APROBAT

Prin Decizia ____/__________

ÎN VIGOARE

De la: _____________

Până la: ____________

POLITICA

PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

OPERATORUL: ________________________

Adresa: _________________________________

CUPRINS

1|
CAPITOLUL 1. OBIECTIVE ȘI SCOP
CAPITOLUL 2. DOMENIUL DE APLICARE
CAPITOLUL 3. TERMENI ŞI DEFINIŢII
CAPITOLUL 4. LEGISLAȚIE. DOCUMENTE DE REFERINŢĂ
CAPITOLUL 5. PRINCIPIILE PRELUCRĂRII DATELOR
CAPITOLUL 6. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU
CARACTER PERSONAL
CAPITOLUL 7. DREPTURILE PERSOANEI VIZATE
CAPITOLUL 8. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE ÎN BAZA
UNUI CONTRACT DE PRESTĂRI SERVICII
CAPITOLUL 9. SECURITATEA DATELOR CU CARACTER PERSONAL. INCIDENTE DE
SECURITATE ÎN DOMENIUL PROTECȚIEI DATELOR
CAPITOLUL 10. IMPLEMENTARE

2|
 CAPITOLUL 1. OBIECTIVE ȘI SCOP

1.1. OBIECTIVE 

Obiectivul principal al politicii privind protecția datelor cu caracter personal este de a

asigura conformitatea cu legislația în domeniul protecției datelor cu caracter personal, de a
minimiza riscurile prin prevenirea incidentelor și reducerea impactului lor potențial.

Obiectivele generale ale politicii privind protecția datelor cu caracter personal sunt:

● Asigurarea demonstrării responsabilității REI GRUP privind protecția datelor cu caracter

personal, în special în ceea ce privește implementarea măsurilor tehnice și organizatorice
adecvate pentru asigurarea conformității cu prevederile legale aplicabile;

● Creșterea gradului de conștientizare a importanței protecției datelor cu caracter personal în

rândul angajaților și dezvoltarea competențelor profesionale ale angajaților în domeniul
protecției datelor cu caracter personal;

● Identificarea, analizarea și evaluarea realistă a riscurilor privind datele cu caracter personal;

● Reducerea impactului negativ al unor potențiale riscuri privind protecția datelor cu caracter
personal asupra activității REI GRUP;

● Îndeplinirea integrală a cerințelor privind protecția datelor cu caracter personal aplicabile

solicitate de parteneri contractuali, după caz;

● Asigurarea de planuri și resurse pentru asigurarea continuității și revenirea la activitatea

curentă în cazul unor situații de urgență;

● Asigurarea unor canale eficiente de notificare a ANSPDCP (Autoritatea Națională de

Supraveghere a Prelucrării Datelor cu Caracter Personal) și a persoanelor vizate privind
incidente de securitate în domeniul protecției datelor.

1.2. SCOP

Politica de protecție a datelor cu caracter personal are ca scop stabilirea cadrului  de
reglementare internă a activităților și fluxurilor care implică prelucrări de date cu caracter
personal, precum și asigurarea conformității cu normele și regulamentele în vigoare
aplicabile.

În acest sens, în activitatea de prelucrare a datelor cu caracter personal ale persoanelor

vizate, Operatorul asigură principiile de bază pe care le aplică atunci când prelucrează datele
personale ale beneficiarilor, reprezentanților beneficiarilor, furnizorilor și partenerilor
(persoane fizice, de exemplu reprezentanți legali, reprezentanți convenționali), angajaților și
altor persoane fizice și indică responsabilitățile departamentelor și angajaților săi cu privire la
prelucrările de date personale.

3|
 Astfel, Operatorul asigură:

● Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate
de către Operator și ale angajaților săi, în conformitate cu prevederile legale;

● Respectarea principiilor de protecția datelor în activitățile operaționale ale REI GRUP;

● Transparența în legătură cu categoriile de date cu caracter personal prelucrate în cadrul REI

GRUP, precum și în legătură cu scopurile prelucrărilor, destinatarii datelor cu caracter
personal;

● Respectarea drepturilor persoanelor vizate: dreptul la informare, dreptul de acces, dreptul la

rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la
portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii individuale
bazate exclusiv pe prelucrare automată, dreptul de a depune plângere la o autoritate de
supraveghere și dreptul de a se adresa justiției;

● Implementarea măsurilor tehnice și organizatorice adecvate pentru garantarea drepturilor și

libertăților persoanelor fizice.

CAPITOLUL 2. DOMENIUL DE APLICARE

Respectarea prevederilor prezentei politici este obligatorie pentru întreg personalul REI
GRUP, temporar și/sau permanent, precum și pentru toți colaboratorii și subcontractanții care
lucrează în numele REI GRUP.

Aceasta politică este completată de politici și proceduri suplimentare ale REI GRUP și
acte interne care prevăd aspecte specifice cu privire la protecția datelor.

În cazul în care un angajat, indiferent de statutul său, are cunoștință de legi sau reglementări
care îl împiedică să respecte această politică sau de orice încălcare a prezentei Politici,
inclusiv cu referire la încălcarea securității datelor, acesta va informa imediat responsabilul cu
protecția datelor din cadrul REI GRUP – RPD sau superiorul ierarhic, care va avea sarcina
informării conducerii.

CAPITOLUL 3. EXPLICAȚII CU PRIVIRE LA SEMNIFICAȚIA UNOR TERMENI

Termenii utilizați în cuprinsul Politicilor și procedurilor adoptate în domeniul protecției

datelor au următoarea semnificație:

3.1. Operator. Alte persoane implicate în prelucrare

Operatorul, persoana juridică cu sediul în ________________ , CUI _______________

Numar de Inregistrare la Registrul Comertului ___________________.

4|
Operatorul - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care,
singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal. 

Împuternicit - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care
prelucrează datele cu caracter personal în numele REI GRUP. 

Persoana autorizată – Operatorul sau Împuternicitul sau persoanele care, sub autoritatea
directă a REI GRUP sau a Împuternicitului, sunt autorizate să prelucreze Date. 

Parte Terță - o persoană fizică sau juridică, autoritate publică, agenție sau organism altul
decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care,
sub directa autoritate a REI GRUP sau a persoanei împuternicite de operator, este autorizată
să prelucreze date cu caracter personal.

Cu excepția cazurilor unde este indicat expres în documentul

de față, Operatorul este Operator de date cu caracter
personal.

3.2. Date cu caracter personal:

Date cu caracter personal (DCP sau Date) - orice informație referitoare la o persoană fizică
identificată sau identificabilă (persoana vizată); exemple de date cu caracter personal: nume,
prenume, data nașterii, locul nașterii, CNP, adresa de domiciliu, adresă de reședință, număr
de telefon, adresa de e-mail, cont bancar, funcție, post, fotografii, seria și numărul cărții de
identitate, pașaportului și/sau permisului de conducere, semnătura olografă sau electronică;
alte DCP din formulare; date privind sănătatea; informații financiare din statele de plata sau
din documentele financiar-contabile; identificatori online (IP, nume de utilizator); date de
localizare GPS, fotografii, imaginile video, înregistrările sonore, unul sau mai mulți factori
specifici - fizic, fiziologic, genetic, mental, economic, cultural sau social al unei persoane
fizice etc.

Categorii speciale de date cu caracter personal (date sensibile) – orice informație care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile
filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea
unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau
orientarea sexuală ale unei persoane fizice.

Număr de identificare național – numărul prin care se identifică o persoană fizică în

anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: codul numeric
personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de
conducere, numarul de asigurare socială de sănătate.

5|
3.3. Persoane vizate. Categorii speciale de persoane vizate

Persoana vizată - o persoană fizică identificabilă, care poate fi identificată, direct sau
indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente
specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale. 

În cadrul REI GRUP se pot prelucra date personale aparținând următoarelor

persoane vizate:

● Beneficiari, potențiali beneficiari, foști beneficiari și/sau reprezentanții

acestora, angajați – persoane fizice, pentru datele prelucrate în scopul
prestării serviciilor REI GRUP;

● Angajații și colaboratorii REI GRUP/membrii familiilor acestora - sau

candidații pentru diferite posturi de muncă- pentru datele prelucrate în
scopul gestionării de resurse umane;

● Vizitatori, angajați - pentru datele prelucrate în scopul monitorizării/

asigurării securității persoanelor, spatiilor si/ sau bunurilor publice/
private;

● Persoanele fizice, reprezentanți ai persoanelor juridice cu care

Operatorul intră în contact în calitate de parteneri / potențiali parteneri;

● Alte persoane vizate sunt: ( de ex voluntari,daca este cazul )

⮚ _______________________________________________________

3.4. Prelucrarea datelor cu caracter personal. Evidența prelucrării

Prelucrarea datelor cu caracter personal (Prelucrare) - orice operațiune sau set de

operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu
caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea,
înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în
orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Sistem de evidență a datelor cu caracter personal - orice set structurat de date cu

caracter personal accesibile conform unor criterii specifice, fie ele centralizate,
descentralizate sau repartizate după criterii funcționale sau geografice.

6|
 Restricționarea prelucrării – marcarea datelor cu caracter personal stocate cu scopul de a
limita prelucrarea viitoare a acestora;

Creare de profiluri – orice formă de prelucrare automată a datelor cu caracter personal care
constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale
referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind
performanța la locul de muncă, situația economică, sănătatea, preferințele personale,
interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau
deplasările acesteia;

Pseudonimizare – prelucrarea datelor cu caracter personal într-un asemenea mod încât

acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații
suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă
obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea
respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

3.5. Abrevieri:

ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter

Personal.

RPD – responsabilul cu protecția datelor – este persoana angajată în cadrul REI GRUP sau
persoana fizică sau juridică care a încheiat cu Operatorul un contract de prestării servicii
specifice de responsabil cu protecția datelor și care îndeplinește atribuțiile specifice.
Identitatea și datele de contact ale RPD sunt aduse la cunoștința angajaților și comunicate
persoanelor vizate.

RGPD - Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27

aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE

CAPITOLUL 4. LEGISLAȚIE. DOCUMENTE DE REFERINŢĂ

● Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016

privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
● Avizul Grupului de Lucru Art. 29 nr. 2/2017;
● Avizul Grupului de Lucru Art. 29 nr. 6/2014 privind noțiunea de interese legitime aleREI
GRUP de date prevăzută la articolului 7 din Directiva 95/46/CE;
● Opinia nr. 2/2009 al Grupului de lucru art. 29 privind protecția datelor cu caracter personal
ale copiilor, (Orientări generale și cazul special al școlilor),
● Legislația secundara – decizii ANSPDCP;

7|
● Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private
în sectorul comunicațiilor electronice;
● Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a
acestor date și de abrogare a Directivei 95/64/EC (Regulamentul General privind protecția
datelor).
● Legea nr. 53/2003 – Codul Muncii;
● Constituția României – art. 26 – Viața intimă, familială și privată;
● Standardul ISO/IEC 27001;

CAPITOLUL 5. RESPONSABILUL CU PROTECȚIA DATELOR CU CARACTER

PERSONAL – RPD

Persoana responsabilă din cadrul REI GRUP cu gestionarea guvernanței și exercitarea

controlului asupra activității de prelucrare a datelor cu caracter personal este responsabilul
cu protecția datelor. 

Orice informare sau solicitare privind aspecte în legătură cu protecția datelor personale, se
va efectua către acesta la adresa de e-mail dedicată ( dpo@reigrup.ro )

În absența acestei persoane și în orice situație în care informarea acesteia nu a fost

posibilă, angajații vor transmite către managerul REI GRUP care va avea sarcina informării
conducerii.

Desemnarea RPD și informații despre rolul și atribuțiile acestuia, precum și coordonatele de

contact vor fi aduse la cunoștința tuturor angajaților.

Independența:

În îndeplinirea sarcinilor sale, RPD nu trebuie să primească instrucțiuni privind modul de

abordare a unei probleme, de exemplu, ce rezultat ar trebui obținut, cum se examinează o
plângere sau dacă să fie consultată ANSPDCP.

În plus, acesta nu trebuie să primească instrucțiuni pentru a adopta un anumit punct de

vedere cu privire la un aspect legat de legislația privind protecția datelor, de exemplu, să
ofere o anumită interpretare a legii.

Evitarea conflictului de interese:

● RPD poate „îndeplini și alte sarcini și atribuții”, doar dacă „niciuna dintre aceste
sarcini și atribuții nu generează un conflict de interese”.
● RPD nu poate deține o funcție în cadrul organizației, prin care să stabilească
scopurile și mijloacele de prelucrare a datelor cu caracter personal.

8|
 ● Se află în conflict de interese și nu pot fi desemnate ca RPD persoanele care ocupă
una dintre următoarele funcții în cadrul REI GRUP:
● funcțiile personalului de conducere de nivel superior (precum funcția de
director general, de director general administrativ, de director financiar, de șef
al serviciului de resurse umane sau de șef al departamentelor IT),
● alte roluri de rang inferior în organigramă dacă astfel de poziții sau roluri
conduc la stabilirea scopurilor și a mijloacelor de prelucrare.

Roluri și atribuții:

● RPD este invitat să participe în mod regulat la reuniunile de la nivelul personalului de

conducere de nivel superior și mediu.
● Prezența acestuia este recomandată în cazul în care se iau decizii cu implicații
asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise RPD în
timp util, pentru a-i permite acestuia să ofere îndrumări corespunzătoare.
● În cazul unui dezacord între Operator și RPD în chestiuni care privesc protecția
datelor, este necesară documentarea motivelor pentru care nu se respectă avizul
RPD.
● RPD trebuie să fie consultat imediat după producerea unei încălcări a securității
datelor sau apariția unui alt incident.

Sarcinile specifice:

● Monitorizarea conformității cu RGPD - RPD acordă asistență REI GRUP sau

persoanei împuternicite de operator pentru monitorizarea conformității, la nivel intern,
cu RGPD. În cadrul acestor sarcini de monitorizare a conformității, RPD poate:
○ să colecteze informații pentru identificarea activităților de prelucrare
○ să analizeze și să verifice conformitatea activităților de prelucrare
○ să informeze, să îndrume și să emită recomandări pentru Operator sau
pentru persoanele împuternicite de către Operator.
● Acordă asistență și furnizează consiliere de specialitate în evaluarea impactului
asupra protecției datelor derulate de Operator
● Cooperează cu ANSPDCP și își asumă rolul de punct de contact
● Are o abordare bazată pe risc - ține seama în mod corespunzător de riscul asociat
operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare,
contextul și scopurile prelucrării”.
● RPD creează inventare și țin un registru al operațiunilor de prelucrare pe baza
informațiilor puse la dispoziția lor de către diferitele departamente din cadrul
organizației lor, care sunt responsabile cu prelucrarea datelor cu caracter personal.

DOCUMENTE EDITABILE:

● 5.1_Anexa_DPO - Fișa date de contact RPD -

9|
 draft
● 5_Registru Date Personale - Model de
Registru de prelucrare a datelor și Instrucțiuni
de completare

CAPITOLUL 6. PRINCIPIILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Domeniul de activitate al REI GRUP:

Cod CAEN: .........................................

Cod CAEN: .......................................

Prelucrarea datelor cu caracter personal se supune următoarelor principii:

6.1. Legalitate, echitate și transparență – datele vor fi prelucrate în mod legal, echitabil și
transparent față de persoana vizată.

● Temeiul legal al tuturor proceselor de prelucrare a datelor personale este asigurat de

legislația specifică în materie, respectiv Regulamentul RGPD, împreună cu
prevederile Codului Muncii și ale Constituției, precum și prevederile legislației
secundare aplicabile în domeniul de activitate al REI GRUP.
● Principiul echității se aplică în sensul în care toate activitățile de prelucrare a datelor
personale, indiferent de categoria de persoane asupra cărora se aplică, tratează cu
același respect și în aceleași condiții de deplină echitate persoanele vizate și datele
personale ale acestora.
● În ceea ce privește transparența, aceasta se reflectă în faptul că toate și orice
informații și comunicări cu privire la prelucrarea datelor personale sunt întocmite într-
un limbaj simplu și clar, accesibil oricărei persoane.

6.2. Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite și
legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
Reducerea la minimum a datelor – datele vor fi adecvate, relevante și limitate la ceea ce
este necesar în raport cu scopurile în care sunt prelucrate. Destinatarii datelor personale vor
fi limitați ca număr, vor fi doar persoanele către care este necesară transmiterea în vederea
asigurării scopului prelucrării.

6.3. Exactitate – datele vor fi exacte și, în cazul în care este necesar să fie actualizate,
trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal
care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau
rectificate fără întârziere;

10 |
6.4. Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea
persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor
în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai
lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes
public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva
punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate;
6.5. Integritate, disponibilitate și confidențialitate – datele vor fi prelucrate într-un mod
care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva
prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;

6.6. Responsabilitate – datele vor fi prelucrate cu respectarea principiilor sus-menționate,

iar responsabilitatea cu privire la respectarea acestor principii revine REI GRUP.

CAPITOLUL 7. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU

CARACTER PERSONAL

7.1. Scopurile prelucrării:

Operatorul prelucrează date cu caracter personal în următoarele scopuri:

7.1.1. În vederea îndeplinirii obligațiilor legale

Operatorul prelucrează datele cu caracter personal pentru:

● îndeplinirea obligațiilor legale ce revin REI GRUP în relația cu beneficiarii și

reprezentanții acestora în exercitarea actului de [........];
● îndeplinirea obligațiilor legale ce revin în sarcina REI GRUP, ca angajator în relația
acesteia cu angajații;
● îndeplinirea obligațiilor impuse de autorități cu atribuții legale în domeniul ……..;
● îndeplinirea obligațiilor de păstrare a documentelor fiscale și de evidență contabilă;
● cunoașterea beneficiarilor în vederea prevenirii spălării banilor și combaterii finanţării
terorismului;
● prevenirea fraudelor;
● realizarea de audituri și investigatii interne;
● gestiune administrativ–financiară;
● gestionarea conflictelor de interese;
● gestionarea controalelor efectuate de autorităţi;
● asigurarea securităţii în incintele REI GRUP;
● păstrarea, depozitarea (premergătoare arhivării) și arhivarea documentelor;
● implementarea măsurilor de securitate a datelor cu caracter personal.

11 |
Pentru îndeplinirea scopurilor anterior mentionate, Operatorul se va baza, în măsura în care
este necesar, și pe interesul său legitim în desfășurarea obiectului său de activitate din
domeniul …………….

7.1.2. În vederea încheierii și executării contractului:

● pentru derularea și gestionarea relației contractuale cu beneficiarii serviciilor de

[........], în vederea prestării serviciilor din sfera sa de activitate;
● derularea în bune condiţii a tranzacţiilor comerciale; gestionarea calitătii datelor;
● colectare de debite/recuperare creante și activitățile premergătoare acestora;
● constatarea, exercitarea sau apărarea unor drepturi ale REI GRUP în instanţă;
● gestionarea reclamaţiilor și sesizărilor primite cu privire la serviciile prestate de
Operator.

7.1.3. În vederea îndeplinirii intereselor legitime ale REI GRUP

În contextul desfășurării obiectului său de activitate, Operatorul prelucrează datele cu

caracter personal pentru:

● îmbunătățirea serviciilor, prin optimizarea fluxurilor și a reglementărilor interne

(inclusiv optimizarea costurilor și a bugetelor, adaptarea, perfecționarea și/sau
extinderea serviciilor în domeniul educațional), segmentarea beneficiarilor;
● proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice și a serviciilor IT
(inclusiv stocarea bazelor de date în țară sau în străinătate);
● reclamă, marketing online, marketing simplu/direct și publicitate;
● statistică; gestionarea reclamațiilor și sesizărilor;
● managementul organizației.

7.2. Temeiul legal al prelucrării:

Operatorul prelucrează datele personale în baza unuia dintre următoarele temeiuri

legale1:

a. Consimțământul - persoana vizată și-a dat consimțământul pentru prelucrarea

datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.
Consimţământul trebuie să fie în scris sau prin alte mijloace legale permise, persoana
vizată având dreptul de a-şi retrage oricând acordul asupra prelucrării datelor.
Consimțământ - orice manifestare de voință liberă, specifică, informată și lipsită de
ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau
printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie
prelucrate.
b. Executarea/Încheierea unui contract - prelucrarea este necesară pentru executarea
unui contract la care persoana vizată este parte sau pentru a face demersuri la

1
În baza propunerilor si recomandărilor de RPD, se vor include și exemple concrete de cazuri
pentru temeiurile de la literele a-f din acest capitol
12 |
 cererea persoanei vizate înainte de încheierea unui contract, inclusiv contracte sub
forma comenzii urmate de executare;
c. Obligație legală - prelucrarea este necesară în vederea îndeplinirii unei obligații
legale care îi revine REI GRUP;
d. Interese legitime - prelucrarea este necesară în scopul intereselor legitime urmărite
de Operatorul sau de o parte terță, cu excepția cazului în care prevalează interesele
sau drepturile și libertățile fundamentale ale persoanei vizate.
e. Interes vital - prelucrarea este necesară pentru a proteja interesele vitale ale
persoanei vizate sau ale altei persoane fizice.
f. Interes public - prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care rezultă din exercitarea autorității publice cu care
este învestit Operatorul.

7.3. Obligația de informare a persoanei vizate:2

În toate cazurile, anterior colectării și prelucrării datelor personale, Operatorul va informa

Persoana vizată despre:

● identitatea REI GRUP şi a reprezentantului acestuia, dacă este cazul;

● scopul în care se face Prelucrarea datelor, precum şi temeiul juridic (dacă prelucrarea
se face în temeiul intereselor legitime, se va face referire la acestea);

● existenţa dreptului de a-şi retrage consimțământul atunci când prelucrarea se

întemeiază pe consimțământ si nu mai există alt temei de prelucrare;

● destinatarii sau categoriile de destinatari ai datelor;

● dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le

furniza;

● existența drepturilor prevăzute de lege pentru Persoana vizată, precum şi condițiile în

care pot fi exercitate;

● intenţia de a transfera datele în afara SEE sau către o organizație internațională,

precum şi menționarea garanțiilor aplicabile. În acest caz, în conformitate cu cerinţele
UE privind protecţia datelor, un astfel de transfer este interzis în cazul în care ţara
importatoare de date, din afara SEE, nu asigură un nivel adecvat de protecţie, cu
excepţia următoarelor cazuri:

(a) persoana vizată și-a dat acordul pentru transferul propus;

(b) transferul este necesar pentru executarea unui contract între persoana vizată și
operatorul de date sau pentru punerea în aplicare a măsurilor precontractuale luate
ca răspuns la solicitarea persoanei vizate;
2
În baza propunerilor si recomandărilor de RPD, se vor include și exemple concrete de cazuri
când este necesară obligația de informare
13 |
 (c) transferul este necesar pentru încheierea sau executarea unui contract încheiat în
interesul persoanei fizice între operator și o terță parte;
(d) transferul este necesar sau cerut din punct de vedere juridic din motive de interes
public important sau pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
(e) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate
(f) exportatorul de date din SEE și importatorul de date din afara SEE au încheiat
clauzele contractuale standard ale Uniunii Europene ("Contractele-model"); sau

● perioada de stocare a datelor sau criteriile utilizate pentru a o determina;

● informații despre existența unui proces decizional automatizat, dacă este cazul,
precum și informații utile legate de logica utilizată şi importanţa prelucrării;

● orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând
seama de specificul Prelucrării. 

În cazul în care Operatorul nu obține datele direct de la Persoana vizată, Operatorul va

furniza acesteia informațiile prevăzute mai sus, cu respectarea următoarelor termene:

(a) într-un termen rezonabil după obținerea Datelor, dar nu mai mare de o lună, ținându-
se seama de circumstanțele specifice în care sunt prelucrate Datele;
(b) dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel
târziu în momentul primei comunicări către persoana respectivă;
(c) dacă se intenționează divulgarea Datelor către un alt destinatar, cel mai târziu la data
la care acestea sunt divulgate pentru prima oară.

Durata de Prelucrare este limitată în funcție de termenele de retenție ale datelor raportate la
scopul pentru care au fost colectate datele pentru activitățile de prelucrare.

CAPITOLUL 8. REGULI SPECIALE PRIVIND PRELUCRAREA DATELOR CU CARACTER

PERSONAL

8.1. Prelucrarea datelor beneficiarilor/clienților

OPERATORUL prelucrează următoarele tipuri de Date ale persoanelor vizate:

a) date personale de identificare ale reprezentanților legali: nume, prenume, cetățenia,

adresa, informațiile incluse în C.I./pașapoarte/permise de şedere, data naşterii, CNP,
adresa de domiciliu, adresa de corespondență, cod poștal, e-mail, telefon (e.g., fix, mobil,
fax), stare civilă, date financiare (informații legate de contul bancar;
b)date personale aferente unui profil general al clientului: nume, prenume, adresa de
email, numărul de telefon
c) documente medicale ale angajaților: date privind starea de sănătate,
d)datele completate în formularele de contact de pe situl web
e) date rezultate ca urmare a vizitelor la faţa locului si/ sau interviurilor;
f) fotografii;

14 |
g)date rezultate ca urmare a înregistrării video în cazul în care se utilizează spațiile
interioare și exterioare din cadrul campusului, date precum imagini vizuale, imagini faciale,
fotografii, capturi de ecran, asocierea dintre imaginile video si alte date cu caracter
personal prelucrate.
8.1.1. Prelucrarea datelor având ca temei executarea unui contract/demersuri
precontractuale

Operatorul va prelucra datele Persoanei Vizate în scopul executării contractului încheiat

între aceasta și Operator sau pentru efectuarea unor demersuri pre-contractuale la cerere.
(de exemplu, formulare de contact de pe situl web sau email).

Temeiul juridic al prelucrării Datelor personale este reprezentat de contractul încheiat între
părți, de protejarea intereselor legitime urmărite de Operator (de ex., pentru desfășurarea de
activității periodice de analiza a percepției beneficiarilor (clienti) asupra activității desfășurate
de Operator și de identificare a nevoilor acestora spre îmbunătățirea serviciilor Operatorului).

Interesul legitim urmărit este de a întreprinde demersuri în scopul îmbunătățirii constante a

serviciilor prestate beneficiarilor; operaționalizarea instrumentelor de comunicare puse la
dispoziția beneficiarilor și a terților în vederea transmiterii sesizărilor referitoare la încălcarea
de către salariații REI GRUP a reglementărilor RGPD.

Persoane vizate: beneficiari existenți și potențiali.

Reguli de prelucrare: Datele vor fi prelucrate în conformitate cu regulile stabilite prin

prezenta procedură, pe toată durata derulării contractului existent între părți.

8.1.2. Prelucrarea având ca temei consimțământul

Prelucrarea în scop de reclamă / marketing / publicitate. Utilizarea datelor cu caracter

personal ale angajaților în spațiul public sau prin intermediul mijloacelor de comunicare
(internet, TV, radio) în scopul promovării imaginii REI GRUP se poate face doar cu acordul
(consimțământul) prealabil clar exprimat al angajatului / reprezentanților legali ai angajatului.

Participarea Persoanelor Vizate (potențiali beneficiari, beneficiari, parteneri etc.) la programe

de loializare, concursuri, chestionare, sondaje, studii de satisfacție privind Operatorul,
primirea de diverse materiale promoţionale, tichete etc. presupune prelucrarea Datelor în
baza consimţământului expres acordat REI GRUP de Persoana Vizată anterior
transmiterii de oferte promoţionale.

8.1.3. Reguli comune de prelucrare a datelor beneficiarilor

● Datele prelucrate vor fi păstrate doar pe durata şi în măsura în care este necesar
pentru realizarea scopurilor menționate mai sus sau dacă există o obligație legală în
acest sens (spre exemplu, în cazul concursurilor cu premii). Pentru prelucrările de
date care necesită consimțământul Persoanei Vizate, datele vor fi prelucrate și
păstrate până la data retragerii consimțământului.

15 |
 ● Operatorul a informat Persoana vizată prin documente specifice de intrare în relație
cu Operatorul, iar persoana vizată și-a exprimat consimțământul expres și neechivoc
(obținut prin bifarea opțiunii „Da” în format letric sau în format electronic) pentru
primirea de comunicări din partea REI GRUP în astfel de scopuri. 

● Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără
nicio justificare, ca Datele care o vizează să fie prelucrate în scop de marketing de
către Operator sau să fie transmise unor Terți (inclusiv din cadrul Grupului din care
face parte Operatorul) într-un asemenea scop.

● Înaintea Prelucrării în scop de reclamă/marketing/publicitate, Operatorul va verifica să

existe consimțământul valabil al Persoanei vizate în acest sens pe toată durata
Prelucrării (de ex: Persoana vizată să nu își fi exercitat dreptul de opoziție). Anterior
inițierii oricăror prelucrări de date cu caracter personal ale beneficiarilor, altele decât
cele incluse în Registrul de activități de prelucrare a datelor cu caracter personal, se
va solicita avizul RPD, privind condițiile de legalitate a acestor prelucrări.

Prelucrarea datelor cu caracter personal în scopuri de marketing direct va înceta în cazul

în care persoana vizată solicită acest lucru.

DOCUMENTE EDITABILE:

● Model Consimțământ marketing

8.2. Prelucrarea datelor angajaților

Operatorul va prelucra Datele angajaților în vederea îndeplinirii obligațiilor legale și

contractuale, precum și pentru atingerea intereselor legitime în vederea îndeplinirii relațiilor
de muncă. În acest sens, neprelucrarea Datelor sau prelucrarea acestora într-un mod
necorespunzător (integral sau parțial) ar pune Operatorul în imposibilitatea de a-și îndeplini
unele sau toate obligațiile cu privire la relația de muncă.

Persoanele vizate în acest capitol sunt angajații permanenți și temporari ai REI GRUP,
precum și colaboratorii acestuia, potențialii angajați, alți beneficiari persoane fizice și
reprezentanții beneficiarilor persoane juridice.

8.2.1. OPERATORUL prelucrează următoarele tipuri de Date ale Angajaților:

a) datele de identificare (nume, prenume, CNP, număr telefon, date contact,

adresa domiciliu etc.);
b) data, locul nașterii și naționalitatea;
c) starea civilă;

16 |
 d) informații privind compensațiile, bonusurile sau stimulentele și primele de
securitate socială (inclusiv sumele plătite, frecvența și moneda plăților);
e) informații privind beneficiiile (asigurări de sănătate, contribuții la pensie),
inclusiv informații despre persoanele aflate în întreținere și beneficiari;
f) istoricul profesional și educațional;
g) înregistrări ale performanței;
h) date organizatorice generale (departament, post, vechime);
i) date IT (parole, drept de acces, date utilizator);
j) imaginea video
k) alte informații divulgate voluntar de angajat.

8.2.2.Prelucrarea Datelor sensibile ale Angajaților

Dintre datele sensibile, datele privind starea de sănătate vor fi prelucrate doar în scopul
respectării prevederilor Codului Muncii și doar cu consimțământul explicit și expres al
angajatului sau în cazul în care o astfel de prelucrare este autorizată în mod specific sau este
prevazută de lege.

8.2.3. Scopurile prelucrării Datelor Angajaților

Sub rezerva respectării cerințelor de protecție a Datelor, Operatorul poate prelucra Datele
angajatului în scopurile prevăzute mai jos:

a) gestionarea recrutării angajaților;

b) gestionarea funcțiilor de resurse umane;
c) administrarea salarizării, plata cheltuielilor, remunerației și altor beneficii ale
angajaților;
d) gestionarea comunicațiilor angajaților;
e) efectuarea de audituri și investigarea și soluționarea plângerilor, prejudiciilor sau
abaterilor;
f) pregătirea și acționarea în legătură cu anchetele, investigațiile și procedurile de către
autoritățile guvernamentale, administrative, judiciare sau de reglementare, inclusiv
litigiile civile;
g) monitorizarea angajaților pentru verificarea respectării procedurilor impuse,
investigarea și detectarea utilizării neautorizate a sistemului și prevenirea sau
detectarea infracțiunilor;
h) în legatură cu un potențial activ sau achiziție de acțiuni ale OPERATORUL sau
externalizarea sau incorporarea de servicii furnizate de angajați, furnizarea unui
material rezonabil de diligență către o terță parte sau îndeplinirea oricărei obligații de
dezvăluire conform legii;
i) orice alte scopuri legate de cele de mai sus.

De asemenea, datele sunt procesate şi stocate şi pentru îndeplinirea obligaţiilor legale de

documentare şi păstrare: în scopuri de gestiune financiar-contabilă, conform legislației
fiscale; în scopuri de audit intern sau audit financiar; în scopuri de raportare către autorități

17 |
conform reglementărilor în vigoare și scopuri de controale și/ sau răspuns la solicitarile venite
din partea autorităților, în scopuri de asigurare a continuității activității, a securității datelor în
sisteme și a documentelor, precum și a securității fizice în incintele noastre.

DOCUMENTE EDITABILE:

● Model Notă de informare către angajați

● Model Notă de informare către candidați

8.3.   Prelucrarea Datelor aparținând părților terțe

În cazul operațiunilor desfășurate de Operator cu părți terțe, Operatorul va obține

consimțământul persoanelor vizate și va furniza informațiile cu privire la Prelucrare anterior
inițierii oricăror prelucrări de Date.

8.4. Prelucrarea Datelor Sensibile

Prelucrarea datelor cu caracter personal sensibile trebuie să fie redusă la minimum și să se

aplice doar în limitele strict necesare. Este de preferat ca prelucrarea datelor personale cu
caracter sensibil să se facă în mod anonim sau ca date agregate, dacă acest lucru este
posibil.

Din cauza caracterului lor, datele personale sensibile trebuie să fie prelucrate în conformitate
cu cele mai înalte standarde de securitate, iar accesul la respectivele date să fie limitat numai
la acei angajați care au nevoie de astfel de date pentru a-și îndeplini sarcinile de muncă.

Colectarea şi prelucrarea datelor cu caracter personal având o funcţie de identificare de

aplicabilitate generală, inclusiv dezvăluirea acestora, prin efectuarea şi reţinerea de copii de
pe cartea de identitate sau de pe documente care le conţin, sunt interzise.
În cazul în care transmiterea copiei documentelor care atestă identitatea (carte de identitate,
pașaport, permis de conducere etc.) sau a datelor sensibile este absolut necesară,
transmiterea acestora se va face exclusiv prin e-mail (nu prin whatsapp sau prin alte
aplicatii de tip OTT “over the top technologies”), prin fișiere criptate și parolate, iar parola
de acces se va transmite fie printr-un e-mail separat, fie prin SMS la numărul de
contact al destinatarului, dacă acesta este cunoscut.

8.5.    Prelucrarea datelor și monitorizarea în cadrul REI GRUP

[A se reverifica si confirma sau adapta în funcție de mijloacele de supraveghere utilizate în

cadrul REI GRUP, dupa caz]

18 |
  8.5.1. Monitorizarea prin mijloace de supraveghere video:

● Are ca scop asigurarea pazei și protecției persoanelor, bunurilor și valorilor, a

imobilelor și a instalațiilor si echipamentelor REI GRUP si/sau folosite de Operator,
prevenirea și combaterea săvârșirii abaterilor, contravențiilor, infracțiunilor, precum și
a împrejmuirilor afectate acestora;

● Prelucrarea vizează orice imagine care permite identificarea directă sau indirectă a
persoanelor fizice;

● Camerele de supraveghere video sunt amplasate în locuri

vizibile și sunt semnalizate corespunzător prin autocolante
cu pictogramă, în incintele situate astfel:

- Poarta/porțile de acces în curtea REI GRUP;

- Ușile de acces în clădirea REI GRUP

- Culoarele de acces în birouri

- ...

● Camerele de supraveghere video captează și sunetul

ambiental – da/nu.

8.5.2. Monitorizarea sistemului informatic și monitorizarea comunicărilor

electronice în cadrul REI GRUP:

● Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice,

prevenirea și/sau detectarea fraudelor, preîntâmpinarea scurgerii informației care
conține informații confidențiale sau date cu caracter personal prin metoda excluderii
accesului neautorizat la aceasta; preîntâmpinarea distrugerii, modificării, copierii,
blocării neautorizate a datelor cu caracter personal în rețelele de  telecomunicații și
resursele informaționale; respectării cadrului normativ de folosire a sistemelor
informaționale și a programelor de prelucrare a datelor cu caracter personal;
asigurării caracterului complet, integru, veridic al datelor cu caracter personal în
rețelele de telecomunicații și resurselor informaționale; păstrării posibilităților de
gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal,
precum și protecția reputației REI GRUP. Prelucrările vizează doar datele de trafic și
datele de acces/transmitere a corespondenței. Cu toate acestea, accesarea
/monitorizarea datelor de conținut este realizată numai în circumstanțe excepționale
temeinic justificate precum și în cazurile determinate de necesitatea îndeplinirii unor
prevederi legale;

8.5.3. Reguli de prelucrare a datelor personale prin intermediul mijloacelor de

monitorizare:

19 |
 ● Angajații vor fi informați la angajare, precum și ori de câte ori este cazul (spre
exemplu, dacă sunt introduse mijloace noi de supraveghere sau monitorizare), despre
monitorizarea prin mijloace de supraveghere video si elecronica . 
● anterior implementării unor măsuri noi de supraveghere este necesară evaluarea
interesului legitim al REI GRUP și a impactului asupra protecției datelor cu caracter
personal, conform Procedurii privind evaluarea impactului asupra protecției datelor.

DOCUMENTE EDITABILE:

● Procedura evaluare impact asupra protectiei

datelor
● Model Raport de evaluare a interesului legitim
al angajatorului
● Exemplu – Raport de evaluare privind
impactul utilizării aplicației Zoom asupra
protecției datelor

8.6.    Prelucrarea datelor colectate prin intermediul website-urilor și managementul

acestor date

Website-urile vor fi gestionate în conformitate cu principiile prevăzute la art. 2 din prezenta

Politică.

Website-urile vor fi scanate periodic pentru identificarea și remedierea vulnerabilităților. Se

vor analiza periodic respectarea următoarelor obligații:

● Consimțământul utilizatorului privind utilizarea cookieurilor este obținut anterior

navigării
● Este asigurată posibilitatea tehnică de manifestare a consimțământului utilizatorului
pentru prelucrarea datelor personale colectate prin intermediul website-ului, în special
pentru prelucrarea în scop de marketing este
● Este asigurată posibilitatea tehnică de manifestare a consimțământului utilizatorului
pentru exercitarea drepturilor acestuia, în special dreptul de a fi uitat (posibilitatea de
ștergere a contului)
● Utilizatorii sunt corect și complet informați cu privire la prelucrarea datelor personale –
Politica de cookies și Politica de confidențialitate sunt disponibile pe website și
actualizate la fiecare 6 luni.

DOCUMENTE EDITABILE:

● Politica de confidențialitate

20 |
 ● Politica de cookies

CAPITOLUL 9. CERINȚELE MINIME DE SECURITATE A PRELUCRĂRII DE DATE CU

CARACTER PERSONAL

9.1. Prelucrarea automată de Date

Prelucrarea automată de Date se face în conformitate cu principiile stabilite prin Politica

generala de securitate a informațiilor (sau Politica IT).

DOCUMENTE EDITABILE:

● Politica generală de securitate a informațiilor

9.2. Prelucrarea manuală a Datelor

În cazul în care este necesară prelucrarea manuală, accesul utilizatorilor se va face în baza
unei liste predefinite și aprobate anterior acordării accesului sau prin stabilirea atribuțiilor
specifice în fișa postului.

9.3. Stocarea, procesarea, arhivarea, distrugerea Datelor

Documentele în format letric ce conțin Date vor fi păstrate în fișete sau dulapuri închise cu
cheie sau alt mecanism de securizare.

Datele prelucrate şi utilizate de Operatorul se vor stoca pe suport electronic sau arhiva pe
suport hârtie, pentru perioada necesară pentru realizarea scopurilor în care au fost colectate.

Retenția și ștergerea Datelor nu se poate realiza în afara prevederilor legale , care stabilesc
următoarele termene de păstrare a documentelor de resurse umane:

- Dosarele de personal, convențiile civile de prestări

servicii, contractele de muncă – 75 de ani de la
creare;
- Statele de plată ale angajaților – 50 de ani de la
crearea lor;
- Documentele societăților comerciale cu capital privat
– 50 de ani de la crearea lor;
21 |
 - Dosarele și evidențele medicale- 100 de ani de la
crearea lor;
- Registrele și documentele justificative și contabile se
păstrează 10 ani, cu începere de la data încheierii
exercițiului financiar în cursul căruia au fost
întocmite.

Operatorul va distruge, șterge sau anonimiza în mod sistematic orice Date care nu sunt
necesare pentru a fi reținute, îndeplinindu-și scopul pentru care au fost colectate.

Operatorul va deține un inventar al tuturor Datelor prelucrate și al echipamentelor pe care

respectivele Date sunt stocate/prelucrate.

CAPITOLUL 10. CERINȚELE MINIME DE SECURITATE A PRELUCRĂRII DE DATE CU

CARACTER PERSONAL

10.1. Dreptul de acces la Date

Orice Persoană vizată are dreptul de a obține de la OPERATORUL, atunci când aceasta
acționează în calitatea sa de Operator, la cerere și în mod gratuit, confirmarea faptului că
datele care o privesc sunt sau nu prelucrate de aceasta, iar în caz afirmativ, se vor furniza
informațiile referitoare la: scopurile prelucrării; categoriile de date vizate; destinatarii sau
categoriile de destinatari ale datelor, în special destinatari din țări terțe sau organizații
internaționale; acolo unde este posibil, perioada pentru care se preconizează că vor fi
stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate
pentru a stabili această perioadă; existența unui proces decizional automatizat, precum și
informații pertinente privind logica utilizată și importanța preconizate ale unei astfel de
prelucrări pentru persoana vizată.

10.2. Dreptul de rectificare

Persoana vizată are dreptul de a obține de la OPERATORUL, fără întârzieri nejustificate,

rectificarea datelor cu caracter personal inexacte care o privesc.

De asemenea, persoana vizată are dreptul de a obține completarea datelor cu caracter

personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

10.3. Dreptul la ștergerea datelor

Persoana vizată are dreptul de a obține ștergerea datelor cu caracter personal care o
privesc, fără întârzieri nejustificate, iar OPERATORUL va avea obligația de a șterge datele
fără întârzieri nejustificate în cazul în care:

22 |
● datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau
prelucrate;

● persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea;

● datele cu caracter personal au fost prelucrate illegal;

● persoana vizată își exercită dreptul la opoziție în condițiile RGPD;

● datele trebuie șterse pentru respectarea unei obligații legale a REI GRUP OPERATORUL, în
calitate de operator de date; poate refuza cererea de ștergere a datelor în următoarele
condiții:

● prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare și la informare;

● prelucrarea este necesară pentru respectarea unei obligații legale aplicabile REI GRUP;

● prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare

științifică sau istorică ori în scopuri statistice, în condițiile Regulamentului General pentru
Protecția Datelor, în măsura în care exercitarea dreptului poate face imposibilă sau să
afecteze în mod grav realizarea obiectivelor prelucrării respective;

● prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în
instanță.

10.4. Dreptul la restricționarea prelucrării

Persoana vizată are dreptul de a obține din partea REI GRUP restricționarea prelucrării în
următoarele cazuri:

● persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite REI GRUP să
verifice exactitatea datelor;

● prelucrarea este ilegală, dar persoana vizată se opune ștergerii datelor cu caracter personal,
solicitând în schimb restricționarea utilizării lor;

● OPERATORUL nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar
persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în
instanță;

● persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă
drepturile legitime ale REI GRUP prevalează asupra celor ale persoanei vizate.

 10.5. Dreptul de opoziție

Persoana vizată are dreptul:

23 |
● de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa
particulară, ca datele care o vizează sa facă obiectul unei Prelucrări, cu excepția cazurilor în
care există dispoziții legale contrare. În caz de opoziție justificată, Prelucrarea nu mai poate
viza datele în cauză decât dacă există motive legitime și imperioase care justifică prelucrarea
și care prevalează asupra drepturilor persoanei vizate sau dacă scopul este constatarea,
exercitarea sau apărarea unui drept în instanță;

● de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o
vizează să fie Prelucrate în scop de marketing direct, inclusiv în ceea ce privește crearea de
profiluri în acest scop.

10.6. Dreptul la portabilitatea datelor 

Persoana vizată are dreptul de:

● a primi datele cu caracter personal care o privesc și pe care le-a furnizat REI GRUP într-un
format structurat, utilizat în mod curent și care poate fi citit automat și

● a transmite aceste date altui operator, fără obstacole din partea REI GRUP căruia i-au fost
furnizate datele cu caracter personal, în cazul în care: (a) prelucrarea se bazează pe
consimțământ sau pe un contract; și (b) prelucrarea este efectuată prin mijloace automate. 

În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele
sale să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din
punct de vedere tehnic. 

În plus față de drepturile de mai sus, Persoana vizată mai are și următoarele drepturi:

● de a nu fi supusă unei decizii individuale bazată pe un sistem automatizat;

● de a se adresa justiției și ANSPDCP.

Operator a implementat o Procedura de soluționare a cererilor Persoanelor Vizate care

stabilește modalitatea de răspuns la solicitările persoanelor vizate cu privire la respectarea
drepturilor acestora, astfel cum sunt detaliate mai sus.

DOCUMENTE EDITABILE:

● Procedura de soluționare a cererilor

Persoanelor Vizate
● Model Registru de evidență a interacțiunii cu
persoanele vizate
● Formular de cerere pentru Persoanele Vizate

24 |
 CAPITOLUL 11. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE ÎN BAZA
UNUI CONTRACT DE PRESTĂRI SERVICII  ÎNCHEIAT CU UN PRESTATOR/ FURNIZOR/
PARTENER

 În cazul activităților de prelucrare a datelor în baza unui Contract de prestări servicii încheiat
între OPERATORUL și un prestator/ furnizor/ partener, este necesar să se respecte
următoarele condiții:

● contractul se încheie în scris;

● contractul conține clauze specifice privind Prelucrarea Datelor, pentru următoarele situații:

a) În cazul în care prestatorul are calitatea de Operator, în contract se vor insera

clauze standard.

b) În cazul în care prestatorul are calitatea de Împuternicit, în contract se vor insera

clauze specifice; În situația în care există dificultăți în stabilirea calității furnizorului de
Împuternicit, departamentele implicate se vor adresa și RPD.

c) În cazul în care prelucrarea presupune un transfer al Datelor în țări din afara SEE
care nu asigură un nivel adecvat de protecție, se va insera în contract clauza
referitoare la transfer.

În relațiile contractuale pe care OPERATORUL le are cu diverși prestatori/furnizori de

servicii, departamentele implicate în negocierea și încheierea contractelor trebuie să
aibă în vedere:

● optarea pentru un prestator care prezintă garanții în ceea ce privește măsurile de securitate
tehnică și organizatorice cu privire la activitățile de prelucrare ce vor fi efectuate (locația
serverelor, locația de back-up, dacă este cazul etc.);

● să identifice dacă prestarea serviciilor ce fac obiectul contractului care urmează să fie
încheiat presupune un transfer de date în afara SEE; 

● să introducă în contract clauzele specifice activităților de prelucrare de date cu caracter

personal comunicate de RPD sau de conducere, dacă nu a fost desemnat un RPD;

● să existe posibilitatea verificării conformității furnizorului cu privire la respectarea măsurilor de

protecție a datelor (verificarea documentelor, expertiză, audit etc);

● consultarea RPD sau a șefului de departament.

DOCUMENTE EDITABILE:

● Acord standard cu privire la protecția datelor

cu caracter personal încheiat de Operator cu

25 |
 un Operator
● Acord standard Acord standard cu privire la
protecția datelor cu caracter personal încheiat
de Operator cu un Împuternicit

CAPITOLUL 12. SECURITATEA DATELOR CU CARACTER PERSONAL. INCIDENTE DE

SECURITATE ÎN DOMENIUL PROTECȚIEI DATELOR

12.1. Operatorul aplică măsurile tehnice și organizatorice adecvate pentru protejarea Datelor
împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului
neautorizat, în special dacă Prelucrarea respectivă comportă transmisii de date în cadrul unei
rețele, precum și împotriva oricărei alte forme de prelucrare ilegală. Aceste măsuri asigură un
nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă Prelucrarea,
precum și în ceea ce privește natura datelor care trebuie protejate.

Operatorul a reglementat prin Politica IT, precum și prin Procedura privind incidentele de
securitate, situațiile și soluțiile imediate aplicabile în cazul incidentelor de securitate, precum
și modalitățile de protejare adecvată a Datelor.

DOCUMENTE EDITABILE:

● Procedura privind incidentele de securitate

● Model Registru privind incidentele de
securitate
● Formular notificare incidente către ANSPDCP

CAPITOLUL 13. IMPLEMENTARE

13.1. Această politică va fi pusă la dispoziția angajaților prin intermediul persoanelor

desemnate în acest sens de către conducerea REI GRUP, precum
sefilor/directorilor/managerilor de departamente din cadrul REI GRUP. De asemenea, terții
cu care OPERATORUL colaborează, indiferent de forma colaborării, vor fi informați de
existența acestei politici și de obligativitatea respectării ei prin mijloacele de notificare
considerate adecvate pentru fiecare categorie de colaboratori.

13.2 Această politică poate fi revizuită oricând. Notificările privind revizuirile sunt furnizate
prin canalele de comunicare uzuale din cadrul OPERATORUL.

26 |
Politica se completează cu Regulamentul de Ordine Interioară – Capitolul referitor la Norme
interne - Obligatii ale salariatilor privind protectia datelor personale.

DOCUMENTE EDITABILE:

● Regulament de Ordine Interioară – Capitolul

“Norme interne – Obligații ale salariaților
privind protecția datelor personale”

27 |