Professional Documents
Culture Documents
0.politica Interna Prelucrare A Datelor - V1 - 2021
0.politica Interna Prelucrare A Datelor - V1 - 2021
ÎN VIGOARE
De la: _____________
POLITICA
OPERATORUL: ________________________
Adresa: _________________________________
CUPRINS
1|
CAPITOLUL 1. OBIECTIVE ȘI SCOP
CAPITOLUL 2. DOMENIUL DE APLICARE
CAPITOLUL 3. TERMENI ŞI DEFINIŢII
CAPITOLUL 4. LEGISLAȚIE. DOCUMENTE DE REFERINŢĂ
CAPITOLUL 5. PRINCIPIILE PRELUCRĂRII DATELOR
CAPITOLUL 6. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU
CARACTER PERSONAL
CAPITOLUL 7. DREPTURILE PERSOANEI VIZATE
CAPITOLUL 8. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE ÎN BAZA
UNUI CONTRACT DE PRESTĂRI SERVICII
CAPITOLUL 9. SECURITATEA DATELOR CU CARACTER PERSONAL. INCIDENTE DE
SECURITATE ÎN DOMENIUL PROTECȚIEI DATELOR
CAPITOLUL 10. IMPLEMENTARE
2|
CAPITOLUL 1. OBIECTIVE ȘI SCOP
1.1. OBIECTIVE
Obiectivele generale ale politicii privind protecția datelor cu caracter personal sunt:
● Reducerea impactului negativ al unor potențiale riscuri privind protecția datelor cu caracter
personal asupra activității REI GRUP;
1.2. SCOP
Politica de protecție a datelor cu caracter personal are ca scop stabilirea cadrului de
reglementare internă a activităților și fluxurilor care implică prelucrări de date cu caracter
personal, precum și asigurarea conformității cu normele și regulamentele în vigoare
aplicabile.
3|
Astfel, Operatorul asigură:
● Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate
de către Operator și ale angajaților săi, în conformitate cu prevederile legale;
Respectarea prevederilor prezentei politici este obligatorie pentru întreg personalul REI
GRUP, temporar și/sau permanent, precum și pentru toți colaboratorii și subcontractanții care
lucrează în numele REI GRUP.
Aceasta politică este completată de politici și proceduri suplimentare ale REI GRUP și
acte interne care prevăd aspecte specifice cu privire la protecția datelor.
În cazul în care un angajat, indiferent de statutul său, are cunoștință de legi sau reglementări
care îl împiedică să respecte această politică sau de orice încălcare a prezentei Politici,
inclusiv cu referire la încălcarea securității datelor, acesta va informa imediat responsabilul cu
protecția datelor din cadrul REI GRUP – RPD sau superiorul ierarhic, care va avea sarcina
informării conducerii.
4|
Operatorul - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care,
singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal.
Împuternicit - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care
prelucrează datele cu caracter personal în numele REI GRUP.
Persoana autorizată – Operatorul sau Împuternicitul sau persoanele care, sub autoritatea
directă a REI GRUP sau a Împuternicitului, sunt autorizate să prelucreze Date.
Parte Terță - o persoană fizică sau juridică, autoritate publică, agenție sau organism altul
decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care,
sub directa autoritate a REI GRUP sau a persoanei împuternicite de operator, este autorizată
să prelucreze date cu caracter personal.
Date cu caracter personal (DCP sau Date) - orice informație referitoare la o persoană fizică
identificată sau identificabilă (persoana vizată); exemple de date cu caracter personal: nume,
prenume, data nașterii, locul nașterii, CNP, adresa de domiciliu, adresă de reședință, număr
de telefon, adresa de e-mail, cont bancar, funcție, post, fotografii, seria și numărul cărții de
identitate, pașaportului și/sau permisului de conducere, semnătura olografă sau electronică;
alte DCP din formulare; date privind sănătatea; informații financiare din statele de plata sau
din documentele financiar-contabile; identificatori online (IP, nume de utilizator); date de
localizare GPS, fotografii, imaginile video, înregistrările sonore, unul sau mai mulți factori
specifici - fizic, fiziologic, genetic, mental, economic, cultural sau social al unei persoane
fizice etc.
Categorii speciale de date cu caracter personal (date sensibile) – orice informație care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile
filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea
unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau
orientarea sexuală ale unei persoane fizice.
5|
3.3. Persoane vizate. Categorii speciale de persoane vizate
Persoana vizată - o persoană fizică identificabilă, care poate fi identificată, direct sau
indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente
specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale.
⮚ _______________________________________________________
6|
Restricționarea prelucrării – marcarea datelor cu caracter personal stocate cu scopul de a
limita prelucrarea viitoare a acestora;
Creare de profiluri – orice formă de prelucrare automată a datelor cu caracter personal care
constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale
referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind
performanța la locul de muncă, situația economică, sănătatea, preferințele personale,
interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau
deplasările acesteia;
3.5. Abrevieri:
RPD – responsabilul cu protecția datelor – este persoana angajată în cadrul REI GRUP sau
persoana fizică sau juridică care a încheiat cu Operatorul un contract de prestării servicii
specifice de responsabil cu protecția datelor și care îndeplinește atribuțiile specifice.
Identitatea și datele de contact ale RPD sunt aduse la cunoștința angajaților și comunicate
persoanelor vizate.
7|
● Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private
în sectorul comunicațiilor electronice;
● Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a
acestor date și de abrogare a Directivei 95/64/EC (Regulamentul General privind protecția
datelor).
● Legea nr. 53/2003 – Codul Muncii;
● Constituția României – art. 26 – Viața intimă, familială și privată;
● Standardul ISO/IEC 27001;
Orice informare sau solicitare privind aspecte în legătură cu protecția datelor personale, se
va efectua către acesta la adresa de e-mail dedicată ( dpo@reigrup.ro )
Independența:
● RPD poate „îndeplini și alte sarcini și atribuții”, doar dacă „niciuna dintre aceste
sarcini și atribuții nu generează un conflict de interese”.
● RPD nu poate deține o funcție în cadrul organizației, prin care să stabilească
scopurile și mijloacele de prelucrare a datelor cu caracter personal.
8|
● Se află în conflict de interese și nu pot fi desemnate ca RPD persoanele care ocupă
una dintre următoarele funcții în cadrul REI GRUP:
● funcțiile personalului de conducere de nivel superior (precum funcția de
director general, de director general administrativ, de director financiar, de șef
al serviciului de resurse umane sau de șef al departamentelor IT),
● alte roluri de rang inferior în organigramă dacă astfel de poziții sau roluri
conduc la stabilirea scopurilor și a mijloacelor de prelucrare.
Roluri și atribuții:
Sarcinile specifice:
DOCUMENTE EDITABILE:
9|
draft
● 5_Registru Date Personale - Model de
Registru de prelucrare a datelor și Instrucțiuni
de completare
6.1. Legalitate, echitate și transparență – datele vor fi prelucrate în mod legal, echitabil și
transparent față de persoana vizată.
6.2. Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite și
legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
Reducerea la minimum a datelor – datele vor fi adecvate, relevante și limitate la ceea ce
este necesar în raport cu scopurile în care sunt prelucrate. Destinatarii datelor personale vor
fi limitați ca număr, vor fi doar persoanele către care este necesară transmiterea în vederea
asigurării scopului prelucrării.
6.3. Exactitate – datele vor fi exacte și, în cazul în care este necesar să fie actualizate,
trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal
care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau
rectificate fără întârziere;
10 |
6.4. Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea
persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor
în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai
lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes
public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva
punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate;
6.5. Integritate, disponibilitate și confidențialitate – datele vor fi prelucrate într-un mod
care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva
prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;
11 |
Pentru îndeplinirea scopurilor anterior mentionate, Operatorul se va baza, în măsura în care
este necesar, și pe interesul său legitim în desfășurarea obiectului său de activitate din
domeniul …………….
1
În baza propunerilor si recomandărilor de RPD, se vor include și exemple concrete de cazuri
pentru temeiurile de la literele a-f din acest capitol
12 |
cererea persoanei vizate înainte de încheierea unui contract, inclusiv contracte sub
forma comenzii urmate de executare;
c. Obligație legală - prelucrarea este necesară în vederea îndeplinirii unei obligații
legale care îi revine REI GRUP;
d. Interese legitime - prelucrarea este necesară în scopul intereselor legitime urmărite
de Operatorul sau de o parte terță, cu excepția cazului în care prevalează interesele
sau drepturile și libertățile fundamentale ale persoanei vizate.
e. Interes vital - prelucrarea este necesară pentru a proteja interesele vitale ale
persoanei vizate sau ale altei persoane fizice.
f. Interes public - prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care rezultă din exercitarea autorității publice cu care
este învestit Operatorul.
● scopul în care se face Prelucrarea datelor, precum şi temeiul juridic (dacă prelucrarea
se face în temeiul intereselor legitime, se va face referire la acestea);
● informații despre existența unui proces decizional automatizat, dacă este cazul,
precum și informații utile legate de logica utilizată şi importanţa prelucrării;
● orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând
seama de specificul Prelucrării.
(a) într-un termen rezonabil după obținerea Datelor, dar nu mai mare de o lună, ținându-
se seama de circumstanțele specifice în care sunt prelucrate Datele;
(b) dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel
târziu în momentul primei comunicări către persoana respectivă;
(c) dacă se intenționează divulgarea Datelor către un alt destinatar, cel mai târziu la data
la care acestea sunt divulgate pentru prima oară.
Durata de Prelucrare este limitată în funcție de termenele de retenție ale datelor raportate la
scopul pentru care au fost colectate datele pentru activitățile de prelucrare.
14 |
g)date rezultate ca urmare a înregistrării video în cazul în care se utilizează spațiile
interioare și exterioare din cadrul campusului, date precum imagini vizuale, imagini faciale,
fotografii, capturi de ecran, asocierea dintre imaginile video si alte date cu caracter
personal prelucrate.
8.1.1. Prelucrarea datelor având ca temei executarea unui contract/demersuri
precontractuale
Temeiul juridic al prelucrării Datelor personale este reprezentat de contractul încheiat între
părți, de protejarea intereselor legitime urmărite de Operator (de ex., pentru desfășurarea de
activității periodice de analiza a percepției beneficiarilor (clienti) asupra activității desfășurate
de Operator și de identificare a nevoilor acestora spre îmbunătățirea serviciilor Operatorului).
● Datele prelucrate vor fi păstrate doar pe durata şi în măsura în care este necesar
pentru realizarea scopurilor menționate mai sus sau dacă există o obligație legală în
acest sens (spre exemplu, în cazul concursurilor cu premii). Pentru prelucrările de
date care necesită consimțământul Persoanei Vizate, datele vor fi prelucrate și
păstrate până la data retragerii consimțământului.
15 |
● Operatorul a informat Persoana vizată prin documente specifice de intrare în relație
cu Operatorul, iar persoana vizată și-a exprimat consimțământul expres și neechivoc
(obținut prin bifarea opțiunii „Da” în format letric sau în format electronic) pentru
primirea de comunicări din partea REI GRUP în astfel de scopuri.
● Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără
nicio justificare, ca Datele care o vizează să fie prelucrate în scop de marketing de
către Operator sau să fie transmise unor Terți (inclusiv din cadrul Grupului din care
face parte Operatorul) într-un asemenea scop.
DOCUMENTE EDITABILE:
Persoanele vizate în acest capitol sunt angajații permanenți și temporari ai REI GRUP,
precum și colaboratorii acestuia, potențialii angajați, alți beneficiari persoane fizice și
reprezentanții beneficiarilor persoane juridice.
16 |
d) informații privind compensațiile, bonusurile sau stimulentele și primele de
securitate socială (inclusiv sumele plătite, frecvența și moneda plăților);
e) informații privind beneficiiile (asigurări de sănătate, contribuții la pensie),
inclusiv informații despre persoanele aflate în întreținere și beneficiari;
f) istoricul profesional și educațional;
g) înregistrări ale performanței;
h) date organizatorice generale (departament, post, vechime);
i) date IT (parole, drept de acces, date utilizator);
j) imaginea video
k) alte informații divulgate voluntar de angajat.
Dintre datele sensibile, datele privind starea de sănătate vor fi prelucrate doar în scopul
respectării prevederilor Codului Muncii și doar cu consimțământul explicit și expres al
angajatului sau în cazul în care o astfel de prelucrare este autorizată în mod specific sau este
prevazută de lege.
Sub rezerva respectării cerințelor de protecție a Datelor, Operatorul poate prelucra Datele
angajatului în scopurile prevăzute mai jos:
17 |
conform reglementărilor în vigoare și scopuri de controale și/ sau răspuns la solicitarile venite
din partea autorităților, în scopuri de asigurare a continuității activității, a securității datelor în
sisteme și a documentelor, precum și a securității fizice în incintele noastre.
DOCUMENTE EDITABILE:
Din cauza caracterului lor, datele personale sensibile trebuie să fie prelucrate în conformitate
cu cele mai înalte standarde de securitate, iar accesul la respectivele date să fie limitat numai
la acei angajați care au nevoie de astfel de date pentru a-și îndeplini sarcinile de muncă.
18 |
8.5.1. Monitorizarea prin mijloace de supraveghere video:
● Prelucrarea vizează orice imagine care permite identificarea directă sau indirectă a
persoanelor fizice;
- ...
19 |
● Angajații vor fi informați la angajare, precum și ori de câte ori este cazul (spre
exemplu, dacă sunt introduse mijloace noi de supraveghere sau monitorizare), despre
monitorizarea prin mijloace de supraveghere video si elecronica .
● anterior implementării unor măsuri noi de supraveghere este necesară evaluarea
interesului legitim al REI GRUP și a impactului asupra protecției datelor cu caracter
personal, conform Procedurii privind evaluarea impactului asupra protecției datelor.
DOCUMENTE EDITABILE:
DOCUMENTE EDITABILE:
● Politica de confidențialitate
20 |
● Politica de cookies
DOCUMENTE EDITABILE:
În cazul în care este necesară prelucrarea manuală, accesul utilizatorilor se va face în baza
unei liste predefinite și aprobate anterior acordării accesului sau prin stabilirea atribuțiilor
specifice în fișa postului.
Documentele în format letric ce conțin Date vor fi păstrate în fișete sau dulapuri închise cu
cheie sau alt mecanism de securizare.
Datele prelucrate şi utilizate de Operatorul se vor stoca pe suport electronic sau arhiva pe
suport hârtie, pentru perioada necesară pentru realizarea scopurilor în care au fost colectate.
Retenția și ștergerea Datelor nu se poate realiza în afara prevederilor legale , care stabilesc
următoarele termene de păstrare a documentelor de resurse umane:
Operatorul va distruge, șterge sau anonimiza în mod sistematic orice Date care nu sunt
necesare pentru a fi reținute, îndeplinindu-și scopul pentru care au fost colectate.
Orice Persoană vizată are dreptul de a obține de la OPERATORUL, atunci când aceasta
acționează în calitatea sa de Operator, la cerere și în mod gratuit, confirmarea faptului că
datele care o privesc sunt sau nu prelucrate de aceasta, iar în caz afirmativ, se vor furniza
informațiile referitoare la: scopurile prelucrării; categoriile de date vizate; destinatarii sau
categoriile de destinatari ale datelor, în special destinatari din țări terțe sau organizații
internaționale; acolo unde este posibil, perioada pentru care se preconizează că vor fi
stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate
pentru a stabili această perioadă; existența unui proces decizional automatizat, precum și
informații pertinente privind logica utilizată și importanța preconizate ale unei astfel de
prelucrări pentru persoana vizată.
Persoana vizată are dreptul de a obține ștergerea datelor cu caracter personal care o
privesc, fără întârzieri nejustificate, iar OPERATORUL va avea obligația de a șterge datele
fără întârzieri nejustificate în cazul în care:
22 |
● datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau
prelucrate;
● persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea;
● datele trebuie șterse pentru respectarea unei obligații legale a REI GRUP OPERATORUL, în
calitate de operator de date; poate refuza cererea de ștergere a datelor în următoarele
condiții:
● prelucrarea este necesară pentru respectarea unei obligații legale aplicabile REI GRUP;
● prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în
instanță.
Persoana vizată are dreptul de a obține din partea REI GRUP restricționarea prelucrării în
următoarele cazuri:
● persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite REI GRUP să
verifice exactitatea datelor;
● prelucrarea este ilegală, dar persoana vizată se opune ștergerii datelor cu caracter personal,
solicitând în schimb restricționarea utilizării lor;
● OPERATORUL nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar
persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în
instanță;
● persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă
drepturile legitime ale REI GRUP prevalează asupra celor ale persoanei vizate.
23 |
● de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa
particulară, ca datele care o vizează sa facă obiectul unei Prelucrări, cu excepția cazurilor în
care există dispoziții legale contrare. În caz de opoziție justificată, Prelucrarea nu mai poate
viza datele în cauză decât dacă există motive legitime și imperioase care justifică prelucrarea
și care prevalează asupra drepturilor persoanei vizate sau dacă scopul este constatarea,
exercitarea sau apărarea unui drept în instanță;
● de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o
vizează să fie Prelucrate în scop de marketing direct, inclusiv în ceea ce privește crearea de
profiluri în acest scop.
● a primi datele cu caracter personal care o privesc și pe care le-a furnizat REI GRUP într-un
format structurat, utilizat în mod curent și care poate fi citit automat și
● a transmite aceste date altui operator, fără obstacole din partea REI GRUP căruia i-au fost
furnizate datele cu caracter personal, în cazul în care: (a) prelucrarea se bazează pe
consimțământ sau pe un contract; și (b) prelucrarea este efectuată prin mijloace automate.
În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele
sale să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din
punct de vedere tehnic.
În plus față de drepturile de mai sus, Persoana vizată mai are și următoarele drepturi:
DOCUMENTE EDITABILE:
24 |
CAPITOLUL 11. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE ÎN BAZA
UNUI CONTRACT DE PRESTĂRI SERVICII ÎNCHEIAT CU UN PRESTATOR/ FURNIZOR/
PARTENER
În cazul activităților de prelucrare a datelor în baza unui Contract de prestări servicii încheiat
între OPERATORUL și un prestator/ furnizor/ partener, este necesar să se respecte
următoarele condiții:
● contractul conține clauze specifice privind Prelucrarea Datelor, pentru următoarele situații:
c) În cazul în care prelucrarea presupune un transfer al Datelor în țări din afara SEE
care nu asigură un nivel adecvat de protecție, se va insera în contract clauza
referitoare la transfer.
● optarea pentru un prestator care prezintă garanții în ceea ce privește măsurile de securitate
tehnică și organizatorice cu privire la activitățile de prelucrare ce vor fi efectuate (locația
serverelor, locația de back-up, dacă este cazul etc.);
● să identifice dacă prestarea serviciilor ce fac obiectul contractului care urmează să fie
încheiat presupune un transfer de date în afara SEE;
DOCUMENTE EDITABILE:
25 |
un Operator
● Acord standard Acord standard cu privire la
protecția datelor cu caracter personal încheiat
de Operator cu un Împuternicit
12.1. Operatorul aplică măsurile tehnice și organizatorice adecvate pentru protejarea Datelor
împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului
neautorizat, în special dacă Prelucrarea respectivă comportă transmisii de date în cadrul unei
rețele, precum și împotriva oricărei alte forme de prelucrare ilegală. Aceste măsuri asigură un
nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă Prelucrarea,
precum și în ceea ce privește natura datelor care trebuie protejate.
Operatorul a reglementat prin Politica IT, precum și prin Procedura privind incidentele de
securitate, situațiile și soluțiile imediate aplicabile în cazul incidentelor de securitate, precum
și modalitățile de protejare adecvată a Datelor.
DOCUMENTE EDITABILE:
13.2 Această politică poate fi revizuită oricând. Notificările privind revizuirile sunt furnizate
prin canalele de comunicare uzuale din cadrul OPERATORUL.
26 |
Politica se completează cu Regulamentul de Ordine Interioară – Capitolul referitor la Norme
interne - Obligatii ale salariatilor privind protectia datelor personale.
DOCUMENTE EDITABILE:
27 |