Utilizăm fișiere tip cookies pentru a vă oferi cea mai bună experiență de utilizare. Prin continuarea navigării sunteți de acord cu politica noastră de cookie-uri. Aflați mai multe detalii aici.

Accept

.

POLITICA PRIVIND PROTECŢIA DATELOR CU CARACTER PERSONAL

Cuprins:

Capitolul 1. Dispoziţii generale

1.1. Scop

1.2. Domeniu de aplicare

1.3. Cadru de reglementare

1.3.1. Baza legală

1.3.2. Reglementări conexe

1.4. Terminologie şi abrevieri

1.4.1. Terminologie

1.4.2. Abrevieri

Capitolul 2. Prelucrarea datelor cu caracter personal

1.5.Principiile prelucrării

1.6.Legalitatea prelucrării

1.7.Drepturile persoanelor vizate

1.8.Retricţionarea prelucrării datelor

1.9.Ştergerea datelor

Capitolul 3. Măsuri tehnice şi organizatorice pentru prelucrarea datelor

1.10.Măsuri tehnice şi organizatorice în cadrul Organizatiei

1.11.Măsuri în cazul prelucrării datelor de către persoane împuternicite de Organizație

1.12.Evidenţa activităţilor de prelucrare la nivelul Organizatiei

1.13.Evaluarea impactului operaţiunilor de prelucrare asupra protecţiei datelor

1.14.Măsuri în cazul încălcării securității datelor cu caracter personal

Capitolul 4.Responsabilităţi în prelucrarea datelor cu caracter personal

Capitolul 5.Control intern

Capitolul 6.Dispoziţii finale


Capitolul 1. Dispoziţii generale

1.1.Scop

Scopul Politicii privind protecţia datelor cu caracter personal, denumită în continuare „Politica”, este acela de a defini principiile şi practicile Organizatiei AUTO XEI EXPRESS, CUI J34/598/2018, RO39993600, (denumită în continuare „Organizația”), referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi libera circulație a acestor date, în baza Regulamentului (UE) 679/2016 privind Protecția Datelor Personale (denumit în continuare “GDPR”), care înlocuiește Directiva 95/46/CE privind protecția datelor.

GDPR a fost conceput pentru a armoniza legislația din cadrul Uniunii Europene (UE) privind protecția datelor cu caracter personal, pentru a conferi și a proteja cetățenilor UE dreptul de confidențialitate a datelor și pentru a reformula modul în care organizațiile abordează protecția datelor cu caracter personal. GDPR a fost adoptat la 27 aprilie 2016 și devine direct aplicabil (fiind un regulament şi nu o directivă) în toate statele membre UE, începând cu 25 mai 2018.

1.2.Domeniu de aplicare

Prezenta politică se aplică la nivelul intregii Organizatii şi vizează protecţia datelor clienţilor şi non-clienţilor persoane fizice care prezintă Organizatiei date cu caracter personal, precum şi protecţia datelor personale ale angajaţilor Organizatiei, care sunt prelucrate în cadrul Organizatiei.

GDPR şi în consecinţă prezenta Politică, nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice (orice entităţi cu personalitate juridică), respectiv date cum ar fi numele și tipul de persoană juridică și datele de contact ale persoanei juridice. Fac insa obiectul prezentei Politici datele persoanelor fizice, acţionari, asociaţi, reprezentanţi, delegaţi etc ai persoanelor juridice, ale căror date personale sunt colectate  pentru buna desfasurare a activitatii Organizatiei cu persoanele juridice respective.

1.3.Cadru de reglementare

1.3.1.Baza legală

1.3.1.1.Legislaţie aplicabilă

- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE)

- Decizia nr. 132/2011 din 20/12/2011 privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală

- Decizia nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii

- Ordinul nr. 52/2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal

- Opinia 4/2007 privind conceptul de date cu caracter personal - Grupul de lucru Art 29

- Opinia 15/2011 referitoare la definitia consimtamantului - Grupul de lucru Art 29

- Opinia 6/2014 privitoare la notiunea de interese legitime ale operatorului de date în baza art. 7 din Directiva 95/46/CE - Grupul de lucru Art 29

- Opinia 5/2012 referitoare la Cloud Computing - Grupul de lucru Art 29

- Opinia 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy.

- Opinia nr. 2/2017 privind prelucrarea datelor cu caracter personal la locul de munca

- Ghidul privind evaluarea de impact (DPIA) - Grupul de lucru Art 29

- Ghidul privind dreptul la portabilitatea datelor - Grupul de lucru Art 29

- Ghidul privind responsabilul pentru protecția datelor (DPO)- Grupul de lucru Art 29

- Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit - Grupul de lucru Art 29

- Ghidul privind notificarea încălcărilor de securitate - Grupul de lucru Art 29

- Ghidul privind deciziile automate individuale și profilare - Grupul de lucru Art 29

- Ghidul privind consimțământul - Grupul de lucru Art 29

- Ghidul privind transparența - Grupul de lucru Art 29

1.3.1.2.Legislatie coroborata

- Codul Civil

- Codul Muncii

- Codul de procedura fiscala

- Legea 365/2002 privind comertul electronic

- Legea nr. 656/2002 pentru prevenirea şi sancţionarea spălării banilor, precum şi pentru instituirea unor măsuri de prevenire şi combatere a finanţării terorismului

- Regulament nr. 9/2008 privind cunoaşterea clientelei în scopul prevenirii spălării banilor şi finanţării terorismului

1.3.2.Reglementări conexe

- Procedura privind protecţia datelor cu caracter personal

- Procedura IT privind protectia datelor

- Regulamentul intern

- Codul de conduită

1.4.Terminologie şi abrevieri

1.4.1.Terminologie

În sensul prezentei Politici, termenii utilizaţi în coţinutul acesteia au următoarele semnificaţii:

1.„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2.„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:

a)colectarea,

b)înregistrarea,

c)organizarea,

d)structurarea,

e)stocarea,

f)adaptarea sau modificarea,

g)extragerea,

h)consultarea,

i)utilizarea,

j)divulgarea prin transmitere,

k)diseminarea sau punerea la dispoziție în orice alt mod,

l)alinierea sau combinarea,

m)restricționarea,

n)ștergerea sau distrugerea.

3.„restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

4.„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;

5.„pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

6.„sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

7.„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

8.„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

9.„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

10.„parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

11.„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

12.„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

13.„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;

14.„date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

15.„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;

16.„sediu principal” înseamnă:

a)în cazul unui operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;

b)în cazul unei persoane împuternicite de operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligații specifice în temeiul prezentului regulament;

17.„reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul prezentului regulament;

18.„întreprindere” înseamnă o persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică;

19.„grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;

20.„reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;

21.„autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;

22.„autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:

a)operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective;

b)persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare;

c)la autoritatea de supraveghere respectivă a fost depusă o plângere;

23.„prelucrare transfrontalieră” înseamnă:

a)fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre;

b)fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre;

24.„obiecție relevantă și motivată” înseamnă o obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii;

25.„serviciile societății informaționale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European și a Consiliului (19);

26.„organizație internațională” înseamnă o organizație și organismele sale subordonate reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord.

1.4.2.Abrevieri

DPO/ OPD-Data Protection Officer/Ofiţer Protecţia Datelor

DPIA/ EIAP-Data protection impact assessment/ Evaluarea impactului asupra protecției datelor

ANSPDCP-Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Comisia-Comisia Europeană

Capitolul 2. Prelucrarea datelor cu caracter personal

1.5.Principiile prelucrării

Datele cu caracter personal sunt:

(a)prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);

(b)colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în conformitate cu prevederile legislative aplicabile, nu este considerată incompatibilă cu scopurile inițiale („limitări legate de scop”);

(c)adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);

(d)exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);

(e)păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în conformitate cu prevederile legislative aplicabile, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezenta Politică în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);

(f)prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

Organizația este responsabilă de respectarea principiilor de mai sus și trebuie să poată demonstra respectarea acestora.

1.6.Legalitatea prelucrării

Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c)prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine Organizatiei;

(d)prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, dacă este cazul;

(e)prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public;

(f)prelucrarea este necesară în scopul intereselor legitime urmărite de Organizație sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil;

În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe îndeplinirea unei obligaţii legale care îi revine Organizatiei, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, Organizația trebuie să ia în considerare cel puţin următoarele aspecte:

(a)orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;

(b)contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și Organizație;

(c)natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni;

(d)posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;

(e)existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.

În cazul în care prelucrarea se bazează pe consimțământ, Organizația trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal şi să ia în considerare şi următoarele aspecte:

i)în cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o maieră care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj simplu și clar;

ii)înainte de acordarea consimțământului, persoana vizată este informată cu privire la faptul că are dreptul să își retragă în orice moment consimțământul, dar că retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

iii)prelucrarea datelor cu caracter personal care nu este necesară pentru executarea unui contract trebuie să se bazeze pe un consimțământ dat în mod liber, fără ca executarea contractului respectiv, inclusiv prestarea unui serviciu, să fie condiționată de acordarea consimțământului.

iv)prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

v)prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, este interzisă în cadrul Organizatiei, iar prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice sau de date privind sănătatea, este permisă numai dacă persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice şi numai cu respectarea prevederilor legislative aplicabile. Fac excepţie situaţiile în care prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii şi/sau de evaluarea capacității de muncă a angajaţilor Organizatiei, dar personalul de resurse umane sau alţi angajaţi ai Organizatiei care au acces la aceste date, au obilgaţia respectării cu stricteţe a confidenţialităţii acestor date.

vi)prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe, se efectuează numai sub controlul unei autorități de stat sau în condiţiile prevăzute de legislaţia aplicabilă.

1.7.Drepturile persoanelor vizate

Persoanele vizate au următoarele drepturi:

a)Dreptul de informare şi de acces – persoana vizată are oricand posibilitatea de a  solicita Organizatiei şi de a obţine o confirmare referitoare la efectuarea sau nu a unor operaţiuni de prelucrare a datelor sale personale, iar în cazul în care sunt efectuate operaţinui de prelucrare, acces la datele respective (inclusiv furnizarea de către operator a unei copii a datelor personale care fac obiectul prelucrării) şi la o serie de informaţii cu privire la:

- identitatea si datele de contact ale operatorului de date şi după caz, ale reprezentantului acestuia;

- scopurile prelucrării datelor cu caracter personal, precum şi temeiul juridic al prelucrării de operator sau de o parte terţă;

- interesul legitim urmarit de operator sau de o parte terţă, prin prelucrarea datelor personale;

- destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

- perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

- existenţa unei obligaţii legale sau contractuale (sau pentru încheierea unui nou contract) privind prelucrarea datelor personale şi eventualele consecinţe ale nerespectării acestei obligaţii;

- existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată;

- dacă este cazul, intenţia operatorului de a transfera date cu caracter personal catre o ţară terţă sau o organizaţie internatională și existența sau absența unei decizii a Comisiei Europene privind caracterul adecvat sau o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție;

- în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora.

b)Dreptul la rectificare, restricţionare şi obiecţii - persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare, precum şi de a obţine rectificarea datelor inexacte ce o privesc, are drepul la restricţionarea prelucrării în cazul în care contestă exactitatea datelor sau legalitatea prelucrării precum şi de a fi informat înainte de ridicarea restricţiei de prelucrare şi are dreptul de a se opune în orice moment prelucrărilor datelor cu caracter personal (care o privesc) care au drept scop marketingul direct, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct.

c)Dreptul la ştergerea datelor (cunoscut şi sub denumirea de “dreptul de a fi uitat”) - persoana vizată are dreptul de a solicita şi obţine stergerea/criptarea datelor cu caracter personal prelucrate de catre Organizație. Acesta se bazează pe principiul de a garanta oricarui individ libertatea de a face ce doreşte cu datele sale personale, inclusiv de a le şterge, dacă nu există un motiv convingator sau special pentru continuarea procesării şi stocării acestora.

d)Dreptul la portabilitatea datelor - permite persoanei vizate sa obţină şi să reutilizeze datele personale în scopuri proprii în cadrul diferilor servicii. Acest drept permite mutarea, copierea sau transferul datelor personale cu uşurinţă de la un mediu IT la altul, într-un mod sigur, acolo unde acest lucru este fezabil din punct de vedere tehnic.

e)Dreptul de retragere a consimţământului în orice moment fără a afecta legalitatea prelucrării efectuate deja, pe baza consimţământului înainte de retragerea acestuia.

f)Dreptul de a depune, în conformitate cu reglementarile legale, o plângere la Autoritatea Naţionala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, iar în cazul în care autoritatea de supraveghere nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă împotriva operatorului.

În înţelegerea şi respectarea acestor drepturi trebuie luate în considerare şi următoarele aspecte:

i)Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat Organizatiei într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea Organizatiei dar şi fără a aduce atingere drepturilor și libertăților altora, în cazul în care:

- prelucrarea se bazează pe consimțământ sau pe un contract;

- prelucrarea este efectuată prin mijloace automate.

ii)În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

iii)În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. În această situaţie, Organizația nu mai prelucrează datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

iv)Cel târziu în momentul primei comunicări cu persoana vizată, va fi adus în mod explicit în atenția persoanei vizate și prezentat în mod clar și separat de orice alte informații, faptul că atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

Persoanele vizate vor fi informate că pentru obţinerea oricăror clarificări sau sprijin privind exercitarea drepturilor lor în relaţia cu Organizația, se pot adresa personalului din unităţile teritoriale, sau Ofiţerului Protecţia Datelor din cadrul Organizatiei, ale cărui date de contact vor fi furnizate prin intermediul documentului Informare privind drepturile în conformitate cu Regulamentul (UE) 679/27.04.2016 privind protecţia datelor personale, care va fi disponibil şi pe website-ul Organizatiei.

Drepturile menţionate mai sus se pot exercita prin adresarea de către persoana vizată a unei cereri scrise, transmisă pe suport hârtie sau în format electronic către una dintre unităţile teritoriale, sau direct către Ofiţerul Protecţia Datelor din cadrul Organizatiei, la care se va răspunde în termen de cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor, Organizația informînd persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

Dacă nu ia măsuri cu privire la cererea persoanei vizate, Organizația informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.

În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Organizația poate să refuze să dea curs cererii, dar având sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea de execitare a drepturilor, Organizația poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

În cazul în care Comisia va adopta acte delegate în vederea determinării informațiilor care urmează să fie prezentate de pictograme și a procedurilor pentru furnizarea de pictograme standardizate, Organizația poate decide ca informațiile care urmează să fie furnizate persoanelor vizate să fie prezentate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil, o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

1.8.Retricţionarea prelucrării datelor

Organizația are obligaţia de a de curs solicitării persoanei vizate de restricționare a prelucrării datelor cucaracter personal, în următoarele situaţii:

a)persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite Organizatiei să verifice exactitatea datelor;

b)prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;

c)Organizația nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;

d)persoana vizată s-a opus prelucrării în conformitate cu drepturile sale, pentru intervalul de timp în care se verifică dacă drepturile legitime ale Organizatiei prevalează asupra celor ale persoanei vizate.

În cazul în care prelucrarea a fost restricționată conform prevederilor de mai sus, datele cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din alte motive prevăzute de legislaţia aplicabilă.

O persoană vizată care a obținut restricționarea prelucrării, trebuie să fie informată de către Organizație înainte de ridicarea restricției de prelucrare.

1.9.Ştergerea datelor

Organizatia are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b)persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;

c)persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării;

d)datele cu caracter personal au fost prelucrate ilegal;

e)datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine Organizatiei.

În cazul în care Organizația a făcut publice datele cu caracter personal și este obligată, în temeiul prevederilor de mai sus, să le șteargă, Organizația, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal în baza unei relaţii cu Organizația, că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

Prevederile privind ştergerea datelor nu se aplică în măsura în care prelucrarea este necesară

pentru respectarea unei obligații legale care prevede prelucrarea, sau în scopuri de arhivare în conformitate cu prevederile legislaţiei aplicabile, sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Organizația va comunica fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate conform prevederilor de mai sus, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Organizația informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

Capitolul 3. Măsuri tehnice şi organizatorice pentru prelucrarea datelor

1.10.Măsuri tehnice şi organizatorice în cadrul Organizatiei

Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, dar şi având în vedere stadiul actual al dezvoltării/ tehnologiei şi costurile implementării, Organizația, atât în momentul stabilirii mijloacelor de prelucrare cât și în cel al prelucrării în sine, a pus în aplicare măsuri tehnice și organizatorice adecvate, care sunt destinate să asigure respectarea în mod eficient a principiilor de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a proteja drepturile persoanelor vizate şi a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prevederile prezentei Politici şi cu îndeplinirea cerinţelor GDPR.

Măsurile tehnice şi organizatorice respective asigura că, în mod implicit:

i)sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării; această obligație, poate fi interpretată în sensul reducerii la minimum a datelor şi se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor;

ii)datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.

Aceste măsuri tehnice și organizatorice luate de către Organizație:

a)pseudonimizarea și criptarea datelor cu caracter personal;

b)capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare;

c)capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

d)un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

1.11.Măsuri în cazul prelucrării datelor de către persoane împuternicite de Organizație

În cazul în care prelucrarea urmează să fie realizată în numele Organizatiei (de exemplu în cazul activităţilor externalizate sau al prelucrării de date de către alţi opertori cu care Organizația are încheiate contracte), se va urmări respectarea următoarelor cerinţe:

i)Organizația va recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanelor vizate.

ii)Persoana împuternicită de Organizație nu trebuie să recruteze o altă persoană împuternicită fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea Organizatiei.

iii)În cazul unei autorizații generale scrise, persoana împuternicită de Organizație informează Organizația cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite, oferind astfel posibilitatea Organizatiei de a formula obiecții față de aceste modificări.

iv)Prelucrarea de către o persoană împuternicită de Organizație este reglementată printr-un contract sau act adiţional la contract, care are caracter obligatoriu pentru persoana împuternicită de Organizație în raport cu Organizația și care stabilește cel puţin următoarele:

- obiectul prelucrării;

- durata prelucrării;

- natura prelucrării;

- scopul prelucrării;

- tipul de date cu caracter personal;

categoriile de persoane vizate;

obligațiile și drepturile părţilor.

v)Respectivul contract sau act juridic prevede în special că persoană împuternicită de Organizație:

a)prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea Organizatiei, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională;

b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;

c)respectă condiţia de a nu recruta o altă persoană împuternicită fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea Organizatiei, iar în cazul în care recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele Organizatiei, respectă obligaţii prevăzute la punctul i) de mai jos;

d)ținând seama de natura prelucrării, oferă asistență Organizatiei prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației Organizatiei de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor acesteia;

e)ajută Organizația să asigure respectarea obligațiilor prevăzute de GDPR, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de Organizație;

f)la alegerea Organizatiei, șterge sau returnează acesteia toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care legislaţia aplicabilă impune stocarea datelor cu caracter personal;

g)pune la dispoziția Organizatiei toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Organizație sau alt auditor mandatat și contribuie la acestea;

h)informează imediat Organizația în cazul în care, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții legale;

i)înștiințează Organizația fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal;

j)în cazul în care persoana împutenicită de Organizație recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele Organizatiei, aceleași obligații privind protecția datelor prevăzute în contractul sau în alt act juridic încheiat între Organizație și persoana împuternicită de Organizație, revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic în condiţiile prevăzute de legislaţia aplicabilă, în special furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele GDPR. În cazul în care ce de-a doua persoană împuternicită nu își respectă obligațiile privind protecția datelor, persoana împuternicită inițială rămâne pe deplin răspunzătoare față de Organizație în ceea ce privește îndeplinirea obligațiilor acestei a doua persoane împuternicite.

Organizația și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea Băcii sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea Bancii, cu excepția cazului în care această obligație îi revine baza dispoziţiilor legale aplicabile.

1.12.Evidenţa activităţilor de prelucrare la nivelul Organizatiei

Organizația trebuie să păstreze o evidență scrisă, în format electronic a activităților de prelucrare desfășurate sub responsabilitatea sa, care va cuprinde următoarele informații:

- numele și datele de contact ale Organizatiei și după caz, ale opertaorilor asociaţi, ale reprezentanţilor Organizatiei si operatorilor asociaţi și ale responsabilului cu protecția datelor din cadrul Organizatiei şi din cadrul operatorilor asociaţi;

- scopurile prelucrării;

- descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și după  caz, documentația care dovedește existența unor garanții adecvate;

- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate;

- în cazul în care Organizația deţine calitatea de operator asociat/ persoană împuternicită de un operator, evidenţa va conţine şi numele și datele de contact ale fiecărui operator în numele căruia acționează Organizația, precum și ale reprezentantului operatorului, iar dacă Organizația împuterniceşte la rândul său un alt operator pentru aceste  activităţi, evidenţa va conţine şi datele acestuia;

Organizația sau persoana împuternicită de acesta, precum și, după caz, reprezentantul Organizatiei sau al persoanei împuternicite de Organizație pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

1.13.Evaluarea impactului operaţiunilor de prelucrare asupra protecţiei datelor

Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Organizația efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (DPIA), care va fi avizată de DPO. Pentru un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare, se poate efectua o evaluare unică.

DPIA va conține cel puțin:

i)o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de Organizație, în calitate de operator;

ii)o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

iii)o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;

iv)măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile GDPR, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

DPIA se impune mai ales în cazul:

a)unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

b)prelucrării pe scară largă a unor categorii speciale de date, conform celor menționate la subcapitolul 2.2., punctul v);

c)unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Identificarea necesităţii DPIA se poate baza şi pe o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor, întocmita de ANSPDCP în conformitate cu prevederile GDPR, în măsura în care o astfel de listă este disponibilă.

Când este necesar, Organizația efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

1.14.Măsuri în cazul încălcării securității datelor cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, Organizația prin DPO notifică acest lucru ANSPDCP, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.

Notificarea va cuprinde cel puţin următoarele:

a)descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

b)comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

c)descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

d)descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată.

Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

Persoanele împuternicite de Organizație înștiințează Organizația fără întârzieri nejustificate după ce iau cunoștință de o încălcare a securității datelor cu caracter personal.

Organizația păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse, pentru a permite ANSPDCP să efectueze verificările corespunzătoare.

În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Organizația informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

În informarea transmisă persoanei vizate se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin următoarele:

a)descrie caracterul încălcării securității datelor cu caracter personal;

b)comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

c)descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

d)descrie măsurile luate sau propuse spre a fi luate de Organizație pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

a)Organizația a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

b)Organizația a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;

c)informarea ar necesita un efort disproporționat; în această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

DPO va aprecia oportunitatea informării persoanelor vizate şi va propune Comitetului de Conducere măsurile adecvate.

De asemenea, Organizația va efectua informarea persoanei/lor vizate la solicitarea ANSPDCP, în cazul în care acesta ia în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat. ANSPDCP poate decide şi dacă oricare dintre condițiile menționate la punctele a) - c) sunt îndeplinite (4) şi în consecinţă, nu este necesară informarea persoani/lor vizate.

Capitolul 4.Responsabilităţi în prelucrarea datelor cu caracter personal

Întregul personal al Organizatiei are responsabilitatea respectării, în activitatea de prelucrare a datelor cu caracter personal, a prevederilor prezentei Politici şi ale celorlalte reglementări interne şi legislative aplicabile, iar personalul implicat în încheierea cu entităţi terţe a unor contracte/ convenţii/ acorduri sau acte juridice de altă natură care pot viza aspecte de protecţia datelor personale, are obligaţia de a urmări încheierea în condiţii corespunzătoare a acestora, precum şi modul de derulare a acestora pe parcursul duratei relaţiei contractuale.

Ca urmare a faptului că activitățile principale ale Organizatiei includ operațiuni de prelucrare care, prin natura, domeniul de aplicare și/ sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate, Organizația va desemna un responsabil cu protecţia datelor (DPO), care va fi implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. Responsabilul cu protecția datelor va fi desemnat din cadrul personalului Organizatiei, pe baza calităților profesionale și în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile stabilite, iar datele de contact ale acestuia vor fi publicate pe pagina de website a Organizatiei şi comunicate ANSPDCP şi celorlalte entităţi terţe interesate, cu toate actualizările ulterioare. DPO poate îndeplini și alte sarcini și atribuții, dar Organizația trebuie să se asigure că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

DPO are obligația de a respecta secretul/ confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu prevederile reglementărilor interne şi legale aplicabile.

Organizația sprijină DPO în îndeplinirea sarcinilor sale, asigurându-i resursele necesare pentru:

i)executarea corespunzătoare a acestor sarcini;

ii)accesarea tuturor datelor cu caracter personal și a operațiunilor de prelucrare;

iii)menținerea cunoștințelor sale de specialitate.

Organizația se asigură că DPO nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale şi că acesta nu este demis sau sancționat pentru îndeplinirea sarcinilor sale, iar DPO răspunde direct în fața Managementulu.

Organizația se asigură că persoanele vizate pot contacta DPO cu privire la toate aspectele legate de prelucrarea datelor lor și în vederea exercitării drepturilor lor în conformitate cu prezenta Politică, precum şi cu prevederile GDPR şi legislaţiei aplicabile.

Principalele responsabilităţi şi atribuţii ale DPO, sunt următoarele:

1.Informarea și consilierea Organizatiei, sau a persoanelor împuternicite de Organizație, cu privire la obligațiile care le revin în temeiul reglementărilor referitoare la protecția datelor;

2.Monitorizeaza continuu intreg procesul de conformare cerinte GDPR la nivelul Organizatiei prin colectarea de informatii in vederea identificarii operatiunilor de prelucrare, analizeaza si verifica conformitatea operatiunilor de prelucrare; informeaza, consiliaza si emite recomandari;

3.Contribuie la elaborarea sau actualizarea politicilor, procedurilor si normelor interne cu privire la GDPR;

4.Identifica si evalueaza riscurile de neconformitate, propune recomandari si monitorizeaza implementarea masurilor de remediere privind activitatea prelucrarii datelor cu caracter personal;

5.Asigura informarea si ofera consiliere tuturor directiilor/departamentelor/serviciilor/unităţilor teritoriale impactate de GDPR;

6.Asigura instruirea / dezvoltarea profesionala a echipei cu responsabilitati in aria de protectie a datelor;

7.Actioneaza ca punct de contact pentru ANSPDCP privind aspectele legate de prelucrarea datelor cu caracter personal, avand atributii inclusiv referitoare la consultarea prealabila cu, ANSPDCP pentru aspecte privind activitățile de prelucrare care ar putea conduce la un risc ridicat pentru persoana vizată şi pentru care nu au fost identificate acţiuni de mitigare adecvate, sau aspecte de altă natură;

8.Ofera asistenta si se pronunta asupra actiunilor necesare atunci cand are loc o incalcare a securitatii datelor sau un alt incident; notifica autoritatea si persoanele vizate, dupa caz;

9.Detine un registru al operatiunilor de prelucrare a datelor cu caracter personal intocmit pe baza informatiilor furnizate de directii/departamente/servicii din cadrul organizatiei;

10.Elaborează şi întreţine un jurnal despre toate încălcările de securitate a datelor care apar, împreună cu efectele și acțiunile de remediere întreprinse;

11.Testează periodic planul de incidente/ încălcare a securităţii datelor, cu suportul Departamentului IT/altor structuri implicate;

12.Asigură consiliere cu privire la identificarea existenţei unor riscuri majore pentru persoanele vizate, în cazul noilor produse, tehnologii, procese sau proiecte şi după caz a realizării unor analize de impact, pe care le avizează înainte de implementarea acestora; monitorizează activitățile de procesare pentru a respecta recomandările stabilite;

13.Supraveghează evaluarea cel puțin anuală în cadrul Organizatiei a riscurilor privind activităţile de prelucrare a datelor cu caracter personal;

14.Monitorizează/urmăreşte implementarea unor procese prin care se asigură respectarea și evaluarea impactului legilor sau reglementărilor noi sau modificate, cel puțin o dată pe an;

15.Urmăreşte ca toate cererile primite de la persoanele vizate, privind exercitarea drepturilor acestora, să primească răspuns în termenele stabilite;

16.Atunci cand este invitat, participa la sedintele organelor de conducere si analizeaza in prealabil documentatia cu impact pe protectia datelor in vedere formularii de opinii;

17.Elaboreaza si transmite situatii si raportari (periodice si ocazionale) vizand activitatea desfasurata.

În îndeplinirea sarcinilor sale, DPO ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

 

Capitolul 5.Control intern

Procesul de control intern asupra activităţii de prelucrare a datelor cu caracter personal va fi asigurat de coordonatorii structurilor organizaţionale din cadrul Organizatiei (direcţii/ departamente/ servicii/ unităţi teritoriale) pentru activităţile de prelucrare derulate în cadrul structurilor respective, va fi supervizat de DPO şi verificat de funcţiile de control de la nivelul Organizatiei şi va consta în principal în analiza şi verificarea:

a)modului de implementare a prevederilor prezentei Politici şi a celorlalte reglementări interne si legislative aplicabile;

b)corectitudinii şi legalităţii tuturor operaţiunilor de prelucrare în sensul respectării reglementărilor menţionate;

c)securităţii, confidenţialitătii şi integritătii datelor şi informaţiilor;

d)evaluării, înregistrării şi conservării datelor şi istoricului operaţiunilor de prelucrare;

e)securităţii şi funcţionării corespunzătoare a sistemului informatic şi de comunicaţii;

f)operaţiunilor de orice natură, în vederea depistării în timp util a acelora care pot genera pierderi, prejudicii şi/sau fraude.

Capitolul 6.Dispoziţii finale

Respectarea prevederilor prezentei Politici este urmărită de Organizație atât în cazul în care asigură prelucrearea datelor în calitate de operator de date cu caracter personal, cât şi în cazul în care acţionează ca operator asociat/ persoană împuternicită în numele unui alt operator de date cu caracter personal.

Prevederile prezentei Politici, precum şi măsurile puse în aplicare de Organizație pentru respectarea acesteia, se revizuiesc și se actualizează ori de câte ori este necesar.

În cazul în care între prevederile prezentei Politici şi dispoziţiile legislative aplicabile există discrepanţe, acestea din urmă prevalează.