Documente Academic
Documente Profesional
Documente Cultură
CARACTER PERSONAL
Cuprins:
1. Introducere ................................................................................................................................................. 3
1.1 Contextul Regulamentului general privind protecția datelor ("GDPR") ..................................... 3
1.2 Definițiile utilizate de organizație (extrase din GDPR) .................................................................. 3
1.3 Definițiile articolului 4 ....................................................................................................................... 3
2. Politica de confidentialitate ................................................................................................................. 5
3. Responsabilități și roluri în temeiul Regulamentului General Privind Protecția Datelor: ..... 6
4. Principii legate de prelucrarea datelor cu caracter personal ...................................................... 7
4.1 Datele personale trebuie prelucrate în mod legal, echitabil şi transparent ......................... 7
4.2 Datele personale pot fi colectate doar în scopuri specifice, explicite și legitime...................... 8
4.3 Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru
procesare ......................................................................................................................................................... 8
4.4 Datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt
prelucrate, sunt şterse sau rectificate fără întârziere ("exactitate") ........................................................ 8
4.5 Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea
persoanei vizate numai atâta timp cât este necesar pentru prelucrare. ................................................ 9
4.6 Datele personale trebuie prelucrate într-o manieră care să asigure securitatea
corespunzătoare ...........................................................................................................................................10 Page | 1
4.7 Operatorul trebuie să poată demonstra conformitatea cu celelalte principii ale GDPR
(responsabilitatea) ........................................................................................................................................11
5 Drepturile persoanelor vizate ........................................................................................................11
6 Consimțământul ................................................................................................................................12
7 Securitatea datelor ...........................................................................................................................12
8 Divulgarea datelor.............................................................................................................................13
9 Pastrarea și eliminarea datelor .....................................................................................................14
10 Transferuri de date ...........................................................................................................................14
11 Sistem de evidenţă a activităţilor de prelucrare si cartografierea datelor ........................16
Aprobarea procedurii ................................................................................................................................17
Page | 2
1. Introducere
1.1 Contextul Regulamentului general privind protecția datelor
("GDPR")
Regulamentul general privind protecția datelor, 679/2016, înlocuiește Directiva UE din 1995
privind protecția datelor și înlocuiește legislația fiecărui stat membru care a fost elaborată în
conformitate cu Directiva 95/46 / CE privind protecția datelor. Scopul său este de a proteja "drepturile
și libertățile" persoanelor fizice (adică persoanele vii) și de a se asigura că datele cu caracter personal
nu sunt prelucrate fără cunoștința lor și, ori de câte ori este posibil, că sunt prelucrate cu
consimțământul lor.
Domeniul material (articolul 2) - GDPR se aplică prelucrării datelor cu caracter personal, efectuată
total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele
automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau
care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.
Domeniul de aplicare teritorial (articolul 3) - GDPR se aplică prelucrării datelor cu caracter personal
în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe
teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Prezentul regulament
se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de
către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci
când activităţile de prelucrare sunt legate de:
a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită
sau nu efectuarea unei plăţi de către persoana vizată; sau
“Categorii speciale de date cu caracter personal” - date cu caracter personal care dezvăluie
originea rasială sau etnică, opinii politice, convingeri religioase sau filosofice sau apartenența sindicală
și prelucrarea datelor genetice, date biometrice în scopul identificării unice a unei persoane fizice,
date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
"Operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care,
singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter
personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul
intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul
Uniunii sau în dreptul intern;
“Persoana vizată” - orice persoană vie care face obiectul datelor cu caracter personal deținute de o
organizație.
"Prelucrare" înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter
personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace
automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau
modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau
punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau
distrugerea;
"Creare de profiluri" înseamnă orice formă de prelucrare automată a datelor cu caracter personal
care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale
referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa
la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea,
comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
"Incălcarea securităţii datelor cu caracter personal" înseamnă o încălcare a securităţii care duce,
în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a Page | 4
datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul
neautorizat la acestea
„Parte terţă" înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul
decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa
autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze
date cu caracter personal.
"Sistem de evidenţă a datelor" înseamnă orice set structurat de date cu caracter personal accesibile
conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii
funcţionale sau geografice;
2. Politica de confidentialitate
2.1. Consiliul de Administrație și conducerea <numele organizatiei>, cu sediul <adresa organizației>,
se angajează să respecte toate legile relevante ale UE și ale statelor membre cu privire la
datele cu caracter personal și protecția "drepturilor și libertăților" persoanelor ale căror
informații <numele organizatiei> le colectează și proceseaza, în conformitate cu Regulamentul
general privind protecția datelor (GDPR).
2.2. Conformitatea cu GDPR este descrisă de această politică și de alte politici relevante, cum ar
fi Politica de Securitate a Informațiilor (PIMS) (unde exista), împreună cu procesele și
procedurile conexe.
2.3. GDPR va fi aplicata de toate persoanele din cadrul <numele organizatiei> care prelucreaza date
cu caracter personal, inclusiv toate persoanele din cadrul <numele organizatiei> care
proceseaza datele personale ale clienților, angajaților, furnizorilor și partenerilor, precum și Page | 5
orice alte date personale pe care organizația le procesează de la orice sursă.
2.4. Responsabilul pentru protecția datelor este responsabil pentru revizuirea anuală a
Registrului de evidenta a activitatilor de prelucrare a datelor privind orice modificări ale
activităților <numele organizatiei> (determinată de schimbările înregistrate în registrul de
cartografiere a datelor) și de orice cerințe suplimentare identificate prin evaluări ale
impactului protecției datelor. Acest registru trebuie să fie disponibil la cererea autorității de
supraveghere.
2.5. Această politică se aplică tuturor angajaților / personalului [și părților interesate] din cadrul
<numele organizatiei>, cum ar fi furnizorii externalizați. Orice încălcare a GDPR va fi tratată
conform politicii disciplinare a <numele organizatiei> și poate fi, de asemenea, o contraventie,
caz în care problema va fi raportată cât mai curând posibil autorităților competente.
2.6. Se așteaptă ca partenerii și orice terțe părți care lucrează cu sau pentru <numele organizatiei>
și care au sau ar putea avea acces la date personale să fi citit, înțeles și să respecte această
politică. Nicio terță parte nu poate accesa datele cu caracter personal deținute de <numele
organizatiei> fără să fi încheiat în prealabil un acord de confidențialitate a datelor, care
impune terței parti obligații nu mai puțin oneroase decât cele pe care le respecta <numele
organizatiei> și care conferă <numele organizatiei> dreptul de a verifica respectarea acordului.
"Transparență" - GDPR include reguli privind furnizarea catre persoanele vizate de informații
privind confidențialitatea în articolele 12, 13 și 14. Acestea sunt detaliate și specifice, punând
accentul pe faptul că notificările privind confidențialitatea sunt înțelese și accesibile.
Informațiile trebuie comunicate persoanei vizate într-o formă inteligibilă, folosind un limbaj
clar și simplu.
Informațiile specifice care trebuie furnizate persoanei vizate trebuie să includă cel puțin:
4.1.1 identitatea și datele de contact ale operatorului și, dacă este cazul, ale
reprezentantului operatorului;
4.1.2 datele de contact ale responsabilului cu protecția datelor; Page | 7
4.1.3 scopul prelucrării pentru care sunt destinate datele cu caracter personal, precum și
temeiul juridic al prelucrării;
4.1.4 perioada pentru care vor fi stocate datele cu caracter personal;
4.1.5 existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de
prelucrare și condițiile (sau lipsa) de exercitare a acestor drepturi, cum ar fi afectarea
legalității prelucrării anterioare;
4.1.6 categoriile de date cu caracter personal vizate;
4.1.7 destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
4.1.8 dacă este cazul, că operatorul intenționează să transfere date cu caracter personal
unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor;
4.1.9 orice informații suplimentare necesare pentru a garanta o prelucrare corectă.
5.2 <numele organizatiei> asigură persoanele vizate ca isi pot exercita aceste drepturi:
5.2.1 Persoanele vizate pot face cereri de acces la date, conform Procedurii de solicitare a
accesului persoanei vizate; această procedură descrie, de asemenea, modul în care
<numele organizatiei> se va asigura că răspunsul său la solicitarea de acces la date respectă
cerințele GDPR.
5.2.2 Persoanele vizate au dreptul sa depuna o plangere către <numele organizatiei> în legătură
cu prelucrarea datelor lor personale, solicitarile din partea persoanelor vizate si modul în
care au fost soluționate plângerile se vor face în conformitate cu procedura privind
reclamațiile.
6 Consimțământul
6.1 <numele organizatiei>înțelege "consimtamantul" ca fiind al persoanei vizate orice manifestare
de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care
aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter
personal care o privesc să fie prelucrate. Persoana vizată își poate retrage consimțământul în
orice moment.
6.2 <numele organizatiei> înțelege că prin "consimtamantul" persoana vizată a fost pe deplin
informată cu privire la prelucrarea datelor personale și a solicitat acordul în timp ce se află într-
o stare de spirit adecvată pentru a face acest lucru și fără a se exercita presiuni asupra ei.
Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui
o bază valabilă pentru procesare.
6.3 Trebuie să existe o comunicare activă între părți pentru a demonstra consimțământul activ.
Consimțământul nu poate fi dedus din lipsa de răspuns la o comunicare. Operatorul trebuie
să poată demonstra obtinerea consimțământului pentru operațiunea de procesare.
6.4 Pentru datele sensibile, trebuie obținut un acord scris explicit a persoanelor vizate, cu excepția
cazului în care există o bază legala de procesare alternativă.
6.5 În majoritatea cazurilor, consimțământul de prelucrare a datelor personale și sensibile este
obținut în mod obișnuit de <numele organizatiei> utilizând declaratiile de consimțământ
standard.
6.6 În cazul în care <numele organizatiei> oferă servicii on-line copiilor, trebuie obținut
consimtamantul parintelui sau al reprezentantului legal al copilului. Această cerință se aplică
copiilor cu vârsta sub 16 ani (cu excepția cazului în care statul membru prevede o limită de
Page | 12
vârstă mai mică, care nu poate fi mai mică de 13).
7 Securitatea datelor
7.1 Toți angajații / personalul sunt responsabili pentru a asigura că toate datele personale pe care
<numele organizatiei> le dețin și pentru care este responsabil, sunt păstrate în siguranță și nu
sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod
specific prin <numele organizatiei> să primească aceste informații și a încheiat un acord de
confidențialitate.
7.2 Toate datele personale ar trebui să fie accesibile numai celor care au nevoie să le folosească și
accesul poate fi acordat numai în conformitate cu Politica de control al accesului. Toate datele
cu caracter personal trebuie procesate in siguranta și trebuie păstrate:
intr-o camera inchisa cu acces controlat; și / sau
într-un sertar închis sau într-un dulap; și / sau
daca sunt pastrate pe computere, protejate prin parolă în conformitate cu cerințele
organizatiei din Politica de control al accesului și / sau
stocate pe suporturi (detașabile) care sunt criptate
7.3 Trebuie avuta grija ca ecranele și terminalele PC să nu fie vizibile decat angajaților/ personalului
autorizat al <numele organizatiei>. Toți angajații / personalul sunt obligați să încheie un acord
de utilizare acceptabilă înainte de a li se permite accesul la informațiile organizaționale de orice
fel, care detaliază normele privind timpul in care ecranul intra in idle (lock).
7.4 Înregistrările in format fizic nu pot fi lăsate acolo unde pot fi accesate de personal neautorizat
și nu pot fi înlăturate din sediu fără autorizație explicită [scrisă]. Imediat ce înregistrările in
format fizic nu mai sunt necesare pentru clienții de zi cu zi, acestea trebuie să fie distruse in
siguranta, în conformitate cu o anumita procedura
7.5 Datele personale pot fi șterse sau eliminate numai în conformitate cu procedura de păstrare a
înregistrărilor. Înregistrările in format fizic care au ajuns la scadenta, trebuie să fie mărunțite și
aruncate ca "deșeuri confidențiale".
7.6 Prelucrarea datelor cu caracter personal "în afara sediului" prezintă un risc potențial mai mare
decat pierderea, furtul sau deteriorarea datelor cu caracter personal. Personalul trebuie să fie
autorizat în mod specific să proceseze datele în afara sediului.
8 Divulgarea datelor
8.1 <numele organizatiei> trebuie să se asigure că datele cu caracter personal nu sunt divulgate
terților neautorizați, care includ membri ai familiei, prieteni, organisme guvernamentale și, în
anumite circumstanțe, Poliția. Toți angajații / personalul trebuie să fie atenți atunci când sunt
rugați să dezvăluie datele personale deținute de o altă persoană unei terțe părți [și vor fi
obligați să participe la o formare specifică care să le permită să gestioneze eficient astfel de
Page | 13
riscuri]. Este important să se țină seama de faptul conform caruia divulgarea informațiilor este
sau nu relevantă pentru desfășurarea activității <numele organizatiei>.
8.2 GDPR permite anumite dezvăluiri fără consimțământ atâta timp cât informațiile sunt solicitate
pentru unul sau mai multe din următoarele scopuri:
8.2.1 - protejarea securității naționale;
8.2.2 - prevenirea sau depistarea infracțiunilor, inclusiv reținerea sau urmărirea penală a
infractorilor;
8.2.3 - îndeplinirea funcțiilor de reglementare (include sănătatea, siguranța și bunăstarea
persoanelor la locul de muncă);
8.2.4 - pentru a preveni vătămarea gravă a unui terț; și
8.2.5 - pentru a proteja interesele vitale ale individului, aceasta se referă la situațiile de viață și
de moarte.
8.3 Toate solicitările de furnizare a datelor pentru unul dintre aceste motive trebuie să fie susținute
de o documentație adecvată, iar toate aceste dezvăluiri trebuie să fie autorizate în mod specific
de către Responsabilul pentru Protecția Datelor.
10 Transferuri de date
Page | 14
11.1 Toate transferurile de date din Spațiul Economic European (SEE) către țările din Spațiul
Economic Neeuropean (menționate în GDPR ca "țări terțe") sunt ilegale, cu excepția cazului în
care există un "nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate ".
Transferul de date cu caracter personal în afara SEE este interzis, cu excepția cazului în care
se aplică una sau mai multe garanții sau excepții specificate:
10.1.1 O decizie de adecvare
Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională
se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai
multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză
asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită
autorizări speciale. Țările care sunt membre ale Spațiului Economic European (SEE), dar
nu și ale UE sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.
O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este
publicată în Jurnalul Oficial al Uniunii Europene. http://ec.europa.eu/justice/data-
protection/international-transfers/adequacy/index_en.htm
Dacă <numele organizatiei> dorește să transfere date personale din UE unei organizații din
Statele Unite, ar trebui să verifice dacă organizația este înscrisă în cadrul Privacy Shield la
Departamentul de Comerț din S.U.A. Obligația aplicabilă societăților inscrise in Privacy
Shield este inclusă în Principiile privind confidentialitatea datelor. Departamentul de
Comerț din S.U.A este responsabil pentru gestionarea și administrarea Privacy Shield și
pentru asigurarea faptului că organizatiile își respectă angajamentele. Pentru a se putea
certifica, companiile trebuie să aibă o politică de confidențialitate în conformitate cu
principiile de confidențialitate, de ex. utilizare, stocare și transfer de date personale în
conformitate cu un set puternic de reguli și garanții de protecție a datelor. Protecția
datelor cu caracter personal se aplică indiferent dacă datele cu caracter personal au
legătură cu un rezident al UE sau nu. Organizațiile trebuie să-și reînnoiască "statutul de
membru" in cadrul Privacy Shield în fiecare an. Dacă nu, ele nu mai pot primi și utiliza
datele cu caracter personal din UE.
10.1.5 Excepţii
În lipsa unei decizii de adecvare, a calitatii de membru a Privacy Shield, a regulilor
corporatiste obligatorii și / sau a clauzelor de contract standard, transferul datelor cu
caracter personal într-o țară terță sau într-o organizație internațională are loc numai în
următoarele condiții:
persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus,
după ce a fost informat cu privire la riscurile posibile ale unor astfel de transferuri
pentru persoana vizată, din cauza lipsei unei decizii de adecvare și a garanțiilor
adecvate;
transferul este necesar pentru executarea unui contract între persoana vizată și
operator sau implementarea măsurilor precontractuale luate la cererea persoanei
vizate;
transferul este necesar pentru încheierea sau executarea unui contract încheiat în
interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
transferul este necesar din motive importante de interes public;
transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor
legale; și / sau
transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau
ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de
vedere fizic sau legal să-și dea consimțământul.
Acest document a fost aprobat de catre Responsabilul cu Protectia Datelor si este responsabil ca
prezenta procedura sa fie revizuita in conformitate cu cerintele revizuite ale Regulamentului General de
Prelucrare a Datelor (EU GDPR).
O editie actualizata a acestei proceduri este disponibila [tuturor/ celor specificati] membrilor
organizatiei pe [intranet-ul organizatiei] si este publicata pe [ ].
Aceasta politica a fost aprobata de catre Bordul director al organizatiei la [data] si emisa intr-o versiune
revizuita sub semnatura Directorului Executiv/ General.
Semnatura Data
Page | 18