Protectia datelor cu caracter personal

  1. CE SUNT DATELE CU CARACTER PERSONAL

GDPR-ul a extins semnificatia datelor cu caracter personal la nivel UE.

Datele cu Caracter Personal reprezinta orice informatii ce au legatura cu o persoana identificata sau identificabila. 

Anumite informatii pot fi Date cu Caracter Personal chiar daca nu este cunoscut numele persoanei, adresa de email, numarul de telefon sau alti identificatori “evidenti”.

Datele cu Caracter Personal sunt Date cu Caracter Personal ce isi au originea, sunt controlate sau prelucrate in UE.

Conform GDPR, Datele cu Caracter Personal pot include identificatori online, cum ar fi cookie-uri sau adrese IP, precum si numere de identificare precum ID-uri atribuite membrilor.

Datele cu Caracter Personal la nivel UE vor include (fara a se limita la) urmatoarele: nume, adresa, cod postal sau zip, data nasterii, nr. si serie CI, CNP, email, nr. telefon, cont bancar, opinii, preferinte, imagine, voce, adresa IP, contul de pe retelele de socializare.

 Definiții:

          „Date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („Persoana vizata”). O persoana fizica identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

„Prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:

  • colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă;
  • înregistrarea – consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori neautomat, care poate fi registru, fişier automat, baza de date sau orice formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele;
  • organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/optimizării activităţilor de prelucrare a acestora;
  • stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă;
  • adaptarea – transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate;
  • modificarea – actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate;
  • extragerea – scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi distinct de prelucrarea iniţială;
  • consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară;
  • utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, împuterniciţilor operatorului ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare;
  • dezvăluirea/divulgarea – a face disponibile date cu caracter personal către terţi prin comunicare, transmitere, diseminare sau punerea la dispoziţie în orice alt mod;
  • alăturarea – adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică;
  • combinarea/alinierea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
  • blocarea – întreruperea prelucrării datelor cu caracter personal;
  • restricţionarea – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
  • ştergerea – eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;
  • transformarea – operaţiunea efectuată asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusiv statistice;
  • distrugerea – aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.

„Creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se afla persoana fizică respectivă sau deplasările acesteia;

„Anonimizare/date anonime” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor masuri tehnice şi organizatorice care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

„Sistem de evidenta a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;

„Operator” înseamnă persoana fizică sau juridică, autoritatea publica, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ.

„Persoana împuternicită de operator/procesator” înseamnă persoana fizică sau juridică, autoritatea publica, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

„Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

„Parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

„Consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

„Încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

„Date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezulta în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;

„Date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

„Date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;

„Reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul UE, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoana împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;

„Autoritate de supraveghere/ANSPDCP” înseamnă Autoritatea Naţională de Supraveghere a Datelor cu Caracter Personal;

          „Codul numeric personal (CNP)” înseamnă un număr semnificativ care individualizează în mod unic o persoana fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către persoanele autorizate;

          „Date cu caracter personal cu funcţie de identificare de aplicabilitate generală (date cu caracter special)” înseamnă numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare sociala sau de sănătate;

          „Utilizator”  înseamnă orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal; are calitatea de utilizator al datelor cu caracter personal, personalul Operatorului – RO DISTRIBUTION  2000 SRL sau al împuternicitului acestuia ale cărei atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal.

          „Responsabilul de protecţia datelor” (ADMINISTRATOR) înseamnă persoana din cadrul RO DISTRIBUTION  2000 SRL cu sarcini/responsabilităţi specifice privind funcţionarea corespunzătoare a sistemului  de protecţie a datelor cu caracter personal, în conformitate cu prevederile GDPR precum şi elaborarea, implementarea şi monitorizarea respectării prevederilor prezentului Regulament. 

   „Date– orice date sau informatii obtinute de RO DISTRIBUTION  2000 SRL pe parcursul desfasurarii acticitatii sale, referitoare la clienti, clientii acestora sau furnizorii acestora, nelimitat numai la acestea ;

Know how– orice informatie cu privire la o experienta industriala, comerciala sau stiintifica ce este necesara pentru fabricarea unui produs sau pentru aplicarea unui proces existent si a carei dezvaluire catre alte persoane nu este permisa fara autorizatia persoanei care a furnizat aceasta informatie; in masura in care provine din experienta, know-how-ul reprezinta ceea ce un producator nu poate sti din simpla examinare a produsului si din simpla cunoastere a progresului tehnicii (art. 7 pct 15, cod fiscal);

Date de tip business contact” – date care includ numele, functia, adresa de business, numarul de telefon de serviciu sau adresa e-mail a unui angajat al unei organizatii, in aceasta calitate. Datele tip “business contact” intra in categoria datelor cu caracter personal, date despre clienti, persoane juridice sau fizice, despre clientii acestora persoane juridice sau fizice, si atat timp contin unul din elementele constitutive ale datelor cu caracter personal este obligatoriu acordul acestora in pentru folosirea in interes comercial.

Date statistice – date care au fost obtinute ca urmare a prelucrarii de catre RO DISTRIBUTION  2000 SRL a datelor, dar care nu pot fi folosite la identificarea unei persoane si sunt folosite exclusiv pentru scopuri statistice si/sau de informare, promovare.

  1. DATELE SENSIBILE

Date sensibile sunt informatii despre originea rasiala sau etnica a individului, credinte politice, religioase sau convingeri similare, apartenenta sau non-apartenenta la un sindicat, starea psihica sau fizica, viata sexuala, infractiuni sau alte proceduri conexe.

Conform GDPR, exista obligatia de a detine acordul explicit de la persoanele vizate la nivel UE de a prelucra Datele sensibile cu Caracter Personal UE. Exista un prag mai inalt decat cerinta generala pentru consimtamant in baza GDPR.

O varianta alternativa de a prelucra Datele cu Caracter Personal la nivel UE fara consimtamant ar putea fi adoptata doar daca oricare din conditiile urmatoare este indeplinita.

Conform GDPR, exista Date Sensibile cu Caracter Personal UE care pot fi prelucrate fara consimtamant in urmatoarele cazuri: 

  1. Sunt necesare pentru indeplinirea obligatiilor conform legislatiei din domeniul muncii, securitatii sociale sau legii privind protectia sociala sau conform contractelor colective;
  1. Sunt necesare in vederea protejarii intereselor vitale ale unei persoane vizate care este incapabila din punct de vedere fizic sau legal de a-si da consimtamantul; 
  1. Sunt prelucrate de un organism non-profit cu scop politic, filozofic, religios sau sindical cu conditia ca prelucrarea sa aiba in vedere doar membrii sau fostii membri (sau cei care au contact in mod regulat cu acestia in scopurile mentionate) si cu conditia sa nu existe nicio divulgare catre un tert, fara consimtamant; 
  1. Reprezinta date facute publice in mod vadit de catre persoana vizata. (Nota: A nu se intelege ca social media sau alte postari online ale persoanelor vizate se califica drept date “facute publice”. Solicitati asistenta de specialitate de la OpCo AL sau EU DPO);
  1. Sunt necesare pentru stabilirea, exercitarea sau apararea pretentiilor legale sau in cazul in care instantele isi exercita capacitatea judiciara;   
  1. Sunt necesare din motive de interes public in baza legislatiei Uniunii sau statelor Membre care este proportionala cu scopul urmarit sau care contine masurile corespunzatoare de pastrare;
  1. Sunt necesare in scopuri de medicina preventiva sau ocupationala, pentru evaluarea capacitatii de munca a angajatului, diagnosticul medical, asigurarea de ingrijire medicala sau sociala, tratamentul sau gestionarea sistemelor de ingrijire sociala sau medicala si a serviciilor in baza legislatiei Uniunii sau Statelor Membre sau a unui profesionist din domeniul sanatatii; sau
  1. Sunt necesare pentru motive de interes public in zona sanatatii publice, precum protectia impotriva unor pericole serioase asupra sanatatii sau pentru asigurarea unor standarde inalte de ingrijire medicala si produse medicale sau aparatura medicala.

La nivelul societatii noastre, procedurile si documentele noastre care implica (sau care pot include) Date Sensibile trebuie sa poata indica existenta urmatoarelor:  

  • Consimtamantul expres de a colecta si prelucra date cu caracter personal ;
  • in orice alte situatii, consimtamantul se obtine sub forma unei declaratii sau intrebari cu optiunile „Da/Nu” sau „De acord” care implica furnizarea unui raspuns si nu de tip „pre-bifat”.

Va trebui sa luam in considerare efectuarea unei evaluari a Impactului Protectiei Datelor cu Caracter Personal atunci cand se colecteaza si se prelucreaza Date Sensibile. (va rugam sa aveti in vedere sectiunea corespunzatoare din acest document).

Societatea noastra va acorda o atentie deosebita manipularii si stocarii Datelor Sensibile. Acestea vor fi tratate la nivel maxim de securitate si va trebui sa ne asiguram ca sunt permanent stocate in siguranta si manipulate in mod corespunzator.

Fisierele care contin date personale vor trebui securizate cu parola inainte de transmitere externa.  

Includerea anumitor date cu caracter personal in continutul email-urilor este inevitabila dar trebuie sa se limiteze la date non-sensibile. Pe cat posibil, aceasta practica trebuie eliminata in vederea respectarii cerintei privind ‘Minimizarea Datelor’ (respectiv includerea datelor in multe email-uri, copii de rezerva).

In general, trebuie intotdeauna sa tratam cu atentie ceea ce inregistram pentru a observa daca apar date cu caracter personal, indiferent de format si scop, de exemplu evaluari ale perfomantelor, reclamatii respondenti, documente recrutare, intrucat acestea pot face parte din cererea de acces. De regula, incercam sa le minimizam, securizam si stergem, in cel mai scurt timp.

Datele cu caracter personal ale angajatilor proprii sunt colectate numai in scopul legal, respectiv reglementarea relatiilor contractuale.

De asemenea, RO DISTRIBUTION  2000 SRL prelucreaza datele cu caracter personal ale clientilor sai – RO DISTRIBUTION  2000 SRL avand calitatea de operator de date cu caracter personal.
          In ceeace priveste datele personale cu caracter sensibil (date medicale, etc) pe care RO DISTRIBUTION  2000 SRL le prelucreaza precizam ca sunt protejate conform legislatiei in vigoare.

  1. PRELUCRARE

Prin prelucrare se intelege orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.

  1. PRELUCRAREA DATELOR MINORILOR

GDPR contine prevederi noi menite sa sporeasca protectia Datelor Personale copiilor.

Copilul sub varsta de 16 ani nu isi poate da singur consimtamantul; in acest caz, consimtamantul este solicitat din partea unei persoane titulare a „raspunderii parintesti” asupra copilului.

Aceasta persoana poate fi un parinte sau tutore si ar trebui sa putem verifica acest consimtamant din partea persoanei sau persoanelor care l-a/l-au acordat.

Orice invocare a intereselor legitime in relatiile cu copii va fi supravegheata in mod special de catre Autoritatile de Protectie a Datelor si, astfel, pentru a ne intemeia pe interese legitime, va fi necesara semnatura din partea Responsabiluluii pentru Protectia Datelor al Societatii.

Trebuie sa luam masuri rezonabile pentru a verifica daca consimtamantul a fost acordat de catre persoana care detine raspunderea parinteasca asupra copilului.

Protectia este importanta in special in cazul in care informatiile personale ale copiilor sunt utilizate in scopuri de marketing si crearea de profiluri online. In cazurile in care nu se poate determina varsta unei persoane, trebuie analizat daca pot fi luate anumite masuri prin care se poate reduce riscul ca date personale ale copiilor sa fie prelucrate in mod inadecvat.

Inainte de a colecta datele despre copii, ar trebui sa luam in calcul daca este necesar sau daca ar fi de preferat sa excludem copiii cu totul.

Anumite exemple de posibile variante care ar putea fi analizate atunci cand este vorba de colectarea datelor personale ale copiilor:

  • Putem aplica confirmarea privind limita de varsta utilizand intrebari de confirmare pe care copiii se presupune ca n-ar fi probabil a le completa fara concursul unui adult?
  • Putem utiliza metode verificabile privind consimtamantul parintilor, ca de ex. (lista neexhaustiva)?:
    • Imprimarea si transmiterea unui formular de consimtamant pentru a fi semnat de catre parinte si returnat prin posta, fax, sau scanat si transferat electronic, denumita metoda „print-and-send”.
    • Confirmarea din partea parintelui printr-un email separat dupa o perioada rezonabila de intarziere.
    • Confirmarea din partea parintelui prezent in scris.
  1. MINIMIZAREA DATELOR

Intodeauna va trebui sa evaluam in mod continuu cum sa limitam cat mai bine Datele Personale pe care le colectam doar la ceea ce este strict necesar si cum sa pastram aceste date pentru o anumita perioada de timp pe baza nivelului de clasificare, importantei pe care o au pentru activitatea comerciala precum si potrivit oricarei alte durate contractuale identificate.

Minimizarea datelor ar trebui luata in considerare la inceputul si pe parcursul tuturor proiectelor, in folosirea sistemelor/dezvoltarea aplicatiilor si in sisteme de stocare fisiere.           Acest principiu trebuie retinut in mod permanent pe durata ciclului de viata a datelor.

Va trebui sa luam in calcul descurajarea clientilor care intentioneaza sa ne transmita Date Personale care nu sunt necesare activitatii pe care le desfasuram.

  1. ANONIMIZAREA SI PSEUDONIMIZAREA

Oricand este posibil, datele ar trebui stocate intr-o stare anonimizata sau agregata intrucat astfel nu mai sunt clasificate ca fiind date cu caracter personal in scopul GDPR-ului.

In cazul in care acest lucru nu este posibil, ar trebui luate masuri separate in ce priveste factorii identificatori, astfel incat persoanele vizate sa nu poata fii usor re-identificate. Acest lucru poarta denumirea de “pseudonimizare” si are o pozitie favorabila in GDPR in ceea ce priveste securitatea, incalcarea securitatii datelor, pierdere si furt.

  1. TEMEIURILE JURIDICE ALE PRELUCRARII DATELOR

Cele mai importante, si care ne intereseaza in mod special sunt: contractul semnat cu persoanele vizate, consimtamantul acestora, interesul nostru legitim, cerintele legale.

Cele mai sensibile sunt: “interesul legitim”si “consimtamantul”

Daca incercam sa ne bazam pe „interes legitim„, trebuie sa pastram o evidenta a evaluarii pe care am facut-o, astfel incat sa putem demonstra ca am luat in considerare in mod corespunzator drepturile si libertatile persoanei vizate.

Exemple de interes legitim:

  • transmiterea de date cu caracter personal intr-un grup de intreprinderi in scopuri administrative interne, inclusiv date privind clientii si angajatii (se vor aplica in continuare cerintele privind transferul international);
  • prelucrarea in scopul asigurarii securitatii retelelor si a informatiilor, inclusiv prevenirea accesului neautorizat la retelele de comunicatii electronice si oprirea deteriorarii sistemelor informatice si de comunicatii electronice; si;

Societatea ar trebui sa ia in considerare si asteptarile persoanelor vizate atunci cand evalueaza daca interesele legitime sunt depasite de interesele persoanelor vizate. Interesele si drepturile fundamentale ale persoanelor vizate „ar putea, in special, sa prevaleze” asupra intereselor Societatii in cazul in care persoanele vizate „nu se asteapta in mod rezonabil la o prelucrare ulterioara”.

Va rugam sa retineti ca autoritatile publice nu vor putea sa se bazeze pe „interes legitim” pentru a conferi legitimitate prelucrarii datelor efectuate in indeplinirea functiilor lor.

Daca vom dori sa ne bazam pe interesul legitim ca motiv justificat pentru prelucrarea datelor, trebuie sa efectuam si sa pastram o evaluare pentru a verifica daca acest motiv este aplicabil.

Urmatoarele intrebari ar trebui adresate atunci cand se examineaza daca interesul legitim reprezinta o optiune care ar putea fi implementata:

a.   Care este scopul prelucrarii datelor personale?

b.   De ce este importanta prelucrarea datelor cu caracter personal? Interesul legitim poate fi cel al Operatorului sau al unei Terte Parti careia ii pot fi dezvaluite Datele cu Caracter Personal. Motivul pentru colectarea si prelucrarea datelor trebuie sa fie o nevoie argumentata in mod clar, iar scopul trebuie sa fie evident si legitim – doar posesia datelor nu poate fi un scop in sine. Un interes legitim poate fi selectiv sau critic la nivel de intreprindere. 

c.   Exista un alt mod de a atinge obiectivul identificat?

d.   Daca exista mai multe modalitati de atingere a obiectivului, atunci ar trebui sa se utilizeze un studiu de impact asupra protecției sau confidențialității datelor, DPIA (Data Protection Impact Assessment) pentru identificarea activitatii de prelucrare cel mai putin intruziva;

e.   Trebuie sa se efectueze un test de echilibrare intre drepturile persoanei vizate si drepturile operatorului de date. Drepturile persoanei vizate nu trebuie sa depaseasca drepturile celui ce prelucreaza datele. In considerarea acestui aspect, vom tine seama de asteptarile rezonabile ale persoanelor in cauza, de impactul pe care aceasta prelucrare il poate avea asupra lor si de garantiile care sunt sau ar putea fi oferite.

In cazul in care prelucrarea nu este necesara in scopuri profesionale, atunci interesele legitime nu pot fi invocate, iar noi trebuie sa solicitam consimtamantul persoanei vizate pentru astfel de activitati de prelucrare.

In cazul in care consimtamantul este modalitatea de colectare si prelucrare a datelor, vom informa subiectul cu privire la intentiile de a utiliza datele personale ale acestuia.

Ori de cate o utilizare preconizata a Datelor Personale nu trece “testul” evaluarii interesului legitim, trebuie sa obtinem consimtamantul pentru o astfel de utilizare.

In scopul GDPR, consimtamantul va insemna consimtamantul acordat prin actiuni afirmative, respectiv nu printr-o casuta de bifare automata sau prin acord tacit.

Consimtamantul va fi:

  1. Inregistrat (ideal ar fi in scris si se poate obtine pe cale electronica);
  2. acordat in mod liber; si
  3. revocat cu usurinta, astfel cum a fost acordat.

Consimtamantul trebuie revizuit si evaluat in mod regulat, in mod ideal la fiecare 12 luni.

Totodata folosim datele cu caracter personal colectate in urmatoarele scopuri:

  1. Pentru a ne asigura ca informatiile furnizate de RO DISTRIBUTION  2000 SRL in prestarea serviciilor sunt relevante nevoilor clientului.
  2. Pentru a livra serviciile/produsele cerute sau achizitionate.
  3. Pentru a ne ajuta sa cream cele mai bune solutii si sa le implementam in scopul oferirii celui mai bun rezultat clientului.
  4. Pentru a asigura accesul clientilor la cele mai bune servicii.

Suplimentar fata de cele de mai sus, colectarea de date cu caracter personal implica:

  1. Facturarea serviciilor/produselor comandate de catre client;
  2. livrarii acestora;
  3. efectuarii platilor online;

Precizam ca datele cu caracter personal vor putea fi dezvaluite fara consimtamantul clientului in caz de litigii si numai cu respectarea dispozitiilor legale in vigoare.

  1. DREPTURILE PERSOANEI VIZATE
  • Dreptul de acces la date: obtinere confirmare ca se prelucreaza date si toate informatiile cu privire la prelucrare;
  • Dreptul la corectarea datelor;
  • Dreptul la stergerea datelor (dreptul “de a fi uitat”)
  • daca datele nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost prelucrate
  • persoana isi retrage consimtamantul si nu exista alt temei juridic pentru prelucrare
  • persoana se opune prelucrarii si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea
  • datele au fost prelucrate ilegal

Daca operatorul de date a facut publice datele cu caracter personal si este obligat sa le stearga, tinand seama de tehnologia disponibila si de costul implementarii, ia masuri rezonabile, inclusiv tehnice, pentru a informa ceilalti operatori despre solicitarea persoanei vizate de stergere a oricaror linkuri catre aceste date sau ale oricaror copii sau reproduceri ale acestor date.

  • Dreptul la portabilitatea datelor: de a primi datele in format structurat, care poate fi citit automat si are dreptul de a transmite aceste date altui operator sau de a cere transmiterea directa de la primul operator la urmatorul daca acest lucru este fezabil dpdv tehnic
  • Dreptul de a se opune marketingului direct si crearii de profiluri legat de marketing direct; acest drept trebuie comunicat persoanei vizate la primul contact cu aceasta si trebuie prezentat clar si separat de alte informatii
  • Dreptul de a nu face obiectul unei unei decizii bazate exclusiv pe prelucrarea automata a datelor care produce efecte juridice fata de aceasta. Persoana vizata are dreptul de a obtine interventia umana, de a-si exprima punctul de vedere si de a contesta decizia.

            Exceptii:

    • cand este necesara pentru incheierea sau executarea unui contract
    • daca are la baza consimtamantul persoanei vizate

Orice informatii cu privire la drepturile de mai sus trebuie furnizate fara intarziere, dar in cel mult 1 luna, gratuit, concis, transparent, inteligibil si usor accesibil, limbaj clar si simplu

RO DISTRIBUTION  2000 SRL poate dezvalui datele cu caracter personal catre terti daca acest lucru este cerut de lege sau in cazurile de buna credinta in care aceste actiuni sunt necesare pentru: (a) conformarea la rigorile legii; (b) protejarea si apararea drepturilor de proprietate ale RO DISTRIBUTION  2000 SRL, sau (c) actionarea in circumstante de urgenta pentru protejarea sigurantei personale a angajatilor, utilizatorilor de produse sau servicii, sau a persoanelor publice.

Atunci cand suntem solicitati sa furnizam date cu caracter personal sau ni se permite acest lucru, vor fi dezvaluite doar acele date necesare indeplinirii obiectului solicitarii.

RO DISTRIBUTION  2000 SRL nu vinde, schimba sau inchiriaza date cu caracter personal catre terti.

  1. EVIDENTA PRELUCRARILOR

Regulamentul General de Protectie a Datelor obliga fiecare organizatie sa tina o evidenta a activitatilor de prelucrare a datelor si sa pastreze aceasta evidenta actualizata.

Prin urmare, Societatea trebuie sa tina o evidenta a informatiilor in legatura cu activitatile sale de prelucrare a datelor (inclusiv departamentele Resurse Umane si Financiar) si sa pastreze aceste informatii actualizate.

Procesul de Inventariere a Datelor personale va face sa se asigure ca orice alta distribuire de date cu caracter personal, de exemplu intre societati, ramane compatibila cu GDPR si sprijina, de asemenea, obligatiile noastre cu privire la drepturile persoanelor, de exemplu cererile de acces ale persoanelor vizate, procedura de stergere a datelor si administrarea cazurilor de incalcare a securitatii datelor.

Pentru realizarea acestei evidente si a inventarului Datelor cu caracter personal, se va utiliza registrul de invantariere aflat in baza de date a Societatii.

  1. EVALUAREA IMPACTULUI PRELUCRARILOR ASUPRA VIETII PRIVATE

GDPR cere ca fiecare organizatie care proceseaza date sa evalueze daca aceasta activitate reprezinta un risc ridicat in ceea ce priveste drepturile unei persoane vizate. Acest lucru se aplica in mod deosebit in cazul utilizarii noilor tehnologii si metodologii cu ajutorul carora se prelucreaza cantitati mari de Date cu Caracter Personal, sau in cazul in care tehnologiile sau procesele sunt actualizate sau modificate.

Evaluarea Impactului asupra Protectiei Datelor (DPIA) reprezinta un proces prin intermediul caruia organizatiile sunt sprijinite sa identifice si sa reduca la minim riscurile, din perspectiva protectiei datelor, aferente proiectelor sau politicilor noi. Este disponibil un model in acets sens la nivelul Societatii.

Prin urmare, atunci cand planificam sa realizam colectarea de Date cu Caracter Personal sau un nou tip de proiect, atunci cand o structura de proiect se modifica sau daca actualizam o tehnologie sau un software, se realizeaza o DPIA in vederea informarii privind abordarea si asigurarea autorizarii necesare in vederea continuarii proiectului. Prelucrarea datelor se va realiza intotdeauna in concordanta cu urmatoarele principii: transparenta, legalitate, minimizare, acuratetea datelor (exactitatea), limitarea stocarii, integritate.

  1. INCIDENTE DE SECURITATE

GDPR solicita operatorilor de date sa notifice incalcarile de securitate a datelor cu caracter personal Autoritatilor responsabile cu Protectia Datelor (DPA) in termen de 72 de ore de la data luarii la cunostinta. In cazuri cu risc ridicat, incidentele de date vor fi notificate si persoanelor afectate. Societatile vor avea de asemenea obligatia de a mentine un registru cu toate incidentele de date, indiferent daca acestea sunt sau nu notificate Autoritatii pentru Protectia Datelor (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) sau persoanelor vizate.

In cazul in care exista certitudinea sau banuiala ca a avut loc un incident de securitate cu date personale, persoana care are aceasta certitudine sau suspiciune are obligatia stricta de a urma Procedura privind notificarea incidentului de Securitate a datelor cu caracter personal.

  1. TRANSFERURI INTERNATIONALE

Transferurile de Date Personale UE catre destinatari din “state terte” (adica state din afara  Spatiului Economic European (SEE) vor fi in continuare reglementate si restrictionate in anumite circumstante. Aceasta reprezinta o cerinta pe termen lung privind protectia datelor cu caracter personal UE, insa GDPR ii acorda o semnificatie deosebita. 

In scop de clarificare, un „transfer” de Date Personale UE nu este necesar sa fie un transfer fizic. Daca Datele Personale UE sunt accesate din afara SEE, acest aspect este clasificat ca fiind transfer international, ceea ce inseamna ca va trebui sa luam in considerare aceste circumstante si sa ne asiguram ca intreprindem toate masurile necesare pentru a le transfera in mod legal.

De asemenea, GDPR permite transferul de Date Personale UE catre jurisdictii din afara SEE in baza unor metode de transfer legitim, care includ utilizarea de contracte cu clauze tip aprobate de UE.

  1. STOCAREA SI STERGEREA

Datele cu character personal trebuie prelucrate doar atata timp cat este necesar atingerii scopului pentru care au fost colectate.

Datele ar trebui sterse in cazul in care nu mai sunt in uz cat mai curand posibil, cu exceptia cazului in care acestea sunt necesare pentru alte motive, care au fost documentate.

Se vor pastra copii de rezerva (backups) atata timp cat este necesar, din ratiuni legale. Pe viitor, copiile de rezerva vor fi concepute in asa fel incat sa fie accesibile si usor de revizuit. Datele Personale vor trebui sterse din copiile de rezerva in masura in care este posibil.

Se vor utiliza metode de stergere definitive, in cazul documentelor electronice, si distrugere prin tocare in cazul documentelor in format print. Distrugerea documentelor originale se va face in prezenta unei comisii/administratorului si se vor incheia procese-verbale in acest sens.

14. IMPUNEREA ACESTEI POLITICI

Pentru orice intrebări legate de prezenta POLITICA DE PROTECTIE A DATELOR CU CARACTER PERSONAL, informatii asupra datelor cu caracter personal prelucrate de catre RO DISTRIBUTION  2000 SRL sau exercitarea oricăror drepturi directe prevăzute de legislaţia specifică, va rugam sa ne contactati; persoanele vizate se pot adresa Administratorului RO DISTRIBUTION  2000 SRL cu o cerere scrisă, datată şi semnată la adresa de e-mail: office@rodistribution.com sau la următoarea adresă de corespondenţă: municipiul Pitesti, str Depozitelor, nr 17, cod postal 110138. RO DISTRIBUTION  2000 SRL poate, dacă este cazul, să solicite persoanei vizate să pună la dispoziţie informaţii suplimentare pentru a stabili identitatea acesteia.

%d blogeri au apreciat: