PROCEDURI PRIVIND DESFASURAREA ACTIVITATILOR DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
Consideratii introductive privind procedura de prelucrare a datelor cu caracter personal prin prisma Regulamentului nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracer personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE- denumit in continuare GDPR
CAR-BOY KIDLAND SRL cunoaste importanta prelucrarii datelor cu caracter personal si se angajeaza sa protejeze confidentialitatea si securitatea acestora prin respectarea GDPR.
Conform cerintelor GDPR privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestora date, CAR-BOY KIDLAND SRL administreaza in conditii de siguranta si numai pentru scopurile specificate, datele cu caracter personal pe care le prelucreaza in contextul desfasurarii obiectului de activitate.
Prezenta procedura se aplica prelucrarii datelor cu caracter personal efetuata total sau partial prin mijloace automatizate, precum si prelucrarii efectuate prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destiante sa faca parte dintr-un sistem de evidenta a datelor.
In sensul prezentei proceduri, se definesc urmatorii termeni:
- „date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- „prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu character personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
- „sistem de evidenta a datelor” inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
- „operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu character personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;
- „persoana imputernicita de operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
- „destinatar” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Cu toate acestea, autoritatile publice carora li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritatile publice respective respecta normele aplicabile in materie de protectie a datelor, in conformitate cu scopurile prelucrarii;
- „parte terta” inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
- „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;
- „incalcarea securitatii datelor cu caracter personal” inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
- ”autoritate de supraveghere vizata” inseamna o autoritate de supraveghere care este vizata de procesul de prelucrare a datelor cu caracter personal deoarece: (a) operatorul sau persoana imputernicita de operator este stabilita pe teritoriul statului membru al autoritatii de supraveghere respective; (b) persoanele vizate care isi au resedinta in statul membru in care se afla autoritatea de supraveghere respectiva sunt afectate in mod semnificativ sau sunt susceptibile de a fi afectate in mod semnificativ de prelucrare; sau (c) la autoritatea de supraveghere respectiva a fost depusa o plangere;
PARTEA I – PROCEDURI PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL ALE ANGAJATILOR OPERATORULUI
I.1. Aspecte privind evidenta datelor cu caracter personal ale salariatilor
1.Introducere
CAR-BOY KIDLAND SRL este o societatea specializata in activitati de comert avand obiectul principal de activitate 4649 din CAEN. In relatiile de munca datele cu caracter personal pot fi procesate daca este necesar pentru a initia, efectua si a inceta un Contract individual de munca. La initierea unei relatii de munca, datele personale ale solicitantilor pot fi procesate.
Prezentele Proceduri sunt menite sa asigure desfasurarea activitatii de prelucrare a datelor cu caracter personal de catre operatorul CAR-BOY KIDLAND SRL in conformitate cu Regulamentul nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (denumit in continuare GDPR)
Prezentele Proceduri au rolul de a organiza activitatea de prelucrare a datelor cu caracter personal desfasurata de operator cu respectarea principiilor de prelucrare instituite de GDPR la articolul 5.
2.Tipul de date cu caracter personal care fac obiectul prelucrarii
2.1. Operatorul de date cu caracter personal CAR-BOY KIDLAND SRL realizeaza prelucrarea datelor cu caracter personal numai pe teritoriul Romaniei neefectuandu-se transferuri de date catre alte state.
In executarea Contractelor Individuale de Munca operatorul colecteaza urmatoarele documente ale angajatilor prevazute in legislatia muncii incidenta: Copie Carte de Identitate, Copie Acte care justifica studiile angajatului, Adeverinta de la medicul de familie care sa confime ca angajatul este apt de munca, documente bancare ale angajatului.
In cazul in care angajatul arata ca are in intretinere alte persoane va mai prezenta Copiile actelor de identitate ale respectivelor persoane.
In vederea incheierii unui Contract Individual de Munca se colecteaza si date persoanale ale potentialilor angajati prin intermediul CV-urilor puse la dispozitia operatorului.
Pe parcursul derularii raporturilor de munca angajatul va mai prezenta Certificat de Concediu medical in masura in care este incidenta o asemenea situatie.
Datele cu caracter personal astfel colectate si ulterior prelucrate in vederea incheierii si executarii unui Contract Individual de Munca sunt: Numele, prenumele, adresa, Codul numeric personal, locul si data nasterii, seria si numarul Cartii de Identitate, numar telefon, date privind starea de sanatate, date privind situatia familiala, contul bancar al angajatului in vederea virarii salariului.
Dintre datele cu caracter personal prelucrate unele fac parte din categorii speciale de date cu caracter personal in intelesul art.9 din GDPR cum sunt datele biometrice pentru identificarea unica a persoanei si care sunt colectate prin intermediul Copiei dupa Cartea de Identitate sau dupa Actul de justificare a studiilor si care sunt solicitate in vederea incheierii Contractului de munca. Tot din categorii speciale fac parte si datele privind starea de sanatate colectate prin intermediul adeverintelor de la medic si Certiciatelor de concediu medical.
Prelucrarea datelor mentionate la art.9 din GDPR este autorizata de legislatia interna prevazandu-se garantii adecvate pentru respectarea drepturilor fundamentale si a intereselor angajatilor.
3.Scopul si temeiul prelucrarii
Datele cu caracter personal ale salariatilor sunt prelucrate in vederea incheierii si executarii unui Contract Individual de Munca la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui Contract Individual de munca.
Din aceasta perspectiva temeiul prelucrarii datelor personale ale salariatilor il reprezinta:
- necesitatea executarii contractului individual de munca ( art.6 alin.1 lit b din GDPR),
- necesitatea indeplinirii unei obligatii legale care revine operatorului ( art.6 alin.1 lit c din GDPR)
Cat priveste datele personale colectate in vederea unor posibile angajari dar care nu a mai avut loc temeiul prelucrarii prin stocare este reprezentat de consimtamantul persoanei vizate ( art.6 alin.1 lit a din GDPR).
Datele cu caracter personal ale salariatilor operatorului sunt prelucrate numai in scopurile definite si orice modificare ulterioara a scopului este posibila doar intr-o masura limitata si necesita o fundamentare solida.
4.Necesitatea prelucrarii
In acord cu scopurile si temeiurile prelucrarilor datelor cu caracter personal ale salariatilor operatorului, necesitatea acestor prelucrari are la baza pe de o parte incheierea contractului individual de munca, desfasurarea raportului de munca si incetarea acestora in conformitate cu legislatia incidenta precum si pentru a putea raspunde solicitarilor autoritatilor competente in cazul unor controale sau investigatii iar in ceea ce priveste datele personale colectate in vederea unor posibile angajari, acestea sunt prelucrate in procesul de selectie a viitorilor angajati ai operatorului.
In situatia persoanelor care nu sunt selectate prin procesul de recrutare pentru a ocupa o functie in cadrul operatorului, datele cu caracter personal prelucrate cu ocazia acestui proces sunt stocate ulterior doar in temeiul unui consimtamant expres din partea persoanei in cauza si pentru a putea participa in viitor la alte procese de recrutare desfasurate de operator. Persoanele care si-au oferit consimtamantul in vederea unei posibile viitoare participari la un proces de recrutare al operatorului pot fi contactate in acest sens doar in baza informatiilor personale pe care acestea le-au furnizat operatorului. Orice restrictii solicitate de persoanele vizate vor fi respectate cu strictete.
Datele cu caracter personal prelucrate in scopurile amintite sunt adecvate, relevante si limitate la ceea ce este necesar raportat la aceste scopuri respectandu-se astfel cerinta de la art.5 alin.1 lit c din GDPR.
5.Categorii de persoane vizate in activitatea de prelucrare a datelor personale
Se colecteaza date cu caracter personal aparatinand angajatilor operatorului prin incheierea unui contract individual de munca cu operatorul precum si datele personale ale persoanelor participante la un proces de recrutare organizat de operator.
6.Persoanele care prelucreaza datele cu caracter personal
Cele doua persoane responsabile din cadrul societatii operatorului vor colecta, inregistra, stoca, modifica, consulta, utiliza, restrictiona, sterge sau distruge datele cu caracter personal.
Datele cu caracter personal colectate cu ocazia incheiarii contractelor individuale de munca se vor transmite persoanei imputernicite in masura necesara indeplinirii atributiilor specifice acesteia.
7.Categorii de destinatari carora li se divulga datele personale prelucrate
Datele personale prelucrate in conditiile prezentate nu se divulga decat persoanelor imputernicite in vederea indeplinirii obligatiilor legale, altor autoritati si institutii publice in vederea indeplinirii unor obligatii legale incidente precum si autoritatilor publice la solicitarea expresa a acestora.
8.Transferul datelor personale colectate catre tari terte sau organizatii internationale
Datele personale prelucrate in conditiile prezentate nu fac obiectul unui transfer catre tari terte sau organizatii internationale.
9.Termene de pastrare/stocare a datelor cu caracter personal prelucrate
In conditiile in care potrivit Ordinului nr.2634/2015 al Ministerului Finantelor Publice privind documentele financiar contabile termenul de pastrare a statului de salarii este de 50 de ani, pe aceasta perioda se vor pastra si datele personale ale angajatilor prelucrate in vederea incheierii si derularii raporturilor de munca.
Arhivarea acestor documente se face atat pe suport de hartie cat si in format electronic. In masura in care datele personale sunt pastrate pe suport de hartie ca urmare a arhivarii documentelor care le contin, datele personale pastrate pe suport informatic vor si sterse imediat ce nu mai exista vreun motiv sau interes legitim de pastrare.
Pastrarea datelor cu caracter personal in contextul recrutarilor se pastreaza de persoana responsabila din cadrul operatorului de regula pana la finalul procesului de recrutare in cazul in care persoanele participante nu sunt angajate, daca nu s-a specificat o alta perioada de stocare stabilita in mod justificat. Cu toate acestea, cu consimtamantul expres al persoanei vizate datele personale ale acesteia vor putea fi stocate in baza de date a operatorului pentru urmatoarele procese de recrutare pe o durata rezonabila si agreata expres de persoana in cauza si care nu va depasi 3 ani.
Persoana responsabila din cadrul operatorului va verifica periodic datele cu caracter personal stocate si va asigura stergerea celor pentru care a expirat durata de stocare sau pentru care nu mai subzista scopul prelucrarii.
Anterior expirarii duratei prelucrarii, datele cu caracter personal vor putea fi sterse la cererea persoanei vizate in masura in care o astfel de solicitare este compatibila cu scopul prelucrarii si cu normele legale incidente.
10.Masuri tehnice si organizatorice de securitate
Datele cu caracter personal sunt colectate pe suport de hartie precum si pe suport informatic.
Datele cu caracter personal stocate pe suport de hartie sunt pastrate pe durata prevazuta de lege intr-un loc de depozitare special amenajat cu acces restrictionat doar in favoarea persoanei desemnate in acest sens.
Datele personale se colecteaza si pe suport informatic de catre persoana desemnata, care are user si parola de acces proprie; parolele se schimba o data la 3 luni. Parolele sunt siruri de caractere adecvate din punct de vedere al securitatii ca lungime si compozitie. La introducerea parolelor, acestea nu sunt afisate in clar pe monitor. Accesul la sistemul de evidenta este refuzat automat dupa 3 introduceri gresite ale parolei sau ale username-ului.
Orice persoana care primeste un username si o parola este obligat sa pastreze confidentialitatea acestora si sa raspunda in acest sens in fata operatorului.
Personalul autorizat va pastra confidentialitatea datelor cu caracter personal care sunt prelucrate in desfasurarea activitatii operatorului.
Datele cu caracter personal se transmit persoanei imputernicite care realizeaza operatiunile de prelucrare stabilite prin acord cu operatorul.
Datele cu caracter personal stocate pe server sunt criptate. Imprimarea datelor cu caracter personal se va realiza numai de utilizatori autorizati pentru aceasta operatiune de catre operator.
In caz de incident fizic sau tehnic operatorul va lua toate masurile necesare pentru a restabili disponibilitatea datelor si accesul la acestea in timp util.
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) operatorul va lua masuri care vor cuprinde printre altele interzicerea folosirii de catre persoanele autorizate a programelor software care provin din surse externe sau dubioase si implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice.
O data la 6 luni operatorul va lua masuri de testare a eficacitatii din punct de vedere tehnic si organizatoric a sistemului de stocare pentru a verifica eficacitatea masurilor de securitate.
Persoanele autorizate sunt instruite in vederea implementarii procedurii de protectie a datelor cu caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal.
Personalul autorizat care efectueaza operatiuni de prelucrare a datelor cu caracter personal este obligat sa inchida sesiunea de lucru atunci cand parasesc locul de munca.
De asemenea, operatorul isi va imbunatati in mod continuu politicile de securitate si procedurile interne, astfel incat sa asigure garantii suficiente impotriva incalcarilor GDPR si a legislatiei nationale privind protectia datelor cu caracter personal.
I.2. Proceduri concrete de prelucrare a datelor cu caracter personal
1.Procedura de colectare si inregistrare
Datele cu caracter personal se colecteaza cu ocazia recrutarii si ulterior incheierii contractului individual de munca.
Activitatile de prelucrare prin colectare constau in: primirea si evaluarea CV-urilor, initierea procedurilor de angajare, intocmirea contractului individual de munca, constituirea si analizarea dosarului de personal.
Datele astfel colectate se inregistreaza in sistemele de evidenta a operatorului de catre persoanele autorizate in acest scop. Procedura colectarii este realizata de catre persoanele autorizate din cadrul operatorului.
2.Procedurile de prelucrare ulterioare colectarii si inregistrarii
Ulterior colectarii datelor personale ca urmare a angajarii acestea sunt utilizate in vederea indeplinirii obligatiilor legale impuse de legislatia muncii sau cea fiscala.
In acest sens persoana imputernicita transmite datele persoanle ale angajatilor catre Revisal (pe baza unui user-name si parola de acces) precum si catre ANAF.
Tot in indeplinirea unor obligatii legale date personale ale salariatilor pot fi transmise si catre Casa de Asigurari de Sanatate.
La solicitarea persoanelor vizate persoanele imputernicite ale operatorului vor putea elibera acestora adeverinte care sa ateste vechimea in munca precum si adeverinte ce vor fi utilizate in relatia cu institutiile de credit.
Alte activitati de prelucrare a datelor persoale ale angajatilor pot fi: introducerea datelor cu caracter personal intr-un sistem de prelucrare intern al operatorului, prelucrarea concediilor medicale, preluarea analizelor medicale periodice, emiterea statelor de plata, intocmirea pontajelor, realizarea evaluarilor periodice, centralizarea rezultatelor cercetarii disciplinare, prelucrarea concediilor de odihna, introducerea dosarului in arhiva.
Toate procedurile ulterioare colectarii se realizeaza de persoana imputernicita si de persoanele autorizate din partea operatorului.
Datele persoanle ale angajatilor se transmit si catre persoana impueternicita care asigura servicii de asistenta juridica in vederea indeplinirii diverselor proceduri legale privind pe salariati.
Datele personale ale angajatilor se mai transmit si catre organele de excutare sau executorii judecatoresti obligatia in acest sens fiind impusa operatorului de legislatia incidenta
3.Procedurile de stergere/distrugere a datelor cu caracter personal
Dupa ce expira perioada de pastrare reglementata de prescriptiile legale incidente datele persoanle ale salariatilor sunt sterse in conditiile care sa asigure confidentialitatea acestora.
Astfel, datele personale pastrate pe suport de hartie sunt distruse ca urmare a distrugerii documentului care se contine printr-o procedura de tocare folosind un aparat specific.
Datele personale stocate pe suport informatic sunt sterse de pe mediile de stocare prin programe si procedure care nu pericliteaza siguranta acestora.
Datele personale vor fi sterse si la solcitarile persoanelor vizate in masura in care pastrarea respectivelor date nu este impusa de un interes legitim al operatorului sau de o prevedere legala in acest sens.
4.Masuri de interventie / recuperare date personale in cazul unor incidente fizice sau tehnice
In cazul unei brese de securitate, operatorul va lua masuri pentru limitarea pagubelor si pentru repararea prejudiciului produs.
Operatorul va recupera datele cu caracter personal scurse in cel mai scurt timp posibil prin utilizarea procedurii de “back-up a datelor” si va face o analiza a motivelor care au determinat incidentul pentru a lua masurile de siguranta necesare in vederea prevenerii unor asemenea brese de securitate pentru viitor.
I.3. Drepturile persoanelor vizate
1.Modalitatea in care persoanele vizate sunt informate referitor la drepturile pe care le au cu privire la datele personale furnizate operatorului/persoanei imputernicite
Angajatilor operatorului le sunt facute cunoscute drepturile relative la datele personale care le sunt solicitate prin intermediul contractelor de munca sau prin intermediul actelor aditionale la contractele de munca.
Pentru exercitarea drepturilor prevazute la pct. 2, persoana vizata poate adresa operatorului o cerere scrisa, datata si semnata. Orice solicitare va fi solutionata intr-un termen de 30 de zile. De asemenea, persoana vizata are dreptul de a se adresa autoritatii de supraveghere si instantelor de judecata cu privire incalcarea drepturilor sale.
In cazul in care, incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanei vizate, aceasta va fi informata fara intarziere nejustificata cu privire la aceasta incalcare.
Salariatii au un drept legal de acces la datele cu caracter personal care le apartin si pe care operatorul le detine. Acesta ar putea viza in mod special datele cu caracter personal legate de eventuale plangeri si probleme disciplinare, precum si datele obtinute prin intermediul monitoriziarii lor.
Operatorul va permite accesul la datele personale la solicitarea unui angajat dar are posibilitatea de a limita acest drept cu privire la unele date personale, in sensul de a nu face obiectul dreptului de acces, daca acest lucru ar ingreuna descoperirea savarsirii unei infractiuni sau a unei alte fapte de natura similara.
Cand se va permite accesul unui salariat la dosarul personal, operatorul va avea in vedere ca datele personale ale celorlati salariati sa nu fie afectate in vreun fel.
2.Drepturile persoanelor vizate
Drepturile care sunt facute cunoscute persoanelor vizate constau in:
2.1.Dreptul de acces al persoanei vizate (art.15 din GDPR).
Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
(a) scopurile prelucrarii;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate;
(d) perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
(e) dreptul de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
(f) dreptul de a depune o plangere in fata unei autoritati de supraveghere.
La cererea persoanei vizate operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. In cazul in care persoana vizata introduce cererea in format electronic si cu exceptia cazului in care persoana vizata solicita un alt format, informatiile sunt furnizate intr-un format electronic utilizat in mod curent.
2.2. Dreptul de rectificare privind datele cu caracter personal ale persoanei vizate (art. 16 din GDPR)
Persoana vizata are dreptul de a obtine de la operator, fara intarziere nejustificata rectificarea datelor cu caracter personal inexacte care o privesc. Tinandu-se seama de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.
2.3. Dreptul de stergere a datelor cu caracter personal ale persoanei vizate (art. 17 din GDPR)
Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea,
si nu exista niciun alt temei juridic pentru prelucrare;
(c) persoana vizata se opune prelucrarii si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea;
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla operatorul.
In cazul in care operatorul a facut publice datele cu caracter personal sau le-a transmis catre alti operatori si este obligat, in temeiul alineatului (1), sa le stearga, operatorul, tinand seama de tehnologia disponibila si de costul implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat stergerea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.
De asemenea, operatorul se obliga sa comunice fiecarei persoane catre care au fost divulgate date cu caracter personal orice rectificare sau stergere a datelor, sau restrictionare a prelucrarilor, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate. Operatorul informeaza persoana vizata cu privire la destinatarii respectivi daca aceasta solicita acest lucru.
Drepturile persoanei vizate mentionate in paragrafele anterioare nu subzista in masura in care prelucrarea este necesara:
(a) pentru exercitarea dreptului la libera exprimare si la informare;
(b) pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul;
(c) din motive de interes public in domeniul sanatatii publice
(d) pentru constatarea, exercitarea sau apararea unui drept in instanta.
2.4. Dreptul de restrictionare a prelucrarii datelor cu caracter personal ale persoanei vizate (art. 18 GDPR)
Persoana vizata are dreptul de a obtine din partea operatorului restrictionarea prelucrarii in cazul in care:
(a) persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor;
(b) prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor;
(c) operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta;
(d) persoana vizata s-a opus prelucrarii pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate.
In cazul in care prelucrarea a fost restrictionata in temeiul paragrafului anterior, astfel de date cu caracter personal pot, cu exceptia stocarii, sa fie prelucrate numai cu consimtamantul persoanei vizate sau pentru constatarea, exercitarea sau apararea unui drept in instanta sau pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
O persoana vizata care a obtinut restrictionarea prelucrarii este informata de catre operator inainte de ridicarea restrictiei de prelucrare.
2.5. Dreptul de portabilitate a datelor cu caracter personal ale persoanei vizate (art. 20 din GDPR)
Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat. De asemenea, persoana vizata are dreptul de a solicita operatorului trasmiterea acestor date unui alt operator fara obstacole.
2.6. Dreptul la opozitie a persoanei vizate (art. 21 GDPR)
In orice moment, persoana vizata are dreptul de a se opune, din motive legate de situatia particulara in care se afla prelucrarii datelor cu caracter personal. In acest caz, operatorul nu mai prelucreaza datele cu caracter personal, cu exceptia cazului in care operatorul demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta.
2.7. Dreptul persoanei vizate de a nu face obiectul unui proces individual automatizat, inclusiv crearea de profiluri (art.22 din GDPR)
Persoana vizata are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.
Paragraful anterior nu se aplica in situatia in care decizia bazata exclusive pe prelucrarea automata este necesara pentu incheierea sau executara unui contract intre persoana vizata si operator, daca decizia este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului si care prevede masuri corespunzatoare pentru protejarea drepturilor persoanei vizate sau are la baza consimtamantul explicit al persoanei vizate.
I.4 Incalcarea securitatii datelor cu caracter personal
In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul va notifica acest lucru Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (A.N.S.P.D.C.P), fara intarzieri nejustificate si daca este posibil in cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care drepturile si liberatile persoanelor fizice sunt puse in pericol.
In cazul in care notificarea nu are loc in termen de 72 de ore, aceasta este insotita de o explicatie motivata din partea operatorului. Persoana imputernicita de operator instiinteaza operatorul fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.
Notificarea adresata A.N.S.P.D.C.P. va contine:
(a)Descrierea caracterului incalcarii securitatii datelor cu character personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de date cu character personal in cauza.
(b)Numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii.
(c)Consecintele probabile ale incalcarii securitatii datelor cu caracter personal.
(d) Masurile luate sau propuse spre a fi luate de operator pentru a remedia problema incalcarii securitatii datelor cu character personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.
Atunci cand si in masura in care nu este posibil sa se furnizeze informatiile in acelasi timp, acestea pot fi furnizate in mai multe etape, fara intarzieri nejustificate.
Operatorul pastreaza documente referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, care cuprinde o descriere a situatiei de fapt in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse.
In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile si liberatile persoanelor fizice, operatorul informeaza persoana vizata fara intarzieri nejustitificate cu privire la aceasta incalcare.
Totusi, informarea nu este necesara in cazul in care este indeplinita una dintre urmatoarele conditii:
(a)Operatorul a implementat masuri tehnice si organizatorice adecvate, iar aceste masuri au fost aplicate in cazul datelor cu caracter personal afectate de incalcarea securitatii datelor cu character personal, in special masuri prin care se asigura ca datele cu character personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea.
(b)Operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat pentru drepturile si libertatile persoanelor vizate nu mai este susceptibil sa se materializeze.
(c)Daca ar necesita un efort disproportionat. In aceasta situatie, se efectueaza in loc o informare publica sau se ia o masura similara prin care persoanele vizate sunt informate intr-un mod la fel de eficace.
PARTEA II– PROCEDURI PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL PRIN INTERMEDIUL MAGAZINULUI ONLINE DE CATRE OPERATOR
II.1. Aspecte privind evidenta datelor cu caracter personal
1.Introducere
Operatorul de date cu caracter personal CAR-BOY KIDLAND SRL desfasoara activitati comerciale prin intermediul unui magazin online.
In desfasurarea activitatii sale, operatorul ofera spre vanzare online produse de siguranta, avertizare si delimitare si diferite alte produse de siguranta specifice.
Prezentele Proceduri au rolul de a organiza activitatea de prelucrare a datelor cu caracter personal desfasurata de operator cu respectarea principiilor de prelucrare instituite de GDPR la articolul 5.
2.Tipul de date cu caracter personal care fac obiectul prelucrarii
Operatorul de date cu caracter personal CAR-BOY KIDLAND SRL realizeaza prelucrarea datelor cu caracter personal numai pe teritoriul Romaniei neefectuandu-se transferuri de date catre alte state.
In vederea desfasurarii operatiunilor de vanzare online a produselor, a creearii contului, pentru servicii de marketing, pentru serviciul de chat operatorul colecteaza de la client (persoane vizate) urmatoarele date cu caracter personal: nume si prenume, adresa de domiciliu (doar in cazul in care persoana vizata achizitioneaza un produs), numar de telefon, adresa de email.
Totodata, operatorul colecteaza date cu caracter personal si prin intermediul formularului de contact care este disponibil pe pagina online a operatorului si a formularului de retur produse.
Operatorul colecteaza date personale referitoare la cardul persoanei vizate in calitatea acesteia de comparator. Plata cu card se face prin intermediul Netopia, operator care are implementate si respecta politicile GDPR asigurand astfel un grad de Securitate si confidentialitate fata de datele personale ale persoanelor vizate.
Se mai colecteaza date personale prin serviciul de cookies prin care se prelucreaza date referitoare la locatia si traficul efectuat pe site al clientilor, prin urmare operatorul colecteaza si date referitoare la activitatea online a persoanei vizate.
Operatorul CAR-BOY KIDLAND SRL nu prelucreaza date cu caracter personal incluse in categoriile speciale (art.9 din GDPR) si prin care se dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa, convingerile filozofice sau aparteneta la sindicate, date genetice, datele biometrice pentru identificarea unica a persoanei, date privind, viata sexuala sau orientarea sexuala a unei persoane fizice.
Operatorul nu colecteaza de la persoanele vizate codul numeric personal.
3.Scopul si temeiul prelucrarii
Datele cu caracter personal ale persoanelor vizate sunt prelucrate in scopul vanzarii produselor operatorului catre diverse persoane interesate care acceseaza magazinul online al operatorului.
Datele cu caracter personal sunt prelucrate in scop de marketing si in scopul solicitarii de informatii de la persoanele autorizate din cadrul operatorului prin intermediul serviciului de chat sau a formularului de contact.
3.1. Prelucrarea datelor personale realizata de operator este necesara in scopul vanzarii produselor solicitate de catre persoanele vizate.
- consimtamantul persoanei pentru prelucrarea datelor cu caracter personal (art. 6 alin.1 lit a din GDPR) pentru acest scop specificat
cat si
- necesitatea executarii contractului de vanzare ( art.6 alin.1 lit b din GDPR)
3.2. Prelucrarea datelor personale realizata de operator in vederea desfasurarii operatiunilor de marketing, a serviciilor de chat, a formularului de contact si a cookie-urilor:
In aceste conditii, temeiul prelucrarii datelor personale il constituie;
- consimtamantul persoanei pentru prelucrarea datelor cu caracter personal (art. 6 alin.1 lit a din GDPR) pentru acest scop specificat
cat si
- prelucrarea este necesară în scopul intereselor legitime urmarite de operator ( art.6 alin 1, lit. f din GDPR).
3.3. Operatorul asigura persoana vizata ca datele cu caracter personal care ii apartin si care au fost colectate vor fi prelucrate doar in scopurile mentionate si va informa persoana vizata asupra drepturilor sale.
4.Necesitatea prelucrarii
In acord cu scopurile si temeiurile prelucrarilor datelor cu caracter personal ale persoanelor vizate, necesitatea acestor prelucrari are la baza pe de o parte posibilitatea persoanelor vizate de a achizitiona produse cuprinse in magazinul online al operatorului. Pentru transmiterea comenzii, operatorul necesita solicitarea adresei de domiciliu a persoanei vizate in vederea transmiterii comenzii. Un eventual refuz din partea persoanei vizate ar determina imposibilitatea livrarii produselor solicitate.
In ceea ce priveste prelucrarea datelor cu caracter personal in vederea creeari contului in cadrul magazinului online, operatorul ofera persoanei vizate posibilitatea de a-si creea sau nu un cont, nefiind in acest sens conditionata de posibilitatea achizitionarii produselor din mediul online al operatorului.
De asemenea, in cazul in care persoana vizata isi exprima acordul, datele sunt necesare si pentru posibilitatea informarii persoanelor vizate cu privire la existenta diverselor promotii si reduceri oferite de operator.
In cazul in care persoana vizata solicita informatii de la operator acestea nu ar putea fi primite decat in cazul in care persoana vizata isi exprima acordul in acest sens.
Folosirea cookie-urilor este extrem de utilă mai ales pe situri web unde datele în timp real ale utilizatorului sunt critice. Fara utilizarea acestora in cadrul magazinului online, un potential client nu ar putea cumpăra nimic. Magazinul nu ar putea să –l identifice și să –i atribuie un coș de cumpărături fără acestea deoarece, de fiecare dată când incarca o nouă pagină, magazinul l-ar privi ca pe un nou utilizator și ar crea un nou coș.
Datele cu caracter personal prelucrate in scopurile amintite sunt adecvate, relevante si limitate la ceea ce este necesar raportat la aceste scopuri respectandu-se astfel cerinta de la art.5 alin.1 lit c din GDPR.
5.Categorii de persoane vizate in activitatea de prelucrare a datelor personale
Se colecteaza date pesonale apartinand clientilor magazinului online, care isi exprima consimtamantul, in vederea prelucrarii datelor cu caracter personal sau fata de care sunt aplicabile situatiile prevazute la art. 6 alin. 1 lit. b, f din GDPR .
6.Persoanele care prelucreaza datele cu caracter personal
6.1. Colectarea si inregistrarea datelor personale ale persoanelor vizate se realizeaza prin intermediul persoanelor autorizate din cadrul operatorului.
6.2. Activitatile de stocare, modifcare, extragere, consultare, utilizare, restrictionare, divulgare, stergere sau distrugere se realizeaza de operator prin persoanele autorizate in baza unei parole, proprii atribuite fiecarei persoane cu respectarea obligatiilor de confidentialitate impuse de GDPR.
6.3. Datele personale ale persoanelor vizate sunt transmise in vederea finalizarii operatiunilor de vanzare persoanei imputernicite care va livra produsul achizitionat de persoana vizata in conditii de siguranta si confidentialitate.
7.Categorii de destinatari carora li se divulga datele personale prelucrate
Datele personale prelucrate in conditiile prezentate nu se divulga decat la solicitarea autoritatilor publice sau a persoanelor imputernicite in vederea indeplinirii obligatiilor legale.
8.Transferul datelor personale colectate catre tari terte sau organizatii internationale
Datele personale prelucrate in conditiile prezentate nu fac obiectul unui transfer catre tari terte sau organizatii internationale.
9.Termene de pastrare/stocare a datelor cu caracter personal prelucrate
Persoanele vizate care si-au creeat un cont au posibilitatea de a-l sterge oricand doresc. Prin urmare, durata existentei contului si a datelor personale care-l cuprind depinde de solicitarea persoanei vizate.
In ceea ce priveste serviciile de marketing, datele personale pentru aceste servicii sunt stocate pana la momentul in care persoana vizata se va dezabona de la ofertele primite din partea operatorului. Operatorul oferind aceasta posibilitate persoanei vizate in cuprinsul fiecarui mail transmis sau SMS.
Datele personale din formularul de contact folosit de persoana vizata sunt transmise direct pe adresa de email a operatorului, prin urmare, acestea nu vor fi stocate in calculator in foldere separate, mailurile urmand a se sterge anual.
De asemenea, datele personale provenite din serviciile de chat precum nu se stocheaza pe calculator, ele se sterg anual.
Serviciul de cookie se sterge la fiecare 26 de luni.
Persoana autorizata va verifica periodic datele cu caracter personal stocate si va asigura stergerea celor pentru care a expirat durata de stocare sau pentru care nu mai subzista scopul prelucrarii.
Anterior expirarii duratei prelucrarii datele cu caracter personal vor putea fi sterse la cererea persoanei vizate.
10.Masuri tehnice si organizatorice de securitate
Datele cu caracter personal sunt colectate in special pe suport informatic, pe suport de hartie se vor prelucra date in vederea intocmirii facturilor.
Datele cu caracter personal stocate pe suport de hartie sunt pastrate pe durata prevazuta de lege intr-un loc de depozitare special amenajat cu acces restrictionat doar in favoarea persoanei desemnate in acest sens din partea operatorului pe baza de cheie.
Datele personale se colecteaza si pastreaza si pe suport informatic de catre operator si persoana imputernicita prin persoane autorizate in acest sens.
Parolele se schimba o data la 3 luni. Parolele sunt siruri de caractere adecvate din punct de vedere al securitatii ca lungime si compozitie. La introducerea parolelor, acestea nu sunt afisate in clar pe monitor. Accesul la sistemul de evidenta este refuzat automat dupa 3 introduceri gresite ale parolei sau ale username-ului.
Orice persoana care primeste un username si o parola este obligat sa pastreze confidentialitatea acestora si sa raspunda in acest sens in fata operatorului.
Ulterior datele personale se stocheaza pe un web server cu acces restrictionat, acesta fiind criptat si totodata nu poate fi accesat. Operatorul detine un contract cu titlu oneros pentru server-ul pe care il utilizeaza, acesta neaflandu-se in posesia operatorului.
Totodata, programul Windows utilizat de catre operator precum si programele antivirus sunt licentiate.
Datele cu caracter personal stocate pe server sunt criptate. Imprimarea datelor cu caracter personal se va realiza numai de utilizatori autorizati pentru aceasta operatiune de catre operator.
In caz de incident fizic sau tehnic operatorul va lua toate masurile necesare pentru a restabili disponibilitatea datelor si accesul la ele in timp util.
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) operatorul va lua masuri care vor cuprinde printre altele interzicerea folosirii de catre persoanele autorizate prevazute a programelor software care provin din surse externe sau dubioase si implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice.
O data la 6 luni operatorul la lua masuri de testare a eficacitatii din punct de vedere tehnic si organizatoric a sistemului de stocare pentru a verifica eficacitatea masurilor de securitate.
Persoanele autorizate sunt instruite in vederea implementarii procedurii de protectie a datelor cu caracter personal si ulterior, periodic, ori de cate ori intervin modificari si imbunatatiri ale acesteia.
Tot ca o masura de securitate pentru datele colectate prin intermediul magazinului online, operatorul detine un certificat de Securitate pentru domeniul ( certificat SSL).
De asemenea, operatorul isi va imbunatati in mod continuu politicile de securitate si procedurile interne, astfel incat sa asigure garantii suficiente impotriva incalcarilor GDPR.
II.2. Proceduri concrete de prelucrare a datelor cu caracter personal
1.Procedura de colectare si inregistrare
Magazinul online va avea in componenta un cont de client unde i se vor cere clientului datele personale. Aceste date personale se preiau pe partea de magazine online in vederea trimiterii produsului. Datele vor ramane in contul persoanei vizate pana cand acesta le va sterge (va sterge contul). Persoanele vizate au acces la datele persoanale care le apartin, pot sa le stearga, sa le modifice sau sa le descarce.
Plata produselor achizitionate se va face cu cardul si ramburs, prin urmare se vor colecta date legate de cardul bancar al persoanei vizate.
La accesarea magazinului online, persoana vizata are posibilitatea de a lua la cunostiinta prevederile referitoare la aplicarea GDPR (denumirea si datele de contact ale operatorului, drepturile acesteia, procedura in care aceasta si le poate exercita, termenul in care aceasta va primi un raspuns din partea operatorului, scopul pentru care ii sunt colectate datele personale, ce se intampla in cazul unei brese de Securitate). Persoana vizata va trebui sa aiba in vedere acordarea sau nu a consimtamantului distinct pentru: folosirea cookie-urilor, efectuarea unui cont, oferte promotionale si de marketing, accesarea formularului de contact, accesarea serviciilor de chat. Persoana vizata poate in acest fel sa isi acorde consimtamantul distinct pentru prelucrarile efectuate in diferite scopuri.
Persoana vizata nu este conditionata de creearea unui cont in vederea efectuarii unei comenzi online, aceasta putand achiztiona orice produs din cadrul magazinului online al operatorului fara a fi nevoita sa isi creeze cont.
Datele personale ale clientilor se colecteaza doar de persoane autorizate din partea operatorului care sunt instruite relativ la obligatiile care le revin in baza GDPR si care sunt prevazute in fisa postului fiecaruia.
Parolele persoanelor autorizate se schimba automat odata la 3 luni.
In cazul in care una dintre persoanele autorizate din cadrul operatorului isi inceteaza activitatea in cadrul societatii operatorului, id-urile si parolele la care aceasta a avut acces se vor schimba.
In cazul in care persoana vizata si-a dat distinct acordul cu privire la intocmirea creearea contului si cu privire la primirea diferitelor oferte promotionale care se vor desfasura in activitatea operatorului, operatorul nu va trimite acesteia oferte promotionale.
Totodata, persoana vizata, chiar daca si-a dat acordul cu privire la receptionarea ofertelor promotionale are posibilitatea de a se dezabona cu prilejul fiecarui mail sau SMS primit in acest sens.
Modulele cookie se folosesc prin Google analytics pentru a vedea locatia si traficul efectuat pe website de catre persoana vizata.
2.Procedurile de prelucrare ulterioare colectarii si inregistrarii
Persoana vizata care a achizitionat un anumit produs nu va trebui sa transmita operatorului si CNP-ul in vederea intocmirii facturii, dar va transmite adresa la care aceasta doreste sa-I fie livrat produsul. In vederea livrarii produsului operatorul contacteaza persoana imputernicita care are obligatii de confidentialitate si Securitate fata de datele cu caracter personal cu care intra in contact.
Dupa livrarea produsului persoana vizata poate sa soliciate returul acestuia prin completarea formularului de retur existent pe platforma magazinului online, in cuprinsul caruia isi va completa datele personale ( nume, prenume, telefon, adresa, numar comanda/factura).
3.Procedurile de stergere/distrugere a datelor cu caracter personal
Dupa ce expira perioada de pastrare ( potrivit legii) a documentelor care contin date personale acestea sunt distruse prin intermediul unui apparat de tocare.
Datele pastrate pe suport informatic se sterg prin stergerea contului de catre persoana vizata, prin stergerea mailurilor dintre operator si persoana vizata. Totodata, adresele de mail si numerele de telefon ale persoanelor vizate se vor sterge la solicitarea acestora prin dezabonare.
4.Masuri de interventie / recuperare date personale in cazul unor incidente fizice sau tehnice
In cazul unei brese de securitate, operatorul va lua masuri pentru limitarea pagubelor si pentru repararea prejudiciului produs.
Operatorul va recupera datele cu character personal scurse in cel mai scurt timp posibil prin utilizarea procedurii de “back-up a datelor” si va face o analiza a motivelor care au determinat incidentul pentru a lua masurile de siguranta necesare in vederea prevenerii unor asemenea brese de securitate pentru viitor.
Procedura de back-up a datelor se realizeaza saptamanal in mod automat.
II.3.Drepturile persoanelor vizate
1.Modalitatea in care persoanele vizate sunt informate referitor la drepturile pe care le au cu privire la datele personale furnizate operatorului/persoanei imputernicite
Persoanelor vizate le sunt aduse la cunostinta drepturile relative la prelucrarea datelor personale cu ocazia accesarii de catre acestea a paginii magazinului online, prin deschiderea unei ferestre in acest sens.
Drepturile salariatilor cu privire la datele cu caracter personal sunt prevazute la CAP I pct.2 din prezentul Regulament.
II.4 Incalcarea securitatii datelor cu caracter personal
In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul va notifica acest lucru Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (A.N.S.P.D.C.P), fara intarzieri nejustificate, si daca este posibil in cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care drepturile si liberatile persoanelor fizice sunt puse in pericol.
Sunt aplicabile in continuare toate prevederile prezentate la art.I.4 din Partea I a prezentului Regulament.
PARTEA III – PROCEDURI PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL CA URMARE A DESFASURARII ACTIVITATII CURENTE A OPERATORULUI
III.1. Aspecte privind evidenta datelor cu caracter personal
1.Introducere
In relatiile economice desfasurate de operator, datele cu caracter personal pot fi procesate daca este necesar pentru a initia, efectua si a inceta un raport juridic la care operatorul este parte. La initierea unor raporturi juridice cu alte societati comerciale, operatorul poate intra in contact cu diferite tipuri de date cu caracter personal ale reprezentantilor sau angajatilor respectivelor societati comerciale.
Prezentele Proceduri sunt menite sa asigure desfasurarea activitatii de prelucrare a datelor cu caracter personal de catre operatorul CAR-BOY KIDLAND SRL in conformitate cu Regulamentul nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (denumit in continuare GDPR)
Prezentele Proceduri au rolul de a organiza activitatea de prelucrare a datelor cu caracter personal desfasurata de operator cu respectarea principiilor de prelucrare instituite de GDPR la articolul 5.
2.Tipul de date cu caracter personal care fac obiectul prelucrarii
In derularea raporturilor juridice la care este parte, operatorul poate colecta date cu caracter personal din urmatoarele tipuri de documente: contracte, facturi fiscale, chitante, avize de insotire a marfurilor, scrisori de transport CMR. Enumerarea documentelor de mai sus este cu titlu exemplificativ si poate fi completata cu orice alte date cu caracter personal inscrise in documentele necesare pentru desfasurarea raporturilor juridice la care operatorul este parte.
Datele cu caracter personal astfel colectate si ulterior prelucrate in vederea incheierii si executarii unui raport juridic pot fi: Numele, prenumele, adresa, Codul numeric personal, locul si data nasterii, seria si numarul Cartii de Identitate, numar telefon si adresa mail.
Dintre datele cu caracter personal prelucrate unele fac parte din categorii speciale de date cu caracter personal in intelesul art. 9 din GDPR cum sunt datele biometrice pentru identificarea unica a persoanei si care sunt colectate prin intermediul Copiei dupa Cartea de Identitate si care sunt necesare in vederea derularii unor raporturi juridice la care operatorul este parte.
Prelucrarea datelor din categoriile mentionate la art.9 din GDPR este autorizata de legislatia interna prevazandu-se garantii adecvate pentru respectarea drepturilor fundamentale si a intereselor persoanelor vizate care participa in interesul unei societati comerciale la derularea unor raporturi juridice cu operatorul.
3.Scopul si temeiul prelucrarii
Datele cu caracter personal ale persoanelor vizate sunt prelucrate in vederea incheierii si executarii raporturilor juridice incheiate intre operator si o alta entitate juridica in interesul careia persoana vizata actioneaza.
Din aceasta perspectiva temeiul prelucrarii datelor personale ale salariatilor il reprezinta:
- necesitatea executarii unor raporturi juridice la care operatorul este parte ( art.6 alin.1 lit b din GDPR), si
- necesitatea indeplinirii unei obligatii legale care revine operatorului ( art.6 alin.1 lit c din GDPR)
Datele cu caracter personal ale persoanelor vizate sunt prelucrate numai in scopurile definite si orice modificare ulterioara a scopului este posibila doar intr-o masura limitata si necesita o fundamentare solida.
4.Necesitatea prelucrarii
In acord cu scopurile si temeiurile prelucrarilor datelor cu caracter personal ale persoanelor vizate, necesitatea acestor prelucrari are la baza pe de o parte incheierea, desfasurarea si incetarea raporturilor juridice la care operatorul este parte in conformitate cu legislatia incidenta precum si pentru a putea raspunde solicitarilor autoritatilor competente in cazul unor controale sau investigatii.
Orice solicitare de restrictie asupra prelucrarii de date cu caracter personal venita din partea persoanelor vizate va fi analizata cu strictete si i se va da curs in masura in care nu contravine temeiului care sta la baza prelucrarii.
Datele cu caracter personal prelucrate in scopurile amintite sunt adecvate, relevante si limitate la ceea ce este necesar raportat la aceste scopuri respectandu-se astfel cerinta de la art.5 alin.1 lit c din GDPR. In acest sens, operatorul in calitatea sa de parte contractanta, va solicita si va prelucra doar datele cu caracter personal strict necesare ale persoanelor vizate pentru derularea raporturilor contractuale in cele mai bune conditii.
In desfasurarea relatiilor contractuale se va urmari ca atat datele persoanale colectate cat si cele divulgate sa fie strict limitate la ceea ce este necesar pentru derularea respectivelor raporturi.
5.Categorii de persoane vizate in activitatea de prelucrare a datelor personale
Se colecteaza date cu caracter personal apartinand angajatilor si a altor persoane care actioneaza in interesul unei entitati juridice cu care operatorul incheie si desfasoara un raport contractual.
6.Persoanele care prelucreaza datele cu caracter personal
Persoanele responsabile din cadrul societatii operatorului va colecta, inregistra, stoca, modifica, consulta, utiliza, restrictiona, sterge sau distruge datele cu caracter personal.
Datele cu caracter personal colectate cu ocazia incheiarii si derularii unor raporturi contractuale ale operatorului pot circula intre diferite persoane autorizate ale acestuia in masura necesara indeplinirii atributiilor specifice fiecarei astfel de persoane. Prelucrarea prin utilizare a datelor personale astfel comunicate se realizeaza de persoane autorizate cu responsabilitati clare in privinta protectiei acestui tip de date.
7.Categorii de destinatari carora li se divulga datele personale prelucrate
Datele personale prelucrate in conditiile prezentate nu se divulga decat persoanelor imputernicite in vederea indeplinirii obligatiilor legale, in acest sens asigurandu-se ca persoanele imputernicite sunt subiectul unor obligatii de confidentialitate. Totodata, aceste date cu caracter personal pot fi divulgate si altor autoritati si institutii publice in vederea indeplinirii unor obligatii legale incidente precum si autoritatilor publice la solicitarea expresa a acestora.
8.Transferul datelor personale colectate catre tari terte sau organizatii internationale
Datele personale prelucrate in conditiile prezentate nu fac obiectul unui transfer catre tari terte sau organizatii internationale.
9.Termene de pastrare/stocare a datelor cu caracter personal prelucrate
Potrivit normelor in vigoare, arhivarea documentelor necesare pentru derularea raporturilor contractuale ale operatorului se face pentru o durata variabila in functie de natura si regimul juridic al documentului in cuprinsul caruia sunt inserate date cu caracter personal ale persoanelor vizate.
Totodata, unele documente care contin date cu caracter personal vor fi pastrate doar pe durata necesara desfasurarii raportului juridic dintre operator si o alta entitate, termenul de pastrare limitandu-se astfel doar la perioada strict necesara derularii in conditii optime a raporturilor contractual ale operatorului.
Cu titlu de exemplu, registrele de contabilitate si documentele justificative se pastreaza pentru o perioada de 10 ani.
Arhivarea acestor documente se face atat pe suport de hartie cat si in format electronic.
Persoana responsabila va verifica periodic datele cu caracter personal stocate si va asigura stergerea celor pentru care a expirat durata de stocare sau pentru care nu mai subzista scopul prelucrarii.
Anterior expirarii duratei prelucrarii, datele cu caracter personal vor putea fi sterse la cererea persoanei vizate in masura in care o asemenea solicitre este compatibila cu scopul si temeiul prelucrarii.
10.Masuri tehnice si organizatorice de securitate
Datele cu caracter personal sunt colectate pe suport de hartie precum si pe suport informatic.
Datele cu caracter personal stocate pe suport de hartie sunt pastrate pe durata prevazuta de lege intr-un loc de depozitare special amenajat cu acces restrictionat doar in favoarea persoanei desemnate in acest sens.
Operatorul va aplica masurile de Securitate prevazute la capitolele precedente.
III.2. Proceduri concrete de prelucrare a datelor cu caracter personal
1.Procedura de colectare si inregistrare
Datele cu caracter personal se colecteaza cu ocazia incheierii, desfasurarii si incetarii raporturilor contractuale ale operatorului cu o alta entitate juridica.
Datele astfel colectate se inregistreaza in sistemele de evidenta a operatorului de catre persoanele autorizate in acest scop.
2.Procedurile de prelucrare ulterioare colectarii si inregistrarii
Ulterior colectarii datelor personale, acestea sunt utilizate in vederea indeplinirii obligatiilor legale impuse de legislatia in vigoare sau in interesul legitim al operatorului.
Datele personale colectate se prelucreaza intr-o maniera care sa presupa o minima interactiune cu acestea tinzandu-se la o utilizare cat mai redusa a acestora si limitat strict la ce este necesar in raport cu scopul prelucrarii (de ex. datele personale ale persoanei care a intocmit o factura care ajunge la operator nu vor fi utilizate, prelucrarea limitandu-se la stocarea lor impreuna cu documentul care le contine).
3.Procedurile de stergere/distrugere a datelor cu caracter personal
Dupa ce expira perioada de pastrare reglementata de prescriptiile legale incidente datele persoanle ale persoanelor vizate sunt sterse in conditiile care sa asigure confidentialitatea acestora.
Astfel, datele personale pastrate pe suport de hartie sunt distruse ca urmare a distrugerii documentului care le contine printr-o procedura de tocare.
Datele personale stocate pe suport informatic sunt sterse de pe mediile de stocare prin programe si procedure care nu pericliteaza siguranta acestora.
Datele personale vor fi sterse si la solcitarile persoanelor vizate in masura in care pastrarea respectivelor date nu este impusa de un interes legitim al operatorului sau de o prevedere legala in acest sens.
4.Masuri de interventie / recuperare date personale in cazul unor incidente fizice sau tehnice
In cazul unei brese de securitate, operatorul va lua masuri pentru limitarea pagubelor si pentru repararea prejudiciului produs asa cum au fost acestea prevazute la capitolele precedente.
III.3.Drepturile persoanelor vizate
Pentru exercitarea drepturilor de acces, rectificare, restrictionare, portabilitate, opozitie si de a nu face obiectul unui process individual automatizat, inclusiv crearea de profiluri, asa cum sunt acestea prevazute si explicate la partea I art.I.3, persoana vizata poate adresa operatorului o cerere scrisa, datata si semnata. Orice solicitare va fi solutionata intr-un termen de 30 de zile. De asemenea, persoana vizata are dreptul de a se adresa autoritatii de supraveghere si instantelor de judecata cu privire incalcarea drepturilor sale.
In cazul in care, incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanei vizate, aceasta va fi informata fara intarziere nejustificata cu privire la aceasta incalcare.
III.4 Incalcarea securitatii datelor cu caracter personal
In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul va notifica acest lucru Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (A.N.S.P.D.C.P), fara intarzieri nejustificate, si daca este posibil in cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care drepturile si liberatile persoanelor fizice sunt puse in pericol.
Sunt aplicabile in continuare toate prevederile prezentate la art.I.4 din Partea I a prezentului Regulament.
OPERATOR
SC CAR-BOY KIDLAND SRL
Data: 25.05.2018