1. Introducere
CEETRUS se angajează să își desfășoare activitatea în conformitate cu toate legile și reglementările aplicabile în domeniul protecției datelor cu caracter personal și în conformitate cu cele mai înalte standarde de conduită etică.
Această politică stabilește comportamentele preconizate ale angajaților CEETRUS și ale terților în ceea ce privește colectarea, utilizarea, păstrarea, transferul, divulgarea și distrugerea oricăror date cu caracter personal care aparțin unor persoane vizate.
Datele cu caracter personal reprezintă orice informație (inclusiv opiniile și intențiile) care se referă la o persoană fizică identificată sau identificabilă. Datele cu caracter personal fac obiectul unor garanții juridice și a altor reglementări, care impun restricții privind modul în care organizațiile pot prelucra datele cu caracter personal. O organizație care gestionează datele cu caracter personal și ia decizii cu privire la utilizarea acestora prin stabilirea scopului și mijloacelor de prelucrare este cunoscută ca un operator de date. CEETRUS, în calitate de operator de date, este responsabilă pentru asigurarea respectării cerințelor de protecție a datelor cu caracter personal prezentate în prezenta politică. Neconformitatea poate expune CEETRUS la plângeri, acțiuni contencioase sau necontencioase, amenzi și/sau daune materiale și/sau de imagine.
CEETRUS este pe deplin angajată în asigurarea implementării continue și eficace a acestei politici și se așteaptă ca toți angajații CEETRUS să respecte acest angajament. Orice încălcare a acestei politici va fi luată în serios și poate duce la o acțiune disciplinară.
Această politică a fost aprobată de directorul general al CEETRUS.
2. Domeniul de aplicare
Această politică se aplică tuturor angajaților și reprezentanților CEETRUS acolo unde datele personale ale unei persoane vizate sunt prelucrate:
- În contextul activităților de afaceri ale CEETRUS.
- Pentru furnizarea sau ofertarea de bunuri sau servicii persoanelor fizice (inclusiv cele furnizate sau oferite gratuit) de către CEETRUS.
- Pentru a monitoriza în mod activ comportamentul persoanelor fizice inclusiv prin tehnici digitale de procesare a datelor cu caracter personal (cookies, pixels, scripturi).
- Pentru analizarea și previzionarea comportamentelor și atitudinilor utilizatorilor CEETRUS.
Această politică se aplică tuturor prelucrărilor de date cu caracter personal în format electronic și fizic.
3. Definiții
- Angajat: O persoană care lucrează cu normă întreagă sau cu fracțiune de normă pentru CEETRUS în baza unui contract individual de muncă.
- Colaboratori interni: Orice persoană fizică sau juridică cu care CEETRUS se află în relații contractuale de colaborare, altele decât cele reglementate de dispozițiile Codului Muncii, în baza cărora persoanele fizice sau juridice își desfășoară activitatea în locațiile CEETRUS.
- Terț: O organizație externă (asociație, societate cu răspundere limitată sau pe acțiuni sau orice altă societate reglementată prin Lg. 31/1990 sau o lege a unui alt stat decât România) cu care CEETRUS se află în relații contractuale de colaborare și care este de asemenea autorizată, sub autoritatea directă a CEETRUS, să proceseze datele personale ale contactelor CEETRUS.
- GDPR: reprezintă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și de abrogare a Directivei 95/46/CE (MO L 119/1, 4.5.2016)
- Date cu caracter personal: reprezintă orice informații privind o persoană fizică identificată sau identificabilă. O persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
- Contact: Orice client trecut, curent sau potențial al CEETRUS
- Prelucrare: înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
- Restricționarea prelucrării: marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
- Creare de profiluri: orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
- Pseudonimizare: prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
- Sistem de evidență a datelor: orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
- Operator: persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
- Împuternicit: persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
- Destinatar: persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
- Consimțământ: orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
- Încălcarea securității datelor cu caracter personal: o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
- Date genetice: datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
- Date biometrice: date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
- Date privind sănătatea: date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
- Autoritate de supraveghere: o autoritate publică independentă instituită de un stat membru în temeiul articolului 51.
4. Politica
4.1 Guvernare
4.1.1 Responsabilul cu protecția datelor cu caracter personal
Pentru a demonstra angajamentul nostru față de protecția datelor cu caracter personal și pentru a spori eficacitatea eforturilor noastre de conformitate, CEETRUS a stabilit un rol care reglementează atribuțiile responsabilului cu protecția datelor cu caracter personal, care raportează direct către directorul general al CEETRUS. Responsabilitățile sale includ:
- informarea și consilierea operatorului sau a împuternicitului, precum și a angajaților care se ocupă de prelucrarea datelor cu caracter personal cu privire la obligațiile care le revin potrivit dispozițiilor legale ale Uniunii Europene sau dispozițiilor de drept intern referitoare la protecția datelor cu caracter personal;
- monitorizarea respectării GDPR, a altor dispoziții de drept al Uniunii Europene sau dispoziții de drept intern referitoare la protecția datelor cu caracter personal și a politicilor operatorului sau ale împuternicitului în ceea ce privește protecția datelor cu caracter personal, inclusiv dar fără a se limita la alocarea responsabilităților și întreprinderea acțiunilor de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare a datelor cu caracter personal, precum și implicarea în auditurile efectuate cu privire la prelucrarea datelor cu caracter personal;
- furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor cu caracter personal și monitorizarea funcționării acesteia;
- cooperarea cu autoritatea de supraveghere;
- asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrarea datelor cu caracter personal și dacă este cazul, consultarea cu privire la orice altă chestiune.
Furnizarea și menținerea documentației necesare pentru a demonstra conformitatea prelucrării datelor cu caracter personal.
- Definirea politicilor, procedurilor, șabloanelor și formularelor și asigurarea faptului că acestea sunt actualizate atunci când este cazul.
- Oferirea de consultanță și îndrumări de specialitate privind evaluarea impactului asupra protecției datelor (DPIA).
- Asigurarea faptului că formarea și conștientizarea sunt disponibile și livrate tuturor membrilor personalului implicat, angajați sau colaboratori interni, în cadrul prelucrării datelor cu caracter personal.
- Elaborarea procesului și procedurilor de raportare a data breach-urilor și luarea măsurilor necesare pentru a informa părțile interesate relevante.
- Evaluarea prelucrării datelor cu caracter personal ținând seama de natura, domeniul de aplicare și scopul prelucrării, în special atunci când:
- prelucrarea poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice,
- implică utilizarea de decizii automatizate sau profilare.
- Crearea de inventare, deținerea și menținerea registrelor de operațiuni de prelucrare a datelor cu caracter personal pe baza informațiilor furnizate de către departamentele din cadrul companiei care sunt responsabile pentru prelucrarea datelor cu caracter personal.
- Consilierea companiei în ceea ce privește notificările de confidențialitate pentru persoanele vizate la punctul de colectare a datelor lor cu caracter personal.
- Monitorizarea respectării politicii interne de protecție a datelor cu caracter personal ale societății, împreună cu asigurarea respectării oricăror alte documente interne referitoare la protecția datelor cu caracter personal.
4.1.2 Politica de diseminare
Echipa de management a CEETRUS trebuie să se asigure că toți angajații și colaboratorii interni responsabili pentru prelucrarea datelor cu caracter personal respectă conținutul acestei politici.
În plus, CEETRUS se va asigura că toate părțile terțe angajate să proceseze datele cu caracter personal în numele CEETRUSrespectă conținutul acestei politici și că semnează Acordurile pentru Prelucrarea Datelor cu caracter Personal. Asigurarea unei astfel de conformități trebuie obținută de la toate părțile terțe înainte de a le acorda acces la datele cu caracter personal controlate de CEETRUS.
4.1.3 Protecția datelor prin design
Pentru a se asigura că toate cerințele de protecție a datelor cu caracter personal sunt identificate și abordate la proiectarea de noi sisteme sau procese și/sau la revizuirea sau extinderea sistemelor sau proceselor existente, fiecare proces sau sistem trebuie să fie aprobat înainte de a fi implementate.
Fiecare Terț responsabil cu prelucrări de date cu caracter personal trebuie să se asigure că se efectuează o evaluare a impactului asupra protecției datelor (DPIA), în cooperare cu responsabilul cu protecția datelor cu caracter personal al CEETRUS, pentru toate sistemele sau procesele noi și/sau revizuite pentru care are responsabilitate. Concluziile ulterioare ale DPIA vor fi depuse la directorul general pentru revizuire și aprobare. Dacă este cazul, departamentul IT va coopera cu responsabilul cu protecția datelor cu caracter personal al CEETRUS pentru a evalua impactul oricărei noi tehnologii de utilizare cu privire la securitatea datelor cu caracter personal.
4.1.4 Monitorizarea conformității
Pentru a confirma faptul că un nivel adecvat de conformitate este realizat în CEETRUS în legătură cu această politică, responsabilul cu protecția datelor al CEETRUS va efectua un audit anual al conformității privind protecția datelor cu caracter personal. Fiecare audit va avea la bază evaluarea a cel puțin următoarelor aspecte:
- Respectarea politicii în legătură cu protecția datelor cu caracter personal, inclusiv:
- Atribuirea responsabilităților.
- Sensibilizarea.
- Instruirea angajaților.
- Eficacitatea practicilor operaționale legate de protecția datelor cu caracter personal, inclusiv:
- Drepturile persoanelor vizate.
- Transferuri de date cu caracter personal.
- Gestionarea incidentelor privind datele cu caracter personal.
- Gestionarea plângerilor în legătură cu prelucrarea de date cu caracter personal.
- Nivelul de înțelegere a politicilor de protecție a datelor cu caracter personal și a notificărilor privind confidențialitatea.
- Exactitatea datelor cu caracter personal stocate.
- Conformitatea activităților de prelucrare de date cu caracter personal.
- Procedurile de redresare a prelucrării defectuoase a datelor cu caracter personal.
Responsabilul cu protecția datelor cu caracter personal în cooperare cu managementul, angajații și/sau colaboratorii interni implicați ai CEETRUS va elabora un plan cu un program de corectare a oricăror deficiențe identificate într-un interval de timp definit și rezonabil. Orice deficiențe majore identificate vor fi raportate și monitorizate de către management-ul CEETRUS.
4.2 Principii de protecție a datelor
CEETRUS a adoptat următoarele principii pentru a reglementa colectarea, utilizarea, păstrarea, transferul, divulgarea și distrugerea datelor cu caracter personal:
- Principiul 1: legalitatea, corectitudinea și transparența.
Datele cu caracter personal se procesează în mod legal, corect și transparent în relația cu persoana vizată. Acest lucru înseamnă că CEETRUS trebuie să comunice persoanei vizate ce procesări de date cu caracter personal au loc (transparența), prelucrarea trebuie să corespundă descrierii prelucrărilor comunicate persoanei vizate (corectitudine) iar aceste prelucrări trebuie să aibă la bază unul din cadrele legale specificate în GDPR (legalitatea).
- Principiul 2: limitarea scopurilor privind prelucrarea datelor cu caracter personal.
Datele cu caracter personal se colectează în scopuri specifice, explicite și legitime și nu sunt prelucrate într-un mod incompatibil cu aceste scopuri. Acest lucru înseamnă că CEETRUS trebuie să specifice exact ce date cu caracter personal colectate vor fi utilizate și să limiteze prelucrarea datelor cu caracter personal la strictul necesar pentru a îndeplini scopul specificat.
- Principiul 3: minimizarea prelucrării datelor cu caracter personal.
Datele cu caracter personal sunt prelucrate în mod adecvat, relevant și limitat la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Acest lucru înseamnă că CEETRUS nu trebuie să stocheze date cu caracter personal dincolo de ceea ce este strict necesar.
- Principiul 4: acuratețea prelucrării datelor cu caracter personal.
Datele cu caracter personal trebuie să fie exacte și actualizate. Acest lucru înseamnă că în cadrul CEETRUS trebuie să existe procese pentru identificarea și corectarea datelor cu caracter personal neactualizate, incorecte și redundante.
- Principiul 5: limitarea stocării datelor cu caracter personal.
Datele cu caracter personal se păstrează într-o formă care permite stocarea datelor cu caracter personal a persoanelor vizate nu mai mult decât este necesar pentru scopurile pentru care sunt prelucrate. Acest lucru înseamnă că CEETRUS trebuie, oriunde este posibil, să stocheze datele cu caracter personal într-un mod care limitează sau previne identificarea subiectului de date.
- Principiul 6: integritatea și confidențialitatea datelor cu caracter personal.
Datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, precum și împotriva pierderii, distrugerii sau deteriorării accidentale. CEETRUS trebuie să ia măsurile tehnice și organizatorice pentru asigurarea integrității și confidențialității datelor cu caracter personal în orice moment.
- Principiul 7: responsabilitatea privind prelucrarea datelor cu caracter personal.
CEETRUS este responsabil pentru conformitatea prelucrării datelor cu caracter personal și trebuie să demonstreze acest lucru. CEETRUS trebuie să demonstreze că cele șase principii de protecție a datelor cu caracter personal prezentate mai sus sunt respectate în relația cu toate datele cu caracter personal pentru care este responsabil.
4.3 Colectarea datelor
4.3.1 Surse de date
Datele cu caracter personal trebuie colectate numai de la persoana vizată, cu excepția cazului în care se aplică una dintre următoarele situații:
- Natura scopului afacerii necesită colectarea datelor cu caracter personal de la alte persoane sau organisme.
- Colectarea trebuie efectuată în condiții de urgență pentru a proteja interesele vitale ale persoanei vizate sau pentru a preveni vătămarea gravă a altei persoane.
Dacă datele cu caracter personal sunt colectate de la altcineva decât persoana vizată, aceasta trebuie să fie informată de colectare, cu excepția cazului în care se aplică una dintre următoarele:
- Informațiile trebuie să rămână confidențiale din cauza unei obligații de secret profesional.
- O legislație națională prevede în mod expres colectarea, prelucrarea sau transferul datelor cu caracter personal.
În cazul în care s-a stabilit că notificarea unei persoane vizate este necesară, notificarea trebuie să fie efectuată de îndată, dar în nici un caz mai târziu de:
- O lună calendaristică de la prima colectare sau înregistrare a datelor cu caracter personal.
- În momentul primei comunicări, dacă se utilizează comunicarea cu persoana vizată.
- În momentul divulgării, dacă este dezvăluită unui alt destinatar.
4.3.2 Consimțământul persoanei vizate
CEETRUS va obține date cu caracter personal numai prin mijloace legale și echitabile și, după caz, cu informarea și consimțământul prealabil al persoanei în cauză. În cazul în care există o necesitate de a solicita și de a primi consimțământul unei persoane înainte de colectarea, utilizarea sau divulgarea datelor acestora cu caracter personal, CEETRUS se angajează să obțină un astfel de consimțământ.
Responsabilul cu protecția datelor cu caracter personal, în cooperare cu consilierul juridic/avocatul, cu departamentul de IT și cu alți reprezentanți relevanți stabilesc un sistem de obținere și documentare a consimțământului persoanei vizate pentru colectarea, prelucrarea și/sau transferul datelor lor cu caracter personal. Sistemul trebuie să includă dispoziții pentru:
- Determinarea informațiilor necesare pentru a obține consimțământul în mod valabil.
- Asigurarea faptului că cererea de consimțământ este prezentată într-un mod care se distinge în mod clar de orice alte aspecte, se face într-o formă inteligibilă și ușor accesibilă și folosește un limbaj clar și simplu.
- Asigurarea faptului că un consimțământ este acordat în mod liber (adică nu are la bază o condiționare contractuală privind prelucrarea datelor cu caracter personal, condiționare care nu este necesară pentru executarea contractului respectiv).
- Documentarea datei, metodei și conținutului informărilor, precum și valabilitatea, sfera de aplicare și conținutul consimțământului dat.
- Furnizarea unei metode simple pentru ca o persoană vizată să își retragă consimțământul în orice moment.
4.3.3 Notificarea persoanei vizate
CEETRUS furnizează persoanelor vizate informații cu privire la scopul prelucrării datelor acestora cu caracter personal.
Atunci când persoanei vizate i se solicită să își dea consimțământul pentru prelucrarea datelor cu caracter personal și atunci când datele cu caracter personal sunt colectate de la persoana vizată, se vor efectua toate notificările corespunzătoare cu excepția cazului în care se aplică una dintre următoarele situații:
- Persoana vizată deține deja aceste informații.
- O scutire legală se aplică cerințelor de notificare și/sau consimțământ.
Notificarea poate fi efectuată pe verbal, electronic sau în scris. Dacă notificarea este efectuată verbal, persoana care face notificarea trebuie să utilizeze un script sau un formular adecvat aprobat în prealabil de către responsabilul cu protecția datelor din cadrul CEETRUS. Scriptul sau formularul asociat trebuie păstrate, împreună cu o înregistrare a faptelor, datei, conținutului și metodei de notificare.
4.3.4 Notificări de confidențialitate publice
Fiecare site web extern furnizat de CEETRUS va include o “notificare privind confidențialitatea online” și o politică de cookie-uri care îndeplinește cerințele legislației aplicabile. Toate notificările privind confidențialitatea și cookie-urile trebuie aprobate de către responsabilul cu protecția datelor înainte de publicare acestora pe oricare site web al CEETRUS.
4.4 Utilizarea datelor cu caracter personal,
4.4.1 Prelucrarea datelor cu caracter personal.
CEETRUS utilizează datele cu caracter personal ale contactelor sale în următoarele scopuri generale:
- Operațiuni resurse umane: prelucrare date cu caracter personal din CV-uri, intervievarea candidaților, înregistrarea unui, nou salariat în REVISAL, întocmire contracte de muncă, documente pentru dosarul de muncă, medicina muncii, PSI, SSM, plată salarii, eliberare adeverințe.
- Operațiuni financiare: întocmire contracte, AWB-uri.
- Activități de marketing: concursuri în social media, gestionarea relației cu partenerii, fotografii și filme la evenimente.
- Activități de vânzare: contactare clienți, contactare prospecți.
Utilizarea datelor cu caracter personal ale unei persoane vizate trebuie să fie întotdeauna luată în considerare din perspectiva drepturilor și libertăților persoanelor vizate și dacă utilizarea lor va fi în așteptările lor sau dacă acestea sunt susceptibile de a obiecta.
CEETRUS va prelucra datele cu caracter personal în conformitate cu toate legile aplicabile și obligațiile contractuale aplicabile. Mai exact, CEETRUS nu va prelucra datele cu caracter personal decât dacă sunt îndeplinite cel puțin una dintre următoarele cerințe:
- persoana vizată și-a dat consimțământul
- prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte;
- prelucrarea este necesară în vederea îndeplinirii unei obligații legale;
- prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;
- prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public;
- prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
În cazul în care un angajat al CEETRUS nu este convins că există temeiul legal pentru o prelucrare de date cu caracter personal va informa de îndată persoana responsabilă cu prelucrarea datelor cu caracter personal din cadrul CEETRUS.
4.4.2 Categorii speciale de date cu caracter personal.
În general CEETRUS nu va prelucra categorii speciale de date cu caracter personal cum ar fi:
- Rasă
- Origine etnică
- Opinii politice
- Religie
- Credințe filozofice
- Apartenența la sindicate
- Date genetice
- Date biometrice
- Date de sănătate
- Viața intimă a unei persoane
- Orientare sexuală
Dacă totuși CEETRUS va prelucra categorii speciale de date cu caracter personal o va face doar în următoarele cazuri:
- Persoana vizată și-a dat consimțământul explicit (totuși este nevoie de un scop legitim).
- Este necesară îndeplinirea unor obligații ale operatorului.
- Se protejează interesele vitale ale persoanei vizate.
- Procesarea este făcută de către o fundație sau un ONG..
- Datele personale au fost făcute publice de către persoana vizată.
- Utilizarea acestor informații în procese legale.
- Motive de interes public în zona de sănătate.
- Scopuri de arhivare pentru interes public.
În orice situație în care sunt prelucrate categorii speciale de date cu caracter personal, trebuie să se obțină o aprobare prealabilă în scris de la responsabilul cu prelucrarea datelor cu caracter personal din cadrul CEETRUS.
În cazul în care sunt prelucrate categorii speciale de date cu caracter personal, CEETRUS va adopta măsuri suplimentare de protecție.
4.4.3 Prelucrări de date cu caracter personal ale minorilor sub vârsta de consimțământ.
Copiii sunt în imposibilitatea de a fi de acord cu prelucrarea datelor cu caracter personal pentru serviciile CEETRUS. Consimțământul trebuie solicitat de la persoana care deține răspunderea parentală asupra copilului.
În cazul în care se prelucrează date cu caracter personal ale unor minori sub vârsta de consimțământ trebuie obținută în prealabil o aprobare scrisă de la responsabilul cu protecția datelor din cadrul CEETRUS care se va asigura că există acordul explicit al unui părinte sau tutore, acord ce va fi revizuit periodic până la vârsta de 16 ani a minorilor în cauză.
4.4.4 Corectitudinea datelor cu caracter personal
Fiecare angajat al CEETRUS va adopta toate măsurile necesare pentru a se asigura că datele cu caracter personal colectate și procesate sunt complete și exacte din momentul colectării și că ele sunt actualizate pentru a reflecta starea actuală a persoanei vizate.
Măsurile adoptate de CEETRUS pentru a asigura calitatea datelor cu caracter personal includ:
- Corectarea datelor cu caracter personal cunoscute ca fiind incorecte, inexacte, incomplete, ambigue, înșelătoare sau depășite, chiar dacă persoana vizată nu solicită rectificarea.
- Păstrarea datelor cu caracter personal numai pentru perioada necesară prelucrărilor sau a perioadei de retenție legale aplicabile.
- Ștergerea datelor cu caracter personal când acestea nu mai sunt necesare.
- Restricționarea prelucrării în cazul în care:
- persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
- prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării acestora;
- operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță sau în fața oricărei alte autorități publice locale sau centrale;
- persoana vizată s-a opus prelucrării pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
4.4.5 Profilarea și luarea deciziilor automatizate
CEETRUS se va angaja în procese de profilare și de luare a deciziilor automatizate doar în cazul în care este necesar pentru a intra în, sau pentru a executa un contract cu persoana vizată sau în cazul în care CEETRUS este autorizată de lege.
În cazul în care se decide o prelucrare de date cu caracter personal ce conține procese de profilare și de luare a deciziilor automatizate trebuie obținut acordul în scris al responsabilului cu protecția datelor din cadrul CEETRUS. De asemenea persoana vizată are următoarele drepturi:
- Dreptul de a-și exprima punctul de vedere.
- Dreptul de a obține detalii despre deciziile automatizate.
- Dreptul de a cere revizuirea logicii utilizată de sistemul automatizat.
- Dreptul de a oferi sistemului automatizat date suplimentare.
- Dreptul de a cere o intervenție umană pentru revizuirea unei decizii automatizate.
- Dreptul de a contesta decizia automatizată.
- Dreptul de a obiecta la luarea deciziilor automatizate.
Fiecare angajat al CEETRUS trebuie să se asigure, de asemenea, că întreaga procedură de profilare și luare de decizii automatizate referitoare la o persoană vizată se bazează pe date exacte.
4.4.6 Digital Marketing
În general CEETRUS nu va trimite materiale promoționale sau de marketing direct clienților CEETRUS prin canale digitale cum ar fi SMS, e-mail sau mesagerie instant fără a obține mai întâi consimțământul acestora. Dacă CEETRUS dorește să efectueze o campanie de marketing digital fără a obține consimțământul prealabil al persoanei vizate este necesar ca această campanie să fie aprobată în prealabil și înainte de toate de către responsabilul cu protecția datelor din cadrul CEETRUS care va evalua existența altor temeiuri legale de prelucrare a datelor cu caracter personal.
În cazul în care responsabilul cu protecția datelor din cadrul CEETRUS decide în urma unei analize de impact asupra protecției prelucrării datelor cu caracter personal (DPIA) că se poate utiliza temeiul legal al interesului legitim al operatorului se va efectua un test de balans pentru a se vedea dacă interesele și drepturile și libertățile persoanelor vizate nu prevalează în fața interesului legitim al operatorului. Pentru aceasta se va evalua:
- Dacă persoanele vizate se așteaptă să primească detalii prin această metodă;
- Posibilul factor de deranj al mesajelor de marketing nedorite;
- Efectul metodei alese și frecvența comunicației asupra unor indivizi mai vulnerabili.
În cazul în care prelucrarea datelor cu caracter personal este aprobată în scopuri de marketing digital, persoanele vizate trebuie să fie informate încă de la prima comunicare cu privire la faptul că au dreptul de a obiecta, în orice stadiu, la prelucrarea datelor cu caracter personal ale acestora în astfel de scopuri. În cazul în care persoana vizată are o obiecție, procesarea digitală a datelor lor cu caracter personal trebuie să înceteze imediat și detaliile lor ar trebui să fie păstrate pe o listă specială, cu o evidență a deciziei acestora de opt-out.
4.5 Retenția datelor cu caracter personal
Pentru a asigura o prelucrare echitabilă, datele cu caracter personal nu vor fi păstrate de către CEETRUS mai mult decât este necesar în ceea ce privește scopurile pentru care au fost colectate inițial sau pentru care sunt procesate în continuare. Toate datele cu caracter personal ar trebui să fie șterse sau distruse cât mai curând posibil în cazul în care a fost confirmat faptul că nu există un temei legal pentru a fi păstrate.
4.6 Protecția datelor cu caracter personal
CEETRUS va adopta măsuri fizice, tehnice și organizatorice pentru a asigura securitatea datelor cu caracter personal. Acestea includ prevenirea pierderii sau deteriorării, modificării, accesului sau prelucrării neautorizate, precum și a altor riscuri:
- Împiedicarea persoanelor neautorizate să obțină acces la sistemele de procesare a datelor în care sunt prelucrate datele cu caracter personal.
- Împiedicarea persoanele îndreptățite să utilizeze un sistem de procesare a datelor de la accesarea datelor cu caracter personal dincolo de necesitățile și drepturile lor.
- Asigurarea că datele cu caracter personal transmise electronic nu pot fi citite, copiate, modificate sau eliminate fără autorizație.
- Asigurarea integrității și disponibilității jurnalelor de acces pentru a stabili dacă, și de către cine datele cu caracter personal au fost introduse, modificate sau eliminate dintr-un sistem de procesare a datelor.
- Asigurarea că în cazul în care prelucrarea este efectuată de către un împuternicit, datele cu caracter personal sunt prelucrate numai în conformitate cu instrucțiunile operatorului de date.
- Asigurarea că datele cu caracter personal sunt protejate împotriva distrugerii sau pierderii nedorite.
- Asigurarea că datele cu caracter personal colectate în scopuri diferite pot și sunt prelucrate separat.
- Asigurarea că datele cu caracter personal nu sunt păstrate mai mult decât este necesar.
4.7 Solicitări ale persoanelor vizate
Responsabilul cu protecția datelor din cadrul CEETRUS va stabili un sistem care să permită și să faciliteze exercitarea drepturilor persoanelor vizate în legătură cu:
- Accesul la informații.
- Obiecții la prelucrări.
- Obiecții la procesele automatizate de luare a deciziilor și profilare.
- Limitarea prelucrării.
- Portabilitatea datelor.
- Rectificarea datelor.
- Ștergerea datelor.
Dacă o persoană vizată face o cerere cu privire la oricare dintre drepturile enumerate mai sus, CEETRUS va lua în considerare fiecare astfel de cerere, în conformitate cu toate legile aplicabile în domeniul protecției datelor cu caracter personal. Nici o taxă de administrare nu va fi percepută pentru luarea în considerare și/sau respectarea unei astfel de cereri, cu excepția cazului în care cererea este considerată a fi inutilă sau excesivă.
Persoanele vizate au dreptul să obțină, pe baza unei cereri și după verificarea cu succes a identității lor, următoarele informații cu privire la datele lor cu caracter personal:
- O copie a tuturor datelor cu caracter personal prelucrate de CEETRUS într-un format de documente deschis.
- Scopul colectării, prelucrării, utilizării și stocării datelor lor cu caracter personal.
- Sursa (sursele) datelor cu caracter personal, dacă nu au fost obținute de la persoana vizată.
- Categoriile de date cu caracter personal stocate.
- Destinatarii sau categoriile de destinatari cărora le-au fost transmise date cu caracter personal împreună cu locația acestor destinatari.
- Perioada preconizată de retenție a datelor cu caracter personal sau raționamentul pentru determinarea perioadei de retenție.
- Utilizarea oricăror decizii automatizate, inclusiv profilarea.
- Drepturile persoanelor vizate:
- Dreptul de a obiecta la prelucrarea datelor lor cu caracter personal.
- Dreptul de depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
- Dreptul de a solicita rectificarea sau ștergerea datelor lor cu caracter personal.
- Dreptul de a solicita limitarea prelucrării datelor lor cu caracter personal.
Toate solicitările primite pentru accesarea sau rectificarea datelor cu caracter personal trebuie să fie direcționate către responsabilul cu protecția datelor din cadrul CEETRUS care va înregistra fiecare cerere. Un răspuns la fiecare solicitare va fi furnizat în termen de 30 de zile de la primirea cererii scrise din partea persoanei vizate. Verificarea corespunzătoare trebuie să confirme că solicitantul este persoana vizată sau un reprezentant juridic autorizat.
Dacă CEETRUS nu poate răspunde pe deplin cererii în termen de 30 de zile, responsabilul cu protecția datelor din cadrul CEETRUS furnizează, cu toate acestea, următoarele informații persoanelor vizate sau reprezentanților juridici autorizați, în termenul stabilit:
- O confirmare de primire a cererii.
- Orice informație aflată la zi.
- Detalii privind orice informație sau modificări solicitate care nu vor fi furnizate persoanei vizate, motivul (motivele) refuzului și orice proceduri disponibile pentru contestarea deciziei.
- O dată estimată până la care vor fi furnizate răspunsurile rămase.
- O estimare a oricăror costuri care trebuie plătite de către persoana vizată (de exemplu, în cazul în care cererea este excesivă).
- Numele și informațiile de contact ale responsabilului cu protecția datelor din cadrul CEETRUS.
În situația în care furnizarea de informații solicitate de către o persoană vizată ar conduce la divulgarea unor date cu caracter personal despre un alt individ, respectivele informații trebuie șterse pentru a proteja drepturile persoanei respective.
4.8 Solicitări legale și dezvăluiri
În anumite circumstanțe se admite ca datele cu caracter personal să fie partajate fără cunoștința sau consimțământul unei persoane vizate în oricare dintre următoarele scopuri:
- Prevenirea sau detectarea infracțiunilor.
- Arestarea sau urmărirea penală a infractorilor.
- Evaluarea sau perceperea unei taxe.
- Prin decizia unei instanțe.
- Alte prevederi legale.
Dacă CEETRUS prelucrează datele cu caracter personal pentru unul dintre aceste scopuri atunci CEETRUS poate aplica o excepție de la normele de prelucrare prezentate în această politică.
Dacă CEETRUS primește o cerere de la o instanță sau de la orice autoritate de reglementare sau de aplicare a legii pentru informații despre o persoană vizată trebuie să fie notificat imediat responsabilul cu prelucrarea datelor cu caracter personal care va oferi consultanță și suport.
4.9 Transferuri de date cu caracter personal
CEETRUS poate transfera date cu caracter personal către beneficiari din țări terțe aflate în afara Zonei Economice Europene. În cazul în care trebuie efectuate transferuri către țările care nu dispun de un nivel adecvat de protecție juridică acestea trebuie să fie efectuate în conformitate cu un mecanism de transfer aprobat.
CEETRUS poate transfera date cu caracter personal numai dacă se aplică una dintre listele de scenarii de transfer de mai jos:
- Persoana vizată a dat consimțământul pentru transferul propus.
- Transferul este necesar pentru executarea unui contract cu persoana vizată și aceasta a fost informată.
- Transferul este necesar pentru punerea în aplicare a măsurilor precontractuale, măsuri luate ca urmare a solicitării persoanei vizate.
- Transferul este necesar pentru încheierea sau executarea unui contract încheiat cu o terță parte în interesul persoanei vizate.
- Transferul este obligatoriu din punct de vedere juridic pe motive importante de interes public.
- Transferul este necesar pentru stabilirea, exercitarea sau apărarea drepturilor legale.
- Transferul este necesar pentru a protejarea intereselor vitale ale persoanei vizate.
În cazul transferurilor de date cu caracter personal către un beneficiar dintr-o țară terță se vor semna Clauzele Contractuale Standard (Standard Contractual Clauses). În cazul în care transferurile de date cu caracter personal se fac către un beneficiar din Zona Economică Europeană dar beneficiarul va transfera aceste date cu caracter personal în cadrul companiei sale la sedii din afara Zonei Economice Europene, responsabilul cu protecția datelor cu caracter personal va cere consultarea Regulilor Corporatiste Obligatorii (Binding Corporate Rules) ale beneficiarului.
4.9.1 Transferuri către terți
CEETRUS va transfera date cu caracter personal sau va permite accesul terților la aceste date doar atunci când este asigurat că datele vor fi prelucrate în mod legitim și protejate corespunzător de către destinatar. În cazul în care terți sunt implicați în prelucrarea datelor cu caracter personal ce vin din partea CEETRUS se va identifica dacă, în temeiul legislației aplicabile, terțul este considerat un operator de date sau un împuternicit în raport cu datele cu caracter personal transferate.
În cazul în care terțul este considerat operator de date, responsabilul cu protecția datelor din cadrul CEETRUS va intra în cooperare cu responsabilul cu protecția datelor a terțului sau cu o persoană de contact având aceste responsabilități la terț pentru a clarifica responsabilitățile fiecărei părți în ceea ce privește prelucrarea datelor cu caracter personal și pentru semnarea unei anexe privind prelucrarea datelor cu caracter personal.
În cazul în care terțul este considerat împuternicit, responsabilul cu protecția datelor din cadrul CEETRUS va intra în cooperare cu responsabilul cu protecția datelor a terțului sau cu o persoană de contact având aceste responsabilități la terț pentru încheierea unei anexe privind prelucrarea datelor cu caracter personal ce va determina clar responsabilitățile terțului privind prelucrarea datelor cu caracter personal și măsurile de securitate organizaționale și tehnice pe care acesta trebuie să le ia.
Responsabilul cu protecția datelor va efectua audituri periodice de prelucrare a datelor cu caracter personal terților, analizând măsurile tehnice și organizatorice pe care le au implementate. Orice deficiențe majore identificate vor fi raportate și monitorizate de către conducerea CEETRUS.
4.10 Gestionarea plângerilor
Persoanele vizate ce doresc să depună o plângere cu privire la prelucrarea datelor lor cu caracter personal trebuie să o trimită în scris către CEETRUS, în atenția responsabilului cu protecția datelor cu caracter personal din cadrul CEETRUS, sau la o adresă de e-mail pusă la dispoziție de CEETRUS. O investigație a plângerii va fi realizată în măsura în care este adecvată, pe baza cauzei specifice. Responsabilul cu protecția datelor cu caracter personal va informa persoana vizată privind progresul și rezultatul plângerii într-un termen rezonabil.
Dacă situația nu poate fi soluționată pe cale amiabilă cu persoana vizată de către responsabilul cu protecția datelor cu caracter personal atunci persoana vizată poate să solicite despăgubiri prin mediere, arbitraj, litigii precum și poate adresa o plângere Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
4.11 Raportarea încălcărilor de securitate
Orice persoană care suspectează că s-a produs o încălcare a securității prelucrării datelor cu caracter personal trebuie să notifice imediat responsabilul de protecție a datelor cu caracter personal din cadrul CEETRUS furnizând o descriere a ceea ce s-a întâmplat, folosind un formular special pus la dispoziție.
Responsabilul cu protecția datelor va investiga toate incidentele raportate pentru a confirma dacă s-a produs sau nu o încălcare a securității prelucrării datelor cu caracter personal. Dacă se confirmă o încălcare a securității prelucrării datelor cu caracter personal, responsabilul cu protecția datelor cu caracter personal va urma procedura oficială indicată de către Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal pentru informarea autorităților și a persoanelor vizate. De asemenea va coordona implementarea măsurilor de urgență organizaționale și tehnice privind reducerea riscurilor asociate și a efectelor negative asupra drepturilor și libertăților persoanelor vizate.
5 Data efectivă
Această politică este în vigoare începând cu 25 mai 2018.