Views: 405

  POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL

Operator: DAC INSTAL SERVICE SRL
Sediu: Str. Chipac 18 Vidra.
Telefon: 0766.672.901
Email: office@instalatorurgente.ro , dpo@instalatorurgente.ro 
Website: www.instalatorurgente.ro 

CAP. I. Documente de referință

1. Regulamentul (UE) 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestora.
2. Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679.
3. Website-ul Comisiei Europene: https://ec.europa.eu/
4. Website-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal: www.dataprotection.ro

CAP. II. Scopul Politicii de Protecție a Datelor

Acest document stabilește politica DAC INSTAL SERVICE SRL privind protecția datelor cu caracter personal. Scopul principal este protejarea drepturilor și libertăților fundamentale ale persoanelor vizate, în special a dreptului la viața intimă, familială și privată, în contextul prelucrării datelor. DAC INSTAL SERVICE SRL se angajează să respecte legislația națională și europeană în domeniu, aplicând principii globale privind protecția datelor. Politica se aplică întregii societăți și trebuie respectată de toți salariații, colaboratorii și partenerii de afaceri care prelucrează date cu caracter personal în desfășurarea activităților lor profesionale. Protecția datelor este esențială pentru încrederea în afaceri și reputația societății.

CAP. III. Termeni și Definiții

1. „Date cu caracter personal”: Informații care pot identifica o persoană fizică, direct sau indirect (exemplu: nume, număr de identificare, date de localizare, identificatori online).
2. „Date cu caracter special”: Date referitoare la origine rasială sau etnică, opinii politice, convingeri religioase sau filozofice, apartenență la sindicate, sănătate, orientare sexuală, etc.
3. „GDPR / RGPD / Regulamentul”: REGULAMENTUL (UE) 2016/679 privind protecția datelor cu caracter personal și libera circulație a acestora.
4. „Persoana vizată”: Persoana fizică ale cărei date cu caracter personal sunt prelucrate.
5. „Prelucrare”: Orice operațiune efectuată asupra datelor personale, cum ar fi colectarea, stocarea, utilizarea, ștergerea sau distrugerea acestora.
6. „Restrictionarea prelucrării”: Limitarea prelucrării viitoare a datelor, marcându-le pentru a restricționa utilizarea acestora.
7. „Creare de profiluri”: Prelucrarea automată a datelor pentru a evalua aspecte personale, precum performanța, sănătatea, comportamentul, etc.
8. „Pseudonimizare”: Prelucrarea datelor într-un mod care le face imposibil de atribuit unei persoane fără informații suplimentare.

9. „Sistem de evidență a datelor” se referă la orice set organizat de date cu caracter personal, care sunt accesibile în baza unor criterii specifice, fie ele centralizate, descentralizate sau distribuite în funcție de criterii funcționale sau geografice;
10. „Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Atunci când aceste scopuri și mijloace sunt stabilite de legislația Uniunii Europene sau de legea națională, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în respectivele acte legislative;
11. „Persoana împuternicită de operator” reprezintă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
12. „Destinatar” este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia îi sunt divulgate datele cu caracter personal, indiferent dacă aceasta este sau nu o parte terță. Cu toate acestea, autoritățile publice care primesc datele în cadrul unei anchete, conform legislației Uniunii sau naționale, nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile respective va respecta normele de protecție a datelor în conformitate cu scopurile prelucrării;
13. „Parte terță” se referă la o persoană fizică sau juridică, autoritate publică, agenție sau organism care nu este persoana vizată, operatorul, persoana împuternicită de operator sau persoanele autorizate să prelucreze date cu caracter personal sub directa autoritate a operatorului sau a persoanei împuternicite de acesta;
14. „Țările terțe” sunt toate națiunile din afacerea Uniunii Europene/SEE, exceptând țările care sunt considerate de Comisia Europeană ca având un nivel suficient de protecție a datelor;
15. „Spațiul Economic European” (SEE) include, pe lângă Uniunea Europeană, și Norvegia, Islanda și Liechtenstein;
16. „Consimțământ” înseamnă orice manifestare liber aleasă, specifică, informată și lipsită de ambiguitate a voinței unei persoane vizate, prin care aceasta acceptă, printr-o declarație sau o acțiune clară, ca datele sale personale să fie prelucrate;
17. „Încălcarea securității datelor cu caracter personal” reprezintă orice breșă în securitate care duce, accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor sau la accesul neautorizat la acestea;
18. „Date genetice” se referă la datele cu caracter personal care indică trăsături genetice moștenite sau dobândite ale unei persoane, care oferă informații unice despre fiziologia sau sănătatea acesteia și care provin din analiza unei mostre de material biologic recoltat de la persoana respectivă;
19. „Date biometrice” sunt datele cu caracter personal obținute prin tehnici specifice care se referă la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, ce permit identificarea unică a acesteia, cum ar fi imaginea facială sau amprentele digitale;
20. „Date privind sănătatea” sunt datele care se referă la starea de sănătate fizică sau mentală a unei persoane, inclusiv informații despre serviciile de asistență medicală acordate acesteia;
21.  „Reprezentant” este o persoană fizică sau juridică stabilită în Uniunea Europeană, desemnată de operator sau de persoana împuternicită de operator, conform articolului 27, pentru a reprezenta operatorul sau persoana împuternicită în ceea ce privește obligațiile lor în conformitate cu prezentul Regulament;
22. „Întreprindere” se referă la orice persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma sa juridică, inclusiv parteneriatele și asociațiile care operează în mod regulat o activitate economică;
23. „Autoritate de supraveghere” este o autoritate publică independentă, înființată de un stat membru conform articolului 51;
24. „Obiecție relevantă și motivată” este o obiecție adusă unui proiect de decizie, având ca scop stabilirea eventualei încălcări a prezentului Regulament sau a conformității măsurilor propuse pentru operator sau persoana împuternicită de operator cu acest Regulament, demonstrând clar riscurile pentru drepturile și libertățile fundamentale ale persoanelor vizate;
25. „Utilizatori” se referă la orice persoană care acționează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, având dreptul de acces la bazele de date cu caracter personal.

Capitolul IV. Domeniul de aplicare și modificarea politicii

Această politică de protecție a datelor cu caracter personal se aplică tuturor angajaților DAC INSTAL SERVICE SRL și este valabilă la nivelul întregii societăți. Ea trebuie respectată cu strictețe ori de câte ori se prelucrează date cu caracter personal în cadrul îndeplinirii îndatoririlor profesionale.

Politica privind protecția datelor acoperă toate activitățile de prelucrare a datelor cu caracter personal desfășurate de DAC INSTAL SERVICE SRL, atât în relațiile cu angajații, cât și cu clienții și alte persoane vizate.

Datele anonimizate (adică acele informații care nu pot fi asociate unei persoane identificabile datorită naturii prelucrării) utilizate, de exemplu, pentru evaluări statistice sau studii similare, nu sunt reglementate de această politică de protecție a datelor.

Politica de protecție a datelor este revizuită anual, în funcție de necesități, iar cea mai recentă versiune, aprobată de Directorul General, va fi disponibilă imediat pentru toți angajații DAC INSTAL SERVICE SRL și pentru partenerii, consultanții sau terții, pe site-ul web oficial: www.instalatorurgente.ro

CAP. V. Principii pentru prelucrarea datelor cu caracter personal

Art. 1. Corectitudinea și legalitatea

În cadrul prelucrării datelor cu caracter personal, trebuie asigurată protecția drepturilor individuale ale persoanelor vizate. Datele personale trebuie colectate și procesate într-un mod legal și corect. Prelucrarea datelor este considerată legală doar dacă se aplică cel puțin una dintre următoarele condiții:

• persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
• prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru întreprinderea de acțiuni la cererea persoanei vizate înainte de încheierea unui contract;
• prelucrarea este necesară pentru a îndeplini o obligație legală ce revine operatorului;
• prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice;
• prelucrarea este necesară pentru îndeplinirea unei sarcini ce servește unui interes public sau rezultă din exercitarea autorității publice cu care este investit operatorul;
• prelucrarea este necesară pentru realizarea intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care interesele sau drepturile și libertățile fundamentale ale persoanei vizate prevalează și necesită protecția datelor sale personale, în special atunci când persoana vizată este un copil.

Art. 2. Restricție la un anumit scop

Datele cu caracter personal pot fi prelucrate doar în scopul specificat înainte de colectarea acestora și comunicat persoanei vizate. Orice modificare a scopului inițial este permisă doar într-o măsură limitată și trebuie să fie justificată corespunzător. Conform art. 13 alin. (3) din Regulamentul (UE) 679/2016, în cazul în care operatorul dorește să prelucreze datele cu caracter personal într-un scop diferit de cel pentru care au fost colectate, acesta trebuie să furnizeze persoanei vizate, înainte de prelucrarea ulterioară, informații clare despre noul scop și orice alte informații suplimentare relevante.

Art. 3. Transparență

Principiul transparenței stipulează că toate informațiile și comunicările referitoare la prelucrarea datelor cu caracter personal trebuie să fie accesibile și ușor de înțeles. Astfel, persoana vizată trebuie să fie informată clar despre modul în care datele sale sunt prelucrate, într-o formă concisă, transparentă, inteligibilă și accesibilă.
Operatorul poate colecta datele cu caracter personal direct de la persoana vizată sau le poate obține din alte surse.

1. Informațiile care trebuie furnizate persoanei vizate atunci când datele sunt colectate direct de la aceasta și aceasta nu le deține deja (conform art. 13 alin. (1), (2) și (4) din Regulamentul (UE) 679/2016):
   a) Identitatea și datele de contact ale operatorului, precum și, dacă este cazul, ale reprezentantului acestuia;
   b) Datele de contact ale responsabilului cu protecția datelor, dacă este cazul;
   c) Scopurile pentru care se prelucrează datele cu caracter personal, precum și temeiul juridic al prelucrării;
   d) Interesele legitime urmărite de operator sau de o parte terță, dacă prelucrarea se face pe baza art. 6 alin. (1) lit. (f) din Regulamentul (UE) 679/2016;
   e) Destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
   f) Intenția operatorului de a transfera datele cu caracter personal într-o țară terță sau unei organizații internaționale, dacă este cazul;
   g) Perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile pentru stabilirea acestei perioade;
   h) Modalitatea în care persoana vizată își poate exercita drepturile;
   i) În cazul în care prelucrarea se bazează pe art. 6 alin. (1) lit. (a) sau art. 9 alin. (2) lit. (a) din Regulamentul (UE) 679/2016, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului anterior retragerii acestuia;
   j) Dreptul de a depune o plângere la o autoritate de supraveghere;
   k) Dacă furnizarea datelor cu caracter personal reprezintă o obligație legală sau contractuală, sau o condiție necesară pentru încheierea unui contract, precum și obligația persoanei vizate de a furniza aceste date și posibilele consecințe ale nerespectării acestei obligații;
   l) Existența unui proces decizional automatizat, inclusiv crearea de profiluri, conform art. 22 alin. (1) și (4), și, în cazurile respective, informații relevante despre logica utilizată, precum și despre importanța și posibilele consecințe ale unei astfel de prelucrări pentru persoana vizată.
2. Informațiile care trebuie furnizate persoanei vizate (în termen rezonabil după obținerea datelor cu caracter personal, dar nu mai târziu de o lună), în cazul în care datele nu au fost obținute de la persoana vizată și aceasta nu deține deja informațiile respective (conform art. 14 alin. (1), (2), (3) și (5) din Regulamentul (UE) 679/2016):
3. a) Identitatea și datele de contact ale operatorului și, dacă este cazul, ale reprezentantului acestuia;
   b) Datele de contact ale responsabilului cu protecția datelor, dacă este cazul;
   c) Scopurile pentru care sunt prelucrate datele cu caracter personal și temeiul juridic al prelucrării;
   d) Categoriile de date cu caracter personal vizate;
   e) Destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
   f) Intenția operatorului de a transfera datele cu caracter personal către o țară terță sau o organizație internațională, dacă este cazul;
   g) Perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;
   h) Interesele legitime urmărite de operator sau de o parte terță, în cazul în care prelucrarea se face pe baza art. 6 alin. (1) lit. (f) din Regulamentul (UE) 679/2016;
   i) Modalitatea în care persoana vizată își poate exercita drepturile;
   j) În cazul în care prelucrarea se bazează pe art. 6 alin. (1) lit. (a) sau art. 9 alin. (2) lit. (a) din Regulamentul (UE) 679/2016, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului anterior retragerii acestuia;
   k) Dreptul de a depune o plângere la o autoritate de supraveghere;
   l) Sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile publicului;
   m) Existența unui proces decizional automatizat, inclusiv crearea de profiluri, menționat la art. 22 alin. (1) și (4), și, cel puțin în cazurile respective, informații relevante privind logica utilizată și importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Art. 4. Minimizarea / Reducerea la minimum a datelor

Înainte de a procesa date cu caracter personal, trebuie să determinați:

1. dacă și în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată;
2. tipul datelor cu caracter personal necesare, pentru realizarea procesului de prelucrare.

Datele cu caracter personal trebuie sa fie, cele mai adecvate, relevante şi strict limitate la ceea ce este absolut necesar, în raport cu scopurile în care sunt prelucrate.

Acolo unde scopul permite și unde cheltuielile implicate sunt proporționale cu obiectivul, trebuie folosite date anonime. Datele personale nu pot fi colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația națională.

Art. 5. Limitarea stocării și ștergerea

Datele cu caracter personal trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Datele cu caracter personal care nu mai sunt necesare după expirarea procesului legal sau de afaceri, trebuie șterse/distruse/anonimizate. Pot exista situații în care interesele legale obligă la păstrarea acestor date pe termene predefinite. În acest caz, datele trebuie păstrate în dosare, până la expirarea obligațiilor legale.

Art. 6. Exactitatea și actualitatea datelor

Datele cu caracter personal colectate trebuie să fie corecte, complete și, dacă este necesar, să fie actualizate. Trebuie luate măsuri permanent pentru a ne asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere.

Art. 7. Integritate și confidențialitate

În cadrul DAC INSTAL SERVICE SRL, datele cu caracter personal sunt considerate informații confidențiale și trebuie protejate prin măsuri organizatorice și tehnice adecvate, pentru a preveni accesul neautorizat, prelucrarea sau distribuirea ilegală, precum și pierderea accidentală, modificarea sau distrugerea lor. Orice încălcare sau nerespectare a prezentei Politici sau a instrucțiunilor derivate din aceasta, în special, orice divulgare deliberată de date cu caracter personal către o persoană neautorizată sau terță parte, poate duce la sancțiuni disciplinare.

Nerespectarea acestui principiu, expune direct la breșe de securitate și confidenţialitate şi, implicit, la penalităţile extrem de severe prevăzute de Regulamentul (UE) 679 / 2016.

Operatorul este responsabil de respectarea principiilor Regulamentului (UE) 679 / 2016 și trebuie să poată demonstra conformitatea cu acestea („responsabilitate”).

CAP. VI. Prelucrarea datelor cu caracter personal

DAC INSTAL SERVICE SRL, colectează, utilizează, prelucrează și furnizează datele cu caracter personal oferite, numai pentru realizarea scopurilor în care acestea au fost colectate.

Prezenta Politică, stabilește datele cu caracter personal prelucrate de către Societate, în cadrul activităților desfășurate, astfel:

1. A) Datele cu caracter personal ale clienților și partenerilor

Art. 1 Prelucrarea datelor pentru o relație contractuală

Datele cu caracter personal ale potențialilor clienți, clienți existenți și parteneri, pot fi procesate în scopul de a încheia, de a executa și de a finaliza un contract. Aceasta include, de asemenea, servicii de consultanță pentru partener, în cazul în care, acest lucru are legătură cu scopul contractual. Anterior unui contract, în timpul fazei de inițiere a acestuia, datele cu caracter personal pot fi procesate, pentru a pregăti oferte sau alte documente care să îndeplinească diferite solicitări ale perspectivei legate de încheierea contractului. Persoanele pot fi contactate în timpul procesului de pregătire a contractului, folosind informațiile personale pe care acestea le-au furnizat. Orice restricții solicitate de potențialii clienți, trebuie să fie respectate.

Art. 2 Prelucrarea datelor în scop publicitar

Dacă persoana vizată contactează DAC INSTAL SERVICE SRL pentru a solicita informații (de ex., să primească materiale informative despre oferte, promoții etc.), prelucrarea datelor pentru a răspunde acestei solicitări, este permisă.

Acțiunile de publicitate fac obiectul unor cerințe legale suplimentare. Datele personale pot fi prelucrate în scopuri publicitare, de cercetare a pieței și a opiniei publice, cu condiția ca această prelucrare să se realizeze în concordanță cu scopul pentru care datele au fost colectate inițial. Subiectul (persoana vizată) deținător al datelor, trebuie să fie informat cu privire la utilizarea datelor sale în scopuri publicitare. Dacă datele sunt colectate numai în scopuri publicitare, divulgarea de la persoana vizată este voluntară. Persoana vizată trebuie informată asupra faptului că, furnizarea datelor personale pentru prelucrarea în scopuri publicitare este voluntară și că, trebuie să se obțină un consimțământ din partea persoanei vizate, pentru a procesa datele respective în scopuri publicitare. Atunci când se acordă consimțământul, persoana vizată ar trebui să aibă posibilitatea de a alege între formele disponibile, cum ar fi, formulare predefinite tipărite, transmiterea consimțământului prin e-mail etc.

Dacă persoana vizată refuză utilizarea datelor sale în scopuri publicitare, datele acesteia nu mai pot fi utilizate și trebuie să fie blocate/șterse/restricționate pentru utilizarea în aceste scopuri.

Art. 3 Prelucrarea datelor pe baza consimțământului

Consimţământul persoanei vizate, înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate, prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc, să fie prelucrate.

Datele pot fi procesate, conform consimțământului persoanei vizate. Înainte de a-și acorda consimțământul, persoana vizată trebuie să fie informată, în conformitate cu prevederile Cap. V art. 3. Declarația de aprobare – consimțământul, trebuie obținută în scris sau în format electronic și păstrat în scopul documentării. În cazul în care, prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a acordat consimţământul pentru prelucrarea datelor sale cu caracter personal.

Persoana vizată, are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului, nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca și acordarea acestuia.

Prelucrarea datelor cu caracter personal ale unui copil, este legală, dacă copilul are cel puţin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală, numai dacă şi în măsura în care, consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului.

Art. 4 Prelucrarea datelor cu caracter special

Datele cu caracter personal sensibile, pot fi procesate numai dacă legea impune acest lucru sau persoana vizată și-a dat acordul expres (consimțământul). Aceste date pot fi, de asemenea, prelucrate numai dacă este obligatoriu pentru îndeplinirea, exercitarea sau apărarea revendicărilor legale referitoare la persoana vizată. Dacă există intenția de a procesa datele sensibile, Responsabilul pentru protecția datelor cu caracter personal trebuie să fie informat în prealabil.

Art. 5 Procese decizionale individuale automatizate

Procesul decizional exclusiv automatizat, are loc, atunci când se iau decizii în privința unei persoane, prin mijloace tehnologice și fără nicio implicare umană. Aceste decizii se pot lua chiar și fără crearea de profiluri.

Deciziile automatizate, se pot baza pe orice tip de date, de exemplu:

• date furnizate în mod direct de persoanele în cauză (cum ar fi, răspunsurile la un chestionar);
• date observate în legătură cu persoane (cum ar fi, datele despre locație, colectate prin intermediul unei aplicații);
• date derivate sau obținute prin inferență, cum ar fi un profil deja creat al persoanei (de exemplu, un punctaj de bonitate).

Persoana vizată, are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar, într-o masură semnificativă. Decizia nu trebuie sa aibă la bază date sensibile.

Nu se aplică în cazul în care:

• decizia este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;
• decizia are la bază consimțământul explicit al persoanei vizate;
• „operatorul de date pune în aplicare măsuri corespunzatoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia”;
• decizia este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzatoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.

Art. 6 Prelucrarea datelor utilizatorilor site-ului web www.instalatorurgente.ro

Pentru site-ul www.instalatorurgente.ro, domeniile și subdomeniile acestuia, acolo unde sunt colectate, prelucrate și utilizate date cu caracter personal, persoanele vizate trebuie să fie informate despre acest lucru, într-o Notă de informare și, în cazul în care, site-ul folosește cookie-uri, persoanele vizate trebuie sa aibă acces la Politica de cookie-uri. Nota de informare și orice informații despre cookie-uri trebuie integrate, astfel încât, să fie ușor de identificat, direct accesibile și disponibile în mod constant persoanelor vizate.

Dacă sunt create profiluri de utilizare (urmărire) pentru a evalua utilizarea site-urilor web și a aplicațiilor, persoanele vizate trebuie să fie întotdeauna informate în mod corespunzător în nota de informare.

În cazul în care, pentru utilizatorii înregistrați, sunt utilizate date cu caracter personal, pentru identificarea și autentificarea persoanei vizate, se instituie măsuri de protecție suficiente în timpul accesului.

1. B) Datele cu caracter personal ale angajatului

Art. 1 Prelucrarea datelor pentru relația de muncă

În relațiile de muncă, datele cu caracter personal pot fi procesate dacă este necesar, pentru a iniția, efectua și a încheia contractul individual de muncă, precum și, pentru îndeplinirea obligațiilor legale care îi revin operatorului. La inițierea unei relații de muncă, datele cu caracter personal ale solicitanților, pot fi procesate. În momentul în care se decide încheierea unui contract de muncă, odată cu solicitarea unui set de documente care conțin date cu caracter personal, se va efectua și informarea salariatului, cu privire la prelucrarea datelor cu caracter personal ale angajaților în activitățile desfășurate de către DAC INSTAL SERVICE SRL, documentul datat și semnat urmând să fie păstrat la dosarul personal al salariatului și arhivat, conform cerințelor legale.

În cazul în care, candidatul este respins, datele sale trebuie să fie șterse (în conformitate cu perioada de păstrare necesară), cu excepția cazului în care, solicitantul a fost de acord ca datele sale să rămână în dosar pentru un viitor proces de selecție. Prin urmare, în situația în care, candidatul dorește să participe la concursurile de angajare organizate ulterior de către DAC INSTAL SERVICE SRL, se va obține consimțământul scris al acestuia, prin intermediul formularului „Notă de informare și consimțământul candidaților, cu privire la prelucrarea datelor cu caracter personal”. Documentele de informare și consimțământ vor fi păstrate și ulterior arhivate, conform termenelor de stocare stabilite.

Totodată, în contextul relațiilor de muncă, în conformitate cu art. 5 din legea nr. 190 / 2018, privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, în cazul în care, sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

• interesele legitime urmărite de angajator, sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
• angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
• angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților, înainte de introducerea sistemelor de monitorizare;
• alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator, nu și-au dovedit anterior eficiența;
• durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate;
• afișarea pictogramei de informare, cu privire la zona supravegheată video.

Art. 2 Prelucrarea unui număr de identificare național

Număr de identificare național – numărul prin care se identifică o persoană fizică în anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială de sănătate.

Conform art. 4 din legea nr. 190 / 2018, prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, se poate efectua în situațiile prevazute de art. 6 alin. (1) din Regulamentul (UE) 2016/679.

Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în scopul prevăzut la art. 6 alin. (1) lit. f) din Regulamentul (UE) 2016/679, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terță, se efectuează cu instituirea de către operator a următoarelor garanții:

• punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor art. 32 din Regulamentul (UE) 2016/679;
• stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite, în vederea ștergerii;
• instruirea periodică, cu privire la obligațiile ce le revin persoanelor care, sub directa autoritate a operatorului, prelucrează date cu caracter personal.

În raportul de muncă existent, scopul prelucrării datelor cu caracter personal, trebuie să se coreleze întotdeauna cu scopul contractului individual de muncă.

Art. 3 Prelucrarea datelor cu caracter special

Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei personae fizice.

Nu se aplică în urmatoarele situații:

1. persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal, pentru unul sau mai multe scopuri specific;
2. prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate, în domeniul ocupării forței de munca și al securității sociale și protecției sociale, în masura în care, acest lucru este autorizat de dreptul Uniunii, de dreptul intern sau de un acord colectiv de muncă;
3. prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice;
4. prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legatură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate;
5. prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod voluntar de către persoana vizata;
6. prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță;
7. prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern;
8. prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic, de furnizarea de asistență medicală / socială sau a unui tratament sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență social;
9. prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi: protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale;
10. prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

Datele menționate anterior, pot fi prelucrate în scopurile menționate la litera (h), în cazul în care, datele respective sunt prelucrate de către un profesionist, supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naționale competente sau de o altă persoană supusă, de asemenea, unei obligații de confidențialitate, în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente.

Categoriile de date cu caracter special, necesită un nivel ridicat de protecție.

Art. 4 Procese decizionale individuale automatizate

Dacă, la un moment dat, datele cu caracter personal sunt prelucrate automat, ca parte a raporturilor de muncă și anumite date personale specifice sunt evaluate automat (de exemplu, în cadrul selecției personalului sau al evaluării profilurilor de competențe), această prelucrare automată nu poate constitui singura bază pentru deciziile care ar putea avea un impact negativ asupra angajatului respectiv. Pentru a evita deciziile eronate, procesul automatizat trebuie să fie asistat de o persoană fizică ce evaluează conținutul situației și această evaluare este baza deciziei. Persoana vizată trebuie, de asemenea, să fie informată despre faptele și rezultatele deciziilor individuale automatizate și despre posibilitatea de a răspunde.

Art. 5 Telecomunicații și internet

Echipamentele telefonice, adresele de e-mail, intranetul și internetul, împreună cu aplicațiile interne, sunt asigurate de companie, în interes de serviciu. Acestea sunt un instrument și o resursă a companiei, drept urmare, pot fi utilizate în cadrul reglementărilor legale aplicabile și al politicilor interne ale companiei. În cazul utilizării autorizate în scopuri personale, se va ține cont de prevederile Regulamentului și procedurilor interne și de legislația specifică privind telecomunicațiile.

Pentru asigurarea unui grad ridicat al securității informatice și în vederea soluționării incidentelor de securitate informatică, utilizarea echipamentelor telefonice, a adreselor de e-mail, a rețelelor intranet / internet și a rețelelor sociale interne, poate fi înregistrată, conform politicilor interne ale companiei. Evaluările acestor date, poate fi făcută în cazul în care, există suspiciuni de breșe de securitate, încălcări ale legilor în vigoare sau ale politicilor Societății, în interesul legitim al Operatorului. Aceste evaluări, pot fi efectuate, cu respectarea principiului proporționalității. Legislația națională relevantă, trebuie respectată în același mod ca și regulamentele Societății.

Pentru protejarea împotriva atacurilor asupra infrastructurii IT sau a utilizatorilor individuali, pot fi implementate măsuri de protecție pentru conexiunile la rețeaua DAC INSTAL SERVICE SRL, care blochează conținutul dăunător din punct de vedere tehnic sau care analizează modelele de atac.

CAP. VII. Prelucrarea datelor cu caracter personal în baza unui interes legitim

Datele cu caracter personal pot fi, de asemenea, prelucrate în cazul în care este necesar să se susțină un interes legitim al DAC INSTAL SERVICE SRL, însă, interesele legitime ale unui operator, pot constitui un temei juridic pentru prelucrare, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

În acest sens:

• Prelucrarea de date ce are drept scop marketingul direct, poate fi considerată ca fiind desfașurată pentru un interes legitim.
• Prelucrarea datelor în măsura strict necesară și proporțională în scopul asigurarii securității rețelelor și a informațiilor, constituie un interes legitim al operatorului de date în cauză.
• Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză.

Măsurile de control care necesită prelucrarea datelor angajatului, pot fi luate, numai dacă există o obligație legală de a face acest lucru sau există un motiv legitim. Chiar dacă există un motiv legitim, trebuie examinată întotdeauna proporționalitatea măsurii de control. Interesele justificate ale companiei în aplicarea măsurilor de control (de exemplu, respectarea dispozițiilor legale și a normelor si regulamentelor interne ale companiei), trebuie să fie cântărite față de orice interese ale angajatului, care trebuie să fie protejate, astfel încât măsurile de control sa fie adecvate.

Pentru a putea recurge la interes legitim drept temei pentru prelucrare, organizația ar trebui să efectueze un test de echilibrare, pentru a determina dacă interesele sale, prevalează asupra drepturilor și intereselor persoanei vizate.

Elemente care înclină balanța în favoarea interesului legitim al operatorului, pot fi:

• Natura interesului (drept fundamental, interes public, interes comercial);
• Eventualul prejudiciu suferit de operator, dacă prelucrarea nu are loc;
• Prelucrarea implică un grup restrâns de persoane;
• Datele nu sunt dezvăluite către terți;
• Organizația nu are o poziție dominantă pe piață;
• Nu se prelucrează categorii de date speciale;
• Nu există un impact semnificativ asupra drepturilor persoanei vizate;
• Persoana vizată se poate aștepta, în mod rezonabil, la existența prelucrării.

CAP. VIII. Transferul datelor cu caracter personal

Transmiterea datelor cu caracter personal către destinatarii din afara sau din interiorul DAC INSTAL SERVICE SRL, este supusă cerințelor de autorizare pentru prelucrarea datelor cu caracter personal, atât în conformitate cu prevederile legale în vigoare, cât și în conformitate cu reglementările interne ale Societății. Beneficiarul datelor, trebuie să prelucreze datele cu caracter personal, numai în scopurile stabilite initial și cu asigurarea unui caracter adecvat de securitate pentru acestea.

Conform Comisiei Europene, transferurile de date în afara Uniunii Europene / SEE, sunt posibile doar:

–  Către un stat căruia Comisia Europeană i-a recunoscut un nivel de protecție adecvat (Andora, Argentina, Canada – organizații comerciale, Elveția, Insulele Feroe, Guernsey, Israel, Insula Man, Japonia, Jersey, Noua Zeelanda, Republica Coreea, Regatul Unit al Marii Britanii și Irlandei de Nord, Statele Unite ale Americii – organizații comerciale care participă la Cadrul UE-SUA privind confidențialitatea datelor și Uruguay).

Deciziile privind caracterul adecvat al nivelului de protecție au ca efect faptul că, datele cu caracter personal pot circula liber din UE (și din Norvegia, Liechtenstein și Islanda) către o țară terță, fără alte obstacole.

– Daca transferul are loc în baza unor garanții adecvate.

Transferul către statele cărora Comisia Europeană le-a recunoscut un nivel de protecție adecvat, nu necesită vreo aprobare / autorizare din partea Autorității de supraveghere.

În cazul transferului de date cu caracter personal către țări terțe (toate națiunile din afara Uniunii Europene / SEE) sau organizații internaționale, cărora Comisia Europeană nu le-a recunoscut un nivel de protecție adecvat, Compania și angajații săi, se obligă ca transferul de date cu caracter personal către acestea, să se realizeze doar după ce s-au prezentat din partea acestora, garanții adecvate, astfel cum sunt ele menționate în art. 46 alin. (2) din Regulamentul (UE) 679/2016, respectiv:

1. un instrument obligatoriu din punct de vedere juridic și executoriu între autoritățile sau organismele publice;
2. reguli corporatiste obligatorii, în conformitate cu art. 47 din Regulamentul (UE) 679/2016;
3. clauze standard de protecție a datelor adoptate de Comisie, în conformitate cu procedura de examinare menţionată la art. 93 alin. (2) din Regulamentul (UE) 679/2016;
4. clauze standard de protecție a datelor adoptate de o autoritate de supraveghere și aprobate de Comisie, în conformitate cu procedura de examinare menţionată la art. 93 alin. (2) din Regulamentul (UE) 679/2016 ;
5. codul de conduită aprobat în conformitate cu art. 40 din Regulamentul (UE) 679/2016, însotit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță, de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
6. un mecanism de certificare aprobat, în conformitate cu art. 42, însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță, de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorității de supraveghere competente, garanțiile adecvate, pot fi furnizate de asemenea, în special, prin:

1. clauze contractuale între operator sau persoana împuternicită de operator și operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter persoanal din țara terță sau organizația internaționalăș sau
2. dispozitii care urmează să fie incluse în acordurile administratove dintre autoritățile sau organismele publice, care includ drepturi opozabile si efectetive pentru persoanele vizate.

Cadrul UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework)

Comisia Europeană a adoptat decizia privind caracterul adecvat al nivelului de protecție a datelor pentru Cadrul UE-SUA privind confidențialitatea datelor. Decizia concluzionează că Statele Unite asigură un nivel adecvat de protecție – comparabil cu cel al Uniunii Europene – pentru datele cu caracter personal transferate din UE către întreprinderile din SUA, în temeiul noului cadru. Pe baza noii decizii privind caracterul adecvat al nivelului de protecție, datele cu caracter personal pot circula în condiții de siguranță din UE către întreprinderile din SUA care participă la cadru, fără a fi nevoie să se instituie garanții suplimentare în materie de protecție a datelor.

Cadrul UE-SUA privind confidențialitatea datelor introduce noi garanții obligatorii pentru a răspunde tuturor preocupărilor exprimate de Curtea de Justiție a Uniunii Europene, printre care se numără limitarea accesului serviciilor de informații ale SUA la datele din UE la ceea ce este necesar și proporțional și instituirea unei instanțe de reexaminare în materie de protecție a datelor (Data Protection Review Court – DPRC), la care vor avea acces persoanele UE.

Noul cadru aduce îmbunătățiri semnificative în comparație cu mecanismul care a existat în cadrul Scutului de confidențialitate. De exemplu, în cazul în care constată că datele au fost colectate cu încălcarea noilor garanții, DPRC va putea să dispună ștergerea datelor. Noile garanții în domeniul accesului autorităților publice la date vor completa obligațiile pe care vor trebui să le respecte întreprinderile din SUA ce importă date din UE.

Funcționarea Cadrului UE-SUA privind confidențialitatea datelor va face obiectul unor revizuiri periodice, care vor fi efectuate de Comisia Europeană, împreună cu reprezentanți ai autorităților europene pentru protecția datelor și ai autorităților competente din SUA.

CAP. IX. Prelucrarea datelor privind contractele

DAC INSTAL SERVICE SRL, identifică relația cu partenerii de afaceri, nu per ansamblu, ci pe tipuri de operațiuni de prelucrare. O entitate, nu poate fi și operator și persoana împuternicită de operator, pentru aceeași operațiune de prelucrare.

1) În cazul relației de tipul operator – operator, prelucrarea datelor printr-un furnizor de produse / prestator de servicii, se va efectua cu obligativitatea încheierii unui Acord privind prelucrarea datelor cu caracter personal, care va cuprinde, cel puțin următoarele:

– Datele de identificare ale operatorilor;

– Obiectul și durata prelucrării;

– Natura și scopul prelucrării;

– Tipul de date cu caracter personal prelucrate;

– Categoriile de persoane vizate;

– Obligațiile și drepturile operatorului;

– Drepturile persoanei vizate;

– Datele de contact ale Responsabililor cu protecția datelor cu caracter personal;

2) În cazul relației de tipul operator – persoană împuternicită de operator (persoana fizică sau juridică, autoritatea publică, agenția sau alt organism, care prelucreaza datele cu caracter personal în numele operatorului), operațiunile de prelucrare de date cu caracter personal pe care le presupune colaborarea dintre cele doua părți, se va efectua cu obligativitatea încheierii unui Acord privind prelucrarea datelor cu caracter personal, care va cuprinde, cel puțin următoarele:

– Datele de identificare ale operatorilor;

– Obiectul și durata prelucrării;

– Natura și scopul prelucrării;

– Tipul de date cu caracter personal prelucrate;

– Categoriile de persoane vizate;

– Obligațiile și drepturile operatorului;

– Drepturile persoanei vizate;

– Măsuri tehnice şi organizatorice pentru asigurarea securității datelor cu caracter personal;

– Datele de contact ale Responsabililor cu protecția datelor cu caracter personal;

– Instrucțiuni scrise ale operatorului.

Acest Acord de Prelucrare a Datelor cu Caracter Personal trebuie sa fie documentat în formă scrisă, pe orice suport și constituie anexa la contractele existente sau contractele noi.

Pentru persoana împuternicită de operator, Acordul reprezintă actul care puncteaza instrucțiunile precise pe care le transmite operatorul și care definește, astfel, rolul și responsabilitățile fiecăreia dintre părți, cu respectarea prevederilor art. 28 (3) și (4) din Regulamentul (UE) 679 / 2016.

Persoana împuternicită de operator, trebuie să acționeze numai pe baza instrucțiunilor scrise ale operatorului (cu excepția cazului în care legea solicită să acționeze fără astfel de instrucțiuni). Instrucțiunile operatorului, sunt acele explicații și solicitări, care îl ajută pe împuternicit să știe în orice moment ce are de făcut, fără să fie nevoie să ia el decizii în această privință. Persoana împuternicită de operator, nu ar trebui să ia niciun fel de decizie cu privire la prelucrările pe care le face în numele operatorului.

Operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât, prelucrarea să respecte cerinţele prevăzute în Regulamentul (UE) 679 / 2016 şi să asigure protecţia drepturilor persoanelor vizate.

Acordul de Prelucrare a Datelor cu Caracter Personal, pentru persoana împuternicită de operator, stabilește următoarele:

1. prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care dreptul respective interzice o astfel de notificare din motive importante legate de interesul public;
2. se asigură că persoanele autorizate să prelucreze datele cu caracter personal, s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate;
3. adoptă toate măsurile necesare privind asigurarea securității prelucrării datelor, conform art. 32 din Regulamentul (UE) 679/2016;
4. persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări;
5. în cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la art. 28 alin. (3) din Regulamentul (UE) 679/2016, revin celei de a doua personae împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele regulamentului. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite;
6. oferă asistenţă operatorului, prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale;
7. ajută operatorul să asigure respectarea obligaţiilor prevăzute la art. 32-36 din Regulamentul (UE) 679/2016, ţinând seama de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;
8. la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal, după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care, dreptul Uniunii sau dreptul intern impune stocarea acestora;
9. permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator;
10. în cazul procesării transfrontaliere a datelor din contracte, trebuie îndeplinite cerințele Regulamentului (UE) 679/2016 și a legislației naționale relevante, privind divulgarea datelor cu caracter personal în străinătate. În special, datele cu caracter personal din Spațiul Economic European (SEE), pot fi procesate într-o țară terță din afara SEE, numai dacă partenerul poate dovedi că dispune de un standard de protecție a datelor echivalent cu această politică de protecție a datelor. Instrumentele adecvate pot fi:
    • Acordul privind clauzele contractuale standard ale UE pentru prelucrarea datelor din contracte în țările terțe cu furnizorul/prestatorul și cu orice subcontractanți;
    • Participarea furnizorului/prestatorului la un sistem de certificare acreditat de UE, pentru asigurarea unui nivel suficient de protecție a datelor;
    • Recunoașterea regulilor corporative obligatorii ale furnizorului/prestatorului, pentru a crea un nivel adecvat de protecție a datelor, de către autoritățile de supraveghere responsabile pentru protecția datelor.

Persoana împuternicită de operator, înştiinţează operatorul fără întârzieri nejustificate, după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal, pentru ca acesta să poată notifica acest lucru autorităţii de supraveghere competente, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta.

Operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse.

CAP. X. Evidența activităților de prelucrare (Cartografierea)

Conform art. 30, alin. (1) din Regulamentul (UE) 679/2016, fiecare operator şi, după caz, reprezentantul acestuia, păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea lor.

Inventarierea datelor cu caracter personal, reprezintă procesul de localizare și identificare al datelor cu caracter personal, în cadrul activității specifice a operatorului de date, realizându-se astfel, cartografierea datelor cu caracter personal.

Pentru a evalua în mod eficient impactul Regulamentului (UE) 679/2016 asupra activității Societății, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenței activităților de prelucrare.

În acest sens, trebuie identificate, cu precizie, cel puțin următoarele:

• categoriile de date cu caracter personal / special prelucrate;
• scopurile urmărite prin operațiunile de prelucrare a datelor;
• temeiul legal al prelucrării;
• categoriile de persoane vizate;
• persoanele care au acces la aceste date;
• perioada de stocare a datelor prelucrate;
• categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal;
• transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională;
• modalitatea de asigurare a securității datelor prelucrate.

Menținerea unei înregistrări a activităților de prelucrare a datelor cu caracter personal, nu este o întreprindere singulară, ci un exercițiu permanent. Registrul de evidență a activităților de prelucrare, trebuie actualizat de câte ori este necesar, cu informarea prealabilă a DPO, cu privire la modificările ce urmează a fi efectuate. În acest sens, trebuie efectuate periodic, recenzii ale datelor prelucrate, pentru a ne asigura că documentația rămâne corectă și actualizată.

Fiecare Direcție / Oficiu / Compartiment / Serviciu / Sucursală, este direct răspunzător/oare, atât cu privire la exactitatea datelor din Registrul de evidență a activităților de prelucrare, cât și cu actualizarea permanentă a acestuia.

CAP. XI. Gestionarea riscurilor

În cazul în care, au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protecţiei datelor (DPIA – Data Protection Impact Assessment), în condiţiile art. 35 din Regulamentul General privind Protecţia Datelor.

Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.

Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și scopurile prelucrării și utilizarea noilor tehnologii.

Evaluarea impactului asupra protecţiei datelor presupune:

• o descriere a prelucrării de date efectuate și a scopurilor acesteia;
• o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
• o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
• măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile RGPD.

Evaluarea impactului asupra protecţiei datelor permite:

• realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa privată;
• estimarea impactului asupra vieţii private a persoanelor vizate;
• demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia Datelor, sunt respectate.

Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:

• unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
• prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1) din Regulament sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul 10; sau
• unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere.

CAP. XII. Inițierea unui nou proces de prelucrare

Conform art. 25 din Regulamentul (UE) 679/2016, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate. Pentru a fi în măsură să demonstreze conformitatea cu Regulamentul, operatorul trebuie să pună în aplicare măsuri, care să respecte în special principiul protecţiei datelor începând cu momentul conceperii, dar şi cel al protecţiei implicite a datelor.

În esență, acest lucru înseamnă că, operatorul trebuie să integreze protecția datelor, atât la inițierea și implementarea sistemelor, serviciilor, produselor și practicilor de afaceri care implică activități de procesare a datelor cu caracter personal, cât și pe parcursul întregului proces de dezvoltare a acestora. Integrarea protecției datelor în cazul inițierii unui nou proces de prelucrare, asigură atât respectarea principiilor și cerințelor fundamentale ale Regulamentului (UE) 679/2016, cât și anticiparea riscurilor și a evenimentelor invazive, înainte de apariția acestora.

Astfel de măsuri ar putea consta, printre altele, în:

• reducerea la minimum a prelucrării datelor cu caracter personal (realizată prin analizarea tipurilor de date cu caracter personal colectate și necesitatea prelucrării acestora);
• stabilirea perioadei de stocare a datelor prelucrate;
• stabilirea modalităților de distrugere a datelor, după expirarea perioadei de stocare;
• stabilirea entităților către care se divulgă datele cu caracter personal (destinatarii acestora);
• stabilirea măsurilor de securitate a datelor prelucrate;
• stabilirea persoanelor care au acces la datele cu caracter personal prelucrate.

În acest sens, în cazul inițierii unui nou proces de prelucrare a datelor cu caracter personal, este obligatorie consultarea Responsabilului cu protecția datelor cu caracter personal.

CAP. XIII. Drepturile persoanei vizate

Fiecare persoană vizată, are conform Regulamentului, drepturile detaliate în continuare, fiecare solicitare urmând să fie tratată de către Responsabilul cu protecția datelor cu caracter personal, cu obligația de a răspunde cererilor persoanei vizate fără întârzieri nejustificate și cel târziu în termen de o lună și, în cazul în care nu intenționează să se conformeze respectivelor cereri, să motiveze acest refuz.

Art.1. Dreptul de a fi informat – În cazul în care, datele cu caracter personal sunt obținute direct de la persoana vizată, DAC INSTAL SERVICE SRL, este obligată să furnizeze persoanei vizate, informațiile prezentate în Cap. V, art. 3, pct. 1 din prezenta Politică, cu excepția cazului în care, această persoană posedă deja informațiile respective. În cazul în care, datele cu caracter personal sunt obținute din alte surse, DAC INSTAL SERVICE SRL, este obligată să furnizeze persoanei vizate, informațiile prezentate în Cap. V, art. 3, pct. 2 din prezenta Politică, cu excepția cazului în care, această persoană posedă deja informațiile respective.

Art. 2. Dreptul de acces – DAC INSTAL SERVICE SRL este obligată, în situația în care prelucrează date cu caracter personal care privesc solicitantul, să-i comunice acestuia, împreună cu confirmarea, cel puțin urmatoarele: a) informații referitoare la scopurile prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le-au fost sau urmează să le fie divulgate datele, în special destinatari din ţări terţe sau organizaţii internaţionalele; b) comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum și a oricărei informații disponibile cu privire la originea datelor; c) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; d) informații asupra principiilor de funcționare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă; e) informații privind existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării, precum și condițiile în care pot fi exercitate; f) informații asupra posibilității de a înainta plângere către autoritatea de supraveghere, precum și de a se adresa instanței pentru atacarea deciziilor operatorului, în conformitate cu dispozițiile legii;

Art. 3. Dreptul de intervenție asupra datelor – Orice persoană vizată, are dreptul de a obține de la DAC INSTAL SERVICE SRL, la cerere și în mod gratuit: a) după caz, rectificarea, actualizarea, blocarea sau ștergerea datelor a caror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte;

Art. 4. Dreptul de opoziție – Persoana vizată, are dreptul de a se opune în orice moment, din motive întemeiate și legitime, legate de situația sa particulară, ca date care o vizează, să facă obiectul unei prelucrări, cu excepția cazurilor în care, există dispoziții legale contrare. În caz de opoziție justificată, prelucrarea nu mai poate viza datele în cauză;

Art. 5. Dreptul de a nu fi supus unei decizii individuale – Orice persoană, are dreptul de a cere și de a obține retragerea/anularea/reevaluarea oricarei decizii care produce efecte juridice în privința sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalității sale, precum competența profesională, credibilitatea, comportamentul sau alte asemenea aspecte;

Art. 6. Dreptul de ștergere a datelor – Persoana vizată, are dreptul să solicite operatorului să șteargă fără întârziere, datele cu caracter personal care o privesc, în următoarele cazuri: a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare; c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea; d) datele cu caracter personal au fost prelucrate ilegal; e) datele cu carecter personal trebuie șterse pentru respectarea legii;

Art. 7. Dreptul la restricționarea prelucrării datelor – Conform art. 18 din Regulament, persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în următoarele cazuri: a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea acestora; b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor; c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; d) persoana vizată s-a opus prelucrării în conformitate cu art. 21 alin. (1) din Regulament, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

În cazul în care prelucrarea a fost restricţionată în baza situațiilor sus-menționate, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

O persoană vizată care a obţinut restricţionarea prelucrării în baza situațiilor prezentate mai sus, este informată de către operator înainte de ridicarea restricţiei de prelucrare.

Art. 8. Dreptul la portabilitatea datelor – Art. 20 din Regulament, stipulează: Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului, într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului carui i-au fost furnizate datele cu caracter personal. Datele personale trebuie să poată fi oferite persoanei vizate, într-un format structurat, pentru ca aceasta să poată decide dacă le descarcă sau, dimpotrivă, dacă le poate trimite unui alt operator. Acest drept se aplică doar în masura în care datele sunt prelucrate în temeiul unui contract sau a consimțământului persoanei vizate, precum și (cumulat), atunci când prelucrarea se face prin mijloace automate. Dreptul la portabilitatea datelor se aplică atât asupra datelor furnizate direct de persoana vizată, cât și asupra datelor colectate ulterior. Sunt excluse de la portabilitate, datele derivate sau deduse cu privire la persoanele vizate;

Art. 9. Dreptul de a depune o plângere – Persoana vizată are dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Protecției Datelor cu Caracter Personal (ANSPDCP) și de a se adresa instanței.

Toate aceste drepturi, pot fi exercitate de către persoana vizată, printr-o cerere scrisă, semnată și datată, transmisă la sediul Societății, cu mențiunea: „Responsabilului cu protecția datelor cu caracter personal” sau la următoarea adresă de e-mail: dpo@instalatorurgente.ro

CAP. XIV. Confidențialitatea procesării

Datele cu caracter personal, sunt considerate confidențiale. Orice colectare, prelucrare sau utilizare neautorizată a acestor date de către angajați, este interzisă. Șefii de serviciu, pot stabili nivelul de acces la date cu caracter personal, pentru fiecare subaltern. Orice procesare de date, efectuată de un angajat care nu a fost autorizat să o îndeplinească, ca parte a îndatoririlor sale legitime, este neautorizată. Se aplică principiul „necesitații de a cunoaște – need to know”. Angajații pot avea acces la date cu caracter personal, numai după cum este adecvat pentru tipul și scopul sarcinii de serviciu în cauză. Acest lucru, necesită o defalcare atentă și separarea, precum și punerea în aplicare a rolurilor și responsabilităților. Angajaților li se interzice să utilizeze date cu caracter personal în scopuri private sau comerciale, să le dezvăluie persoanelor neautorizate sau să le pună la dispoziție în orice alt mod. Șefii de serviciu și departamentul Resurse Umane, trebuie să-și informeze angajații, la începutul relației de muncă, cu privire la obligația de a proteja confidențialitatea datelor cu caracter personal și a informațiilor.

Responsabilitățile generale ale angajaților DAC INSTAL SERVICE SRL, în cadrul Regulamentului (UE) 679/2016 privind protecția datelor cu caracter personal, includ:

• de a prelucra datele cu caracter personal în conformitate cu, și în limitele atribuțiilor din fișa postului;
• de a păstra confidențialitatea asupra datelor cu caracter personal pe care le prelucrează, pe toată durata contractului individual de muncă și după încetarea acestuia, pe termen nelimitat;
• de a nu dezvalui datele cu caracter personal pe care le prelucrează, unor alte persoane decât cele în privința cărora îi este permis acest lucru prin procedurile interne, prin regulamentul intern al angajatorului, prin contractul individual de muncă și fișa postului;
• de a prelucra datele cu caracter personal, numai pentru aducerea la îndeplinire a atribuțiilor de serviciu prevazute în fișa postului, în contractul individual de muncă și în regulamentul intern;
• de a respecta masurile tehnice și organizatorice stabilite pentru protejarea datelor cu caracter personal, împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală;
• de a aduce la cunoștința Responsabilului cu protecția datelor cu caracter personal, în cel mai scurt timp posibil, orice situație de acces neautorizat la datele personale pe care le prelucrează.

Nerespectarea obligațiilor ante-menționate, precum și a confidențialității asupra datelor și informațiilor cu caracter personal prelucrate, atrage răspunderea disciplinară a salariatului, în conformitate cu prevederile legislației muncii și a legislației în domeniul protecției datelor cu caracter personal.

Orice angajat al organizației, are obligația de informa imediat Responsabilul cu protecția datelor cu caracter personal, privind orice incident sau eveniment care afecteaza negativ confidențialitatea, interigatea si diponibilitatea datelor sau care poate crea prejudicii organizației.

Orice prejudiciu, de orice natură, adus organizației cu sau fără intenție, prin nerespectarea prevederilor legislației și Regulamentului, privind datele cu caracter personal, poate atrage răspunderea disciplinară sau civilă (după caz).

CAP. XV. Securitatea prelucrării

Datele cu caracter personal, trebuie să fie protejate împotriva accesului neautorizat și a prelucrării sau dezvăluirii ilegale, precum și a pierderii, modificării sau distrugerii accidentale. Acest lucru se aplică, indiferent dacă datele sunt prelucrate electronic sau pe suport de hârtie.

Pentru îndeplinirea prevederilor legale aferente și în vederea satisfacerii cerințelor păstrarii în siguranță a datelor și informațiilor, compania a elaborat și implementat măsuri organizatorice și tehnice, referitoare la securitatea și controlul sistemelor informatice, în vederea asigurării confidențialității datelor și informațiilor, precum și pentru păstrarea în siguranță a acestora, în cadrul activității curente, executate de angajații Societății.

Prelucrările manuale de date cu caracter personal:

• Documentele care conțin date cu caracter personal, sunt ținute în fișete sau dulapuri închise cu cheie sau cu un alt mecanism de securizare. Documentele care conțin date cu caracter personal, folosite pentru realizarea anumitor operațiuni, se vor preda persoanelor abilitate sau se vor închide imediat dupa terminarea acestora.
• Prelucrările manuale de date cu caracter personal, care fac parte din categoria datelor cu carecter special sau sensibil, se vor efectua numai de către persoanele care au atribuții specifice în acest sens.

Toate documentele care conțin date cu caracter personal urmează regulile de păstrare, procesare, multiplicare, transport, transmitere, distrugere și arhivare, stabilite prin legislația în domeniul formării profesionale, legea arhivării, legislația în domeniul contabilității, legislația muncii etc. și prin procedurile interne existente la nivelul DAC INSTAL SERVICE SRL.

CAP. XVI. Controlul prelucrării și protecției datelor cu caracter personal

Monitorizarea respectării Politicii de prelucrare și protecție a datelor cu caracter personal, precum și a reglementărilor legale aplicabile în domeniul protecției datelor, se realizează periodic prin audite de protecție a datelor și alte forme de control.

Responsabilitatea pentru efectuarea acestor controale revine Responsabilului cu Protecția Datelor cu Caracter Personal, conform articolului 39 alineatul (1) litera b) din Regulamentul (UE) 679/2016. Rezultatele controalelor privind protecția datelor trebuie raportate directorului general al DAC INSTAL SERVICE SRL.

La cerere, aceste rezultate vor fi puse la dispoziția Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

De asemenea, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal are dreptul să efectueze propriile sale controale, conform legislației naționale în vigoare.

CAP. XVII. Incidente de securitate

Un incident de securitate poate fi definit astfel:

• Orice eveniment care implică încercarea sau realizarea unui acces neautorizat la un sistem informatic, un atac asupra integrității, disponibilității sau confidențialității informațiilor dintr-un sistem informatic automatizat sau chiar la un sistem manual (de exemplu, orice document pe suport de hârtie care conține date personale și este accesat de persoane neautorizate);
• Orice acțiune sau inacțiune care încalcă reglementările de securitate și care a dus sau ar putea duce la compromiterea securității datelor;
• Oricare eveniment în care există suspiciuni fondate că datele personale au fost capturate, colectate, modificate, copiate, transmise sau utilizate ilegal, fie de terți, fie de angajați.

Un incident informatic se poate referi la: accesul neautorizat la informații și date, întreruperea funcționării unor servicii sau produse, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea neautorizată a informațiilor, modificarea datelor din sistemele informatice, malware sau software care afectează sistemul, cu sau fără știința sau intenția utilizatorului.

Informația este considerată compromisă atunci când își pierde integritatea, confidențialitatea sau disponibilitatea.

Abaterea de la reglementările de securitate reprezintă o încălcare care duce la compromiterea informației.

Responsabilul cu protecția datelor cu caracter personal (DPO) este răspunzător în fața conducerii privind gestionarea incidentelor de securitate, în raport cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Tratarea incidentelor de securitate se aplică în mod uniform tuturor persoanelor care utilizează resursele informaționale ale organizației.

Raportarea unui incident de securitate care implică compromiterea datelor cu caracter personal trebuie să includă:

• Descrierea datelor compromise, data emiterii, emitentul, subiectul, persoana sau departamentul care le-a gestionat;
• O scurtă descriere a circumstanțelor în care s-a produs compromiterea, inclusiv data constatării, perioada în care datele au fost expuse riscului, persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, dacă sunt cunoscute;
• Alte informații relevante, inclusiv eventualele notificări către emitent.

În cazul în care incidentul de securitate impune aplicarea legii civile sau penale, DPO va recomanda sesizarea autorităților competente și va acționa ca ofițer de legătură cu acestea.

Operatorul trebuie să păstreze documentația privind toate cazurile de încălcare a securității datelor cu caracter personal, incluzând o descriere detaliată a incidentului, a efectelor acestuia și a măsurilor de remediere luate.

Orice incident de securitate care implică date cu caracter personal trebuie raportat imediat la DPO de către orice angajat al organizației în care s-a produs compromiterea, pentru a asigura respectarea obligațiilor legale de raportare conform legislației naționale.

CAP. XVIII. Responsabilități și sancțiuni

Șefii de serviciu din cadrul Societății sunt răspunzători pentru prelucrarea datelor în aria lor de responsabilitate. Aceștia au obligația de a se asigura că cerințele legale privind protecția datelor, precum și cele prevăzute în Politica de prelucrare a datelor cu caracter personal, sunt respectate. Personalul de conducere trebuie să garanteze implementarea măsurilor organizatorice, tehnice și de resurse umane, astfel încât orice prelucrare a datelor cu caracter personal să fie realizată în conformitate cu REGULAMENTUL (UE) 2016/679. Conformitatea cu aceste cerințe revine fiecărui angajat relevant.

Responsabilul cu protecția datelor cu caracter personal este persoana de contact pentru orice aspecte legate de prelucrarea și protecția datelor. Acesta are dreptul de a efectua verificări privind respectarea Politicii de prelucrare a datelor cu caracter personal și a reglementărilor impuse de Regulamentul (UE) 2016/679.

Toți angajații au obligația de a informa imediat Responsabilul cu protecția datelor cu caracter personal despre orice încălcare a acestei politici de protecție a datelor sau a altor reglementări legale referitoare la protecția datelor cu caracter personal.

Departamentele implicate în proiectele de afaceri care presupun prelucrări semnificative de date trebuie să informeze Responsabilul cu protecția datelor cu caracter personal într-un timp util, despre orice nouă prelucrare a datelor cu caracter personal. În cazul în care prelucrarea datelor implică riscuri speciale pentru drepturile și libertățile persoanelor vizate, Responsabilul cu protecția datelor cu caracter personal trebuie să fie informat înainte de demararea procesării. Aceste reglementări se aplică în mod special datelor cu caracter personal sensibile.

Prelucrarea necorespunzătoare a datelor cu caracter personal sau orice alte încălcări ale legislației privind protecția datelor vor atrage sancțiuni conform reglementărilor interne, ale Regulamentului UE nr. 679/2016 și ale legislației aplicabile.

CAP. XIX. Responsabilul cu protecția datelor cu caracter personal (DPO)

Responsabilul cu protecția datelor cu caracter personal, care acționează în mod independent față de subordonarea profesională, are ca scop asigurarea respectării reglementărilor naționale și internaționale referitoare la protecția datelor. Acesta este responsabil pentru implementarea și monitorizarea Politicii de protecție a datelor și a respectării Regulamentului relevant. Responsabilul cu protecția datelor cu caracter personal este desemnat de conducerea DAC INSTAL SERVICE SRL.

Șefii de servicii sunt obligați să informeze cu promptitudine Responsabilul cu protecția datelor cu caracter personal despre orice risc legat de prelucrarea și protecția datelor personale (de exemplu, breșe de securitate).

Orice persoană vizată poate contacta Responsabilul cu protecția datelor cu caracter personal în orice moment pentru întrebări, solicitări de informații sau pentru depunerea de plângeri legate de protecția datelor sau de securitatea datelor personale. În cazul în care sunt depuse plângeri, acestea vor fi tratate cu confidențialitate.

Dacă Responsabilul cu protecția datelor cu caracter personal nu poate rezolva o plângere sau remedia o încălcare a Politicii de protecție a datelor, se va solicita consultanță din partea Autorității de supraveghere.

Deciziile luate de Responsabilul cu protecția datelor pentru remedierea încălcărilor privind protecția datelor trebuie să fie raportate conducerii companiei. De asemenea, orice investigații sau controale efectuate de Autoritatea de supraveghere vor fi raportate către conducerea societății.

Responsabilul cu protecția datelor cu caracter personal (DPO) este proprietarul acestui document și are responsabilitatea de a revizui Politica în conformitate cu legislația aplicabilă.

Versiunea actuală a acestui document este disponibilă pentru toți angajații DAC INSTAL SERVICE SRL, precum și pentru parteneri, consultanți și terți.