legală [Art. 6 alin.(1) lit. c) din Regulament] Interesul legitim [Art. 6 alin.(1) lit. f) din Regulament] |
||
| Pentru îmbunătățirea serviciilor operatorilor, aceștia pot utiliza datele în scopul contactării telefonice sau prin e-mail a persoanelor vizate și pentru a le adresa câteva întrebări referitoare la gradul de satisfacție privind ultima Comandă finalizată. | Nume, prenume, telefon, e-mail sau alte date furnizate de persoanele vizate, după caz | Interes legitim [Art. 6 alin.(1) lit. f) din Regulament] | ||
| Pentru a trimite notificări comerciale, materiale de marketing sau promoționale (oferte speciale, informații generale despre Produsele și Serviciile operatorilor și alte informații care ar putea fi de interes pentru persoanele vizate), dar numai dacă acestea și-au dat consimțământul explicit. | Nume, prenume, adresă de e-mail | Consimțământ [Art. 6 alin.(1) lit. a) din Regulament]
Operatorii vor acorda persoanelor vizate posibilitatea să își retragă consimțământul printr-un link de dezabonare |
În relația cu utilizatorii Website-ului HYPERLINK www.teknofm.ro sau cu terțele persoane care interacționează cu operatorii în alt mod
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru realizarea intereselor legitime ale operatorilor, acelea de a oferi informații privind Produsele și Serviciile acestora, la solicitarea persoanelor vizate, de a răspunde întrebărilor, comentariilor sau sugestiilor persoanelor vizate și pentru apărarea drepturilor în justiție | Date pe care persoanele vizate le furnizează operatorilor prin intermediul formularului de contact disponibil în Secțiunea ”Contact” de pe Website, prin utilizarea funcțiilor rețelelor de social media sau în alt mod, prin publicarea de comentarii, conținut, opinii, recenzii, etc. | Interesul legitim [Art. 6 alin.(1) lit. f) din Regulament] | ||
| Pentru a asigura funcționarea Website-ului, pentru a analiza modul în care persoanele vizate folosesc Website-ul, pentru a reținerea preferințelor persoanelor vizate, pentru a înțelege, diagnostica și remedia problemele Website-ului, pentru a optimiza conținutul și a îmbunătăți experiența de navigare pe Website, precum și în scop de marketing respectiv pentru a direcționa către persoanele vizate publicitatea realizată pe Website, pe alte Website-uri sau aplicații, care este de interes pentru persoanele vizate și pe care operatorii au identificat-o pe baza Produselor sau Serviciilor pe căutate și accesate, pentru evaluarea impactului campaniilor publicitare efectuate, pentru … | Anumite date tehnice sunt colectate în mod automat, cum ar fi identificatori online inclusiv Cookies și adresa IP, tipul / versiunea browserului, paginile vizitate de persoanele vizate, ora și data vizitei, timpul petrecut pe acele pagini, preferințele, identificatorii unici ai dispozitivului, istoricul de cumpărături, Produsele sau Serviciile de pe Website pe care persoanele vizate au făcut click, etc. Utilizarea Cookie-urilor și a tehnologiilor similare (cu excepția celor necesare) se va face doar dacă persoanele vizate își exprimă acordul. | Consimțământul [Art. 6 alin.(1) lit. a) din Regulament];
Interesul legitim [Art. 6 alin.(1) lit. f) din Regulament] |
În relația cu persoanele recrutate în scop de angajare
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru evaluarea competențelor și a calificărilor candidaților în vederea angajării | Date incluse în CV (după caz, date de identificare, data nașterii, sexul, cetățenia, date de contact, funcția/ ocupația, locul de muncă, educația, formarea și experiența profesională, performanțe profesionale și promovări, premii, cunoștințe, competențe, limbi străine, fotografie de profil etc.), date privind job-ul dorit, motivul schimbării job-ului, așteptări salariale și eventuale alte date. | Demersuri înainte de încheierea unui contract [Art. 6 alin.(1) lit. b) din Regulament] |
În relația cu salariații operatorilor
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru încheierea și executarea contractului individual de muncă, pentru îndeplinirea obligațiilor legale ale operatorilor, inclusiv garantarea drepturilor salariaților în materia securității și protecției sociale și pentru evaluarea capacității de muncă a salariaților, precum și în scopul realizării intereselor legitime ale operatorilor, acelea de a-și apăra drepturile în instanță. | Datele din dosarul de personal și alte date rezultând din sau în legătură cu executarea contractului individual de muncă, date privind starea de sănătate, derivând din adeverința medicală, certificatele de concediu medical, fișa de aptitudine etc. | Executarea contractului
[Art. 6 alin. (1) lit. b) din Regulament] Obligația legală [Art. 6 alin.(1) lit. c) din Regulament] Îndeplinirea obligațiilor și exercitarea drepturilor în materia securității și protecției sociale [Art. 9 alin. (2) lit. b) din Regulament] Medicina muncii, evaluarea capacității de muncă a angajatului [art. 9 alin. (2) lit. h) din Regulament] Interes legitim [Art. 6 alin.(1) lit. f) din Regulament] |
În relația cu persoanele aflate în întreținerea salariaților operatorilor
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru stabilirea deducerii personale a salariaților operatorilor | Nume, prenume, domiciliu, CNP, nivelul și natura venitului persoanei aflate în întreținere și alte date necesare potrivit legii. | Obligația legală [Art. 6 alin.(1) lit. c) din Regulament, prevederile Codului fiscal] |
În relația cu persoanele vizate care își exercită drepturile în baza Regulamentului
| Scopul prelucrării datelor: | Categorii de date prelucrate: | Temeiul juridic al prelucrării: | ||
| Pentru a facilita persoanelor vizate exercitarea drepturilor conferite de Regulament | Datele de identificare și alte date necesare în vederea îndeplinirii scopurilor | Obligația legală [Art. 6 alin.(1) lit. c) din Regulament] |
Managementul accesului la Resursele operatorilor
Procedurile de control al accesului la Resursele operatorilor, având ca și scop protecția acestora împotriva accesării, divulgării, modificării sau distrugerii neautorizate fac obiectul Politicii privind controlul accesului.
Utilizarea Dispozitivelor Mobile device
Utilizarea Dispozitivelor MD se face în acord cu Politica MD.
Arhivarea documentelor
Arhivarea documentelor financiar-contabile
Arhivarea documentelor financiar-contabile în format hârtie și / sau în format electronic se face în conformitate cu prevederile legale în vigoare, respectiv:
Legea societăților 31/1990;
Legea 82/1991 a contabilității;
Codul fiscal și normele de aplicare a acestuia;
Legea 16/1996 a Arhivelor Naționale;
Legea 135/2007 privind arhivarea documentelor în formă electronică;
Ordinul 2634/2015 privind documentele financiar-contabile;
Alte prevederi legale incidente după caz.
Arhivarea documentelor financiar-contabile se face, după caz:
la sediul social sau în baza unor contracte de prestări de servicii încheiate cu operatori economici autorizați în prestarea de servicii arhivistice;
pe hârtie sau pe suport electronic; dacă arhivarea se face în format hârtie, se vor respecta următoarelor reguli generale:
documentele se grupează în dosare, numerotate şi șnuruite;
gruparea documentelor în dosare se face cronologic şi sistematic, în cadrul fiecărui exercițiu financiar la care se referă acestea. Dosarele astfel arhivate se păstrează în spații amenajate în acest scop, asigurate împotriva degradării, distrugerii sau sustragerii, dotate cu mijloace de prevenire a incendiilor;
evidența documentelor în arhivă se ține potrivit reglementărilor în vigoare;
în caz de încetare a activității operatorilor, documentele financiare se predau la arhivele statului, conform art. 35 alin. (4) din Legea 82/1991;
cu respectarea prevederilor Politicii privind controlul accesului;
Arhivarea altor documente
Arhivarea celorlalte documente ale operatorilor se va efectua cu respectarea prevederilor legale în vigoare, după caz, în funcție de tipul de documente și cu respectarea prevederilor Politicii privind controlul accesului.
În vederea asigurării securității și a confidențialității, managementul și salariații vor manifesta o atenție deosebită la gestionarea și arhivarea documentelor operatorilor. Documentele care conțin date cu caracter personal sau informații confidențiale vor fi arhivate sistematic, astfel încât să se asigure limitarea accesului și ușurința identificării lor în caz de nevoie.
Termene de păstrare. Ștergerea datelor cu caracter personal
Cazurile în care se va proceda la ștergerea datelor
Ștergerea datelor cu caracter personal din arhivele electronice și/ sau fizice se va efectua în toate cazurile în care se aplică unul dintre următoarele motive:
datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrarea datelor;
persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării efectuată în scop de marketing direct,
datele cu caracter personal au fost prelucrate ilegal;
datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorilor în temeiul dreptului Uniunii sau al dreptului intern.
Ștergerea datelor nu se va efectua, chiar dacă unul dintre cazurile prevăzute mai sus devine incident, în măsura în care prelucrarea este necesară:
pentru exercitarea dreptului la liberă exprimare și la informare;
pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorilor sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care sunt învestiți operatorii;
din motive de interes public în domeniul sănătății publice;
în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice;
pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Termene de păstrare
Ștergerea datelor cu caracter personal se va efectua cu respectarea prevederilor legale specifice, respectiv numai după expirarea termenelor de păstrare impuse de lege sau stabilite de operatori, cu distincțiile următoare:
| Tip documente/ date | Termen de păstrare | Temei legal |
| documentele financiar-contabile prevăzute la Anexa 4 din Ordinul 2634/2015 | 5 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite, cu excepția cazului în care necesitățile operatorilor impun păstrarea acestora pe o perioadă de timp mai mare | – art. 5 din Ordinul 2634/2015
– pct. 39 din Anexa nr. 1 la Ordinul 2634/2015 – anexa nr. 4 la Ordinul 2634/2015 |
| documentele financiar-contabile care atestă proveniența unor bunuri cu durată de viață mai mare de 5 ani | pe perioada corespunzătoare duratei de viață utilă a bunurilor cu durată de viață mai mare de 5 ani | – pct. 40 din Anexa nr. 1 la Ordinul 2634/2015 |
| registrele și celelalte documente financiar-contabile, inclusiv situațiile financiare anuale | 10 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite | – pct. 38 din Anexa nr. 1 la Ordinul 2634/2015
– art. 25, art. 35 din Legea contabilității nr. 82/1991 |
| contractele cu clienții, furnizorii și colaboratorii și alte date în legătură cu acestea | Pe toată durata cât există un contract activ + 5 ani de la încetarea contractelor cu excepția cazului în care operatorii sunt obligați prin lege sau au alte motive temeinice să le păstreze pe o durată mai mare de timp; | – prevederile legale în materia termenelor de prescripție; |
| ofertele de servicii care nu s-au materializat într-un contract | maxim 6 luni de la emiterea ofertelor de preț | |
| statele de salarii | 50 de ani | – pct. 38 din Anexa nr. 1 la Ordinul 2634/2015 |
| registrele și actele operatorilor, prevăzute de legea nr. 31/1990 | 5 ani de la radierea operatorilor | – art. 261 (3) din Legea societăților comerciale nr. 31/1990 |
| dosarele de personal | 75 de ani de la crearea lor | – Legea arhivelor naționale nr. 16/1996 |
| atunci când operatorii utilizează sisteme informatice de prelucrare automată a datelor contabile, aceștia vor asigura păstrarea suporturilor tehnice conținând aceste date | 10 ani | – art. 23 din Legea contabilității nr. 82/1991 |
| CV-uri colectate în scop de recrutare | până la finalizarea procesului de selecție; | |
| Date prelucrate în scop de marketing direct | pe o perioadă de maxim […] sau până la retragerea consimțământului; | |
| Date tehnice, colectate în mod automat | scurte perioade de timp, conform Politicii Cookies | |
| Documentația cu privire la cercetarea cazurilor de încălcare a securității datelor cu caracter personal | 5 ani de la transmiterea notificării către autoritatea de supraveghere sau atunci când aceasta nu este obligatorie, de la data luării la cunoștință a incidentului. |
Procedura de ștergere
Ștergerea datelor prelucrate va fi efectuată:
automat sau
manual de către administratorii operatorilor sau de alte persoane împuternicite special în acest sens
în cazul documentelor financiar-contabile al căror termen de păstrare prevăzut în lege a expirat, eliminarea acestora din arhiva operatorilor, se face de către o comisie constituită în acest scop, caz în care se întocmește un proces-verbal și se consemnează scăderea documentelor eliminate din Registrul de evidență al arhivei.
În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, operatorii stabilesc termene anuale pentru ștergerea sau revizuirea datelor cu caracter personal.
Destinatarii / categoriile de destinatari ai datelor cu caracter personal, inclusiv divulgarea către terțe părți
Definirea noțiunilor de destinatar și terțe părți
Conform Regulamentului, noțiunile de „destinatar” și „parte terță” sunt definite astfel:
„destinatar” – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari.
„parte terță” – o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
Categoriile de destinatari, inclusiv terțele părți către care operatorii divulgă datele cu caracter personal
Datele cu caracter personal prelucrate de operatori pot fi divulgate către următoarele categorii de destinatari, inclusiv terțe părți:
salariații operatorilor, în vederea exercitării atribuțiilor de serviciu;
asociații operatorilor, în scopuri administrative și de control, o asemenea prelucrare fiind efectuată fie în baza interesului legitim fie în baza obligației legale (art. 35 din Legea 82/1991 a contabilității, care conferă asociaților unei societăți dreptul să se informeze în legătură cu situațiile financiare anuale ale societății);
autorități și instituții publice centrale/ locale;
Pentru orice solicitare de divulgare primită de la autoritățile publice în vederea exercitării funcției lor oficiale, operatorii vor solicita ca cererea să fie prezentată în scris, motivată și ocazională și să nu se refere la un sistem de evidență în totalitate sau să conducă la interconectarea sistemelor de evidență;
organe judiciare, executori judecătorești, dacă operatorii sunt obligați să transfere date cu caracter personal pe baza unei solicitări legale sau în conformitate cu legile aplicabile;
publicului larg, pentru acele date publicate în mediul online (opinii, recenzii etc.);
Furnizorii de servicii (care pot fi după caz, fie operatori de date fie persoane împuternicite să prelucreze datele cu caracter personal în numele operatorilor) respectiv: hosting, resurse umane, medicina muncii, SSM, servicii juridice, servicii contabile și financiare, securitate, suport IT, servicii de telecomunicații și e-mail, furnizori de social media, transportatori, companii de curierat rapid;
| Tipul serviciului | Furnizorul de servicii | |
| Hosting | ||
| Resurse umane | ||
| Medicina muncii | ||
| SSM | ||
| Servicii juridice | ||
| Servicii contabile și financiare | ||
| Securitate | ||
| Suport IT | ||
| Telecomunicații și e-mail | ||
| Social-media | ||
| Transportatori | ||
| Curierat rapid | ||
Prelucrarea datelor împreună cu Facebook Irlanda
Operatorii utilizează produse publicitare și alte instrumente de afaceri de la compania Facebook ceea ce înseamnă că anumite date și informații cu privire la persoanele vizate vor fi partajate cu compania Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Irlanda.
Exercitarea drepturilor persoanelor vizate privind prelucrarea realizată în comun cu Facebook Irlanda se efectuează fie în relația cu Facebook fie în relația cu operatorii.
Prelucrarea de date împreună cu Facebook se va realiza, după caz, fie în baza interesului legitim al operatorilor, acela de a-și crește vizibilitatea brandului și de a-și vinde produsele și serviciile [art. 6 alin. (1) lit. f) din Regulament] fie în baza consimțământului explicit al persoanelor vizate [art. 6 alin. (1) lit. a) din Regulament]. Operatorii vor acorda persoanelor vizate dreptul de a se opune și de a-și retrage consimțământul.
Drepturile persoanelor vizate
Dreptul la informare (art. 12-14 din Regulament)
Operatorii au obligația și își asumă angajamentul de a furniza persoanelor vizate toate informațiile menționate la art. 13 și 14 din Regulament, procedura de informare fiind cea descrisă la Cap. 11 din prezenta politică.
Dreptul de acces (art. 15 din Regulament)
Persoanele vizate au dreptul să obțină o confirmare din partea operatorilor cu privire la prelucrarea datelor lor cu caracter personal precum și acces la datele respective și la informațiile prevăzute de art. 15 din Regulament, procedura fiind cea descrisă la Cap. 11 din prezenta politică.
Dreptul de acces al persoanelor vizate suferă următoarele limitări:
Limitări date de atingerea drepturilor și libertăților altor persoane vizate (art. 15 alin. 4 din Regulament).
Întrucât datele cu caracter personal cu privire la care se exercită dreptul de acces pot viza mai multe persoane, comunicarea datelor către persoana care își exercită dreptul de acces la date ar putea afecta drepturile celorlalte persoane. În acest caz, operatorii pot refuza, motivat, furnizarea unei copii a datelor cu caracter personal. Cu toate acestea, protecția drepturilor altor persoane nu va fi utilizată drept scuză pentru a împiedica în mod abuziv o cerere legitimă de acces a unei persoane vizate. În acest caz și cu condiția să fie posibil și să nu presupună eforturi disproporționate, operatorii pot recurge la măsuri tehnice, cum ar fi, cenzurarea documentelor, editarea imaginilor, cu scopul de a putea da curs unei cereri de acces din partea persoanei vizate.
Limitări date de imposibilitatea identificării persoanei vizate (art. 11 alin. 2 din Regulament)
Dacă operatorii nu pot identifica persoana vizată care și-a exercitat dreptul de acces la datele cu caracter personal, aceștia vor informa persoana vizată cu privire la acest lucru. În acest caz, dreptul de acces nu se va aplica, cu excepția cazului în care persoana vizată oferă informații suplimentare care permit identificarea sa.
Limitări date de caracterul vădit nefondat sau excesiv al cererii (art. 12 alin. 5 din Regulament)
În cazul în care cererea persoanei vizate este vădit nefondată sau excesivă, în special din cauza caracterului repetitiv, operatorii pot fie să refuze să dea curs cererii, fie să perceapă o taxă rezonabilă.
Dreptul la rectificarea datelor cu caracter personal inexacte (art. 16 din Regulament)
Persoanele vizate au dreptul de a obține de la operatori, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care le privesc.
Dreptul de a fi uitat (dreptul la ștergerea datelor – art. 17 din Regulament)
Persoanele vizate au dreptul să solicite ștergerea datelor cu caracter personal care le privesc. La primirea unei asemenea cereri, operatorii vor proceda la ștergerea, fără întârzieri nejustificate, a datelor cu caracter personal în toate cazurile în care:
datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate,
persona vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare,
persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării efectuată în scop de marketing direct,
datele cu caracter personal au fost prelucrate ilegal sau
datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorilor în temeiul dreptului UE sau al dreptului intern.
În măsura în care este posibil și nu presupune eforturi disproporționate, după ștergerea datelor, operatorii vor informa fiecare destinatar căruia i-au fost divulgate datele cu caracter personal cu privire la cererea persoanei vizate de ștergere a datelor sale cu caracter personal.
În conformitate cu Ghidul 3/2019 emis de European Data Protection Board (EDPB), blurarea imaginilor, fără a exista posibilitatea să se recupereze datele cu caracter personal conținute inițial de imaginile respective se va considera o ștergere a datelor cu caracter personal.
Ștergerea datelor nu se va efectua în măsura în care prelucrarea este necesară:
(a) pentru exercitarea dreptului la liberă exprimare și la informare;
(b) pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorilor sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care sunt învestiți operatorii;
(c) din motive de interes public în domeniul sănătății publice;
(d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice;
(e) pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Dreptul la restricționarea prelucrării datelor cu caracter personal (art. 18 din Regulament)
Persoanele vizate au dreptul de a obține din partea operatorilor restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
(a) persoanele vizate contestă exactitatea datelor, pentru o perioadă care le permite operatorilor să verifice exactitatea datelor;
(b) prelucrarea este ilegală, iar persoanele vizate se opun ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
(c) operatorii nu mai au nevoie de datele cu caracter personal în scopul prelucrării, dar persoanele vizate solicită aceste date pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
(d) persoanele vizate s-au opus prelucrării în conformitate cu articolul 21 alineatul (1) din Regulament, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorilor prevalează asupra drepturilor persoanelor vizate;
Dreptul la retragerea consimțământului (art. 7 alin. 3 din Regulament)
Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.
Dreptul la portabilitatea datelor (art. 20 din Regulament)
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat către operatori într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorilor în cazul în care prelucrarea se bazează pe consimțământ sau pe un contract și prelucrarea este efectuată prin mijloace automate.
Persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
Dreptul de a se opune (art. 21 din Regulament)
În cazul în care temeiul prelucrării datelor îl reprezintă interesul legitim sau interesul public, persoanele vizate au dreptul de a se opune în orice moment prelucrării, din motive legate de situația particulară în care se află. La primirea unei asemenea cereri, operatorii vor înceta să mai prelucreze datele cu caracter personal cu excepția cazului în care operatorii demonstrează că au motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.
Dreptul de a depune o plângere în fața unei autorități de supraveghere (art. 77 din Regulament)
Orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prevederile Regulamentului.
Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoanele vizate sau le afectează în mod similar într-o măsură semnificativă (art. 22 din Regulament)
Acest drept nu se aplică în cazul în care decizia: (a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și operatori; (b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorilor și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau (c) are la bază consimțământul explicit al persoanei vizate.
Dreptul la o cale de atac judiciară (art. 79 din Regulament)
Fără a se aduce atingere posibilității persoanelor vizate de a se adresa cu plângere la o autoritate de supraveghere, acestea au dreptul de a se adresa instanței competente pentru apărarea drepturilor garantate de legislația aplicabilă, dacă consideră că aceste drepturi le-au fost încălcate.
Transparența informațiilor, a comunicărilor modalitatea de exercitare a drepturilor persoanei vizate
Toate informațiile și comunicările furnizate persoanelor vizate se vor efectua într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Informațiile se furnizează prin publicarea Politicii de confidențialitate pe website-ul HYPERLINK „http://www.teknofm.ro/”www.teknofm.ro, prin notificări scrise sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate și verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace. Responsabilitățile fiecărui operator în ceea ce privește informarea persoanelor vizate sunt stabilite prin acordul semnat între operatorii asociați.
Operatorii facilitează exercitarea drepturilor persoanei vizate și nu vor refuza să dea curs cererilor persoanelor vizate cu excepția cazului în care acestea nu sunt exercitate în condițiile legii sau nu pot fi identificate. Exercitarea oricărui drept de către persoana vizată se poate face printr-o cerere scrisă care se poate depune la sediul operatorilor sau prin e-mail la office@teknofm.ro.
Înregistrarea cererilor și direcționarea lor către responsabilul cu protecția datelor desemnat sau, în lipsă, către administratorii operatorilor. Orice cerere primită în mod accidental de către salariații operatorilor, din partea unei persoane vizate, prin care aceasta își exercită drepturile cu privire la prelucrarea datelor cu caracter personal trebuie înaintată responsabilului cu protecția datelor sau, în lipsă, administratorului operatorului respectiv, în termen de maxim 10 ore de la primire, pentru a se asigura gestionarea și soluționarea acesteia în termen.
Solicitarea unor informații suplimentare. Dacă este necesar, operatorii pot solicita o copie după actul de identitate care să facă dovada identității solicitantului sau alte informații suplimentare necesare pentru a putea confirma identitatea acestuia.
Soluționarea cererii și informarea persoanei vizate. Operatorii vor furniza persoanei vizate informații privind acțiunile întreprinse în urma unei cereri, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. În orice caz, operatorii vor informa persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile îi vor fi furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.
Dacă nu iau măsuri cu privire la cererea persoanei vizate, operatorii informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu iau măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.
Caracterul gratuit. Informațiile furnizate în temeiul articolelor 13 și 14 din Regulament și orice comunicare și orice măsuri luate în legătură cu cererile persoanelor vizate prin care acestea își exercită drepturile sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorii pot: (a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate; (b) fie să refuze să dea curs cererii.
Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării. Operatorii vor comunica fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorii vor informa persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
Transferul datelor cu caracter personal către o țară terță UE/ SEE
Atunci când contractează servicii externalizate sau când colaborează cu clienți externi, operatorii pot să transfere anumite date cu caracter personal către țări terțe Uniunii Europene/ Spațiului Economic European (SEE). În toate cazurile în care se realizează un transfer al datelor către țări terțe UE/SEE, anterior transferului, se va stabili instrumentul de transfer adecvat pentru situația respectivă, astfel:
transferul se efectuează către țările terțe care au fost recunoscute de Comisia Europeană ca asigurând un nivel adecvat de protecție a datelor cu caracter personal (conform art. 45 din Regulament)
Dacă transferul se efectuează către aceste țări (a căror actualizare se va verifica de fiecare dată aici: HYPERLINK „https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en”https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en), el nu necesită autorizări speciale, fiind asimilat unui transfer efectuat către țări membre UE:
| ANDORRA
ARGENTINA INSULELE FEROE GUERNSEY ISRAEL JERSEY NOUA ZEELANDA ELVETIA URUGUAY KOREA |
INSULA MAN
JAPONIA (transfer către entitățile din sectorul privat care fac obiectul legii japoneze privind protecția informațiilor cu caracter personal) CANADA (transfer către entitățile private care intră sub incidența legii canadiene privind protecția informațiilor cu caracter personal și documentele electronice) UK |
transferul se face către țări non-UE care nu asigură un nivel adecvat de protecție.
În acest caz, transferul de date cu caracter personal va fi efectuat de către operatori doar în baza unor garanții adecvate, furnizate, prin:
clauze standard de protecție a datelor adoptate de Comisie ( HYPERLINK „https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en”https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en);
clauze standard de protecție a datelor adoptate de o autoritate de supraveghere și aprobate de Comisie;
un cod de conduită aprobat în conformitate cu articolul 40 din Regulament, însoțit de un angajament obligatoriu și executoriu din partea companiei din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate;
un mecanism de certificare aprobat în conformitate cu articolul 42 din Regulament, însoțit de un angajament obligatoriu și executoriu din partea companiei din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate;
clauze contractuale între operatori și compania din țara terță, sub rezerva autorizării din partea autorității de supraveghere competente;
transferul efectuat către țări care nu au fost recunoscute ca asigurând un nivel adecvat de protecție sau în lipsa unor garanții adecvate
Dacă transferul se efectuează către țări care nu au fost recunoscute ca asigurând un nivel adecvat de protecție sau în lipsa unor garanții adecvate, acesta poate avea loc numai în una dintre condițiile următoare:
persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;
transferul este necesar pentru executarea unui contract între persoana vizată și operatori sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operatori și o altă persoană fizică sau juridică;
transferul este necesar din considerente importante de interes public;
transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;
transferul efectuat în alte cazuri
În cazul în care transferul nu se efectuează către o țară recunoscută ca oferind un nivel adecvat de protecție, nu se întemeiază pe nicio garanție adecvată și nu este aplicabilă niciuna dintre derogările prevăzute la art. 12.3., un transfer către o țară non-UE poate avea loc numai în cazul în care transferul nu este repetitiv, se referă doar la un număr limitat de persoane vizate, este necesar în scopul realizării intereselor legitime majore urmărite de operatori (recunoscute de dreptul intern sau dreptul Uniunii) asupra căruia nu prevalează interesele sau drepturile și libertățile persoanei vizate și operatorii au evaluat toate circumstanțele aferente transferului de date și, pe baza acestei evaluări, au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal.
În acest caz, operatorii vor informa autoritatea de supraveghere (cu privire la transfer) precum și persoana vizată (cu privire la transfer și la interesele legitime majore pe care le urmăresc).
Data Privacy & Data Security (Confidențialitatea și Securitatea datelor)
Confidențialitatea și securitatea datelor
Angajamentul și responsabilitatea operatorilor
Managementul operatorilor își asumă angajamentul în vederea respectării Politicilor GDPR, urmând să asigure toate resursele necesare pentru ca acest sistem să poată fi implementat și respectat întocmai de către întregul personal al operatorilor.
Obligația conformării la sistemul de prelucrare a datelor cu caracter personal va fi impusă întregului personal angajat prin:
aducerea la cunoștință a conținutului Politicilor GDPR, care vor fi în permanență disponibile în cadrul operatorilor, putând fi în orice moment solicitate prin e-mail la office@teknofm.ro,
instruirea salariaților,
inserarea unor responsabilități specifice în regulamentul intern,
inserarea unor clauze de confidențialitate în contractele individuale de muncă.
Responsabilitatea salariaților
Fiecare salariat are obligația să respecte Politicile GDPR și să păstreze confidențialitatea datelor cu caracter personal de care a luat cunoștință în timpul executării contractului individual de muncă, respectiv:
să nu transmită/ facă accesibile/ divulge în mod neautorizat, direct sau indirect, în scris, verbal sau prin orice alte mijloace de comunicare, către terțe persoane fizice sau juridice, datele cu caracter personal,
să nu utilizeze datele cu caracter personal în alte scopuri decât cele stabilite de operatori în cadrul Politicilor GDPR,
să nu manifeste o atitudine neglijentă care să conducă la sau să creeze premisele pentru distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal sau la accesul neautorizat la acestea.
Obligația de păstrare a confidențialității se aplică atât în relația cu terții, cât și în relația cu ceilalți salariați ai operatorilor.
este autorizată doar către acei salariați ai operatorilor care sunt îndreptățiți să le dețină în virtutea funcției lor sau în baza permisiunilor de acces conferite de managementul operatorilor
este autorizată doar dacă este absolut necesară în vederea executării unui contract la care unul dintre operatori este parte sau pentru alte motive legitime, cu condiția ca destinatarul să își asume obligația de păstrare a confidențialității printr-un angajament scris
Măsuri de securitate
În vederea asigurării securității Resurselor operatorilor, aceștia au implementat următoarele măsuri tehnice și organizatorice:
Controlul accesului fizic
Operatorii au implementat măsuri de securitate adecvate pentru a preveni accesul persoanelor neautorizate la arhivele fizice și la sistemele de prelucrare a datelor cu caracter personal (inclusiv baze de date, servere, aplicații și componente hardware). Aceste măsuri includ cel puțin următoarele:
| ☐ Separarea bazelor de date fizice pe categorii pentru a se asigura acces diferențiat
☐ Managementul accesului (limitarea accesului fizic pe baza nevoii de a cunoaște, proceduri pentru atribuirea și revocarea drepturilor de acces) ☐ Managementul cheilor de acces (emiterea cheilor, etc.) ☐ Politica privind controlul accesului |
☐ CCTV
☐ Sistem de alarmă ☐ Măsuri de protecție mecano-fizică ☐ Managementul vizitatorilor la recepție ☐ Selecționarea atentă a personalului de curățenie ☐ Selecționarea și instruirea atentă a personalului de securitate ☐ Instruirea personalului |
Controlul accesului virtual
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a preveni utilizarea de către persoanele neautorizate a sistemelor de prelucrare a datelor cu caracter personal precum și pentru a se asigura că persoanele cu drepturi de acces la sistemele de prelucrare a datelor cu caracter personal pot accesa date cu caracter personal doar în conformitate cu drepturile lor de acces. Aceste măsuri includ cel puțin următoarele:
| ☐ Managementul accesului (limitarea accesului pe baza nevoii de a cunoaște, proceduri pentru atribuirea și revocarea drepturilor de acces la sisteme și date)
☐ Autentificare pe bază de user și parolă ☐ Numărul administratorilor de sistem redus la “absolut necesar” ☐ Măsuri suplimentare: scanări regulate ale vulnerabilității, testare regulată a penetrării, gestionarea patch-urilor ☐ Politica privind parolele incluzând cerințe privind complexitatea parolelor, gestionarea schimbării parolelor |
☐ Algoritmi de hashing adecvați pentru stocarea parolelor
☐ VPN ☐ Criptarea datelor ☐ Pseudonimizarea datelor ☐ Software Firewalls ☐ Hardware Firewalls ☐ Măsuri de detectare a logărilor eșuate și de corectare a erorilor ☐ Politica MD ☐ Politica CCTV ☐ Instruirea personalului |
Controlul disponibilității datelor
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a preveni incidentele fizice/ tehnice și pentru restabilirea disponibilității datelor în cazul unui incident fizic/ tehnic. Aceste măsuri includ cel puțin următoarele:
| ☐ Surse de alimentare neîntreruptibile (UPS)
☐ Sisteme de alarmă ☐ Protecția sistemelor și a componentelor împotriva distrugerilor accidentale, efectuată prin poziționarea optimă a acestora (sistemele de prelucrare a datelor cu caracter personal și componentele acestora nu se află în imediata apropiere a unor surse de electricitate, de căldură foarte mare sau sub instalații sanitare) |
☐ Dispozitive pentru monitorizarea temperaturii și a umidității în camerele cu servere/ tehnice
☐ Sisteme de detectare a incendiilor ☐ Aer condiționat și extinctoare ☐ Sisteme de backup și recuperare date ☐ Stocarea securizată a backup-urilor ☐ Testarea proceselor de recuperare date ☐ Instruirea personalului |
Controlul transferurilor
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că datele cu caracter personal nu pot fi citite, copiate, modificate sau șterse fără autorizație în timpul transmiterii electronice, transportului sau stocării pe suporturi de stocare. Aceste măsuri includ cel puțin următoarele:
| ☐ VPN
☐ Documentarea destinatarilor de date și a perioadelor de ștergere convenite ☐ Selecționarea atentă a transportatorilor în cazului unui transfer fizic de date |
☐ Transmiterea datelor în format criptat sau pseudonimizat
☐ Criptarea comunicațiilor ☐ Certificate SSL ☐ Instruirea personalului |
Asigurarea confidențialității datelor
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea datelor cu caracter personal. Aceste măsuri includ cel puțin următoarele:
| ☐ Politica generală de prelucrare a datelor
☐ Politica de control al accesului ☐ Politica MD ☐ Atribuții și responsabilități specifice privind prelucrarea datelor în fișele de post și regulamentul intern ☐ Clauze de confidențialitate cu salariații |
☐ Clauze de confidențialitate / acorduri de prelucrare date semnate cu furnizorii și alți parteneri contractuali
☐ DPA ☐ Clauze contractuale standard ☐ Acorduri cu operatorii asociați ☐ Instruirea personalului |
Stabilirea scopului și limitelor prelucrării datelor
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că principiile prelucrării datelor sunt respectate. Aceste măsuri includ cel puțin următoarele:
| ☐ Stabilirea scopului prelucrării datelor
☐ Stabilirea limitelor prelucrării datelor ☐ Stabilirea duratei prelucrării datelor ☐ Păstrarea evidenței activităților de prelucrare |
☐ Obținerea consimțământului persoanelor vizate, în situațiile în care consimțământul constituie temeiul legal pentru prelucrarea datelor cu caracter personal;
☐ Instruirea personalului |
Asigurarea transparenței prelucrării
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că prelucrarea datelor se efectuează într-o manieră transparentă în relația cu persoanele vizate. Aceste măsuri includ cel puțin următoarele:
| ☐ Informarea persoanelor vizate
☐ Proceduri de exercitare a drepturilor persoanelor vizate |
☐ Instruirea personalului |
Controlul persoanelor împuternicite
Operatorii au implementat măsuri tehnice și organizatorice adecvate pentru a asigura controlul persoanelor împuternicite. Aceste măsuri includ cel puțin următoarele:
| ☐ Selectarea acelor persoane care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate; | ☐ Furnizarea de instrucțiuni către persoanele împuternicite |
Data breach (Încălcarea securității datelor cu caracter personal)
Încălcarea securității datelor cu caracter personal
Breșe în sistemul de date. Tipuri de încălcări ale securității datelor cu caracter personal
Încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Reprezintă încălcări ale securității datelor cu caracter personal:
încălcarea confidențialității – dacă are loc o divulgare neautorizată sau accidentală sau un acces neautorizat sau accidental la datele cu caracter personal;
încălcarea integrității – în cazul în care are loc o modificare neautorizată sau accidentală a datelor cu caracter personal;
încălcarea disponibilității – în cazul în care are loc o pierdere accidentală sau neautorizată a accesului sau distrugerea datelor cu caracter personal.
Obligația salariaților de a notifica încălcările/ suspiciunile în ceea ce privește încălcarea securității datelor
Salariații care au detectat o încălcare a securității, un incident care ar putea conduce la o încălcare a securității sau care suspectează un asemenea incident sau o asemenea încălcare, au obligația să informeze responsabilul cu protecția datelor sau, în lipsă, administratorii operatorilor, imediat, fără nicio întârziere (în maxim 2 ore de la detectare sau de când au început să suspecteze o posibilă încălcare) și să pună la dispoziția operatorilor o descriere a caracterului incidentului și/ sau a încălcării securității, inclusiv, acolo unde este posibil, a categoriilor și a numărului aproximativ al persoanelor vizate în cauză, precum și a categoriilor și a numărului aproximativ al înregistrărilor de date sau informații în cauză.
Informarea se va face atât telefonic cât și prin e-mail la office@teknofm.ro.
Posibilele consecințe ale încălcării securității datelor cu caracter personal
În cazul unei încălcări a securității datelor cu caracter personal, operatorii vor evalua consecințele posibile ale unei astfel de încălcări. Conform Orientărilor Grupului de Lucru Art. 29, efectele negative pe care o încălcare a securității datelor le poate genera asupra persoanelor vizate pot include:
pierderea controlului asupra datelor cu caracter personal;
limitarea drepturilor persoanelor;
discriminare;
furt sau fraudă de identitate;
pierdere financiară;
inversarea neautorizată a pseudonimizării;
compromiterea reputației și pierderea confidențialității datelor protejate prin secret profesional;
orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei vizate.
La evaluarea riscului pe care o încălcare a securității datelor cu caracter personal l-ar putea avea asupra persoanelor vizate operatorii vor lua în calcul circumstanțele specifice ale încălcării, inclusiv gravitatea impactului potențial și probabilitatea apariției acestuia, cu respectarea următoarelor criterii:
tipul încălcării;
natura, sensibilitatea și volumul datelor cu caracter personal;
ușurința identificării persoanelor;
gravitatea consecințelor pentru persoanele vizate;
caracteristicile speciale ale persoanelor vizate;
caracteristicile speciale ale operatorilor;
numărul persoanelor afectate.
Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorii notifică acest lucru autorității de supraveghere competente, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care au luat cunoștință de aceasta, cu excepția cazului în care operatorii sunt în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motivele întârzierii, iar informațiile pot fi furnizate treptat, fără altă întârziere.
Notificarea va cuprinde cel puțin:
o descriere a caracterului încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, a categoriilor și a numărului aproximativ al persoanelor vizate în cauză, precum și a categoriilor și a numărului aproximativ al înregistrărilor de date cu caracter personal în cauză;
numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
descrierea consecințelor probabile ale încălcării securității datelor cu caracter personal;
descriere a măsurilor luate sau propuse spre a fi luate de operatori pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
Operatorii vor documenta toate cazurile de încălcare a securității datelor cu caracter personal și vor păstra documentele pentru o perioadă de 5 ani de la transmiterea notificării către autoritatea de supraveghere sau atunci când aceasta nu este obligatorie, de la data luarea la cunoștință a incidentului.
Informarea persoanelor vizate cu privire la încălcarea securității datelor cu caracter personal
În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorii informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare. Comunicarea va cuprinde cel puțin:
o descriere a caracterului încălcării securității datelor cu caracter personal
numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
descrierea consecințelor probabile ale încălcării securității datelor cu caracter personal;
descrierea măsurilor luate sau propuse spre a fi luate de operatori pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative;
Comunicările către persoanele vizate vor fi efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente, cum ar fi autoritățile de aplicare a legii.
Informarea persoanelor vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:
operatorii au implementat măsuri de protecție tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
operatorii au luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
ar necesita un efort disproporționat, caz în care se va realiza o informare publică sau se va lua o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
Responsabilitatea și păstrarea evidenței
Operatorii păstrează documentele referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse, documentație menită să permită autorității de supraveghere să verifice conformitatea cu prevederile legale.
Revizuire
Operatorii au implementat procese pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Prezenta politica va fi revizuită periodic, ori ce câte ori situația o impune (dar cel puțin o dată pe an), pentru asigurarea continuității și eficacității acesteia. Revizuirea va include evaluarea oportunităților pentru îmbunătățirea procedurilor de prelucrare a datelor cu caracter personal și necesitatea de a adopta noi măsuri tehnice și organizatorice în scopul asigurării protecției datelor cu caracter personal.
| Nume/ Prenume | Funcție | Data | Semnătura | |
| APROBAT | Adina SOARE | Administrator |
| Nume/ Prenume | Funcție | Data | Semnătura | |
| APROBAT | Ștefan SOARE | Administrator |
PAGE 26
Această secțiune se va elimina dacă nu realizați o asemenea prelucrare
Se vor detalia toate scopurile prelucrării de date
Se vor individualiza toate datele colectate
Termenul de 5 ani a fost avut în vedere prin raportare la termenul de prescripție fiscală, care este de 5 ani;
A se revizui furnizorii de servicii ai companiei
Capitolul trebuie adaptat asttfel încât să reflecte măsurile tehnice și organizatorice efectiv implementate de compania dvs.