Politica Generală Privind Protecția Datelor Personale
1. Scopul și domeniul de aplicare
Prin această politică, Asociația pentru Relații Comunitare (ARC) își ia angajamentul pe a respecta confidențialitatea datelor cu caracter personal, respectând Regulamentul General privind Protecția Datelor (UE) 2016/679 ( denumit în continuare GDPR) precum și toate legile și reglementările aplicabile protecției datelor.
2. Definiții și termeni
General Data Protection Regulation (GDPR) = Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Acest regulament se referă în special la prelucrarea datelor cu caracter personal de către operatori.
Termeni principali:
„Date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„Prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurare, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt Organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„Consimţământ al persoanei vizate” înseamnă orice manifestare de voinţă liberă, specifică informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„Încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
3. Datele cu caracter personal prelucrate, scopurile și temeiurile prelucrării
Categoriile de date personale supuse prelucrărilor din cadrul Asociația pentru Relații Comunitare (ARC) sunt următoarele: numele și prenumele; imagini; adresa de domiciliu /
reședință; telefon; adresă e-mail; profesia; codul numeric personal; seria și numărul cărții de identitate, date medicale.
Prelucrările se vor realiza cu respectarea condițiilor prevăzute de Regulamentul (UE) nr. 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE ( Regulamentul general privind protecția datelor).
Datele cu caracter personal sunt prelucrate în mod legal, echitabil şi transparent față de persoana vizată („legalitate, echitate şi transparență”).
Conform acestui principiu toate prelucrările de date cu caracter personal trebuie să fie corecte, adică compania Asociația pentru Relații Comunitare (ARC) nu va efectua prelucrări care nu sunt legitime. De asemenea, compania va da dovadă de transparență în ceea ce privește prelucrarea datelor cu caracter personal și va informa persoana vizată în mod deschis și transparent.
Datele cu caracter personal sunt colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri („limitări legate de scop”).
Prelucrarea datelor cu caracter personal trebuie să se limiteze la scopul legitim pentru care datele respective au fost colectate inițial de la persoana vizată. Este interzisă prelucrarea datelor cu caracter personal în afara scopului legitim pentru care au fost colectate.
Datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”). La colectarea datelor cu caracter personal pot fi solicitate numai datele necesare pentru îndeplinirea scopului pentru care s-a făcut colectarea. Aceasta înseamnă că nu pot fi solicitate sau stocate alte date decât cele necesare.
Datele cu caracter personal sunt exacte și, în cazul în care este necesar, trebuie să fie actualizate. Trebuie luate toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”).
Datele cu caracter personal sunt păstrate într-o forma care permite identificarea persoanelor vizate pe o perioada care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”). Compania va stabili perioada de păstrare pentru fiecare set de date cu caracter personal. După expirarea termenului de stocare datele vor fi șterse.
Datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidențialitate”).
Părțile semnatare vor prelucra datele cu caracter personal ale persoanelor de contact și ale altor persoane implicate în executarea contractului din partea părții co-contractante, în scopul executării respectivei relații contractuale, precum și în interes legitim, scopuri legate conform obligațiilor agenților economici, cum ar fi cele referitoare la justificări fiscale, contabile, antifraudă sau/și arhivare, precum și la realizarea raportărilor interne sau auditurilor companiei.
Prelucrarea imaginilor prin intermediul camerelor de supraveghere se face în interesul legitim al Asociația pentru Relații Comunitare (ARC), pentru protecția bunurilor și persoanelor.
Datele cu caracter personal sunt prelucrate în baza următoarelor temeiuri:
Pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.
În vederea îndeplinirii unei obligații legale care îi revine operatorului.
Dacă nu se aplică niciunul dintre temeiurile juridice de mai sus, prelucrarea este ilegală, nu va efectua sub niciun motiv prelucrări ilegale. Alegerea temeiului sub care se face prelucrarea trebuie să fie corect înainte de a începe colectarea datelor. Persoanele vizate trebuie să fie informate cu privire la temeiul prelucrării înainte de începerea prelucrării.
4. Cui îi sunt transferate datele cu caracter personal
Asociația pentru Relații Comunitare (ARC) poate furniza datele cu caracter personal la care are acces în temeiul executării contractului către parteneri contractuali ai societății care își desfășoară activitatea în Uniunea Europeană. Partenerii contractuali ai societății vor folosi aceste date cu caracter personal în limita obligațiilor pe care le-au asumat către compania noastră de a menține scopul inițial al prelucrării și a nu folosi datele în alte scopuri.
Datele cu caracter personal nu se transferă către alte persoane sau companii decât dacă există un consimțământ al persoanei vizate, este necesar acest lucru în desfășurarea unui contract în vigoare la care persoana vizată este parte, este necesar pentru alte cerințe legale, este necesar pentru desfășurarea unui proces sau a unei investigații legale. În cazurile enumerate mai sus persoana vizată trebuie sa fie informată de aceste transferuri.
În cazul în care transferul este legal trebuie să ne asiguram ca datele sunt criptate. Este absolut interzisă trimiterea de informații cu caracter personal pe canale necriptate.
5. Perioada de stocare a datelor cu caracter personal
Asociația pentru Relații Comunitare (ARC) stochează datele cu caracter personal conform legislației în vigoare pe perioada necesară îndeplinirii scopurilor, urmând ca după această perioadă să fie șterse sau distruse.
Datele cu caracter personal sunt păstrate într-o forma care permite identificarea persoanelor vizate pe o perioada care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”). Compania va stabili perioada de păstrare pentru fiecare set de date cu caracter personal. După expirarea termenului de stocare datele vor fi șterse.
6. Măsuri de securitate
Orice încălcare a securității datelor cu caracter personal va fi documentată. O înregistrare de incident va fi deschisă și va fi soluționat cu maximă prioritate. Această înregistrare va fi făcută de către departamentul Secretariat. Se va avea în vedere găsirea tuturor posibilităților de a micșora sau anula impactul generat de acest incident.
Incidentele vor fi tratate conform procedurii de management al incidentelor. Orice incident legat de datele cu caracter personal este catalogat ca fiind critic și va fi escaladat către managementul companiei.
Managementul companiei va hotărî dacă acest incident trebuie raportat către autoritatea națională de supraveghere.
În cazul necesității acestei raportări trebuie avut în vedere ca există un termen maxim de 72 de ore pentru a face acesta raportare. În cazul în care raportarea nu se face în 72 de ore se produce o încălcare a regulamentului.
7. Drepturile persoanelor vizate
Pentru a răspunde cererilor sau plângerilor persoanelor vizate toți angajații Asociația pentru Relații Comunitare (ARC) trebuie să-și cunoască drepturile astfel cum acestea sunt prevăzute de GDPR.
Drepturile persoanelor vizate sunt :
a.) Dreptul la informare
Acest drept oferă persoanei vizate posibilitatea de a solicita unei societăți informații privind datele cu caracter personal prelucrate pe care aceasta le deține și le prelucrează în legătură cu ea / el, precum și scopul acelei prelucrări. De exemplu, un client poate solicita lista împuterniciților către care sunt transferate aceste date cu caracter personal.
b.) Dreptul de acces
Acest drept oferă persoanei vizate posibilitatea de a avea acces la datele sale personale care sunt procesate de către operator. Această solicitare oferă persoanelor vizate dreptul de a vedea sau vizualiza propriile date cu caracter personal, precum și de a solicita copii ale datelor cu caracter personal.
c.) Dreptul la rectificare
Acest drept oferă persoanei vizate posibilitatea de a solicita modificări ale datelor sale personale în cazul în care persoana vizată consideră că aceste date cu caracter personal nu sunt actualizate sau exacte.
d.) Dreptul de a retrage consimțământul
Acest drept oferă persoanei vizate posibilitatea de a retrage un acord acordat anterior pentru prelucrarea datelor sale cu caracter personal într-un anumit scop. Pe baza unei cereri persoana vizată va solicita operatorului să oprească prelucrarea respectivă a datelor cu caracter personal pe baza consimțământului acordat anterior. Operatorul are obligația să înceteze prelucrarea respectivă. Prelucrările anterioare retragerii consimțământului rămân legale.
e.) Dreptul la opoziție
Acest drept oferă persoanei vizate posibilitatea de a se opune unei prelucrări inclusiv prelucrării automatizate și a profilării.
f.) Dreptul la ștergerea datelor ( „dreptul de a fi uitat ”)
Acest drept oferă persoanei vizate posibilitatea de a cere ștergerea datelor sale cu caracter personal. Operatorul este obligat să dea curs cererii fără întârzieri nejustificate în maxim 30 zile de la data cererii. Dacă există un temei legal dat de legislația locală sau a uniunii,
persoana vizată va fi informată de acest lucru și se vor păstra doar acele date care sunt sub incidența acestor legi.
g.) Dreptul la portabilitatea datelor
Acest drept oferă persoanei vizate posibilitatea de a cere transferul datelor sale cu caracter personal către un alt operator.
h.) Dreptul de a nu fi supus unei decizii automate
Acest drept oferă persoanei vizate posibilitatea să se opună unei prelucrări care poate duce la luarea de decizii automate.
i) Dreptul de a depune o plângere la Autoritatea de Protecție a datelor ( ANSPDCP)
Orice plângere a persoanelor vizate privind încălcarea GDPR va fi documentată, înregistrată de către departamentul Secretariat în fisierul de evidență a cererilor / plângerilor GDPR și va fi informat managementul companiei. Comunicarea soluționării cererii / plângerii persoanei vizate se va face prin utilizarea adresei de e-mail al companiei, în cazul în care persoana vizata solicită alta cale de comunicare (nu prin email) atunci se va agrea cu aceasta o forma de răspuns.
Controlul plângerilor și a cererilor persoanelor vizate va fi efectuat lunar de către responsabilul cu controlul intern al companiei. Verificarea va consta în analizarea cererilor / plângerilor și verificarea soluționării lor împreună cu persoanele implicate în acest proces. Timpul maxim de rezolvare este de 20 zile de la data înregistrării cererii.