Politica generala de protectie a datelor cu caracter personal
Introducere
Aceasta politica explica ce informatii colecteaza FOCUS DEVELOPMENT SRL cu privire la persoanele naturale, pentru ce scop si ce facem cu aceste informatii. De asemenea, prezenta politica explica si alte elemente importante precum drepturile persoanei vizate, datele de contact ale DPO etc.
Scop
Politica generala de protectie a datelor cu carcater personal se aplica la nivelul intregii organizatii in scopul asigurarii legalitatii si a unui cadru unitar de gestionare a datelor cu caracter personal.
Aceasta politica generala de protectie a datelor cu caracter personal se completeaza cu alte documente, respectiv:
- Politici si proceduri dezvoltate pe produse/servicii si activitati specifice diferitelor departamente
- Documente analitice precum AUDIT REPORTS, GAP ANALYSIS sau DATA PROTECTION IMPACT ANALYSIS, dupa caz.
- Alte documente, dupa caz
Definitii:
Date cu caracter personal: înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Prelucrare: înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.
Restrictionarea prelucrarii: înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.
Crearea de profiluri: înseamnă orice formă de prelucrare automată a datelor cu
caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
Pseudonimizare: înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
Sistem de evidenta a datelor: înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice.
Operator: înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.
Persoana imputernicita de operator: înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Destinatar: înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării.
Parte terta: înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
Consimtamantul persoanei vizate: înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
Incalcarea securitatii datelor cu caracter personal: înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Date genetice: înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză.
Date biometrice: înseamnă o serie de date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.
Date privind sanatatea: înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia.
Sediu principal: înseamnă:
- în cazul unui operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;
- în cazul unei persoane împuternicite de operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administraţie centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activităţile principale de prelucrare, în contextul activităţilor unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligaţii specifice în temeiul prezentului regulament.
Reprezentant: înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor respective care le revin în temeiul prezentului regulament.
Intreprindere: înseamnă o persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică.
Grup de intreprinderi: înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta.
Reguli corporatiste obligatorii: înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună.
Autoritate de supraveghere: înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din GDPR.
Autoritate de supraveghere vizata: înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:
- operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorităţii de supraveghere respective;
- persoanele vizate care îşi au reşedinţa în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
- la autoritatea de supraveghere respectivă a fost depusă o plângere.
Prelucrare transfrontaliera: înseamnă:
- fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puţin două state membre; sau
- fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puţin două state membre.
Obiectie relevanta si motivata: înseamnă o obiecţie la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce priveşte operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanţa riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii.
Serviciile societatii informationale: înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European şi a Consiliului (1);
Organizatie internationala: înseamnă o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe ţări sau în temeiul unui astfel de acord.
Principii:
In prelucrarea datelor cu caracter personal, in cadrul FOCUS DEVELOPMENT SRL in totate situatiiile vor fi respectate urmatoarele principii:
Legalitate, echitate, transparenta – datele sunt prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată
Limitate la scop – datele culese si prelucrate vor fi folosite strict pentru scopul mentionat
Minimizarea datelor – nu vor fi colectate sau prelucrate date care nu servesc scopului
Acuratetea datelor – datele culese si prelucrate vor fi exacte si corectate ori de cate ori este necesar.
Limitarea stocarii – datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice
Integritate si confidentialitate – va fi asigurata integritatea si confidentialitatea datelor cu carcater personal culese si prelucrate prelucrate inclusiv prin protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
Informatii colectate si procesate:
In general, datele pe care le culegem fac parte din urmatoarele categorii:
Date de identificare: date necesare in vedere derularii contractelor si respectarii obligatiilor legale
Date de contact: date necesare pentru realizarea de comunicari si punerea in aplicare a contractelor sau a altor obligatii legale
Alte date cu caracter personal: in functie de situatiile concrete pot fi prelucrate date cu caracter personal din domeniul medical etc, care sunt corelate contractului sau activitatilor derulate.
Datele colectate fac parte din sistemul de evidenta a datelor din cadrul FOCUS DEVELOPMENT SRL.
Conditii pentru colectarea si procesarea datelor cu caracter personal:
Exista 4 situatii generale pentru care colectam date cu caracter personal si anume:
Pentru conformarea la cerintele legale: cum este cazul cerintelor pe linie de arhivare, securitate, resurse umane etc.
Pentru ofertare si derularea contractelor – aceste date sunt necesare pentru derularea activitatii specifice
Pentru realizarea unui interes legitim – cum ar fi promovarea, analiza, protectia bunurilor si valorilor etc
Pe baza de consimtamant – pentru situatii concrete in care acest lucru este necesar sau impus prin lege
Utilizarea datelor cu caracter personal:
Datele cu caracter personal se utilizeaza strict pentru scopul mentionat si in conditiile comunicate in mod transparent.
In cazul in care FOCUS DEVELOPMENT SRL doreste sa utilizeze datele pentru alt scop decat cel declarat initial, este necesar a se obtine un consimtamant separat sau a se urma procedura specifica de notificare (ex: in cazul impunerilor legale).
In toate situatiile culegerea si prelucrarea datelor se va face cu respectarea legislatiei si principiilor mentionate in prezenta politica, GDPR si alte acte normative aplicabile.
Partajarea datelor cu caracter personal:
FOCUS DEVELOPMENT SRL nu partajeaza datele persoanelor vizate cu alte persoane fizice sau juridice cu exceptia cazurilor in care acest lucru este necesar in cadrul contractarii unor servicii necesare derularii activitatii (ex: Data Protection Officer, mentenanta IT) si numai daca acest lucru este absolut necesar. In aceste cazuri, persoanele fizice sau juridice in cauza actioneaza ca persoane imputernicite de catre FOCUS DEVELOPMENT SRL pentru realizarea scopurilor impuse de FOCUS DEVELOPMENT SRL.
In totate situatiile, FOCUS DEVELOPMENT SRL va impune acestor persoane aceleasi obligatii si standarde in privinta datelor cu caracter personal si va lua masurile rezonabile necesare (inclusiv auditarea acestora) pentru a se asigura ca aceste obligatii si standarde sunt respectate.
Drepturile persoanelor vizate:
Dreptul de a refuza sa devii o persoana vizata – persoanele vizate pot refuza ca datele acestora sa fie refuzate cu exceptia cazurilor in care prelucrarea este obligatorie prin lege
Dreptul de a fi informat – FOCUS DEVELOPMENT SRL va proceda la informarea oportuna a tuturor persoanelor vizate cu privire la orice aspect referitor la datele personale care ii impacteaza
Dreptul de restrictionare a prelucrarii datelor – persoanele vizate se pot opune prelucrarii in totalitate sau partial a datelor sale cu caracter personal
Dreptul la portabilitatea datelor – FOCUS DEVELOPMENT SRL va pune la dispozitia persoanelor vizate datele cu caracter personal proprii in formatul si la data solicitate de acestea si care pot fi respectate in mod rezonabil
Dreptul de rectificare sau de stergere a datelor (dreptul de a fi uitat) – la solicitarea persoanei vizate, in conditiile legii, se pot efectua rectificari ale datelor sau chiar stergerea acestora din sistemul de evidenta al FOCUS DEVELOPMENT SRL
Drepturi legate de procesul decizional automat si crearea de profiluri – in cazul automatizarii unor procese, FOCUS DEVELOPMENT SRL va lua toate masurile necesare in vederea limitarii la maxim a potentialelor efecte negative ce ar putea aparea din prelucrarea automata a datelor cu caracter personal.
Incidentele privind datele cu carcater personal:
In cazul aparitiei unor incidente ce privesc datele cu caracter personal, FOCUS DEVELOPMENT SRL va proceda deindata la notificarea persoanelor vizate si aplicarea unor masuri sau planuri de contingenta pentru limitarea efectelor.
Toate comunicarile in acest sens si relationarea cu autoritatile si partile implicate se vor realiza cu respectarea legii si considerarea drepturilor persoanelor vizate.
DPO – Data Protection Officer:
Pentru conformarea la cerintele legale si asigurarea unui cadru optim de operare pe linia datelor cu caracter personal, in cadrul FOCUS DEVELOPMENT SRL se va utiliza expertiza externa pentru auditarea, implementarea, monitorizarea / supervizarea, reglarea si imbuntatirea cadrului intern privind modul de culegere si prelucrare a datelor cu caracter personal.
Specialistul DPO poate fi accesat in mod direct la adresa de mail office@focusdevelopment.ro sau prin cutia cu RECLAMATII, SUGESTII, PROPUNERI de la sediul FOCUS DEVELOPMENT SRL.
Modificarea politicii generale de protectie a datelor cu caracter personal si a celorlalte documente asociate
Ca orice document, si Politica generala de protectie a datelor cu caracter personal si documentele asociate acesteia pot face obiectul unor revizii. In cazul in care acest lucru va avea loc, vom proceda la notificarea oportuna a tuturor persoanelor vizate precum si prin afisarea in locuri vizibile la sediul societatii sau in mediul online.
De asemenea, toate modificarile vor mentiona exact data la care intra in vigoare si vor avea marcate elementele ce au facut obiectul revizuirii.
Daca nu sunteti de acord cu modificarile la politicile noastre pe linie de protectie a datelor cu carcater personal puteti in orice moment sa renuntati la serviciile furnizate.