INNODEVTECH SRL

Regulamente de Prelucrare a Datelor

  • I. Dispoziții introductive

Domeniul de aplicare a acestor reglementări acoperă întreaga INNODEVTECH SRL, toate unitățile sale organizatorice și toți angajații săi (în continuare: Operator de date). Operatorul de date pregătește următoarele reglementări (în continuare: Reglementări), luând în considerare principiile de protecție și prelucrare a datelor specificate în reglementările legale relevante.

  • II. Scopul acestor Reglementări

1. Scopul acestor Reglementări este de a asigura funcționarea protecției datelor cu caracter personal, implementarea autodeterminării informaționale în conformitate cu legislația aplicabilă privind protecția datelor, și pentru a defini protecția datelor și regulile de securitate a datelor care se aplică prelucrării datelor cu caracter personal prelucrate de Operatorul de date.

2. În timpul utilizării tuturor serviciilor sale, Operatorul de date se va strădui să respecte drepturile individuale ale persoanelor vizate, cu o atenție deosebită la dreptul lor pentru protecția datelor lor cu caracter personal și va asigura acest lucru în timpul prelucrării și gestionării automate a datelor cu caracter personal ale persoanelor vizate.

3. Aceste Reglementări se aplică numai datelor cu caracter personal ale persoanelor vizate care sunt persoane fizice, ținând cont de faptul că datele persoanelor juridice sau ale altor organizații nu se califică ca date cu caracter personal

  • III. Dispoziții privind interpretarea

4. În conformitate cu natura acestor Reglementări, este necesar să fie definiți următorii termeni:

  • „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
  • „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
  • „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreuna cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile si mijloacele prelucrării sunt stabilite prin dreptul Uniunii Europene sau al Statului Membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau al Statului Membru.
  • „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
  • „prelucrarea datelor” înseamnă executarea sarcinilor tehnice aferente operațiunilor de prelucrare a datelor, indiferent de metodele și mijloacele aplicate pentru a executa aceste operațiuni și de locul aplicării, atâta timp cât sarcina tehnică este executată asupra datelor.
  • „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu al Statului Membru nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.
  • „parte terță” înseamnă o persoana fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate sa prelucreze date cu caracter personal.
  • „persoana vizată” înseamnă orice persoană fizică specifică care este identificată sau care poate fi identificata, direct sau indirect, pe baza datelor cu caracter personal. Persoanele vizate includ în special persoane fizice pentru care Operatorul de date prestează servicii juridice sau alte sfaturi; alte persoane fizice implicate în legătură cu comanda dată Operatorului de date (de exemplu, părți cu interese adverse pentru clienții Operatorului de date, alte persoane implicate în proceduri administrative sau legale); persoanele fizice de contact ale clienților persoane juridice ale Operatorului de date.
  • „consimțământ” înseamnă orice manifestare de voință liberă și definită a persoanei vizate, bazată pe o informare corespunzătoare, prin care aceasta este de acord fără echivoc, pentru prelucrarea completă sau specifică operațiunii oricăror date cu caracter personal care o privesc.
  • „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal care sunt accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.
  • „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
  • „reprezentant” înseamnă o persoana fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul prezentului Regulament.

IV. Principii ale prelucrării de date

5. Operatorul de date va prelucra datele în mod legal și echitabil și într-un mod transparent față de persoana vizată (legalitate, echitate și transparență).

6. Operatorul de date va colecta datele cu caracter personal numai pentru un scop specific, clar și legal și nu le va prelucra într-un mod incompatibil cu aceste scopuri (limitare legată de scop).

7. Operatorul de date va efectua prelucrarea într-un mod care este potrivit și relevant în raport cu scopul(rile) său (sale) și limitat la ceea ce este necesar (reducerea la minim a datelor). În consecință, Operatorul de date nu va colecta sau stoca mai multe date decât este absolut necesar în scopul prelucrării.

8. Prelucrarea Operatorului de date trebuie să fie exactă și actualizată. Operatorul de date va lua toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care nu sunt exacte în scopurile prelucrării sunt șterse sau rectificate fără întârziere (exactitate).

9. Operatorul de date va stoca datele cu caracter personal într-o formă care permite identificarea persoanelor vizate numai pentru perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele, conform cu obligația de stocare menționată în legislația relevantă (limitări legate de stocare).

10. Operatorul de date va asigura securitatea adecvată a datelor cu caracter personal prin aplicarea măsurilor tehnice sau organizatorice corespunzătoare, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale a datelor cu caracter personal (integritate și confidențialitate).

11. Operatorul de date este responsabil de respectarea principiilor descrise mai sus, și Operatorul de date va demonstra această respectare (responsabilitate). În consecință, Operatorul de date va asigura aplicarea continuă a dispozițiilor acestor Reglementări interne, revizuirea continuă a prelucrării datelor și, dacă e cazul, modificarea și completarea procedurilor de prelucrare a datelor. Operatorul de date pregătește documentarea pentru a justifica respectarea obligațiilor legale.

  • V. Baza legală, metoda și scopul prelucrării datelor în cursul serviciilor prestate de Operatorul de date

(activitate educațională online, organizarea de cursuri)

12. În timpul activităților sale de prelucrare a datelor, Operatorul de date va acționa în conformitate cu cerințele următoarelor legi:

  • Legea Fundamentală a României (în continuare: Legea Fundamentală)
  • Regulamentul (EU) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/EC (Regulamentul General privind Protecția Datelor, în continuare: GDPR)
  • Legea CXII din 2011 privind Dreptul la Autodeterminare Informațională și Libertatea de Informare (în continuare: Legea privind Confidențialitatea)
  • Legea V din 2013 privind Codul Civil (în continuare: Civil Code)
  • Legea I din 2012 privind Codul Muncii (în continuare: Codul Muncii)
  • Legea C din 2000 privind Contabilitatea
  • Legea LXXVII din 2013 privind Educația la Adulți

13. Prelucrarea datelor cu caracter personal va fi legală numai dacă și în măsura în care cel puțin una din condițiile prezentate la punctele 14–16 sunt îndeplinite:

14. Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri particulare (în continuare: „prelucrarea datelor bazată pe consimțământ”). În numeroase cazuri, prelucrarea datelor efectuată de Operatorul de date se bazează pe legislație, în care caz persoana vizată este obligată să furnizeze datele sale cu caracter personal. În alte cazuri, furnizarea datelor cu caracter personal este voluntară; acest lucru este, cu toate acestea, solicitat întotdeauna pentru realizarea comenzii. Dacă persoana vizată nu furnizează datele cu caracter personal pe care Operatorul de date le consideră necesare pentru realizarea comenzii, Operatorul de date nu va putea să realizeze comanda. Persoana vizată va avea dreptul să își retragă consimțământul în orice moment, fără să aducă atingere legalității prelucrării datelor efectuată înainte de retragerea consimțământului.

15. Executarea contractului dintre Operatorul de date și persoana vizată (în continuare: prelucrare de date pe bază de contract).

16. Asigurarea unei comunicări neîngrădite în timpul prestării serviciului (interes legitim al Operatorului de date).

17. Referitor la prelucrarea unui grup specific de date cu caracter personal, Operatorul de date va realiza întotdeauna prelucrarea datelor conform unui temei legal. Temeiul legal pentru prelucrarea datelor poate să se schimbe în cursul prelucrării datelor.

18. Pe durata prestării serviciilor sale legale și a altor servicii de consiliere, Operatorul de date va prelucra datele cu caracter personal ale persoanei vizate în scopul prestării și realizării acelui serviciului. Operatorul de date prelucrează și datele cu caracter personal ale persoanelor vizate în scopul comunicării, documentării interne a cazurilor, facturării și executării cererilor sale.

19. Durata prelucrării datelor: ca o regulă generală, Operatorul de date va prelucra datele cu caracter personal timp de 10 ani de la executare/încetarea comenzii date.

20. Operatorul de date transferă date cu caracter personal către terți numai dacă este necesar pentru realizarea serviciului. În unele cazuri, transferul datelor poate fi cerut și de lege (de ex. anchetă de către o autoritate).

  • VI. Buletin informativ

21. În legătură cu serviciile sale, Operatorul de date trimite buletine informative către clienții care le solicită.

22. Scopul prelucrării: să furnizeze informații despre servicii, evenimente actuale, știri și articole profesionale.

23. Domeniul datelor prelucrate: nume, prenume, adresa e-mail, telefon.

24. Baza legală pentru prelucrarea datelor: consimțământul persoanei vizate. Operatorul de date asigură întotdeauna oportunitatea de a obiecta (dezabonare de la buletinul informativ). Dacă Persoana Vizată declară că nu dorește să primească un buletin informativ de la Operatorul de date, Operatorul de date va șterge datele sale și nu le va utiliza în acest scop după primirea solicitării.

25. Durata prelucrării: Data obiecției sau retragerii consimțământului de către persoana vizată.

  • VII. Drepturile persoanei vizate și aplicarea acestora

26. Operatorul de date va furniza următoarele către persoana vizată în conformitate cu dispozițiile GDPR.

Dreptul de informare

27. Persoana vizată are dreptul de informare cu privire la toate temeiurile legale ale prelucrării datelor.

28. Operatorul de date va furniza informații către persoanele vizate într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, și de o manieră clară și inteligibilă.

29. Informația va fi furnizată în scris sau prin alte mijloace, inclusiv, după caz, prin mijloace electronice.

Informații la cererea persoanei vizate

30. Informațiile orale pot fi furnizate la cererea persoanei vizate, cu condiția ca identitatea persoanei vizate să fie stabilită în alt mod.

31. Operatorul de date furnizează informații despre acțiunile întreprinse cu privire la o cerere referitoare la alte drepturi ale persoanei vizate, fără întârzieri nejustificate și, în orice caz, în termen de 30 de zile de la primirea cererii.

32. Perioada de 30 de zile poate fi prelungită cu încă 60 de zile, dacă este necesar, ținând seama de complexitatea și numărul cererilor. Operatorul de date va informa persoana vizată despre orice prelungire în termen de 30 de zile de la primirea cererii, împreună cu motivele de întârziere. Dacă persoana vizată face cererea prin mijloace electronice, informațiile vor fi furnizate prin mijloace electronice dacă e posibil, în afară de cazul în care persoana vizată solicită în alt fel.

33. Informațiile și acțiunile luate vor fi furnizate gratuit.

34. Dacă cererile din partea unei persoane vizate sunt în mod clar nefondate sau exagerate, în special din cauza caracterului lor repetitiv, Operatorul de date poate fie:

  • 1. să perceapă o taxă rezonabilă ținând cont de costurile administrative de furnizare a informațiilor sau comunicării sau de luare a măsurilor solicitate; sau
  • 2. să refuze să acționeze la cerere.

35. Operatorul de date va suporta sarcina demonstrării caracterului vădit nefondat sau exagerat al cererii.

Informații obligatorii

36. Dacă Operatorul de date a obținut datele direct de la persoana vizată, Operatorul de date, în orice situație, va furniza informații despre următoarele:

  1. 3. identitatea și datele de contact ale Operatorului de date sau ale reprezentantului Operatorului de date;
  2. 4. scopurile prelucrării pentru care datele cu caracter personal sunt destinate precum și baza legală pentru prelucrare
  3. 5. destinatarii datelor cu caracter personal, dacă e cazul
  4. 6. după caz, faptul că Operatorul de date intenționează să transfere datele cu caracter personal către o țară terță sau o organizație internațională.

37. La momentul primei achiziții de date cu caracter personal, Operatorul de date, în plus față de cele de mai sus, informează persoanele vizate și despre următoarele:

  • 7. perioada pentru care vor fi stocate datele cu caracter personal
  • 8. existența dreptului persoanei vizate de a cere de la Operatorul de date acces la rectificarea datelor cu caracter personal care îi aparțin, ștergerea sau restricționarea prelucrării datelor cu caracter personal care îi aparțin în cazul prelucrării datelor legate de anumite motive legale, să se opună unei astfel de prelucrări a datelor cu caracter personal în cazul prelucrării legate de anumite temeiuri legale și dreptul la portabilitatea datelor persoanei vizate;
  • 9. dreptul de a retrage prelucrarea datelor bazată pe consimțământ în orice moment, fără a aduce atingere legalității prelucrării datelor efectuate pe baza consimțământului anterior retragerii;
  • 10. dreptul de a depune o reclamație la o autoritate de supraveghere (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în continuare: Autoritate sau ANSPDCP);
  • 11. dacă furnizarea datelor cu caracter personal este obligatorie sau cerință contractuală, sau o cerință necesară pentru a încheia un contract, precum și dacă persoana vizată este obligată să furnizeze date cu caracter personal și despre posibile consecințe ale nefurnizării acestor date.

38. Dacă Operatorul de date intenționează să proceseze în continuare datele cu caracter personal în alt scop decât cel pentru care au fost colectate datele cu caracter personal, Operatorul de date furnizează persoanei vizate, înainte de prelucrarea ulterioară, informații cu privire la celălalt scop și orice informații suplimentare relevante.

39. Operatorul de date va furniza informațiile obligatorii după cum urmează. Operatorul de date va publica o “Politică de Confidențialitate” pe pagina sa de internet și la sediul său social astfel încât să fie ușor de găsit și ușor de accesat pentru oricine.

Dreptul de acces

40. Persoana vizată are drept de acces cu privire la toate temeiurile legale ale procesării datelor.

41. Persoana vizată are dreptul de a obține de la Operatorul de date confirmarea dacă datele cu caracter personal care o privesc sunt sau nu prelucrate, și, dacă acesta este cazul, de a accesa datele cu caracter personal și următoarele informații:

  • 12. scopul prelucrării;
  • 13. categoriile de date cu caracter personal în cauză;
  • 14. destinatarii sau categoriile de destinatari către care Operatorul de date a divulgat sau va divulga
  • 15. dacă e posibil, perioada avută în vedere pentru care datele cu caracter personal vor fi stocate
  • 16. dreptul persoanei vizate de a solicita Operatorului de date să rectifice datele cu caracter personal care îi aparțin, să șteargă aceste date în cazul prelucrării datelor în legătură cu anumite temeiuri legale sau să restricționeze prelucrarea acestora, și să obiecteze la prelucrarea acestor date cu caracter personal în cazul prelucrării datelor în legătură cu anumite temeiuri legale;
  • 17. dreptul de a depune o reclamație la o autoritate de supraveghere;
  • 18. dacă datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora.

42. Operatorul de date, la cererea persoanei vizate, va furniza un exemplar al datelor cu caracter personal în curs de prelucrare.

Dreptul de rectificare

43. Persoana vizată are dreptul la rectificare cu privire la toate temeiurile procesării datelor.

44. La cererea persoanei vizate, Operatorul de date, fără întârziere nejustificată, va corecta datele cu caracter personal prelucrate incorect referitoare la persoana vizată. Persoana vizată va avea dreptul să aibă datele cu caracter personal incomplete, inclusiv prin intermediul furnizării unei declarații suplimentare.

Dreptul de ștergere

45. Dreptul de ștergere nu se aplică în mod automat persoanei vizate în legătură cu prelucrarea datelor referitoare la toate temeiurile legale.

46. Operatorul de date va șterge datele cu caracter personal fără întârziere nejustificată dacă se aplică una dintre următoarele temeiuri:

  • 19. datele cu caracter personal nu mai sunt necesare în legătură cu scopurile pentru care acestea au fost colectate sau prelucrate în alt mod;
  • 20. persoana vizată își retrage consimțământul pe baza căruia se bazează prelucrarea (în cazul prelucrării datelor pe bază de consimțământ), și dacă nu există un alt temei legal pentru prelucrare;
  • 21. persoana vizată obiectează la procesare, și nu există temeiuri legitime superioare pentru procesare (de ex. furnizare obligatorie de date);
  • 22. datele cu caracter personal au fost prelucrate ilegal;
  • 23. datele cu caracter personal au fost șterse pentru respectarea obligațiilor legale ale dreptului Uniunii sau ale Statului Membru cărora se supune Operatorul de date;

47. Operatorul de date nu va respecta cererea de ștergere a persoanei vizate dacă prelucrarea este necesară pentru respectarea unei obligații legale care necesită prelucrarea de către legislația Uniunii Europene sau a Statelor Membre la care este supus operatorul.

48. Dacă Operatorul de date primește o cerere de ștergere, Operatorul de date, ca un prim pas, va verifica dacă cererea de ștergere provine de fapt de la titularul corect. În acest sens, Operatorul de date poate solicita date pentru a identifica contractul dintre persoana vizată și Operatorul de date (de ex. număr de contract, data contractului), numărul de identificare a documentului eliberat de Operatorul de date către persoana vizată și datele de identificare personală despre persoana vizată (Operatorul de date poate, cu toate acestea, să nu ceară date suplimentare de identificare cu privire la persoana vizată, cărora nu le ține evidența).

49. Dacă Operatorul de date trebuie să respecte cererea de ștergere, acesta va depune toate eforturile pentru a se asigura că datele cu caracter personal sunt șterse din toate bazele de date.

50. Operatorul de date va întocmi un raport privind ștergerea astfel încât să se poată verifica faptul că ștergerea a avut loc. Raportul va fi semnat de reprezentantul Operatorului de date sau de orice persoană(e) autorizată(e) să facă astfel în baza fișei postului. Raportul de ștergere va include numele persoanei vizate, felul datelor cu caracter personal șterse și data ștergerii.

51. Operatorul de date va informa pe toți acei cărora le-au fost transferate datele cu caracter personal din obligația de ștergere.

Dreptul de restricție a prelucrării

52. Persoana vizată are dreptul la restricție cu privire la toate temeiurile prelucrării datelor.

53. Operatorul de date va restricționa prelucrarea datelor la cererea persoanei vizate, dacă se aplică una dintre următoarele:

  • 24. acuratețea datelor cu caracter personal este contestată de persoana vizată;
  • 25. prelucrarea este ilegală și persoana vizată se opune ștergerii datelor cu caracter personal și solicită în schimb restricționarea utilizării acestora;
  • 26. Operatorul de date nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar sunt solicitate de persoana vizată pentru stabilirea, exercitarea sau apărarea revendicărilor legale.

54. Dacă prelucrarea a fost restricționată în temeiul punctului anterior, aceste date cu caracter personal, cu excepția stocării, vor fi numai prelucrate cu consimțământul persoanei vizate sau pentru stabilirea, exercitarea sau apărarea revendicărilor legale sau pentru protecția drepturile altei persoane fizice sau juridice sau din motive de interes public important ale Uniunii Europene sau ale Statului Membru.

55. Operatorul de date va informa pe toți cei cărora le-au fost transferate datele cu caracter personal din obligație.

Dreptul la portabilitatea datelor

56. Persoana vizată are dreptul la portabilitatea datelor în cazul unui temei legal pentru prelucrarea datelor în baza consimțământului sau a unui contract, dacă prelucrarea datelor are loc în mod automat.

57. Operatorul de date se va asigura că persoana vizată primește datele cu caracter personal care o privesc, pe care aceasta le-a trimis Operatorului de date, într-un format structurat, utilizat pe scară largă, prelucrabil automat, și că persoana vizată transmite aceste date către un alt operator de date.

  • VIII. Evidența activităților de prelucrare a datelor

58. Operatorul de date păstrează evidența activităților de prelucrare a datelor în scopul urmăririi și verificării respectării legislației privind protecției datelor în conformitate cu principiul responsabilității.

59. Operatorul de date va păstra cel puțin următoarele evidențe ale activităților de prelucrare a datelor efectuate sub responsabilitatea sa:

  • 1. păstrarea evidenței transferurilor de date
  • 2. evidența cererilor pentru exercitarea drepturilor persoanelor vizate și a răspunsurilor date acestora de Operatorul de date
  • 3. evidența cererilor autorităților și a răspunsurilor date acestora de Operatorul de date
  • 4. evidența cererilor pentru încetarea procesării datelor
  • 5. înregistrarea clienților
  • 6. evidența prelucrării datelor cu caracter personal privind angajarea
  • 7. evidența recrutării
  • 8. evidența încălcării securității datelor.

60. Operatorul de date va păstra evidența activităților de prelucrare a datelor cu următorul conținut:

  • 9. numele și datele de contact ale Operatorului de date și numele și datele de contact ale reprezentantului Operatorului de date;
  • 10. scopurile prelucrării;
  • 11. descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • 12. categorii de destinatari cărora le sunt comunicate sau li se vor comunica datele cu caracter personal;
  • 13. după caz, informațiile privind transferul de date cu caracter personal către o țară terță sau către o organizație internațională;
  • 14. dacă e cazul, termenele limită pentru ștergerea diferitelor categorii de date;
  • 15. dacă e cazul, o descriere generală a măsurilor tehnice și organizatorice.

61. Operatorul de date va procesa datele în primul rând pe format de hârtie, în al doilea rând în contextul prelucrării automate. Locația prelucrării datelor este sediul social al Operatorului de date. Operatorul de date păstrează evidențele electronic.

  • IX. Dispoziții privind securitatea datelor

62. Operatorul de date va garanta un nivel al securității datelor proporțional cu gradul de riscuri potențiale care apar în cursul prelucrării datelor sale, în conformitate cu articolul 32 din GDPR. În consecință, Operatorul de date va garanta confidențialitatea, integritatea și disponibilitatea datelor prelucrate de acesta.

63. Pentru a realiza securitatea prelucrării datelor, Operatorul de date va aplica controale fizice, logice și administrative laolaltă.

64. Operatorul de date va aplica următoarele controale fizice:

  • 1. Operatorul de date se asigură că nicio persoană neautorizată nu poate intra în sediul său social;
  • 2. Pentru a împiedica accesul neautorizat la datele prelucrate de acesta, atât electronic cât și pe hârtie, Operatorul de date va asigura că datele prelucrate nu pot fi accesate fizic de persoane neautorizate.

65. Când se aplică controlul logic, Operatorul de date se asigură că numai cei cu autoritatea competentă au acces la datele procesate de acesta.

66. Operatorul de date va aplica următoarele controale administrative:

  • 3. Operatorul de date se asigură că orice acces la datele cu caracter personal pot fi urmărite în documentație;
  • 4. Operatorul de date se asigură că o procedură de management a evidențelor este stabilită astfel încât documentele care conțin date cu caracter personal primite în mod eronat sunt filtrate cât mai curând posibil și devin cunoscute de cel mai mic număr posibil de personal.
  • X. Managementul încălcării securității datelor

67. În cazul unei încălcări a securității datelor cu caracter personal, Operatorul de date, fără întârziere nejustificată și, când e posibil, nu mai târziu de 72 de ore după ce a luat cunoștință de acest lucru, va înștiința autoritățile despre încălcarea securității datelor cu caracter personal. Dacă înștiințarea către autorități nu este făcută în termen de 72 de ore, aceasta va fi însoțită de justificările de întârziere.

68. O încălcare a securității datelor nu trebuie să fie raportată către autoritate dacă încălcarea securității datelor cu caracter personal este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice.

69. Dacă o încălcare a securității datelor trebuie să fie raportată către autorități, înștiințarea

  • 1. va descrie natura încălcării securității datelor cu caracter personal inclusiv dacă e posibil, categoriile și numărul aproximativ al persoanelor vizate implicate și categoriile și numărul aproximativ al evidenței datelor cu caracter personal implicate;
  • 2. va comunica numele și datele de contact ale responsabilului cu protecția datelor sau alt punct de contact unde se pot obține mai multe informații;
  • 3. va descrie consecințele probabile ale încălcării securității datelor cu caracter personal;
  • 4. va descrie măsurile luate sau propuse pentru a fi luate de Operatorul de date ca să abordeze încălcarea securității datelor cu caracter personal, inclusiv, dacă este cazul, măsuri de atenuare a posibilelor sale efecte adverse.

70. Dacă încălcarea securității datelor cu caracter personal este posibil să conducă un risc ridicat pentru drepturile și libertățile persoanelor fizice, Operatorul de date va comunica încălcarea securității datelor cu caracter personal persoanei vizate fără întârziere nejustificată. Comunicarea către persoana vizată va descrie într-un limbaj clar și simplu natura încălcării securității datelor cu caracter personal și va include următoarele informații:

  • 5. numele și datele de contact ale altui punct de contact de unde pot fi obținute mai multe informații;
  • 6. descrie consecințele posibile ale încălcării securității datelor cu caracter personal;
  • 7. descrie măsurile luate sau propuse pentru a fi luate de Operatorul de date ca să abordeze încălcarea securității datelor cu caracter personal, inclusiv, dacă este cazul, măsuri de atenuare a posibilelor sale efecte adverse.

71. Comunicarea către persoana vizată nu va fi necesară dacă sunt îndeplinite oricare dintre următoarele condiții:

  • 8. Operatorul de date a implementat măsuri adecvate tehnice și organizaționale, și acele măsuri au fost aplicate datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special acelea care fac datele cu caracter personal neinteligibile pentru orice persoană care nu este autorizată să le acceseze, cum ar fi criptarea;
  • 9. Operatorul de date a luat măsuri ulterioare care asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este posibil să se materializeze;
  • 10. ar presupune un efort disproporționat. Într-un astfel de caz, trebuie să existe în schimb o comunicare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficient.
  • XI. Prelucrarea datelor legate de ocuparea forței de muncă

72. În anunțurile sale de locuri de muncă, Operatorul de date face trimitere la Politica de Confidențialitate disponibilă electronic.

73. Dacă Operatorul de date dorește să stocheze documentele depuse de un solicitant de loc de muncă chiar după completarea postului, se solicită acordul solicitantului locului de muncă. Acest consimțământ va fi voluntar, specific, bine informat și clar.

74. După evaluarea solicitării, suporturile de date care conțin datele personale ale solicitanților respinși vor fi returnate solicitanților în termen de 90 de zile, la cerere, sau distruse în absența consimțământului solicitanților pentru a utiliza datele lor cu caracter personal în solicitări ulterioare. Distrugerea (ștergerea) va fi documentată.

75. Operatorul de date va prelucra datele angajaților în conformitate cu dispozițiile relevante ale Codului Muncii, și va informa angajații în modul specificat în Codul Muncii, în conformitate cu principiile de bază de prelucrare a datelor din GDPR.

76. Operatorul de date va informa angajații despre identitatea persoanelor împuternicite de operator utilizate de ei și domeniul de aplicare al datelor transferate către ei.

77. Următoarele temeiuri legale pot apărea de obicei în timpul prelucrării datelor într-o relație de muncă:

  • 1. contractuale [contract de muncă]
  • 2. bazate pe o obligație legală [e.g. impozitare, deducerea întreținerii]
  • 3. bazate pe un interes legitim [cum ar fi date legate de inspecțiile la locul de muncă].
  • XII. Dispoziții privind utilizarea unei persoane împuternicite de operator

78. Dacă prelucrarea urmează să fie realizată în numele unui Operator de date [de ex. contabilitate, contabilitate salarizare], Operatorul de date va utiliza numai persoane împuternicite de operator care oferă garanții suficiente pentru implementarea măsurilor adecvate tehnice și organizaționale astfel încât prelucrarea să îndeplinească cerințele GDPR și să asigure protecția drepturilor persoanei vizate.

79. Persoana împuternicită de operator nu va angaja altă persoană împuternicită de operator fără autorizarea anterioară specifică sau generală în scris a Operatorului de date.

80. Referitor la prelucrarea efectuată de persoana împuternicită de operator, Operatorul de date și altă persoană împuternicită de operator vor încheia un contract. Acest contract definește obiectul, durata, natura și scopul prelucrării datelor, tipul de date cu caracter personal, categoriile de persoane vizate și obligațiile și drepturile Operatorului de date.

81. Persoana împuternicită de operator și persoana care are acces la datele cu caracter personal pot să prelucreze numai acele date în conformitate cu instrucțiunile Operatorului de date.

  • XIII. Dispoziții pentru intrarea în vigoare și dispoziții finale

82. Aceste Reglementări intră în vigoare la 1 septembrie 2024.

INNODEVTECH SRL

INNODEVTECH SRL

CUI 42810690

Telefon: 0726459869