Continut
Cadrul general
- Scop
- Responsabilul procedurii
- Audienta si aplicabilitate
- Reglementari aplicabile
1. Definitii
2. Prevederi
2.1 Principiile generale de procesare a datelor cu caracter personal
2.1.1 Legalitate, echitate și transparență
2.1.2 Limitări legate de scop
2.1.3 Reducerea la minimum a datelor
2.1.4 Exactitate
2.1.5 Limitări legate de stocare
2.1.6 Integritate și confidențialitate
2.1.7 Responsabilitate
2.2 Implementarea principiilor
2.2.1 Cerinte de echitate si transparenta
2.2.1.1 Informarea persoanelor vizate
2.2.1.2 Obtinerea consimtamantului
2.2.2 Colectarea datelor cu caracter personal
2.2.3 Utilizarea, retentia si distrugerea datelor
2.2.4 Accesul tertelor parti la date cu caracter personal
2.2.5 Transferuri in afara EEA
2.2.6 Drepturile persoanelor vizate
2.2.7 Portabilitatea datelor
2.2.8 Dreptul de a fi uitat
3. Incalcari ale securitatii datelor
4. Roluri si responsabilitati
5. Dispozitii finale
Cadrul general
Scop
Procedura curenta reglementeaza masurile ce trebuie adoptate de catre SC SIMINA ART SRL in eforturile sale de a se alinia cerintelor legislative referitoare la protectia datelor cu caracter personal. Aceasta politica enunta principiile dupa care Compania proceseaza datele personale ale clientilor, furnizorilor, angajatilor si oricaror alte persoane fizice si indica responsabilitatile departamentelor sale de business si ale angajatilor referitoare la procesarea datelor cu caracter personal. Obiectivul principal al acestei politici este de a asigura protectia datelor cu caracter personal colectate si procesate in cadrul Companiei de la pierderea sau distrugerea acestor date in mod voit sau nevoit. De asemenea, se urmareste evitarea producerii unor prejudicii pentru persoanele vizate ale caror date sunt colectate si procesate in cadrul Companiei.
Responsabilul procedurii
Procedura curenta se afla sub responsabilitatea Conducerii Companiei.
Audienta si aplicabilitate
Audienta si aplicabilitatea sunt generale – se aplica la nivelul intregii Companii.
Reglementari aplicabile
Aceasta procedura a fost dezvoltata in conformitate cu urmatoarele norme externe referitoare la securitatea sistemelor informatice in exploatare:
1. Definitii
Compania:
SC SIMINA ART SRL
Date cu caracter personal:
Orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Operator:
Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.
Persoană împuternicită de operator:
Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Consimțământ:
Orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
Incălcarea securității datelor cu caracter personal:
O încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Prelucrare transfrontalieră:
Reprezinta (a) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; sau (b) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre.
Autoritate de supraveghere:
O autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din GDPR.
Grup de întreprinderi:
O întreprindere care exercită controlul și întreprinderile controlate de aceasta.
Date cu caracter sensibil:
Date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice sau alte date ale caror pierderi/scurgeri pot produce prejudicii grave persoanelor vizate.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]
2. Prevederi
2.1 Principiile generale de procesare a datelor cu caracter personal
Principiile de prelucrare a datelor cu caracter personal enunta responsabilitatile organizatiilor care colecteaza si proceseaza date cu caracter personal. Art. 5(2) din GDPR stipuleaza faptul ca orice operator este responsabil si trebuie sa poata demonstra conformarea cu principiile de prelucrare a datelor cu caracter personal.
2.1.1 Legalitate, echitate și transparență
Datele personale vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată.
2.1.2 Limitări legate de scop
Datele vor fi colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale.
2.1.3 Reducerea la minimum a datelor
Datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
2.1.4 Exactitate
Datele sunt exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.
2.1.5 Limitări legate de stocare
Datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate.
2.1.6 Integritate și confidențialitate
Date sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
1.1.1 Responsabilitate
Operatorul este responsabil de implementarea acestor principii și poate demonstra această respectare.
1.2 Implementarea principiilor
Compania a implementat principiile enuntate in sectiunea anterioara in toate activitatile sale de business, dupa cum urmeaza.
1.2.1 Cerinte de echitate si transparenta
Datele personale vor fi procesate numai in baza unui temei legal, asa cum a fost identificat in Registrul de prelucrari de date cu caracter personal.
Compania trebuie sa decida daca se impune efectuarea unei analize de impact asupra vietii private (DPIA) pentru fiecare activitate de procesare.
1.2.1.1 Informarea persoanelor vizate
Cel tarziu la momentul colectarii oricaror date cu caracter personal in scopul vanzarii/ intermedierii vanzarii unor produse sau servicii, activitati de marketing, persoana vizata va fi informata referitor la tipurile de prelucrari care vor fi efectuate utilizand datele sale cu caracter personal, perioada de retentie, posibile transferuri internationale, metode de procesare, drepturile persoanelor vizate si masurile prin care Compania protejeaza datele cu caracter personal. Aceste informatii vor fi incluse in notificarea transmisa persoanelor vizate (Privacy Notice).
In cazul in care datele vor fi transferate catre o terta parte, Compania trebuie sa informeze in mod adecvat persoanele vizate referitor la acest transfer in notificarea transmisa persoanelor vizate.
In cazul in care datele cu caracter personal vor fi transferate intr-o tara terta a Uniunii Europene, notificarea trebuie sa reflecte acest fapt si sa enunte unde anume vor fi transferate datele.
In cazul in care sunt colectate date cu caracter sensibil, DPO trebuie sa se asigure de faptul ca notificarea include prevederi specifice referitoare la scopul colectarii acestor date.
1.2.1.2 Obtinerea consimtamantului
In toate cazurile in care procesarea datelor cu caracter personal se bazeaza pe consimtamant, Compania va retine o inregistrare a consimtamantului colectat. Compania se asigura de faptul ca consimtamantul este acordat in mod liber si ca poate fi retras in orice moment, printr-o modalitate la fel de usoara cum a fost acordat.
In cazurile in care se colecteaza date ale unor minori de sub 16 ani, Compania va colecta consimtamantul tutorelui legal al minorului inainte de colectare, utilizand Formularul de consimtamant parental.
In cazurile in care cererile de a corecta sau distruge datele cu caracter personal, Compania se asigura de faptul ca acestea sunt implementate intr-un termen rezonabil si pastreaza inregistrari adecvare ale acestor operatiuni de corectare sau distrugere.
Datele cu caracter personal trebuie sa fie procesate numai in scopurile in care au fost colectate. In cazul in care Compania doreste sa proceseze datele colectate in alte scopuri, va fi solicitat consimtamantul persoanelor vizate pentru aceste scopuri suplimentare de o maniera clara si concisa. Orice cereri de aceasta natura trebuie sa includa in informarea persoanelor vizate: scopurile initiale ale procesarii si scopurile suplimentare, precum si justificarea acestei schimbari a scopului prelucrarii. Data Protection Officer-ul (DPO) este responsabil cu conformarea cu regulile din acest paragraf.
Acum si pe viitor, Compania se asigura de faptul ca procesarea datelor se realizeaza prin metode care sunt conforme cu legile si bunele practici din domeniu.
DPO este responsabil pentru crearea unui Registru al Informarilor transmise persoanelor vizate:
1.1.1 Colectarea datelor cu caracter personal
Compania va colecta minimum necesar de date cu caracter persinal. In cazul in care datele sunt colectate de la o terta parte, Compania se asigura de faptul ca acestea au fost colectate in mod legal.
1.1.2 Utilizarea, retentia si distrugerea datelor
Scopurile, metodele si limitarea retentiei trebuie sa corespunda cu informatiile transmise prin informarea persoanelor vizate (Privacy notice). Compania trebuie sa asigure exactitatea, integritatea, confidentialitatea si relevanta datelor in legatura stransa cu scopurile prelucrarii. Compania utilizeaza mecanisme adecvate de securizare a datelor pentru a evita situatiile in care aceste date ar putea fi furate, pierdute in mod voit sau nevoit si ia masuri pentru prevenirea incalcarii securitatii datelor. DPO este responsabil pentru verificarea conformarii continue cu aceste cerinte.
1.1.3 Accesul tertelor parti la date cu caracter personal
In toate cazurile in care sunt utilizate serviciilor unui tert pentru prelucrarea datelor cu catacter perosnal, Compania se va asigura de faptul ca aceasta terta parte implementeaza masuri adecvate in stransa legatura cu riscurile asociate. Pentru acest scop, va fi utilizat Chestionarul de evaluare GDPR a Imputernicitului.
Compania va include in contractul cu aceasta terta parte termeni care prevad faptul ca aceasta trebuie sa asigure cel putin acelasi nivel de securitate. Furnizorul sau partenerul trebuie sa proceseze numai acele date care sunt necesar a fi prelucrate pentru indeplinirea obligatiilor sale sau la o instructiune specifica din partea Companiei si nu poate prelucra aceste date in alte scopuri. Daca Compania este operator asociat pentru o anumita prelucrare, raspunderea fiecarei parti trebuie sa fie mentionata in mod explicit in contractul dintre operatorii asociati.
2.1.7 Transferuri in afara EEA
Inainte de a transfera datele in afara Zonei Economice Europene (sau EEA), Compania trebuie sa implementeze masuri adecvatem inclusiv semnarea unui Acord de Transfer de Date, asa cum este solicitat de catre Uniunea Europeana si, daca este necesar, sa obtina acordul Autoritatii de Supraveghere. Entitatea care este recipientul datelor trebuie sa se conformeze cu principiile prelucrarii datelor incluse in Procedura de transfer transfrontalier de date.
2.1.8 Drepturile persoanelor vizate
In calitatea sa de operator, Compania este responsabila sa implementeze mecanisme prin care persoanele vizate sa poata fi informate cu privire la prelucrarile de date cu caracter personal si sa poata actualiza, rectifica sau sterge datele cu caracter personal. Aceste mecanisme sunt descrise in detaliu in Procedura de Raspuns la Cererile Persoanelor Vizate.
2.1.9 Portabilitatea datelor
Persoanele vizate au dreptul de a primi, la cerere, o copie a datelor cu caracter personal care le apartin intr-un format structurat si sa transmita aceste date altui operator. Compania se asigura ca aceste cereri vor fi onorate in maximum 30 de zile de la primirea lor.
2.1.10 Dreptul de a fi uitat
La cerere, persoanele vizate au dreptul de a obtine stergerea permanenta a datelor lor personale. In cazul in care Compania este operator de date, aceasta implementeaza masuri adecvate pentru a informa si terte parti catre care a transmis aceste date referitor la necesitatea stergerii permanente a lor.
3. Incalcari ale securitatii datelor
In cazul in care Compania identifica o incalcare a securitatii datelor, DPO trebuie sa realizeze o investigatie a acestei situatii si sa solicite implementarea unor masuri adecvate de remediere, in conformitate cu Politica de gestionare a incalcarilor securitatii datelor. Compania trebuie sa raporteze incalcarile securitatii datelor nu mai tarziu de 72 de ore de la identificarea lor catre Autoritatea de Supraveghere.
4. Roluri si responsabilitati
Responsabilitatea implementarii unor masuri adecvate de protectie a datelor apartine tuturor persoanelor care lucreaza pentru si cu Compania si au acces la date cu caracter personal prelucrate de catre Companie.
Responsabilitati specifice:
Consiliul Director ia decizii referitor la strategia generala de protectie a datelor;
Responsabilul cu protectia datelor (DPO) gestioneaza programul de protectie a datelor si este responsabil cu dezvoltarea si primovarea politicilor de protectie end-to-end, asa cum este definit in fisa postului;
Departamentul/ Consilierul juridic impreuna cu DPO monitorizeaza si analizeaza modificarile survenite in legile si regulamentele de protectie a datelor, elaboreaza cerinte de conformare si asista departamentele din cadrul Companiei in implementarea cerintelor de protectie a datelor.
Managerul IT este responsabil cu:
• Asigurarea faptului ca toate sistemele, serviciile si echipamentele utilizate intrunesc conditiile din standardele de securitate aplicabile.
• Realizarea de scanari periodice pentru a asigura securitatea hardware-ului si sofware-ului utilizat.
Managerul Departamentului de Resurse Umane este responsabil cu:
• Imbunatatirea constientizarii angajatilor cu privire la practicile de protectie a datelor
• Organizarea de instruiri periodice pe teme de protectie a datelor;
• Protectia datelor personale ale angajatilor Companiei (asigurarea faptului ca aceste date sunt procesate intr-un mod adevcat).
5. Dispozitii finale
Actiuni disciplinare ce se iau impotriva incalcarii procedurii
Incalcarea prevederilor acestei proceduri determina consecinte care pot insemna aplicarea unor actiuni disciplinare, anularea contractului de munca sau chiar raspundere penala, atunci cand legile in vigoare o impun.
In conditiile mentionate, lipsa de intelegere in cazul in care procedura va fi incalcata nu va putea fi invocata de catre utilizatorii carora le este adresata aceasta procedura.
Revizuirea documentului
Emitentul acestui document va revizui continutul ori de cate ori se impune acest lucru.