Politica de protectie a datelor prevede conditiile-cadru necesare asigurarii nivelului adecvat de protectie a datelor prevazut de Regulamentului nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date.

Va aducem la cunostinta ca responsabilitatea noastra in relatia cu dumneavoastra implica si modul in care prelucram si avem grija de datele cu caracter personal. Astfel, incepand cu data de 25 mai 2018, ne vom alinia la standardele europene in vigoare privind prelucrarea datelor cu caracter personal si libera circulatie a acestor date stipulate in Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului.

Cerintele privind prelucrarea datelor cu caracter personal sunt respectate de RISE ENGLISH in conformitate cu prevederile de securitate privind prelucrarea datelor cu caracter personal prevazute in Regulamentul 679/2016 (denumita in continuare ,,GDPR").

Atat in momentul stabilirii mijloacelor de prelucrare, cat si in timpul procesarii in sine, RISE ENGLISH aplica masurile organizatorice adecvate pentru a garanta si a dovedi ca prelucrarea se face prin respectarea prevederilor legale aplicabile.

Noi am luat toate masurile necesare pentru a ne asigura ca, implicit, sunt prelucrate numai datele personale strict necesare pentru fiecare scop specific al procesarii.

Operatorul datelor dumneavoastra cu caracter personal

Operatorul in relatia cu datele dvs. cu caracter personal este RISE ENGLISH.

Categorii de date cu caracter personal prelucrate

RISE ENGLISH va prelucra datele in mod legal, corect si intr-o maniera transparenta, scopurile pentru care vom folosi aceste date fiind bine determinate, mai exact pentru pregatirea si oferirea serviciilor pe care le solicitati de la noi.

Informatii de contact, cum ar fi numele dumneavoastra, denumirea postului, adresa postala, inclusiv adresa de domiciliu, in cazul in care ne-ati comunicat-o, adresa profesionala, numarul de telefon, numarul de telefon mobil, numarul de fax si adresa de e-mail;

RISE ENGLISH nu se angajeaza in prelucrarea de date personale ale persoanelor fizice terte in raportele de munca cu clientii.

Temeiurile juridice pentru prelucrarea datelor cu caracter personal

Orice operatiune de prelucrare a datelor dumneavoastra cu caracter personal va fi efectuata pe baza unuia dintre temeiurile juridice de mai jos:

Prelucrarea este necesara pentru incheierea sau executarea unui contract la care dumneavoastra sunteti parte;

Prelucrarea este necesara in vederea respectarii unei obligatii legale a operatorului;

Prelucrarea este efectuata in temeiul consimtamantului dumneavoastra;

Prelucrarea este necesara in vederea protejarii intereselor vitale ale dumneavoastra sau ale altei persoane fizice;

Prelucrarea este necesara in scopul intereselor legitime ale RISE ENGLISH sau ale unui tert (e.g. cand prelucrarea este necesara pentru executarea unui contract la care este parte organizatia dumneavoastra), cu exceptia cazurilor in care interesele sau drepturile si libertatile dumneavoastra fundamentale prevaleaza asupra acestor interese;

In cazul categoriilor speciale de date, prelucrarea se va face daca, pe langa un temei juridic general de prelucrare a datelor, vor fi intrunite si una dintre urmatoarele conditii specifice de prelucrare:

A fost obtinut consimtimantul persoanei vizate;

Avem o obligatie legala de prelucrare a acestor categorii de date;

Prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta.

Scopul prelucrarii datelor cu caracter personal

Va putem folosi datele cu caracter personal in urmatoarele scopuri (,,Scopuri Permise"):

Gestionarea si administrarea relatiei contractuale cu clientii nostri;

Respectarea obligatiilor noastre legale (cum ar fi obligatii in materia combaterii spalarii banilor si finantarii actelor de terorism, obligatii de raportare catre autoritatile fiscale);

Gestionarea securitatii si accesului in sediile noastre, gestionarea utilizarii sistemelor IT utilizate de iC Consulting (e.g. pagina de internet, platformele de management a datelor, sistemele de comunicatii utilizate), inclusiv prevenirea si detectarea amenintarilor de securitate, a fraudelor sau a altor activitati neautorizate sau malitioase;

Analizarea si imbunatatirea serviciilor si comunicarilor noastre catre dumneavoastra;

In orice scop aferent si/sau auxiliar oricarora dintre cele de mai sus, sau in orice alt scop pentru care datele dumneavoastra cu caracter personal ne-au fost furnizate, cu respectarea legislatiei aplicabile.

Scopul politicii de protectie a datelor

Ca parte a responsabilitatii sale sociale, RISE ENGLISH se angajeaza sa respecte legile nationale si internationale privind protectia datelor. Aceasta se bazeaza pe principii acceptate la nivel european si global privind protectia datelor. Asigurarea protectiei datelor reprezinta fundamentul relatiilor in afaceri de incredere .

Pentru a ne conforma obligatiilor legale de securitate si confidentialitate a datelor ce ne revin, atunci cand va exercitati unul dintre drepturile de care beneficiati in calitate de persoana vizata, este posibil sa va cerem sa va dovediti identitatea, comunicandu-ne o copie unui document de identificare sau orice alte informatii necesare pentru a verifica faptul ca solicitarea vine din partea persoanei vizate relevante.

Politica de protectie a datelor prevede conditiile-cadru necesare asigurarii nivelului adecvat de protectie a datelor prevazut de Regulamentului nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date.

Domeniul de aplicare si modificarea politicii

Aceasta politica de protectie a datelor personale se aplica tuturor persoanelor care reprezinta STAFF din RISE ENGLISH si angajatilor acestora. Politica privind protectia datelor se extinde peste toate prelucrarile de date cu caracter personal.

Datele anonimizate, acolo unde exista, utilizate de ex. pentru evaluari statistice sau alte studii, nu sunt supuse acestei politici de protectie a datelor.

Politica este revizuita anual iar cea mai recenta versiune aprobata de directorul general va fi imediat disponibila, atat angajatilor cat si clientilor si partenerilor de afaceri.

Principii pentru prelucrarea datelor personale

Corectitudinea si legalitatea

La prelucrarea datelor cu caracter personal, drepturile individuale ale persoanelor vizate trebuie protejate. Datele personale trebuie colectate si prelucrate in mod legal si corect.

Restrictie la un anumit scop

Datele personale pot fi prelucrate numai in scopul definit inainte de colectarea datelor si comunicat persoanei vizate. Modificarile ulterioare ale scopului sunt posibile doar intr-o masura limitata si necesita o fundamentare solida.

Transparenta

Persoana vizata trebuie informata cu privire la modul in care sunt tratate datele sale. In general, datele cu caracter personal trebuie colectate direct de la persoana in cauza. Atunci cand datele sunt colectate, persoana vizata trebuie sau sa stie deja, sau sa fie informata despre:

Identitatea controlorului de date (compania care colecteaza datele)

Scopul prelucrarii datelor

Terte parti sau categorii de parti terte carora le-ar putea fi transmise datele

Reducerea datelor si minimizarea datelor

Inainte de a procesa date personale, trebuie sa determinati daca, si in ce masura prelucrarea datelor cu caracter personal este necesara pentru atingerea scopului pentru care este efectuata.

Acolo unde scopul permite si unde cheltuielile implicate sunt proportionale cu obiectivul, trebuie folosite date anonime. Datele personale nu pot fi colectate in avans si stocate in scopuri potentiale viitoare, cu exceptia cazului in care acest lucru este impus sau permis de legislatia nationala.

Stergerea

Datele personale care nu mai sunt necesare dupa expirarea procesului legal sau de afaceri trebuie sterse. Pot exista situatii in care interesele legale obliga la pastrarea acestor date pe termene predefinite. In acest caz, datele trebuie sa ramana in dosare pana la expirarea obligatiilor legale.

Exactitatea si actualitatea datelor

Datele personale colectate trebuie sa fie corecte, complete si, daca este necesar, sa fie actualizate. Trebuie luate masuri permanent pentru a ne asigura ca datele inexacte sau incomplete sunt sterse, corectate, suplimentate sau actualizate.

Confidentialitatea si securitatea datelor

In cadrul companiei care reprezinta RISE ENGLISH datele personale sunt considerate informatii confidentiale si sunt protejate prin masuri organizatorice si tehnice adecvate pentru a preveni accesul neautorizat, prelucrarea sau distribuirea ilegala, precum si pierderea accidentala, modificarea sau distrugerea lor.

Fiabilitatea procesarii datelor

Colectarea, prelucrarea și utilizarea datelor cu caracter personal este permisa in baza urmatoarelor temeiuri juridice necesare, de asemenea, in cazul in care scopul colectarii, prelucrarii si utilizarii datelor cu caracter personal trebuie sa fie modificat fata de scopul initial.

Date despre clienti si parteneri

Prelucrarea datelor pentru o relatie contractuala

Datele personale ale potentialilor clienti, clienti existenti si parteneri pot fi procesate in scopul de a incheia, de a executa si de a finaliza un contract. Aceasta include, de asemenea, servicii de consultanta pentru partener in cazul in care acest lucru are legatura cu scopul contractual. Anterior unui contract, in timpul fazei de initiere a acestuia - datele cu caracter personal pot fi procesate pentru a pregati oferte sau alte documente care sa indeplineasca diferite solicitari ale perspectivei legate de incheierea contractului. Persoanele pot fi contactate in timpul procesului de pregatire a contractului folosind informatiile personale pe care acestea le-au furnizat. Orice restrictii solicitate de potentialii clienti trebuie sa fie respectate.

Prelucrarea datelor in scop publicitar

Daca persoana vizata contacteaza societatea care reprezinta brandul RISE ENGLISH, pentru a solicita informatii (de ex. sa primeasca materiale informative despre un produs sau serviciu), prelucrarea datelor pentru a raspunde acestei solicitari este permisa.

Actiunile de publicitate fac obiectul unor cerinte legale suplimentare. Datele personale pot fi prelucrate in scopuri publicitare, de cercetare a pietei si a opiniei publice, cu conditia ca aceasta prelucrare sa se realizeze in concordanta cu scopul pentru care datele au fost colectate initial. Subiectul (persoana vizata) detinator al datelor trebuie sa fie informat cu privire la utilizarea datelor sale in scopuri publicitare. Daca datele sunt colectate numai in scopuri publicitare, divulgarea de la persoana vizata este voluntara. Persoana vizata trebuie informata ca furnizarea datelor personale

pentru prelucrarea in scopuri publicitare este voluntara si ca trebuie sa se obtina un consimtamant din partea persoanei vizate pentru a procesa datele respective in scopuri publicitare. Atunci cand se acorda consimtamantul, persoana vizata ar trebui sa aiba posibilitatea de a alege intre formele disponibile, cum ar fi formulare predefinite tiparite, transmiterea consimtamantului prin e-mail si prin telefon. Daca persoana vizata refuza utilizarea datelor sale in scopuri publicitare, datele acesteia nu mai pot fi utilizate in aceste scopuri si trebuie sa fie blocate pentru utilizarea in aceste scopuri.

Consimtamantul pentru prelucrarea datelor

Datele pot fi procesate conform consimtamantului persoanei vizate. Inainte de a-si da consimtamantul, persoana vizata trebuie sa fie informata despre aceasta politica de protectie a datelor. Declaratia de aprobare - consimtamantul trebuie obtinut in scris sau in format electronic si pastrat in scopul documentarii.

In anumite circumstante, cum ar fi conversatiile telefonice, consimtamantul poate fi dat verbal. Acordarea consimtamantului trebuie sa fie documentata.

Prelucrarea datelor in baza unui interes legitim

Datele personale pot fi, de asemenea, prelucrate in baza unui interes legitim al brandului RISE ENGLISH. Interesele legitime sunt, in general, de natura juridica (de exemplu, colectarea creantelor neachitate) sau de natura comerciala (de exemplu, evitarea incalcarilor contractului). Datele personale nu pot fi procesate in scopul unui interes legitim daca, in cazuri individuale, exista dovezi ca interesele persoanei vizate necesita protectie si ca aceasta are prioritate. Inainte de procesarea datelor, este necesar sa se determine daca exista o astfel de situatie.

Prelucrarea datelor sensibile

Datele cu caracter personal foarte sensibile pot fi procesate numai daca legea impune acest lucru sau persoana vizata si-a dat acordul expres. Aceste date pot fi, de asemenea, prelucrate numai daca este obligatoriu pentru indeplinirea, exercitarea sau apararea revendicarilor legale referitoare la persoana vizata. Daca exista intentia de a procesa datele sensibile, responsabilul pentru protectia datelor cu caracter personal trebuie sa fie informat in prealabil.

Decizii individuale automate

Prelucrarea automata a datelor cu caracter personal, care este utilizata pentru a evalua anumite aspecte, nu poate fi singura baza pentru deciziile care au consecinte juridice negative sau care ar putea afecta in mod semnificativ persoana vizata. Persoana vizata trebuie informata cu privire la faptele si rezultatele deciziilor individuale automatizate si are posibilitatea de a raspunde. Pentru a evita deciziile eronate, un test si o verificare a plauzibilitatii trebuie facute de catre un angajat.

Date utilizator si internet

Daca datele cu caracter personal sunt colectate, prelucrate si utilizate pe site-uri web sau in aplicatii, persoanele vizate trebuie sa fie informate despre acest lucru intr-o Nota de informare si, daca este cazul, informatii despre cookie-uri. Nota de informare si orice informatii despre cookies trebuie integrate astfel incat sa fie usor de identificat, direct accesibile si disponibile in mod constant pentru persoanele vizate.

Daca sunt create profiluri de utilizare (urmarire) pentru a evalua utilizarea site-urilor web si a aplicatiilor, persoanele vizate trebuie sa fie intotdeauna informate in mod corespunzator in nota de informare.

In cazul in care site-urile sau aplicatiile pot accesa date cu caracter personal intr-o zona limitata la utilizatorii inregistrati, identificarea si autentificarea persoanei vizate trebuie sa ofere protectie suficienta in timpul accesului.

Prelucrarea datelor pentru relația de munca

In relatiile de munca, datele personale pot fi procesate daca este necesar pentru a initia, efectua si a inchide contractul de munca. La initierea unei relatii de munca, datele personale ale solicitantilor pot fi procesate. Atunci cand candidatul este respins, datele sale trebuie sa fie sterse (in conformitate cu perioada de pastrare necesara), cu exceptia cazului in care solicitantul a fost de acord ca datele sale sa ramana in dosar pentru un viitor proces de selectie.

In raportul de munca existent, scopul prelucrarii datelor trebuie sa se coreleze intotdeauna cu scopul contractului de munca daca nu exista niciuna dintre urmatoarele circumstante pentru prelucrarea datelor autorizate.

Daca in timpul procedurii de aplicare este necesara colectarea informatiilor despre un solicitant de la o terta parte, trebuie de asemenea respectate cerintele legale corespunzatoare.

Prelucrarea datelor in baza unui interes legitim

Datele personale pot fi, de asemenea, prelucrate in cazul in care este necesar sa se sustina un interes legitim al brandului RISE ENGLISH. Interesele legitime sunt, in general, de natura juridica (de exemplu, depunerea, aplicarea sau apararea impotriva plangerilor juridice, recuperarea creantelor etc.).

Masurile de control care necesita prelucrarea datelor angajatului pot fi luate numai daca exista o obligatie legala de a face acest lucru sau exista un motiv legitim. Chiar daca exista un motiv legitim, trebuie examinata intotdeauna proportionalitatea masurii de control. Interesele justificate ale companiei in aplicarea masurilor de control (de exemplu, respectarea dispozitiilor legale si a normelor si regulamentelor interne ale companiei) trebuie sa fie cantarite fata de orice interese ale angajatului care trebuie sa fie protejate astfel incat masurile de control sa fie adecvate.

Prelucrarea datelor sensibile

Datele cu caracter personal sensibile pot fi procesate numai in anumite conditii. Acestea sunt date despre originea rasiala si etnica, convingerile politice, credintele religioase sau filosofice, precum si despre sanatatea si orientarea sexuala a persoanei vizate sau datele care se refera la cazierul juridic. Astfel de date pot fi prelucrate cand exista obligatii legale sau cand avem consimtamantul expres al persoanei vizate.

Decizii automate

Daca, la un moment dat, datele personale sunt prelucrate automat ca parte a raporturilor de munca si anumite date personale specifice sunt evaluate automat (de exemplu, in cadrul selectiei personalului sau al evaluarii profilurilor de competente) aceasta prelucrare automata nu poate constitui singura baza pentru deciziile care ar putea avea un impact negativ asupra angajatului respectiv. Pentru a evita deciziile eronate, procesul automatizat trebuie sa fie asistat de o persoana fizica ce evalueaza continutul situatiei si aceasta evaluare este baza deciziei. Persoana vizata trebuie, de asemenea, sa fie informata despre faptele si rezultatele deciziilor individuale automatizate si despre posibilitatea de a raspunde.

Telecomunicatii si internet

Echipamentele telefonice, adresele de e-mail, intranetul si internetul impreuna cu aplicatiile interne sunt furnizate de companie in primul rand pentru sarcini legate de munca. Ele sunt un instrument si o resursa a companiei. Acestea pot fi utilizate in cadrul reglementarilor legale aplicabile si al politicilor interne ale companiei. In cazul utilizarii autorizate in scopuri personale, se va tine cont de prevederile regulamentului si procedurilor interne si de legislatia specifica privind telecomunicatiile. Nu va exista o monitorizare generala a comunicatiilor telefonice si de e-mail sau a utilizarii intranetului / internetului. Pentru a ne apara impotriva atacurilor asupra infrastructurii IT sau a utilizatorilor individuali, pot fi implementate masuri de protectie pentru conexiunile la reteaua RISE ENGLISH care blocheaza continutul daunator din punct de vedere tehnic sau care analizeaza modelele de atac. Din motive de securitate, pot fi monitorizate utilizarea echipamentelor telefonice, a adreselor de e-mail, a intranetului / internetului si a aplicatiilor interne pentru o perioada temporara.

Transmiterea datelor cu caracter personal

Transmiterea datelor cu caracter personal catre destinatarii din afara sau din interiorul brandului RISE ENGLISH este supusa cerintelor de autorizare pentru prelucrarea datelor cu caracter personal in conformitate cu prezenta politica. Beneficiarul datelor trebuie sa utilizeze datele numai in scopurile definite.

In cazul in care datele sunt transmise unui destinatar din afara societatii, unei tari terte aceasta tara trebuie sa fie de acord sa mentina un nivel de protectie a datelor personale echivalent cu aceasta politica de protectie a datelor si in concordanta cu prevederile EU GDPR 679/2016.

Daca datele sunt transmise de o terta parte societatii RISE ENGLISH, aceasta se va asigura ca datele sunt utilizate numai in scopul propus.

Prelucrarea datelor privind contractele

Prelucrarea datelor printr-un furnizor de servicii care este angajat sa proceseze date cu caracter personal inseamna ca acesta va respecta Regulamentul 679/2016 si aceasta Politica fara a-si asuma responsabilitatea pentru procesele de afaceri conexe. In aceste cazuri, trebuie incheiat un acord privind prelucrarea datelor cu caracter personal.

Furnizorul poate procesa date personale numai conform instructiunilor clientului. La incheierea acordului, trebuie indeplinite urmatoarele cerinte iar departamentul care plaseaza comanda trebuie sa se asigure ca acestea sunt indeplinite:

1. Furnizorul trebuie ales pe baza capacitatii sale de a asigura masurile tehnice si organizatorice de protectie necesare.

2.Ordinul de prelucrare trebuie trimis in scris. Instructiunile privind prelucrarea datelor si responsabilitatile clientului si furnizorului trebuie sa fie documentate.

3.Trebuie luate in considerare standardele contractuale pentru protectia datelor personale furnizate de responsabilul cu protectia datelor personale din companie.

4.Inainte de inceperea prelucrarii datelor, clientul trebuie sa aiba incredere ca furnizorul isi va respecta obligatiile. Un furnizor poate documenta conformitatea cu cerintele de securitate a datelor, in special prin prezentarea unei certificari adecvate. In functie de riscul de prelucrare a datelor, revizuirile certificarilor trebuie repetate in mod regulat pe durata contractului.

5.In cazul procesarii transfrontaliere a datelor din contracte, trebuie indeplinite cerintele Regulamentului 679/2016 si a legislatiei nationale relevante privind divulgarea datelor cu caracter personal in strainatate. In special, datele cu caracter personal din Spatiul Economic European (EEA) pot fi procesate intr-o tara terta din afara EEA numai daca furnizorul poate dovedi ca dispune de un standard de protectie a datelor echivalent cu aceasta politica de protectie a datelor. Instrumentele adecvate pot fi:

a.Acordul privind clauzele contractuale standard ale UE pentru prelucrarea datelor din contracte in tarile terte cu furnizorul si cu orice subcontractanti.

b.Participarea furnizorului la un sistem de certificare acreditat de UE pentru asigurarea unui nivel suficient de protectie a datelor.

c.Recunoasterea regulilor corporative obligatorii ale furnizorului, pentru a crea un nivel adecvat de protectie a datelor, de catre autoritatile de supraveghere responsabile pentru protectia datelor.

Drepturile persoanei vizate

Fiecare persoana vizata are drepturile de mai jos iar afirmarea lor trebuie sa fie tratata imediat de catre responsabilul cu protectia datelor personale si nu poate constitui un dezavantaj pentru persoana vizata.

Art.1. Persoana vizata poate solicita informatii cu privire la ce date cu caracter personal care o privesc au fost stocate, cum au fost colectate datele si in ce scop. Daca exista drepturi suplimentare pentru a vizualiza documentele angajatorului (de exemplu, dosarul de personal) in cazul unor relatii de munca in conformitate cu legile relevante privind ocuparea fortei de munca, acestea nu vor fi afectate.

Art. 2. Daca datele cu caracter personal sunt transmise tertilor, trebuie furnizate informatii despre identitatea destinatarului sau a categoriilor de destinatari.

Art. 3. Daca datele cu caracter personal sunt incorecte sau incomplete, persoana vizata poate solicita corectarea acestora sau completarea lor.

Art. 4. Persoana vizata poate obiecta privind prelucrarea datelor sale in scopuri de publicitate sau de cercetare de piata sau de opinie. Datele trebuie sa fie blocate pentru aceste tipuri de utilizare.

Art. 5. Persoana vizata poate solicita stergerea datelor sale daca prelucrarea acestor date nu are un temei juridic sau daca temeiul juridic a incetat sa se aplice. Acelasi lucru este valabil si in cazul in care scopul prelucrarii datelor a expirat sau a incetat sa mai fie aplicabil din alte motive. Se va acorda atentie perioadelor de pastrare si posibilelor conflicte de interes.

Art. 6. Persoana vizata are dreptul de a se opune prelucrarii datelor sale si acest lucru trebuie luat in considerare daca protejarea intereselor sale are prioritate fata de interesul operatorului de date in urma unei situatii personale specifice. Acest lucru nu se aplica daca exista o dispozitie legala ce impune ca datele sa fie procesate.

Confidentialitatea procesarii

Datele personale sunt considerate confidentiale. Orice colectare, prelucrare sau utilizare neautorizata a acestor date de catre angajati este interzisa. Orice procesare de date efectuata de un angajat care nu a fost autorizat sa o indeplineasca, ca parte a indatoririlor sale legitime, este neautorizata. Se aplica principiul "necesitatii de a cunoaste - need to know". Angajatii pot avea acces la date personale numai dupa cum este adecvat pentru tipul si scopul sarcinii de serviciu in cauza. Acest lucru necesita o defalcare atenta si separarea, precum si punerea in aplicare a rolurilor si responsabilitatilor. Angajatilor li se interzice sa utilizeze date cu caracter personal in scopuri private sau comerciale, sa le dezvaluie persoanelor neautorizate sau sa le puna la dispozitie in orice alt mod. Sefii de departamente si departamentul Resurse Umane trebuie sa-si informeze angajatii la inceputul relatiei de munca cu privire la obligatia de a proteja confidentialitatea datelor personale si a informatiilor. Aceasta obligatie ramane in vigoare chiar si dupa incheierea perioadei de angajare.

Securitatea prelucrarii

Datele personale trebuie sa fie protejate impotriva accesului neautorizat si a prelucrarii sau dezvaluirii ilegale, precum si a pierderii, modificarii sau distrugerii accidentale. Acest lucru se aplica indiferent daca datele sunt prelucrate electronic sau pe suport de hartie. Inainte de introducerea noilor metode de prelucrare a datelor, in special a noilor sisteme informatice, trebuie definite si implementate masuri tehnice si organizatorice de protectie a datelor cu caracter personal. Aceste masuri trebuie sa se bazeze pe stadiul tehnicii, pe riscurile procesarii si pe necesitatea de a proteja datele (determinate in procesul de clasificare a informatiilor).

In cazuri particulare, departamentul responsabil se poate consulta cu responsabilul cu securitatea informatiilor. Masurile tehnice si organizatorice pentru protectia datelor cu caracter personal fac parte din managementul securitatii informatiilor companiei si trebuie adaptate in mod continuu la evolutiile tehnice si schimbarile organizationale.

Controlul protectiei datelor

Respectarea politicii de protectie a datelor personale si a legilor aplicabile privind protectia datelor este verificata in mod regulat prin intermediul auditurilor de protectie a datelor si al altor controale. Efectuarea acestor controale revine Responsabilului cu Protectia Datelor Personale.

La cerere, rezultatele controalelor privind protectia datelor vor fi puse la dispozitia autoritatii de supraveghere responsabila de protectia datelor. Autoritatea responsabila cu protectia datelor poate efectua propriile controale, conform legislatiei nationale.

Incidente de protectie a datelor

Toti angajatii trebuie sa informeze imediat seful de departament sau responsabilul cu protectia datelor cu privire la cazurile de incalcare a acestei Politici de protectie a datelor sau altor reglementari privind protectia datelor cu caracter personal (incidente de protectie a datelor).

In cazurile de:

Transmiterea necorespunzatoare a datelor cu caracter personal catre terte parti,

Accesul neadecvat al tertilor la datele cu caracter personal sau

Pierderea datelor cu caracter personal

Rapoartele impuse de companie prin procedurile de raportare si management al incidentelor de securitate a informatiilor trebuie facute imediat, astfel incat sa poata fi respectate toate obligatiile de raportare in conformitate cu legislatia nationala.

Responsabilitati si sanctiuni

Functiile executive (sefii de departamente) din grup sunt responsabile pentru prelucrarea datelor in zona lor de responsabilitate. Prin urmare, ei sunt obligati sa se asigure ca cerintele legale pentru protectia datelor si cele continute in politica de protectie a datelor personale, sunt indeplinite. Personalul de conducere este responsabil pentru asigurarea masurilor organizatorice, tehnice si a celor care tin de resursele umane pentru ca orice prelucrare a datelor sa se efectueze in conformitate cu protectia datelor. Conformitatea cu aceste cerinte este responsabilitatea fiecarui angajat relevant. Daca Autoritatea de supraveghere efectueaza un control de protectie a datelor, trebuie informat imediat Responsabilul cu protectia datelor personale.

Responsabilul cu protectia datelor personale este persoana de contact afisata pe site pentru relatii privind protectia datelor. Acesta poate efectua verificari si trebuie sa-i familiarizeze pe angajati cu continutul politicilor de protectie a datelor. Este necesar un management relevant pentru a sustine Responsabilul cu protectia datelor personale in efortul sau.

Departamentele responsabile cu procesele si proiectele de afaceri trebuie sa informeze Responsabilul cu protectia datelor personale in timp util cu privire la o noua prelucrare a datelor cu caracter personal. Pentru prelucrarea datelor care pot prezenta riscuri speciale pentru drepturile individuale ale persoanelor vizate, Responsabilul cu protectia datelor personale trebuie sa fie informat inainte de inceperea procesarii. Acest lucru este valabil in special la date personale extrem de sensibile.

Prelucrarea necorespunzatoare a datelor cu caracter personal sau alte incalcari ale legilor privind protectia datelor conduce la suportarea sanctiunilor prevazute de reglementarile interne, de Regulamentul UE nr.679/2016 si de legislatia in vigoare.

Responsabilul cu protectia datelor personale

Responsabilul cu protectia datelor personale, fiind independent intern de subordonarea profesionala, activeaza in vederea respectarii reglementarilor nationale si internationale privind protectia datelor. El este responsabil pentru politica de protectie a datelor si supravegheaza respectarea acesteia.

Sefii de departamente au obligatia sa informeze cu promptitudine Responsabilul cu protectia datelor cu caracter personal despre aparitia oricaror riscuri de protectie a datelor personale.

Orice persoana vizata poate sa se adreseze Responsabilului cu protectia datelor personale, in orice moment, pentru a pune intrebari, a solicita informatii sau sa depuna plangeri legate de protectia datelor sau de problemele de securitatea datelor personale. Daca exista solicitari, plangerile vor fi tratate in mod confidential.

Daca Responsabilul cu protectia datelor personale in cauza nu poate rezolva o plangere sau remedia o incalcare a politicii pentru protectia datelor, se va solicita consultanta la Autoritatea de supraveghere.

Deciziile luate de Responsabilul cu protectia datelor personale pentru a remedia incalcarile privind protectia datelor trebuie sa fie sustinute de conducerea societatii. Anchetele si controalele efectuate de Autoritatea de supraveghere trebuie sa fie intotdeauna raportate catre conducerea companiei.