POLITICA DATELOR CU CARACTER PERSONAL
POLITICA DATELOR CU CARACTER PERSONAL DESTINAT UTILIZĂRII EXCLUSIVE DE CĂTRE ENTITĂȚILE DIN CADRUL DULCE UNICAT SRL
Data implementării: 25.05.2018
CUPRINS
SCOPUL POLITICII DE PROTECȚIA DATELOR.. 3
DOMENIUL DE APLICARE, PERSOANELE VIZATE ȘI MODIFICAREA POLITICII 4
APLICAREA LEGISLAȚIEI NAȚIONALE. 5
PRINCIPIILE DE PRELUCRARE A DATELOR CU CARACTER PERSONAL. 6
4.1. Legalitate, echitate și transparență. 6 1.1. Limitarea scopului 6 1.2. Minimizarea datelor. 6 1.1. Exactitatea si actualitatea datelor. 7 1.2. Limitarea legată de stocare datelor. 7 1.3. Reducerea și economia datelor. 7 1.4. Integritate și confidențialitate. 7
PRELUCRAREA DATELOR CU CARACTER PERSONAL. 8
2.1. Date despre parteneri și clienți 8 2.1.1. Prelucrarea datelor pentru o relație contractuală. 8 2.1.2. Prelucrarea datelor în scopuri publicitare. 8 2.1.3. Consimțământul la prelucrarea datelor. 8 2.1.4. Prelucrarea datelor în conformitate cu legea. 9 2.1.5. Prelucrarea datelor în temeiul unui interes legitim.. 9 2.1.6. Prelucrarea datelor sensibile. 9 2.1.7. Decizii individuale automatizate. 9 2.1.8. Date utilizator și internet 10 2.2. Date despre angajați 10 2.2.1. Prelucrarea datelor pentru o relație contractuală. 10 2.2.2. Consimțământul la prelucrarea datelor. 11 2.2.3. Prelucrarea datelor în conformitate cu legea. 11 2.2.4. Prelucrarea datelor în temeiul unui interes legitim.. 11 2.2.5. Prelucrarea datelor sensibile. 11 2.2.6. Decizii individuale automatizate. 12 2.2.7. Telecomunicații și internet 12
TRANSMITEREA DATELOR CU CARACTER PERSONAL. 13
PRELUCRAREA DATELOR PRIN INTERMEDIUL PERSOANELOR ÎMPUTERNICITE. 14
ASPECTE GENERALE REFERITOARE LA RAPORTUL DULCE UNICAT SRL – PERSOANE VIZATE. 15
5.1. Drepturile individuale ale persoanelor vizate. 15 5.2. Notificarea persoanelor vizate. 15
CONFIDENȚIALITATEA PROCESĂRII 17
SECURITATEA PRELUCRĂRII 18
CONTROLUL PROTECȚIEI DATELOR.. 19
INCIDENTELE DE PROTECȚIE A DATELOR.. 20
RESPONSABILITĂȚI ȘI SANCȚIUNI 21
PRELUCRĂRI NOI DE DATE. 23
RESPONSABILUL CU PROTECȚIA DATELOR PERSONALE. 25
STOCAREA/ARHIVAREA ȘI DISTRUGEREA DATELOR CU CARACTER PERSONAL. 26
DEFINIȚII 27
1. SCOPUL POLITICII DE PROTECȚIA DATELOR
Prezenta politică de protecție a datelor cu caracter personal se aplică tuturor categoriilor de date personale prelucrate de entitățile din cadrul DULCE UNICAT SRL (denumit în continuare „DULCE UNICAT SRL”). Există numeroase motive pentru care datele cu caracter personal sunt colectate și păstrate de DULCE UNICAT SRL (ex. în vederea executării unui contract). Prin această politică DULCE UNICAT SRL își propune ca angajații, viitorii și actualii parteneri de afaceri, viitorii și actualii clienți să aibă certitudinea că prelucrarea datelor lor personale se bazează pe principii acceptate la nivel european în domeniul protecției datelor. La întocmirea acestei politici a fost avut în vedere Regulamentul (UE) 679/2016 al Parlamentului European și al Consiliului, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare „GDPR”). Nerespectarea cerințelor acestei politici atunci când se prelucrează date cu caracter personal conduce la încălcarea dispozițiilor legale. Încălcarea dispozițiilor din prezenta politică poate aduce atingere drepturilor și intereselor persoanelor vizate, având un impact negativ asupra reputației DULCE UNICAT SRL. Politica de protecție a datelor cu caracter personal este responsabilitatea întregului personal DULCE UNICAT SRL și a oricărei persoane care accesează și utilizează informațiile cu caracter personal.
2. DOMENIUL DE APLICARE, PERSOANELE VIZATE ȘI MODIFICAREA POLITICII
Politica de protecție a datelor cu caracter personal se aplică tuturor informațiilor personale prelucrate de către sau în numele DULCE UNICAT SRL. Aceste date cu caracter personal prelucrate de DULCE UNICAT SRL includ, dar nu se limitează la contractori, consultanți, angajați, clienți, potențiali angajați și clienți. Politica se aplică indiferent de locația de unde sunt accesate datele cu caracter personal. Formatele în care se manipulează datele cu caracter personal pot varia de la cele electronice, tipărite la voce. Prezenta politică nu se aplică informațiilor anonime, adică informațiilor care nu sunt legate de o anumită persoană identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Datele personale/datele cu caracter personal reprezintă orice informație referitoare la o persoana fizica identificata sau identificabila, cum ar fi numele, adresa, detaliile băncii, date de localizare, identificatori online etc. Această politică este revizuită ori de câte ori este necesar în vederea transpunerii legislației în domeniu. APLICAREA LEGISLAȚIEI NAȚIONALE Această politică are în vedere transpunerea principiilor GDPR și se completează cu dreptul intern care va putea impune obligații mai exigente în privința prelucrării datelor cu caracter personal, ceea ce impune revizuirea politicii periodic.
3. PRINCIPIILE DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
4.1. Legalitate, echitate și transparență
Conform acestui principiu, persoana vizată trebuie să fi fost informată cu privire la prelucrare, prelucrarea trebuie să fie conform indicațiilor oferite persoanei vizate și să aibă un scop legal. Prelucrarea datelor este considerată legală atunci când se aplică cel puțin una dintre condițiile prevăzute la art. 6 din GDPR. Persoana vizată trebuie informată în mod clar și deschis cum se vor prelucra datele sale. În general, datele cu caracter personal trebuie colectate direct de la persoana în cauză. Ca urmare a prelucrării datelor cu caracter personal, indiferent că datele au fost obținute direct sau nu de la persoana vizată, DULCE UNICAT SRL va furniza acesteia următoarele informații:
identitatea și datele de contact ale societății;
datele de contact ale persoanei responsabile cu protecția datelor;
scopul în care sunt prelucrate datele cu caracter personal;
temeiul juridic al prelucrării;
interesele legitime urmărite de societate sau de un terț atunci când prelucrarea este necesară în scop legitim;
destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
perioada pentru care vor fi stocate datele cu caracter personal (dacă acest lucru este posibil).
1.1. Limitarea scopului
Datele personale pot fi prelucrate numai în scopul definit înainte de colectarea datelor si comunicat persoanei vizate, fără a putea fi folosite ulterior într-un mod incompatibil cu scopul comunicat. Astfel, modificări ulterioare ale scopului sunt posibile doar într-o măsură limitată și necesită o fundamentare solidă.
1.2. Minimizarea datelor
Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul în care sunt prelucrate.
1.1. Exactitatea si actualitatea datelor
Datele personale colectate trebuie să fie exacte, complete și, dacă este necesar, să fie actualizate. DULCE UNICAT SRL va lua măsuri rezonabile pentru a se asigura că datele colectate sunt exacte, iar sursa acestora este cunoscută. În situația în care datele cu caracter personal sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.
1.2. Limitarea legată de stocare datelor
Datele cu caracter personal trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Astfel, datele personale nu trebuie păstrate dacă nu mai sunt necesare scopului pentru care au fost colectate, cu excepția situației în care dreptul Uniunii sau dreptul intern impun stocarea datelor cu caracter personal.
1.3. Reducerea și economia datelor
Înainte de a procesa date personale, trebuie determinat dacă și în ce măsură prelucrarea acestora este necesară pentru atingerea scopului pentru care este efectuată. Acolo unde scopul permite și unde cheltuielile implicate sunt proporționale cu obiectivul, trebuie folosite date anonime. Datele personale nu pot fi colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația în domeniu.
1.4. Integritate și confidențialitate
Datele cu caracter personal sunt considerate informații confidențiale, fiind păstrate în siguranță de către persoanele responsabile cu protecția datelor, care iau măsuri tehnice și organizatorice necesare pentru a preveni accesul neautorizat la date, prelucrarea ilegală, pierderea sau distrugerea/deteriorarea accidentală a datelor.
2. PRELUCRAREA DATELOR CU CARACTER PERSONAL
DULCE UNICAT SRL și orice persoană care acționează în numele DULCE UNICAT SRL, inclusiv afiliați etc., vor prelucra datele persoanelor vizate în baza unor temeiuri juridice.
2.1. Date despre parteneri și clienți
Prelucrarea datelor pentru o relație contractuală
Datele personale ale partenerilor și ale clienților pot fi prelucrate în scopul încheierii, executării sau rezilierii contractelor. Totodată, datele personale pot fi prelucrate și anterior încheierii unui contract pentru transmiterea unei oferte, primirea unei comenzi etc. În situația în care prelucrarea datelor cu caracter personal se face în baza consimțământului, DULCE UNICAT SRL se va asigura că a obținut acordul într-un format clar și explicit care va cuprinde toate drepturile persoanei vizate (acces, rectificare, retragere consimțământ etc.).
Prelucrarea datelor în scopuri publicitare
Atunci când se dorește prelucrarea datelor în scopuri publicitare, persoana vizată va fi informată într-un mod clar cu privire la utilizarea datelor sale în aceste scopuri, cu excepția marketingului direct, când DULCE UNICAT SRL va putea prelucra datele cu caracter personal, în conformitate cu considerentul 47 din GDPR. În situația în care clientul solicită să fie informat cu privire la campaniile publicitare, DULCE UNICAT SRL va lua un consimțământ în acest sens, iar clientul va avea posibilitatea de a alege modalitatea în care i se vor transmite materialele publicitare (ex. e-mail, sms, poștă etc.). În situația în care persoana vizată solicită ca datele sale cu caracter personal să nu mai fie folosite în scopuri publicitare, DULCE UNICAT SRL se va asigura că datele nu vor mai fi prelucrate în acest scop, urmând a fi șterse.
Consimțământul la prelucrarea datelor
Consimțământul trebuie să fie clar, în scris, inclusiv prin mijloace electronice sau printr-o declarație orală (ex. cu ocazia unei conversații telefonice). Astfel, consimțământul trebuie luat pentru o anumită activitate de prelucrare a datelor personale și pentru unul sau mai multe scopuri specifice. În situația luării acordului în format electronic, pre-bifarea unor căsuțe referitoare la consimțământ vor conduce la nevalabilitatea acestuia. DULCE UNICAT SRL se va asigura că poate face dovada că persoana vizata și-a dat consimțământul în scopul prelucrării datelor sale. Persoana vizată are dreptul să-și retragă consimțământul în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării înainte de retragerea acestuia.
Prelucrarea datelor în conformitate cu legea
Prelucrarea datelor cu caracter personal poate avea loc în baza unui temei din dreptul Uniunii/dreptul intern.
Prelucrarea datelor în temeiul unui interes legitim
Datele cu caracter personal pot fi prelucrate în baza unui interes legitim. Cu titlu de exemplu, DULCE UNICAT SRL va putea prelucra date cu caracter personal în scopul prevenirii fraudelor.
Prelucrarea datelor sensibile
Prelucrarea de categorii speciale de date cu caracter personal este interzisă cu excepția situațiilor în care persoana vizata și-a dat consimțământul explicit pentru prelucrarea acestor categorii de date ori prelucrarea este necesară în scopuri de medicină preventivă a muncii.
Decizii individuale automatizate
În principiu, DULCE UNICAT SRL nu recurge la luarea unor decizii bazate exclusiv pe prelucrarea automată a datelor. Totuși, în situația în care decizia a fost luată în mod automat, DULCE UNICAT SRL va implementa măsuri în vederea respectării drepturilor persoanelor vizate (intervenția unei persoane pentru a interpreta decizia, dreptul persoanei vizate de a-și exprima un punct de vedere, dreptul persoanei vizate de a contesta decizia).
Date utilizator și internet
DULCE UNICAT SRL colectează date cu caracter personal și prin intermediul site-urilor deținute, astfel că în cadrul acestora sunt implementate Politici de confidențialitate și Politici de cookie-uri. Politicile anterior menționate vor fi integrate astfel încât să fie ușor de identificat, direct accesibile și disponibile în mod constant pentru persoanele vizate. În vederea obținerii consimțământului pentru utilizarea fișierelor de tip cookies, DULCE UNICAT SRL se va asigura că acordul este dat în mod explicit (nu se vor putea utiliza formule precum „utilizarea în continuare a site-ului se va considera o acceptare a acestei politici” etc.).
2.2. Date despre angajați
Prelucrarea datelor pentru o relație contractuală
În cadrul raporturilor de muncă, prelucrarea datelor cu caracter personal este necesară pentru executarea contractului la care angajatul este parte sau pentru a face demersuri în vederea angajării unei persoane. Prelucrarea datelor cu caracter personal din cadrul CV-urilor potențialilor angajați poate avea loc pe tot parcursul procesului de recrutare, urmând ca la final, datele acestora să fie șterse. Cu toate acestea, datele cu caracter personal pot fi prelucrate și în viitor, în același scop (recrutare) dacă persoanele vizate (candidații) au fost informate despre acest aspect la momentul în care și-au transmis CV-ul către DULCE UNICAT SRL (cu titlu de exemplu, prin transmiterea unui e-mail de către un candidat către DULCE UNICAT SRL, se va transmite înapoi candidatului informații referitoare la prelucrarea datelor sale personale). Dacă DULCE UNICAT SRL intenționează să prelucreze datele cu caracter personal în alte scopuri decât executarea contractului de muncă, va cere consimțământul angajatului în acest sens și îi va aduce la cunoștință toate drepturile pe care le are, inclusiv dreptul de a-și retrage în orice moment consimțământul acordat.
Consimțământul la prelucrarea datelor
Datele cu caracter personal pot fi prelucrate de DULCE UNICAT SRL după obținerea consimțământului. Declarația de consimțământ poate să fie în format tipărit, electronic sau verbal (ex. conversație telefonică). Cu ocazia obținerii consimțământului, DULCE UNICAT SRL se va asigura că acesta a fost dat pentru o activitate de prelucrare a datelor și pentru scopuri specifice. DULCE UNICAT SRL se va asigura că poate face dovada obținerii consimțământului. Angajatul, ca persoană vizată are dreptul să-și retragă consimțământul în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării înainte de retragerea acestuia.
Prelucrarea datelor în conformitate cu legea
Prelucrarea datelor cu caracter personal poate avea loc în conformitate cu considerentul 45 din GDPR, respectiv în situația în care prelucrarea este efectuată în conformitate cu o obligație legală a DULCE UNICAT SRL sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice. În această situație, prelucrarea datelor cu caracter personal se va face în baza unui temei din dreptul Uniunii/dreptul intern.
Prelucrarea datelor în temeiul unui interes legitim
Prelucrarea datelor cu caracter personal poate avea loc în baza unui temei din dreptul Uniunii/dreptul intern. Spre exemplu, DULCE UNICAT SRL poate avea un interes legitim în monitorizarea angajaților, cu condiția ca interesele sale să nu încalce drepturile angajaților. DULCE UNICAT SRL va asigura o transparență deplină cu privire la monitorizarea ce are loc și scopul acesteia, împreună cu garanții adecvate.
Prelucrarea datelor sensibile
Datele sensibile (rasă, etnie, orientare politică, starea de sănătate etc.) pot fi prelucrate în baza consimțământului angajatului sau în situațiile prevăzute de dreptul Uniunii/dreptul intern. Atunci când se prelucrează date sensibile, acestea vor fi stocate separat de alte date personale, iar accesul la ele se va face doar în baza unei autorizații și doar de către persoanele desemnate în acest sens. În situația în care astfel de date sunt păstrate pe suporturi electronice, DULCE UNICAT SRL se va asigura că datele sunt criptate și/sau supuse pseudonimizării.
Decizii individuale automatizate
În cazul în care se vor folosi sisteme automatizate pentru obținerea de evaluări ale angajaților, DULCE UNICAT SRL se va asigura că o persoana interpretează conținutul acestor decizii. De asemenea, DULCE UNICAT SRL va asigura persoanei vizate dreptul de a-și exprima un punct de vedere în legătură cu decizia emisă, aducându-i totodată la cunoștință dreptul de a contesta decizia.
Telecomunicații și internet
Echipamentele telefonice, adresele de e-mail, intranetul și internetul împreună cu aplicațiile interne sunt furnizate de DULCE UNICAT SRL în scopul îndeplinirii sarcinilor de muncă. Utilizarea acestora se va face în conformitate cu politicile interne. DULCE UNICAT SRL se va asigura că infrastructura IT este securizată, blocând accesul la rețea persoanelor neautorizate. În acest context, DULCE UNICAT SRL va putea monitoriza utilizarea echipamentelor IT, telefonice, adreselor de e-mail și folosirea aplicațiilor software pentru o perioadă limitată de timp și numai în scopul înlăturării eventualelor suspiciuni de încălcare a politicilor și procedurilor DULCE UNICAT SRL. În toate situațiile, DULCE UNICAT SRL va respecta dispozițiile legale aplicabile în domeniu.
3. TRANSMITEREA DATELOR CU CARACTER PERSONAL
Datele cu caracter personal pot fi transmise către persoane din afara sau din interiorul DULCE UNICAT SRL numai cu avizul prealabil al Responsabilului cu protecția datelor. Datele astfel transmise pot fi utilizate doar în scopul pentru care persoanele vizate și-au dat consimțământul. Transferul datelor către țări terțe sau organizații internaționale se poate realiza atunci când destinatarul datelor asigură un nivel de protecție adecvat sau atunci când există garanții adecvate, drepturi opozabile și căi de atac eficiente pentru persoanele vizate. Nu intră în această categorie transferul datelor către statele membre. DULCE UNICAT SRL va întocmi o listă cu terții cărora le-a transmis datele.
4. PRELUCRAREA DATELOR PRIN INTERMEDIUL PERSOANELOR ÎMPUTERNICITE
Prelucrarea datelor cu caracter personal poate avea loc și prin intermediul persoanelor împuternicite, atunci când acestea oferă garanții suficiente în vederea respectării acestei politici, a dreptului Uniunii sau a dreptului intern. DULCE UNICAT SRL se va asigura că mai înainte de colectarea și prelucrarea datelor de către un împuternicit în numele său a încheiat cu acesta un contract ce va cuprinde clauze de confidențialitate.
5. ASPECTE GENERALE REFERITOARE LA RAPORTUL DULCE UNICAT SRL – PERSOANE VIZATE
DULCE UNICAT SRL va respecta dreptul de acces al persoanelor vizate și va răspunde solicitărilor/întrebărilor/reclamațiilor acestora. Atunci când persoana viată solicită rectificarea, ștergerea etc. a datelor cu caracter personal, se va informa de îndată directorul general asupra acestui aspect. DULCE UNICAT SRL va răspunde solicitărilor/întrebărilor/reclamațiilor persoanelor vizate în termen de cel mult 30 de zile de la primirea acestora. Atunci când este cazul, se vor evalua și negocia costurile ce ar putea fi suportate de DULCE UNICAT SRL pentru a se conforma instrucțiunilor care necesită utilizarea unor resurse diferite sau în plus față de cele necesare pentru furnizarea serviciilor ce fac obiectul contractelor încheiate între DULCE UNICAT SRL și parteneri, clienți etc.
5.1. Drepturile individuale ale persoanelor vizate
Datele cu caracter personal trebuie procesate în acord cu drepturile individuale ale persoanelor vizate, precum:
dreptul de a solicita accesul la date, rectificarea sau restricționarea prelucrării datelor cu caracter personal;
dreptul la portabilitatea datelor;
dreptul de a fi uitat;
dreptul de a se opune prelucrării datelor;
dreptul de a retrage consimțământul;
dreptul de a se opune luării unei decizii în mod automat;
dreptul de a depune o plângere în fața unei autorități.
În vederea respectării drepturilor persoanelor vizate, DULCE UNICAT SRL pune la dispoziție un formular ce poate fi completat și transmis Responsabilului cu protecția datelor prin e-mail, la contact@torturianiversare.ro , sau prin poștă, la următoarea adresă: str. Basarabia, nr.55 sector 2, Bucuresti
5.2. Notificarea persoanelor vizate
În situația obținerii datelor cu caracter personal de la persona vizată, DULCE UNICAT SRL, în momentul obținerii acestor date, furnizează persoanei vizate următoarele informații:
identitatea şi datele de contact ale societății şi, după caz, ale reprezentantului acesteia;
datele de contact ale responsabilului cu protecția datelor, după caz;
scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
interesele legitime urmărite de societate sau de o parte terță;
destinatarii datelor cu caracter personal;
intenția societății de a transfera datele către o țară terță sau o organizație internațională;
perioada pentru care vor fi stocate datele sau dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
drepturile persoanelor vizate (acces, rectificare, ștergere etc.);
dreptul de a-și retrage consimțământul atunci când prelucrarea se bazează pe acesta;
dacă furnizarea datelor reprezintă o obligație legală sau este necesară în vederea încheierii/executării unui contract și eventualele consecințe ale nerespectării acestei obligații;
existența unui proces decizional automatizat.
6. CONFIDENȚIALITATEA PROCESĂRII
Datele cu caracter personal sunt considerate confidențiale, astfel că orice prelucrare sau utilizare a acestora este supusă autorizării prealabile. Persoanele care prelucrează date cu caracter personal sunt informate despre caracterul confidențial al datelor și au încheiate acorduri scrise de confidențialitate, fiind totodată instruite cu privire la responsabilitățile lor. DULCE UNICAT SRL va depune toate diligențele pentru ca angajații care lucrează cu date personale să aibă acces limitat asupra acestora, pe nivele și în funcție de scopul prelucrării. Angajații nu au voie să dezvăluie datele cu caracter personal unei alte persoane neautorizate, inclusiv din cadrul DULCE UNICAT SRL. Obligația de confidențialitate referitoare la protecția datelor va rămâne în vigoare și după încetarea perioadei contractuale. SECURITATEA PRELUCRĂRII DULCE UNICAT SRL trebuie să implementeze și să mențină măsuri tehnice și organizatorice destinate protejării datelor cu caracter personal, inclusiv protejării confidențialității și integrității datelor clienților. Datele cu caracter personal vor fi stocate în siguranță și vor fi accesibile numai personalului autorizat. Informațiile vor fi stocate atât timp cât sunt necesare sau cerute de dreptul Uniunii/dreptul intern, urmând ca la finalul perioadei a se dispune în mod corespunzător în conformitate cu Reținerea, arhivarea și distrugerea datelor. Persoanele vizate și autoritățile vor fi notificate în conformitate cu GDPR despre eventualele incidente în legătură cu securitatea datelor (ex. distrugere, pierdere, modificare/dezvăluire/acces neautorizat la datele cu caracter personal) fără întârzieri nejustificate.
7. CONTROLUL PROTECȚIEI DATELOR
DULCE UNICAT SRL se obligă să efectueze evaluări/audituri periodice în legătură cu protecția datelor și să identifice cea mai eficientă modalitatea de a-și respecta obligațiile ce decurg din prelucrarea datelor cu caracter personal. La cererea autorităților de supraveghere, DULCE UNICAT SRL va pune la dispoziția acestora rezultatele obținute în urma evaluărilor/auditurilor.
8. INCIDENTELE DE PROTECȚIE A DATELOR
DULCE UNICAT SRL va implementa și deține politici și proceduri de gestionare a incidentelor de securitate, notificând persoanele vizate despre un eventual incident în legătură cu securitatea datelor, fără întârzieri nejustificate. DULCE UNICAT SRL va monitoriza, prin intermediul persoanei responsabile cu protecția datelor, riscurile noi și în curs referitoare la protecția datelor cu caracter personal, actualizând de îndată registrul relevant al riscurilor la nivelul DULCE UNICAT SRL. În cazul în care are loc o încălcare a securității datelor cu caracter personal, DULCE UNICAT SRL va notifica acest lucru și autorității de supraveghere, fără întârzieri nejustificate și dacă este posibil în cel mult 72 de ore de la data la care a luat la cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
9. RESPONSABILITĂȚI ȘI SANCȚIUNI
Este responsabilitatea întregului personal al DULCE UNICAT SRL să notifice imediat Responsabilul cu protecția datelor orice încălcare a prezentei politici. Atunci când Responsabilul cu protecția datelor va considera necesar, va informa autoritatea de supraveghere despre aceste încălcări. Șefii fiecărui departament din cadrul DULCE UNICAT SRL vor fi responsabili pentru prelucrarea datelor din cadrul departamentelor lor și vor monitoriza riscurile noi și în curs referitoare la protecția datelor/vor actualiza registrul relevant al riscurilor la nivelul companiei. În cazul sesizării unui risc, vor raporta acest lucru de îndată directorului general și Responsabilului cu protecția datelor. Șefii fiecărui departament în cadrul căruia se prelucrează date cu caracter personal vor informa Responsabilul cu protecția datelor în timp util cu privire la o fiecare nouă prelucrare a datelor. Directorul general, împreună cu Responsabilul cu protecția datelor se vor îngriji ca periodic să se efectueze un audit intern al DULCE UNICAT SRL prin care să se verifice gestionarea riscurilor privind confidențialitatea și protecția datelor. Directorul general este responsabil pentru asigurarea măsurilor tehnice și organizatorice pentru ca orice prelucrare a datelor să se efectueze în conformitate cu prezenta politică, RGDP, dreptul Uniunii/dreptul intern. Directorul general poate desemna în acest sens alte persoane. Autoritatea de supraveghere competentă trebuie anunțată/consultată ori de câte ori Responsabilul cu protecția datelor are o obligație legală în acest sens. De asemenea, în cazul unui control din partea autorității de supraveghere, Responsabilul cu protecția datelor este anunțat imediat. În relația cu persoanele vizate, Responsabilul cu protecția datelor este cel care se va ocupa direct, având afișate în acest sens datele de contact pe orice acord. Toți angajații DULCE UNICAT SRL care lucrează cu date personale au obligația de a informa imediat Responsabilul cu protecția datelor cu privire la orice încălcare a prezentei politici sau a altor reglementări legale aplicabile în materie despre care au luat cunoștință. Prelucrarea abuzivă a datelor cu caracter personal va conduce la aplicarea de sancțiuni disciplinare, putând fi pedepsită și de legislația penală în domeniu.
10. PRELUCRĂRI NOI DE DATE
În vederea respectării drepturilor și libertăților persoanelor vizate, mai înainte de orice nouă prelucrare a datelor cu caracter personal, personalul DULCE UNICAT SRL va transmite Responsabilului cu protecția datelor următoarele informații:
scopul prelucrării;
temeiul juridic;
categoriile de date;
durata stocării datelor;
modalitatea în care se vor prelucra datele;
transferul datelor;
tehnologiile utilizate.
În acest sens, Responsabilul cu protecția datelor va înscrie prelucrarea datelor într-un registru care va conține și mențiunea dacă este sau nu necesară efectuarea unei evaluări de impact asupra protecției datelor, precum și motivul. Evaluarea asupra impactului protecției datelor cu caracter personal se impune mai ales în cazul:
prelucrării bazate pe utilizarea noilor tehnologii;
unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoanele vizate, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri şi care stă la baza unor decizii care produc efecte juridice privind persoana vizată sau care o afectează în mod similar într-o măsură semnificativă;
prelucrării pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;
unei monitorizări sistematice pe scară largă a unei zone accesibile publicului;
când se identifică orice fel de risc ridicat ce ar avea un impact asupra drepturilor și libertăților persoanelor vizate.
Evaluarea întocmită de Responsabilul cu protecția datelor va conține cel puțin:
o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de DULCE UNICAT SRL;
o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile GDPR, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.
Acolo unde este necesar, Responsabilul cu protecția datelor efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.
11. RESPONSABILUL CU PROTECȚIA DATELOR PERSONALE
Responsabilul cu protecția datelor poate fi un angajat al DULCE UNICAT SRL sau poate fi desemnat în baza unui contract de servicii. DULCE UNICAT SRL va desemna un Responsabil cu protecția datelor în baza calităților profesionale, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor. Datele de contact ale Responsabilului cu protecția datelor vor fi publicate și comunicate autorității de supraveghere. DULCE UNICAT SRL va oferi sprijin Responsabilului cu protecția datelor în îndeplinirea sarcinilor sale, asigurându-i resursele necesare pentru executarea sarcinilor ce-i revin. Responsabilul cu protecția datelor este independent în vederea îndeplinirii sarcinilor sale, fiind răspunzător direct în fața conducerii DULCE UNICAT SRL. Atunci când Responsabilul cu protecția datelor se ocupă și de alte sarcini în cadrul DULCE UNICAT SRL, directorul general se va asigura că acestea nu generează un conflict de interese. Responsabilul cu protecția datelor va avea cel puțin următoarele sarcini:
să instruiască angajații DULCE UNICAT SRL cu conținutul prezentei politici;
informarea societăților din cadrul DULCE UNICAT SRL (director general, persoane care se ocupă cu prelucrarea datelor cu caracter personal) cu privire la obligațiile impuse de RGDP, dreptul Uniunii/dreptul intern;
monitorizarea respectării RGDP și a altor dispoziții legale aplicabile;
efectuarea de audituri interne;
evaluarea impactului asupra protecției datelor;
înregistrarea noilor prelucrări de date;
cooperarea cu autoritatea de supraveghere.
12. STOCAREA/ARHIVAREA ȘI DISTRUGEREA DATELOR CU CARACTER PERSONAL
DULCE UNICAT SRL se va asigura că datele cu caracter personal sunt stocate atât timp cât informațiile sunt necesare scopului prelucrării. Astfel, cu titlu de exemplu, când scopul prelucrării este:
„resurse umane” – datele pot fi prelucrate și stocate pentru perioada derulării raporturilor de muncă;
„publicitate, marketing” – datele pot fi prelucrate și stocate pe perioada derulării campaniilor publicitare.
De la regula stocării pe perioada cât informațiile sunt necesare scopului prelucrării, DULCE UNICAT SRL va avea în vedere și situațiile prevăzute de dreptul Uniunii/dreptul intern care reglementează situații în care datele cu caracter personal se arhivează pentru o perioadă mai lungă de timp. Cu titlu de exemplu, datele cu caracter personal aflate pe unele documente (contabile, financiare etc.) vor fi stocate atât cât prevede legislația în vigoare – a se vedea Politica de stocare a documentelor și înregistrărilor. La finalul perioadei prelucrării datelor cu caracter personal, acestea vor fi șterse în condiții de siguranță, după obținerea unei autorizații în acest sens din partea directorului general. Excepție face situația în care dreptul Uniunii/dreptul intern interzic ștergerea acestor date.
13. DEFINIȚII
GDPR
Regulamentul (UE) nr. 679/2016 al Parlamentului European si al Consiliului privind protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter personal si libera circulație a acestor date.
DATE CU CARACTER PERSONAL
orice informație referitoare la o persoana fizica identificata sau identificabila, cum ar fi numele, adresa, detaliile băncii, date de localizare, identificatori online etc.
DATE SENSIBILE
date despre originea rasială și etnică, despre opiniile politice, religioase sau credințele filosofice, calitatea de membru al unor organizații, date privind cazierul judiciar sau sănătatea și orientarea sexuală a persoanei vizate.
DATE PRIVIND SĂNĂTATEA
date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia.
PRELUCRAREA DATELOR
orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție in orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
RESTRICȚIONAREA PRELUCRĂRII
marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.
SISTEM DE EVIDENȚĂ A DATELOR
orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.
CONSIMȚĂMÂNTUL
orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
PERSOANA VIZATĂ
persoana fizica ale cărei date personale sunt prelucrate.
PERSOANA ÎMPUTERNICITĂ
persoana fizica sau juridica, autoritatea publica, agenția sau alt organism care prelucrează datele cu caracter personal in numele DULCE UNICAT SRL.
PSEUDONIMIZAREA
mascarea datelor prin înlocuirea informațiilor de identificare cu identificatorii artificiali. Deși poate contribui la protejarea confidențialității și securității datelor personale, pseudonimizarea are limitele sale, motiv pentru care GDPR menționează de asemenea criptarea.
CRIPTAREA
ascunderea de informații prin înlocuirea identificatorilor cu altceva. Față de pseudonimizarea, care permite oricărei persoane care are acces la date să vizualizeze o parte din setul de date, criptarea permite numai utilizatorilor aprobați să acceseze întregul set de date
TERȚ
persoana fizica sau juridica, autoritate publica, agenție sau organism altul decât persoana vizata, operatorul, persoana împuternicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate sa prelucreze date cu caracter personal.
STAT MEMBRU
stat membru al Uniunii Europene (Austria, Belgia, Bulgaria, Croația, Cipru, Republica Cehă, Danemarca, Estonia, Finlanda, Franța, Germania, Grecia, Malta, Țările de Jos, Polonia, Portugalia, România, Slovacia, Slovenia, Spania, Suedia și Regatul Unit). În urma prezentării de către Regatul Unit a unei notificări de retragere în temeiul articolului 50 din Tratatul de la Lisabona, Regatul Unit va rămâne un stat membru al UE până la miezul nopții (ora Bruxelles-ului) din 29 martie 2019, cu excepția cazului în care Consiliul European decide în unanimitate prelungirea mandatului de negocieri cu încă doi ani. Regatul Unit va deveni o țară terță de la data retragerii.
ȚĂRILE TERȚE
toate națiunile din afara Uniunii Europene.
ÎNCĂLCAREA SECURITĂȚII DATELOR CU CARACTER PERSONAL
o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
AUTORITATE DE SUPRAVEGHERE
o autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din GDPR.
MĂSURI TEHNICE ȘI ORGANIZATORICE DE SECURITATE
securizarea datelor cu caracter personal într-un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor persoanei vizate și care să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau care să ducă la măsuri care să aibă astfel de efecte.