Politica generală privind protecția datelor cu caracter personal

Introducere

Montrepcom S.R.L. cu sediul în Târgu Mureș, str. Mureșului, nr. 8, județ Mureș a înțeles amploarea și consecințele stabilite de Regulamentul UE 2016/679 și se angajează să protejeze drepturile și libertățile persoanelor vizate și să le prelucreze în condiții de siguranță și în conformitate cu toate obligațiile legale.

Procesăm date personale despre angajații noștri, clienții, furnizorii și alte persoane pentru diferite scopuri în buna desfășurare a afacerii noastre.

Această politică stabilește modul în care încercăm să protejăm datele cu caracter personal și să ne asigurăm că angajații noștri înțeleg regulile care reglementează utilizarea acestora și vor acționa cu prudență în vederea îndeplinirii atribuțiilor de serviciu. În special, această politică impune angajaților societății să se asigure că se vor consulta cu directorul societății sau cu o persoană desemnată de acesta înainte de inițierea oricăror activități semnificative de prelucrare a datelor cu caracter personal, pentru a nu ieși din sfera de conformitate.

 

Definiții

Scopuri

Scopurile pentru care datele personale pot fi utilizate de către Montrepcom S.R.L:

Gestionarea relațiilor cu angajații, administrativ, financiar, de reglementare, de salarizare și de dezvoltare a afacerilor.

Obiectivele de afaceri includ următoarele:

- Respectarea obligațiilor noastre legale prin a fi la curent cu cele mai noi reglementări naționale și europene și cu bunele practici în domeniu;

- Cooperarea cu ANSPDCP;

- Asigurarea respectării politicilor și procedurilor întocmite în cadrul societății;

- Activități operaționale cum ar fi înregistrarea tranzacțiilor, instruirea și controlul calității, asigurarea confidențialității informațiilor sensibile din punct de vedere comercial, verificarea securității, evaluarea și verificarea modalității de îndeplinire a atribuțiilor de serviciu;

- Investigarea cererilor și plângerilor

- asigurarea practicilor sigure de lucru, monitorizarea și gestionarea accesului personalului la sistemele și facilitățile puse la dispoziție de către societate, gestionarea absențelor personalului

- Monitorizarea comportamentului personalului, probleme disciplinare

- Marketingul afacerii noastre

- Îmbunătățirea serviciilor

 

Date cu caracter personal

"Date cu caracter personal" înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice. Datele personale pe care le colectăm pot include: nume, prenume, numărul de telefon al persoanei, date de contact, studii, detalii financiare și de plată, detalii privind certificatele și diplomele, educația și aptitudinile, starea civilă, cetățenia, denumirea postului și CV-ul.

Date cu caracter sensibil

Categoriile de date cu caracter sensibil includ informații despre originea rasială sau etnică a unui individ, despre opiniile politice, credințele religioase sau similare, sănătatea fizică sau psihică, infracțiunile sau procedurile conexe, informații - orice utilizare a unor categorii speciale de date cu caracter personal ar trebui să fie strict controlată în conformitate cu această politică.

Operator de date

"Operator de date" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singură sau în comun cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;

Persoană împuternicită

"Persoană împuternicită" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.

Prelucrarea datelor cu caracter personal

"Prelucrare" înseamnă orice operațiune sau set de operațiuni care privesc date cu caracter personal sau seturi de date cu caracter personal, prin mijloace automatizate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Autoritatea de Supraveghere

Acesta este organismul național responsabil cu protecția datelor. Autoritatea de supraveghere a organizației noastre este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

„destinatar”

înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

„consimțământ”

înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

„încălcarea securității datelor cu caracter personal”

înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

 

 

II. Scop

Această politică se aplică întregului personal angajat al societății Montrepcom S.R.L, care trebuie să fie familiarizat cu această politică și să respecte termenii săi.

Această politică completează celelalte politici și proceduri adoptate de către Montrepcom S.R.L. Toate măsurile tehnice și organizatorice întreprinse de societate pentru a intra în conformitate cu Regulamentul UE 2016/679 vor fi revizuite și actualizate recurent, cel puțin o dată pe an. Orice politică nouă sau modificată va fi distribuită angajaților societății după ce a fost adoptată.

 

III. Principii

Montrepcom S.R.L respectă principiile de protecție a datelor cu caracter personal enumerate în Regulamentul UE 2016/679 privind protecția datelor. Vom face tot posibilul în tot ceea ce facem pentru a respecta aceste principii. Principiile sunt:

1. Prelucrarea datelor să fie legală, corectă și transparentă;

Prelucrarea datelor cu caracter personal trebuie să fie corectă, având un temei legal în baza căreia este prelucrată, iar modalitatea de prelucrarea trebuie să fie transparentă cu privire la modul în care vor fi utilizate datele.

2. Datele pot fi colectate numai pentru un anumit scop;

Procesarea datelor cu caracter personal trebuie să fie limitată doar pentru atingerea unor scopuri stabilite anterior procesării;

3. Prelucrarea datelor să fie minimizată;

În vederea îndeplinirii proceselor desfășurate în cadrul societății Montrepcom S.R.L., se vor folosi doar datele necesare îndeplinirii scopurilor stabilite. Nu se vor colecta date cu caracter personal care sunt considerate excesive în îndeplinirea scopurilor.

4. Prelucrarea datelor să fie corectă;

Societatea Montrepcom S.R.L își asumă să actualizeze constant datele cu caracter personal cu care operează și să verifice veridicitatea datelor obținute;

5. Retenția datelor cu caracter personal să fie determinată;

Datele cu caracter personal procesate în cadrul societății Montrepcom S.R.L se vor păstra doar pentru o perioadă limitată de timp, atâta timp cât este prevăzut în Legea Arhivelor. În cazul datelor pentru care nu este prevăzută obligativitatea reținerii unei perioade determinate, Montrepcom S.R.L. a stabilit în Politica de retenție a datelor și alte termene de retenție. La expirarea perioadelor stipulate de retenție a datelor, societatea va dispune ștergerea sau distrugerea datelor cu caracter personal. 

6. Prelucrarea datelor trebuie să asigure integritate și confidențialitate;

Prelucrarea datelor personale trebuie făcută în cele mai proprii condiții de siguranță, care să includă ”protecția împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.

 

IV. Responsabilitate și transparență

Trebuie să asigurăm răspunderea și transparența în utilizarea tuturor datelor cu caracter personal, în acest sens trebuie să demonstrăm respectarea fiecărui principiu enumerat mai sus. Suntem responsabili să păstrăm o evidență relevantă care să contabilizeze activitățile de prelucrare a datelor de care suntem responsabili, iar aceasta trebuie să fie actualizată constant și aprobată de către directorul societății.

Pentru a respecta reglementările în materia protecției datelor am decis să întreprindem măsuri tehnice și organizatorice pentru a demonstra conformitatea. Persoanele cu care lucrăm, angajați, parteneri comerciali trebuie să înțeleagă rolul lor în conformitatea noastră pentru a putea respecta următoarele obligații privind protecția datelor:

• Implementarea completă a tuturor măsurilor tehnice și organizatorice adecvate pentru societatea Montrepcom S.R.L;

• Menținerea actualizată a documentației relevante despre toate activitățile de procesare a datelor cu caracter personal;

• Efectuarea Evaluării de impact asupra protecției datelor;

• Punerea în aplicare a măsurilor care să asigure confidențialitatea prin:

o Minimizarea datelor;

o Pseudonimizarea;

o Transparență;

o Permite persoanelor fizice să monitorizeze procesarea;

o Crearea și îmbunătățirea continuă a securității și a procedurilor îmbunătățite de confidențialitate;

 

V. Informații utile

1. Prelucrarea corectă și legală a datelor:

Trebuie să procesăm datele personale în mod corect și legal, în conformitate cu drepturile persoanelor vizate, astfel cum este enunțat în secțiunea ”Principii”. Aceasta înseamnă, în general, că nu ar trebui să procesăm date cu caracter personal decât dacă avem o bază legală. Dacă nu putem aplica o bază legală (explicată mai jos), prelucrarea noastră nu este conformă cu primul principiu și va fi ilegală. Persoanele vizate au dreptul de a șterge orice date prelucrate în mod ilegal.

2. Operator vs. Persoană împuternicită

Montrepcom S.R.L. este și operator de date și persoană împuternicită conform definițiilor date în Regulamentul UE 2016/679. Ca persoană împuternicită, trebuie să ne conformăm obligațiilor contractuale și să acționăm numai pe baza instrucțiunilor documentate ale operatorului de date. Dacă, în orice moment, determinăm scopul și mijloacele de procesare a datelor cu ajutorul instrucțiunilor operatorului, vom fi considerați un operator și, prin urmare, încălcăm contractul încheiat cu operatorul care ne-a furnizat datele cu caracter personal și avem aceeași răspundere ca și acesta. Ca persoană împuternicită, trebuie:

• să nu subcontractăm fără autorizarea scrisă a operatorului;

• să asigurăm securitatea procesării;

• să menținem o evidență exactă a activităților de procesare;

• să notificăm operatorul despre orice încălcare a datelor cu caracter personal;

• să respectăm scopurile și instrucțiunile oferite de operator;

 

3. Baza legală pentru prelucrarea datelor

Trebuie să stabilim o bază legală pentru prelucrarea datelor, astfel, ne-am asigurat că toate datele pe care le procesăm și de care suntem responsabili pentru gestionare au o bază scrisă legală aprobată de către directorul societății. Am înțeles că este responsabilitatea noastră să verificăm baza legală pentru toate datele cu care lucrăm și să ne asigurăm că toate procesele din societate respectă principiul legal. Cel puțin una dintre următoarele condiții trebuie să se aplice atunci când procesăm date personale:

a. Consimțământul

Datele procesate având ca temei consimțământul persoanei vizate sunt obținute prin acordarea consimțământului clar, explicit și definit pentru ca datele persoanei vizate să fie procesate pentru un anumit scop.

A prelucra date pe baza consimțământului, înseamnă a da persoanei vizate reală libertate de alegere și control sporit asupra prelucrării. Enumerăm mai jos câteva din cele mai importante reguli de obținere și gestionare a consimțământului:

  • Consimțământ explicit. Consimțământul trebuie să fie exprimat în mod explicit, într-o manieră clară și specifică (manifestare pozitivă a consimțământului). Utilizarea unor metode de exprimare implicită / tacită a consimțământului (e.g. căsuțe de acord pre-bifate) nu este o practică legală;

  • Consimțământ necondiționat. Furnizarea unui serviciu solicitat de / oferit persoanei vizate nu poate fi condiționată de acordarea consimțământului pentru prelucrare din partea respectivei persoane, întrucât astfel, consimțământul nu ar fi liber exprimat;

  • c) Consimțământ separat. Consimțământul trebuie solicitat (i) în mod separat de termeni și condiții ori alte documente de informare și prezentare și (ii) în mod specific pentru fiecare scop pentru care se face prelucrare pe acest temei juridic;

  • Consimțământ documentat. Consimțământul trebuie documentat și dovada acestuia trebuie păstrată. Ca principiu, operatorul trebuie să poată demonstra cine a dat consimțământul, când, prin ce metodă și ce informații au fost furnizate cu ocazia preluării consimțământului;

  • Consimțământ revocabil. Persoana vizată are dreptul de a retrage consimțământul în orice moment (formă de manifestare a „dreptului de a fi uitat”), iar operatorul trebuie să ofere un mecanism de retragere facil și să acționeze pentru a da eficiență retragerii în cel mai scurt timp posibil.

Acest set de reguli face ca prelucrarea pe bază de consimțământ să ridice numeroase probleme practice. De aceea, Montrepcom S.R.L trebuie să răspundă în primul rând la întrebarea dacă consimțământul este într-adevăr temeiul juridic adecvat prelucrărilor de date cu caracter personal pe care doresc să le realizeze, sau există un alt temei juridic mai potrivit. Determinarea este cu atât mai importantă cu cât alegerea temeiului juridic este unică și, în principiu, nu poate fi schimbată ulterior începerii prelucrării.

b. Temei contractual

Prelucrarea este necesară pentru încheierea sau executarea unui contract între societate și persoana vizată.

Elementul cheie care justifică utilizarea acestui temei juridic este necesitatea încheierii sau executării unui contract. În acest context, prelucrarea este legală dacă:

  • Există un contract valabil, pentru a cărui executare este necesară prelucrarea de date cu caracter personal; sau

  •  În faza pre-contractuală, la solicitarea persoanei vizate, este nevoie de prelucrarea anumitor date cu caracter personal în vederea încheierii contractului.

În mod contrar, prelucrarea nu se poate baza pe temeiul încheierii / executării contractului dacă:

  • Trebuie prelucrate datele unei persoane, alta decât cea cu care se încheie contractul;

  • Inițiativa încheierii contractului aparține operatorului sau unei terțe persoane;

 

Cerința necesității prelucrării pentru încheierea sau executarea unui contract nu înseamnă întotdeauna că prelucrarea este esențială în acest scop, totuși aceasta trebuie să fie limitată la și proporțională cu scopul urmărit

c. Temei legal

Avem o obligație legală de a procesa datele cu caracter personal(cu excepția unui contract), cum ar fi înregistrarea contractelor individuale de muncă în REVISAL, completarea declarațiilor D112 ș.a.

Prelucrarea datelor cu caracter personal pe temeiul necesității conformării unei obligații legale presupune existența unei norme legale imperative aplicabile operatorului. De asemenea, prelucrarea impusă printr-o decizie administrativă / hotărâre judecătorească (ele însele, luate în temeiul unei abilitări legale) poate fi justificată tot prin necesitatea conformării unei obligații legale.

Prelucrarea trebuie să fie necesară conformării obligației legale. Dacă se poate asigura în mod rezonabil conformarea cu norma legală fără respectiva prelucrare sau printr-o prelucrarea mai puțin invazivă / cuprinzătoare, nu poate fi utilizat acest temei.

d. Interese vitale

Prelucrarea datelor este necesară pentru protejarea vieții persoanei sau într-o situație medicală.

e. Interes public

Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

f. Interes legitim

Prelucrare necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Această condiție nu se aplică dacă există un motiv întemeiat pentru a proteja datele personale ale persoanei care are prioritate asupra interesului legitim ale societății.

Interesul legitim este cel mai flexibil temei juridic de prelucrare a datelor cu caracter personal și, de aceea, utilizarea sa trebuie calibrată în mod adecvat. În mod tipic, poate fi folosit doar în cazurile în care prelucrarea are un impact minimal asupra persoanelor vizate.

Pentru o judicioasă întemeiere pe interesul legitim, prelucrarea datelor cu caracter personal trebuie să îndeplinească trei tipuri de caracteristici:

a) Testul scopului legitim. Operatorul trebuie să urmărească un interes legitim, al său sau al unui terț. Interesul legitim poate fi un interes comercial, profesional sau un scop mai larg, de exemplu un interes social.

b) Testul necesității. Prelucrarea trebuie să fie proporțională și limitată pentru atingerea interesului legitim urmărit. Dacă respectivul interes poate fi atins printr-o prelucrare mai puțin intruzivă / cuprinzătoare, nu poate fi utilizat acest temei.

c) Testul raportării la interesele persoanei vizate. Ca principiu, prelucrarea trebuie să fie previzibilă pentru persoana vizată și să nu creeze un prejudiciu / inconvenient nenecesar persoanei vizate. Important, nu întotdeauna interesele persoanei vizate trebuie aliniate cu cele ale operatorului. Pot exista situații in care interesele operatorului pot prevala asupra celor ale persoanei vizate în cadrul unei prelucrări legitime.

 

4.  Ce temei juridic alegem?

Dacă se face o evaluare a bazei legale, trebuie mai întâi să se stabilească că prelucrarea este necesară. Aceasta înseamnă că prelucrarea trebuie să fie adecvată, targhetată pentru atingerea scopului declarat. Se va analiza dacă, în mod rezonabil, se va putea atinge același scop prin alte mijloace.

Într-adevăr, există situații când pentru un anumit proces se poate aloca mai mult decât un temei juridic pentru procesare. Astfel, se va alege temeiul juridic care se potrivește cel mai bine scopului declarat.

În alegerea temeiului juridic se vor lua în considerare următorii factori:

• Care este scopul prelucrării datelor?

• Se poate face în mod rezonabil într-un mod diferit?

• Există posibilitatea de a alege sau nu prelucrarea datelor?

• Cine beneficiază de procesare?

• După selectarea bazei legale, este aceasta aceeași cu temeiul juridic pe care persoana vizată o aștepta?

• Care este impactul prelucrării asupra individului?

• Persoane vizate sunt persoane vulnerabile?

• Ar fi probabil ca persoanele vizate să se opună prelucrării?

• Aveți posibilitatea să opriți procesarea în orice moment la cerere și ați luat în considerare cum să faceți acest lucru?

 

Angajamentul nostru față de primul principiu ne obligă să documentăm acest proces și să arătăm că am analizat ce bază legală se aplică cel mai bine fiecărui scop de procesare și justifică pe deplin aceste decizii.

Trebuie, de asemenea, să ne asigurăm că persoanele ale căror date sunt prelucrate de noi sunt informate cu privire la baza legală de prelucrare a datelor, precum și de scopul propus. Acest lucru ar trebui să aibă loc printr-o notificare. Acest lucru se aplică dacă am colectat datele direct de la persoana vizată sau dintr-o altă sursă.

 

VI. Categorii speciale de date cu caracter personal

1. Care sunt categoriile speciale de date cu caracter personal?

Anterior, cunoscut ca date sensibile, aceasta înseamnă date despre o persoană care necesită o protecție mai mare. Acest tip de date ar putea crea riscuri mai semnificative pentru drepturile și libertățile fundamentale ale unei persoane, punându-le într-o situație de discriminare, spre exemplu. Categoriile speciale includ informații despre persoanele fizice:

• rasă

• origine etnică

• opinii politice

• convingeri religioase

• calitatea de membru al sindicatelor

• date genetice

• date biometrie (în cazul utilizării în scopuri de identificare)

• informații legate de sănătate

• orientarea sexuală

În majoritatea cazurilor în care procesăm categorii speciale de date cu caracter personal, vom cere consimțământul explicit al persoanei vizate pentru a face acest lucru, dacă nu se aplică circumstanțe excepționale sau dacă suntem obligați să facem acest lucru prin lege (de exemplu, pentru a respecta obligațiile legale de asigurare a sănătății și securității la locul de muncă) . Orice astfel de consimțământ va trebui să identifice clar care sunt datele relevante, motivele pentru care sunt procesate și persoanele cărora le vor fi dezvăluite.

Condiția pentru prelucrarea categoriilor speciale de date cu caracter personal este să respecte legea. Dacă nu avem o bază legală pentru procesarea unor categorii speciale de date pe care activitatea de prelucrare trebuie să le înceteze.

 

VII. Responsabilități

1. Responsabilități ale societății Montrepcom S.R.L.

• Analizarea și documentarea tipului de date cu caracter personal pe care le deținem;

• Verificarea procedurilor pentru a se asigura că sunt respectate toate drepturile persoanei vizate;

• Identificarea bazei legale pentru prelucrarea datelor cu caracter personal;

• Implementarea și revizuirea procedurilor pentru detectarea, raportarea și investigarea încălcărilor datelor cu caracter personal;

• Stocarea datelor se vor face în locuri securizate;

• Evaluarea riscului pentru a depista maniera de afectare a drepturilor și libertăților individuale în cazul în care datele ar fi compromise;

 

2. Responsabilitățile angajaților

• Înțeleg complet obligațiile care le revin în materia protecției datelor;

• Verifică dacă toate activitățile de prelucrare a datelor cu care se confruntă respectă politicile și procedurile aprobate de Montrepcom S.R.L și sunt justificate;

• Nu utilizează datele cu caracter personal în mod ilegal;

• Păstrează datele în mod corect, acordă importanță modalității de stocare pentru a evita încălcarea legilor privind protecția datelor și a politicilor noastre prin acțiunile lor;

• Pune în discuție orice nelămurire, notifică încălcările sau erorile și raportează fără întârziere lucrurile care i se par suspicioase sau contradictorii acestei politici sau obligațiilor noastre legale.

3. Responsabilitățile managerului IT

• Se asigură că toate sistemele, serviciile, software-ul și echipamentele îndeplinesc standardele de securitate acceptabile;

• Verifică și scanează în mod regulat hardware și software de securitate pentru a se asigura că funcționează corect;

• Cercetarea serviciilor oferite de terți, cum ar fi serviciile cloud pe care compania intenționează să le utilizeze pentru stocarea sau procesarea datelor sau serviciile de monitorizare prin supraveghere video;

4. Responsabilitățile șefului de departament Achiziții

• Transmiterea către clienți/furnizori a notificărilor privind protecția datelor și adaptarea clauzelor contractuale în conformitate cu Regulamentul UE 2016/679.

• Transmiterea către directorul societății sau către un ofițer responsabil cu protecția datelor întrebările sau cererile privind protecția datelor adresate de clienți, furnizori.

• Coordonarea cu un ofițer responsabil cu protecția datelor pentru a se asigura că toate inițiativele de marketing respectă legile privind protecția datelor și politica de protecție a datelor a companiei.

 

VIII. Precizie și relevanță

Ne vom asigura că datele personale pe care le procesăm sunt corecte, adecvate, relevante și nu excesive, având în vedere scopul pentru care au fost obținute. Nu vom procesa date personale obținute, dacă persoana în cauză nu a acceptat acest lucru sau nu avem de respectat o obligație legală, contractuală etc.

Persoanele fizice pot solicita corectarea datelor personale inexacte referitoare la acestea. În situațiile în care formațiile sunt inexacte, persoana vizată înregistrează o cerere pentru a-i fi modificate datele.

 

IX. Securitatea datelor

Protejăm datele personale împotriva pierderii sau a utilizării incorecte. În cazul în care transmitem către persoanele împuternicite anumite date cu caracter personal pentru a îndeplini unele obligații, vom verifica conformitatea acestora cu Regulamentul UE 2016/679 și dacă pot oferi o protecție împotriva unor breșe de securitate. În acest sens, societatea Montrepcom S.R.L a încheiat acorduri cu aceste persoane împuternicite pentru a trasa rolurile și responsabilitățile fiecăruia.

 

X. Stocarea datelor în siguranță

• În cazul în care datele sunt stocate pe hârtie tipărită, acestea trebuie păstrate într-un loc sigur, unde personalul neautorizat nu poate accesa acest document;

• Datele tipărite trebuie să fie distruse atunci când nu mai sunt necesare;

• Datele stocate pe un computer trebuie să fie protejate de parole puternice care se schimbă regulat; • Datele stocate pe CD-uri sau stick-uri de memorie trebuie să fie criptate sau protejate prin parolă și blocate în siguranță atunci când nu sunt utilizate;

• Serverele care conțin date cu caracter personal trebuie păstrate într-o locație sigură, departe de spațiul general de birouri;

• Datele trebuie să fie salvate în back-up, în conformitate cu procedurile back-up ale societății;

• Datele nu ar trebui salvate direct pe dispozitive mobile cum ar fi laptopuri, tablete sau smartphone-uri;

• Toate serverele care conțin date sensibile trebuie să fie aprobate și protejate de software-ul de securitate;

• Trebuie luate toate măsurile tehnice posibile pentru păstrarea datelor în siguranță;

 

XI. Reținerea datelor

Trebuie să nu păstrăm datele personale pentru o perioadă mai lungă decât este necesar. Ceea ce este necesar va depinde de circumstanțele fiecărui caz, ținând cont de motivele pentru care au fost obținute datele personale, dar ar trebui să fie determinate în conformitate cu instrucțiunile noastre privind păstrarea datelor.

 

XII. Drepturile persoanelor vizate

Persoanele fizice au drepturi asupra datelor pe care trebuie să le respectăm în măsura posibilităților noastre. Trebuie să ne asigurăm că persoanele își pot exercita drepturile în următoarele moduri:

1. Dreptul de a fi informat

• Furnizarea de notificări care sunt concise, transparente, inteligibile și ușor accesibile, gratuite, care sunt scrise într-un limbaj clar și clar.

• Menținerea unei evidențe a modului în care folosim datele personale pentru a demonstra conformitatea cu nevoia de responsabilitate și transparență.

2. Dreptul de acces

• Permiterea accesului persoanelor fizice la datele lor personale și la informații suplimentare;

• Permiterea persoanelor să cunoască și să verifice legalitatea activităților de prelucrare;

Informațiile care ar trebui transmise persoanei vizate în situația în care solicită acces la datele sale:

- scopurile prelucrării;

- destinatarii care au primit datele sale;

- categoriile de date vizate;

- perioada de stocare a datelor;

- dacă există un proces decizional automatizat;

- dacă datele sunt transferate către țări din afara SEE.

3. Dreptul la rectificare

• Trebuie să rectificăm sau să modificăm datele personale ale persoanei dacă sunt inexacte sau incomplete.

• Acest lucru trebuie făcut fără întârziere și nu mai târziu de o lună. Acest lucru poate fi prelungit la două luni.

4. Dreptul la ștergere

• Trebuie să ștergem datele cu caracter personal dacă persoana vizată solicită acest fapt și nu există motive întemeiate pentru continuarea procesării acestora.

5. Dreptul de a restricționa prelucrarea

• Trebuie să respectăm orice solicitare de restricționare, blocare sau suprimare în alt mod a prelucrării datelor cu caracter personal.

• Este permisă stocarea datelor cu caracter personal în cazul în care a fost restricționată, dar nu se poate prelucra în continuare. Trebuie să păstrăm suficiente date pentru a ne asigura că dreptul la restricționare este respectat în viitor.

Restricționarea se aplică în următoarele situații:

- persoana vizată contestă exactitatea datelor pentru o perioadă care îi permite societății Montrepcom S.R.L. să verifice exactitatea datelor;

- prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, în schimb solicitând restricționarea utilizării lor;

- societatea Montrepcom S.R.L. nu mai are nevoie de datele cu caracter personal pentru scopul pentru care au fost preluate, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;

- persoana vizată s-a opus prelucrării pentru intervalul de timp în care se verifică dacă drepturile legitime ale societății prevalează asupra celor ale persoanei vizate.

6. Dreptul la portabilitatea datelor

• Trebuie să furnizăm persoanelor datele lor, astfel încât să le poată reutiliza în scopuri proprii sau în diferite servicii.

• Trebuie să le furnizăm într-un format utilizat în mod obișnuit de citit de dispozitive și să îl trimitem direct unui alt operator dacă este necesar.

7. Dreptul de opoziție

• Trebuie să respectăm dreptul unei persoane vizate de a se opune prelucrării datelor bazate pe interes legitim sau pentru îndeplinirea unei sarcini de interes public.

• Trebuie să respectăm dreptul persoanei vizate de a se opune marketingului direct, inclusiv profilării.

• Trebuie să respectăm dreptul persoanei vizate de a se opune prelucrării datelor pentru cercetări științifice și istorice și statistici.

8. Drepturile legate de luarea de decizii automatizate și de profilare

• Trebuie să respectăm drepturile indivizilor în legătură cu procesul decizional și profilaxia automată.

• Persoanele fizice își păstrează dreptul de a se opune unei astfel de prelucrări automate, le-au explicat rațiunea și solicită intervenția umană.

 

XIII. Notificări privind confidențialitatea

1. Când furnizăm o notificare privind confidențialitatea

O notificare privind confidențialitatea trebuie furnizată în momentul obținerii datelor dacă este obținută direct de la persoana vizată. În cazul în care datele nu sunt obținute direct de la persoana vizată, notificarea privind confidențialitatea trebuie furnizată într-o perioadă rezonabilă de timp în care au fost obținute datele.

Dacă datele sunt utilizate pentru a comunica cu persoana respectivă, atunci notificarea privind confidențialitatea trebuie furnizată cel mai târziu la prima comunicare.

Dacă este prevăzută divulgarea către un alt destinatar, atunci notificarea privind confidențialitatea trebuie furnizată înainte de divulgarea datelor.

2. Ce cuprinde o notificare privind confidențialitatea

Ce să includem într-o notificare privind confidențialitatea

Notificările de confidențialitate trebuie să fie concise, transparente, inteligibile și ușor accesibile. Acestea sunt oferite gratuit și trebuie să fie scrise în limbaj clar și clar, mai ales dacă se adresează copiilor.

Următoarele informații trebuie incluse într-o notificare privind confidențialitatea tuturor persoanelor vizate:

• Identificarea și informațiile de contact ale operatorului de date și ale responsabilului cu protecția datelor, dacă a fost desemnat;

• Scopul prelucrării datelor și baza legală pentru aceasta;

• Interesele legitime ale operatorului sau ale terților, dacă este cazul;

• Dreptul de a retrage consimțământul în orice moment, dacă este cazul,

• Categoria datelor cu caracter personal (numai pentru datele care nu sunt obținute direct de la persoana vizată);

• Orice destinatar sau categorii de destinatari ai datelor cu caracter personal;

• Informații detaliate privind transferurile către țările terțe și măsurile de protecție existente;

• Perioada de păstrare a datelor sau criteriile utilizate pentru stabilirea perioadei de păstrare, inclusiv detalii privind eliminarea datelor după perioada de păstrare;

• Dreptul de a depune o plângere la ANSPDCP și procedurile interne de reclamație;

• Sursa datelor cu caracter personal și provenind din surse disponibile publicului (numai pentru datele care nu au fost obținute direct de la persoana vizată);

• Orice existență a procesului de luare a deciziilor automate, inclusiv a profilului și a informațiilor cu privire la modul în care sunt luate aceste decizii, semnificațiile și consecințele acestora asupra persoanei vizate;

• dacă furnizarea de date cu caracter personal face parte dintr-o obligație contractuală obligatorie sau o obligație și posibile consecințe pentru orice neîndeplinire a datelor (numai pentru datele obținute direct de la persoana vizată).

 

XIV. Cererile persoanelor vizate

1. 1. Ce este o cerere de acces a persoanei vizate?

O persoană are dreptul de a primi confirmarea că datele sale sunt prelucrate, accesul la datele sale personale și informațiile suplimentare, ceea ce înseamnă informațiile care trebuie furnizate într-o notificare de confidențialitate.

1.2. Cum facem față cererilor de acces la subiect?

Trebuie să furnizăm gratuit persoanei vizate un document care cuprinde informațiile solicitate. Acest lucru trebuie să aibă loc fără întârziere și în termen de o lună de la primire. Ne străduim să oferim persoanelor vizate accesul la informațiile lor în și format electronic.

În cazul în care cererea este complexă, termenul poate fi prelungit cu două luni, dar persoana trebuie informată în termen de o lună.

Putem refuza să răspundem la anumite cereri și, în cazul în care cererea este vădit neîntemeiată sau excesivă, putem percepe o taxă. Dacă cererea se referă la o cantitate mare de date, putem solicita persoanei vizate să specifice informațiile pe care le solicită.

După ce a fost făcută o solicitare de acces, nu vom modifica niciuna dintre datele solicitate. A face acest lucru este o infracțiune penală.

 

 

2. Cererile privind portabilitatea datelor

Trebuie să furnizăm datele solicitate într-un format structurat, utilizat în mod obișnuit și care poate fi citit de un dispozitiv. În mod normal, acesta ar fi un fișier CSV, deși alte formate sunt acceptabile. Trebuie să furnizăm aceste date fie persoanei care le-a solicitat, fie persoanei care le-a solicitat să fie trimise. Acest lucru trebuie făcut gratuit și fără întârziere, dar nu mai târziu de o lună. Acest lucru poate fi prelungit la două luni pentru solicitări complexe sau numeroase, dar persoana trebuie să fie informată cu privire la prelungire în termen de o lună.

 

3.  Dreptul de ștergere

3.1. Ce este dreptul de ștergere?

Persoanele fizice au dreptul să înlăture datele și să înceteze procesarea în următoarele situații:

• În cazul în care datele personale nu mai sunt necesare în raport cu scopul pentru care au fost inițial colectate și / sau prelucrate;

• Atunci când consimțământul este retras;

• În cazul în care datele personale sunt prelucrate și nu există un interes legitim pentru continuarea procesării;

• Datele personale au fost prelucrate în mod ilegal sau au fost încălcate legile privind protecția datelor;

3.2. Cum procedăm când o persoană își exercită acest drept?

Putem doar să refuzăm să respectăm dreptul de a șterge în următoarele situații:

• dacă exercităm dreptul la libertatea de exprimare și la informație;

• dacă trebuie să îndeplinim o obligație legală pentru îndeplinirea unei sarcini de interes public;

• În scopuri de sănătate sau în interes public;

• În scopuri de arhivare în interes public, cercetare științifică, cercetare istorică sau scopuri statistice;

Dacă datele personale care trebuie șterse au fost transferate altor părți sau destinatari, trebuie să fie contactați și informați despre obligația lor de a șterge datele. Dacă persoana vizată întreabă, trebuie să confirmăm ștergerea și de la alți destinatari.

 

4. Dreptul de opoziție

Persoanele fizice au dreptul să se opună utilizării datelor lor pe motive legate bazat situația lor particulară. Trebuie să înceteze procesarea dacă:

• Avem temeiuri legitime de procesare, care depășesc interesele, drepturile și libertățile individului;

• Prelucrarea se referă la stabilirea, exercitarea sau apărarea unei acțiuni în justiție;

Trebuie să informăm întotdeauna persoana respectivă cu privire la dreptul de a se opune la primul punct de comunicare, adică în notificarea de confidențialitate.

 

5. Dreptul de a restricționa profilarea automată sau luarea deciziilor în mod automat

5.1. Putem efectua profilări automate sau decizii care au un efect juridic sau similar semnificativ asupra unei persoane în următoarele situații:

• Este necesar pentru intrarea sau executarea unui contract;

• Pe baza consimțământului explicit al persoanei:

• Altfel autorizat prin lege;

5.2.În aceste condiții, trebuie să:

• Oferim persoanelor informații detaliate despre prelucrarea automată;

• să oferim modalități simple de a solicita intervenția umană sau de a contesta orice decizie legată de acestea;

• să efectuăm controale regulate și testarea utilizatorilor pentru a ne asigura că sistemele noastre funcționează conform destinației.

 

XVI. Părți terțe

1. Operatori și persoane împuternicite terță parte

Ca operator și persoană împuternicită, trebuie să avem în scris contracte cu orice terță parte cu care colaborăm. Contractul trebuie să conțină clauze specifice care să indice responsabilitățile, obligațiile și responsabilitățile ambelor părți.

În calitatea noastră de operator de date, trebuie să numim doar persoane împuternicite care pot oferi garanții suficiente în cadrul GDPR și să garanteze respectarea și protejarea drepturilor persoanelor vizate.

Totodată, ca persoană împuternicită, trebuie să acționăm doar pe instrucțiunile documentate ale unui operator. Recunoaștem responsabilitățile noastre ca persoană împuternicită în cadrul GDPR și vom proteja și respecta drepturile persoanelor vizate.

2. Contractele

Contractele noastre trebuie să respecte standardele stabilite de Regulamentul UE 2016/679 și ANSPDCP și, dacă este posibil, să respecte clauzele contractuale standard care sunt disponibile. Contractele noastre cu alți operatori și cu persoanele împuternicite trebuie să stabilească obiectul și durata procesării, natura și scopul declarat al activităților de prelucrare, tipurile de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile părților.

Cel puțin, contractele noastre includ termeni care să specifice:

•că se va prelucra datele cu caracter personal numai pe baza instrucțiunilor scrise cu persoanele împuternicite;

• faptul că cei implicați în prelucrarea datelor sunt supuși unei obligații de încredere;

• că vor fi luate măsuri adecvate pentru a asigura securitatea prelucrării;

• Subcontractorii vor fi angajați numai cu acordul prealabil al operatorului și în baza unui contract scris;

• Persoana împuternicită va ajuta operatorul să se ocupe de cererile de acces și să permită persoanelor vizate să-și exercite drepturile;

•Persoana împuternicită va asista operatorul în îndeplinirea obligațiilor în ceea ce privește securitatea procesării, notificarea încălcărilor datelor și implementarea evaluărilor impactului protecției datelor;

• că părțile vor șterge sau vor returna toate datele personale la sfârșitul contractului;

• Prezentarea auditurilor și inspecțiilor periodice și furnizarea oricăror informații necesare pentru ca operatorul și persoana împuternicită să-și îndeplinească obligațiile legale;

• Nicio acțiune nu va fi întreprinsă de operator sau de persoană împuternicită pentru a încălca Regulamentul UE 2016/679.

 

XVII. Date referitoare la infracțiuni

1. Cazierul judiciar

Orice verificări ale cazierului judiciar sunt justificate prin lege. Cazierul judiciar nu poate fi obținut numai pe baza consimțământului subiectului. Nu putem ține un registru al datelor privind infracțiunile. Toate datele referitoare la infracțiuni sunt considerate o categorie specială de date cu caracter personal și trebuie tratate ca atare.

 

XVIII. Audit de date

Auditurile periodice de date pentru gestionarea și atenuarea riscurilor vor informa registrul de date. Acestea conțin informații despre ce date sunt păstrate, unde sunt stocate, modul în care sunt utilizate, cine este responsabil și orice alte regulamente sau termenele de reținere care pot fi relevante. Trebuie să efectuați un audit periodic de date.

 

 

XIX. Monitorizarea

Toată lumea trebuie să respecte această politică. Montrepcom S.R.L va păstra această politică în curs de revizuire și o va modifica după cum este necesar. Trebuie ca directorul societății să fie anunțat cu privire la orice încălcare a acestei politici. Trebuie ca toată lumea să respecte integral această politică și în permanență.

XX. Instruire

Angajații vor primi o instruire adecvată privind prevederile Regulamentului UE 2016/679 și prevederile legislative  privind protecția datelor specifice rolului lor. Angajaților, dacă li se schimbă poziția sau responsabilitățile, le va fi pusă la dispoziție o nouă pregătire privind protecția datelor relevante adecvată poziției sau responsabilităților care le revin.

XXI. Breșele de securitate

Conform art. 5 din Regulament unul din principiile de bază care guvernează prelucrarea datelor cu caracter personal este acela că datele trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a acestora.

Montrepcom S.R.L trebuie să întreprindă constant măsuri tehnice și organizatorice care, în cazul apariției unei breșe de securitate, asigură componenta reactivă a politicilor interne privind securitatea datelor. Aceste măsuri trebuie să ajute societatea:

a) să stabilească imediat dacă s-a produs o breșă de securitate;

b) dacă este cazul, să notifice autoritatea de supraveghere a prelucrării datelor cu caracter personal;

c) după caz, să informeze persoana sau persoanele vizate afectate de apariția breșei de securitate.

Orice încălcare a politicilor și procedurilor aprobate de Montrepcom S.R.L trebuie raportată cât mai curând posibil. Aceasta înseamnă imediat ce a fost constatată o încălcare. Montrepcom S.R.L are obligația legală de a raporta orice încălcare a datelor către  ANSPDCP în termen de 72 de ore.

Toți angajații au obligația de a raporta eșecurile de respectare a legii privind protecția datelor existente sau potențiale. Acest lucru ne permite:

•să investigăm breșa și să luăm măsuri de remediere dacă este necesar;

• Menținem un registru al breșelor de securitate;

• să anunțăm ANSPDCP cu privire la orice neîndepliniri de conformitate;

Orice angajat care nu a notificat o încălcare sau se constată că a cunoscut sau a suspectat că a avut loc o încălcare, dar nu a urmat procedurile corecte de raportare, va fi supus unor măsuri disciplinare.

Politica de utilizare a cookie-urilor

Un “Internet Cookie” (termen cunoscut și ca “browser cookie” sau “HTTPS cookie” sau pur și simplu“cookie”) este un fișier de mici dimensiuni, format din litere și numere, care va fi stocat pe computerul, terminalul mobil sau alte echipamente ale unui utilizator de pe care se accesează Internetul. Cookie-ul este instalat prin solicitarea emisă de către un web-server unui browser (ex: Internet Explorer, Chrome) și este complet “pasiv” (nu conține programe software, viruși sau spyware și nu poate accesa informațiile de pe hard-disk-ul utilizatorului). Un cookie este format din 2 părți: numele și continutul sau valoarea cookie-ului. Mai mult, durata de existență a unui cookie este determinată; tehnic, doar webserverul care a trimis cookie-ul îl poate accesa din nou în momentul în care un utilizator se întoarce pe website-ul asociat webserverului respectiv.

Utilizatorii își pot configura browserul să respingă fișierele cookie. Dezactivarea și refuzul de a primi cookie-uri pot face anumite secțiuni / pagini impracticabile sau dificil de vizitat și folosit (de exemplu: completarea online a formularelor / difuzarea clipului de informare publică, etc.).