SOCIETATEA „GLOW NOW CENTER S.R.L.”
PREAMBUL:
Prezenta politică generală de confidențialitate va guverna întreaga activitate, procedurile și procesele privitoare la prelucrarea datelor cu caracter personal din cadrul S.C. GLOW NOW CENTER S.R.L. Persoana de contact: MIRON LUMINIȚA, Cluj-Napoca str. Fabricii de Zahăr nr. 66 ap. 22, tel. 0752 528 477.
I. DEFINIȚII
Datele cu caracter personal = orice informație referitoare la o persoană identificată sau identificabilă („persoana vizată”): nume, prenume, poreclă, pseudonim, data și locul nașterii, cod numeric personal, domiciliul (integral / parțial), seria și numărul de carte de identitate, seria și numărul de pașaport, seria și numărul card-ului de sănătate, numărul card-ului bancar, seria și numărul permisului de conducere, adresa de e mail, nr. de telefon fix/mobil, nr. fax, un identificator online, unul sau mai multe elemente specifice proprii identității sale fizice (semne distinctive), fiziologice (boli, dizabilități, deficiențe), genetice (boli, cariotipuri, cariograme), psihice (dizabilități), economice, culturale sau sociale, precum și orice alte date care pot conduce la identificarea unei persoane.
Persoana vizată = o persoana care poate fi identificată direct sau indirect, prin referire una sau mai multe din datele cu caracter personale.
Prelucrarea datelor cu caracter personal = orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea (ultimele două reprezintă prelucrări finale).
Restricționarea prelucrării datelor cu caracter personal = marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora (blocarea prelucrării viitoare).
Crearea de profiluri = orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
Pseudonimizare = prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să ✓ fie stocate separat ✓ să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
Operator = persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alte persoane, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
Persoana împuternicită de operator = persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Destinatar = persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță.
Parte terță = o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
Consimțământ = orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
Încălcarea securității datelor cu caracter personal = o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Date genetice = datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice.
Date biometrice = date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.
Date privind sănătatea = înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia.
II. INFORMAREA ȘI CONSIMȚĂMÂNTUL DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
Prelucrarea datelor cu caracter personal se va realiza numai în baza consimțământului clar, neechivoc, prealabil, în scris (prin sisteme electronice sau fizic) exprimat de fiecare persoană fizică în parte.
Consimțământul se va exprima după informarea completă a persoanei fizice, cu precizarea destinatarilor sau categoriilor de destinatari cărora li se vor transmite datele cu caracter personal ale persoanei fizice.
Informarea persoanelor fizice va cuprinde:
Când datele sunt colectate direct de la persoana fizică vizată, la momentul la care datele personale sunt colectate, operatorul trebuie să furnizeze persoanei vizate următoarele:
1. identitatea și datele de contact ale operatorului sau ale reprezentantului acestuia
2. datele de contact ale responsabilului cu protecția datelor
3. scopurile în care sunt prelucrate datele cu caracter personal, temeiul juridic al prelucrării (temei contractual/legal); categoriile de date cu caracter personal vizate
4. perioada de stocare
5. drepturile persoanei fizice vizate de a solicita operatorului accesul la datele cu caracter personal proprii sau ale minorilor reprezentanți, rectificarea sau ștergerea datelor cu caracter personal proprii sau ale minorilor reprezentați, dreptul de a restricționa sau de a se opune la prelucrarea datelor cu caracter personal, precum și dreptul la portabilitatea datelor cu caracter personal
6. dreptul persoanei fizic vizate de a-și retrage consimțământul în orice moment (fără ca prelucrarea realizată anterior retragerii consimțământului să fie afectată)
7. dreptul de a depunere plângere la autoritatea de supraveghere
8. dacă datele sunt necesare pentru încheierea sau executarea unui contract, obligația de a furniza datele și consecințele nefurnizării o existența unor decizii automate
19. crearea de profiluri, logica din spatele acestor procese de profilare și consecințele pentru persoana vizată
Când datele nu sunt obținute direct de la persoana vizată ci din altă sursă (de la intermediari) operatorul are obligația de a furniza persoanelor fizice informațiile de mai sus:
✓ într-un termen rezonabil, dar nu mai mare de o lună, calculat primirii datelor de la revânzător/intermediar
✓ dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau
✓ dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară
III. PRINCIPII
La nivelul operatorului, politica generală de confidențialitate cu privire la prelucrarea datelor cu caracter personal va fi coordonată de următoarele principii generale:
1.1. Principiul legalității
Orice prelucrare a datelor cu caracter personal se va realiza numai cu respectarea normelor legale în vigoare și numai pentru scopul legal stabilit.
Orice prelucrare a datelor cu caracter personal se va realiza în limitele obiectului de activitate al operatorului și pentru executarea obligațiilor contractuale sau legale.
Orice prelucrare a datelor cu caracter personal se va realiza numai de către angajații sau colaboratorii operatorului, numai în limitele necesare executării contractelor și numai la cererea, din dispoziția operatorului (a conducerii operatorului).
1.2. Principiul echității
Principiul echității presupune ca orice operațiune de prelucrare a datelor cu caracter personal, privită individual, precum și toate operațiunile de prelucrare a datelor cu caracter personal, privite cumulativ, să asigure un echilibru între drepturile și obligațiile persoanei vizate și drepturile și obligațiile operatorului.
1.3. Principiul transparenței
Principiul transparenței reprezintă o garanție pentru persoanele fizice vizate cu privire la modul în care datele cu caracter personal sunt colectate, utilizate, consultate sau prelucrate.
Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.
Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar.
1.4. Principiile colectării și prelucrării datelor cu caracter personal
Colectarea datelor cu caracter personal se va realiza pentru scopuri specifice activității operatorului, determinate, explicite și legitime.
Colectarea datelor trebuie să asigure persoanele fizice vizate că acestea nu vor fi prelucrate ulterior într-un mod incompatibil cu aceste scopuri determinate, explicite și legitime.
Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile specifice activității operatorului.
Datele cu caracter personal care sunt prelucrate trebuie să fie: adecvate (pertinente pentru realizarea unei prelucrări necesare pentru îndeplinirea activității legale a operatorului/pentru executarea obligațiilor contractuale), relevante (utile pentru realizarea unei prelucrări necesare pentru îndeplinirea activității legale a operatorului/pentru executarea obligațiilor contractuale),limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, exacte și unde e cazul, actualizate.
Trebuie luate măsuri rezonabile ca datele care nu sunt exacte să fie șterse și / sau rectificate fără întârziere.
Limitări legate de stocare:
Regula: datele nu trebuie păstrate mai mult decât este necesar pentru îndeplinirea scopurilor.
Excepția: datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în următoarele scopuri:
✓ arhivare în interes public
✓ cercetare științifică sau istorică
✓ statistice
IV. INTERDICȚII:
Operatorul, în baza regulamentului, interzice prelucrarea următoarelor date cu caracter personal: datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniilor politice, confesiunilor religioase, convingerilor filozofice, apartenențelor la sindicate, datelor genetice, datelor biometrice, datelor privind sănătatea, datelor privind viața sexuală sau orientarea sexuală, datelor privind condamnările penale
V. INTEGRITATE ȘI CONFIDENȚIALITATE
a. datele cu caracter personal sunt prelucrate în cadrul operatorului într-o manieră care asigură măsuri adecvate de securitate
b. măsurile de securitate asigură protecții împotriva:
✓ accesul neautorizat sau prelucrarea nelegală;
✓ pierdere sau furt;
✓ distrugere sau vătămarea integrității.
VI. MĂSURILE DE SECURITATE:
A. Măsuri organizatorice de securitate a datele cu caracter personal tipărite pe suport material:
Datele cu caracter personal tipărite pe suport material vor fi păstrate în fișete sau dulapuri securizate (închise).
Aceste date vor putea fi accesate numai de către persoana sau persoanele autorizate de operator și numai în scopul utilizării lor pentru executarea contractelor și pentru activități de arhivare și statistică.
În această categorie regăsim: contractele individuale de muncă, actele adițional la contractele individuale de muncă, diplomele de studii, fișele de post, fișele de protecție a muncii, fișele privitoare la medicina muncii, orice alte documente privitoare la angajații și colaboratorii operatorului.
Datele cu caracter personal tipărite pe suport de hârtie care cuprind documente financiar-contabile vor fi păstrate în fișete sau dulapuri securizate (închise).
Aceste date vor putea fi accesate numai de către persoana sau persoanele autorizate de operator și numai în scopul utilizării lor pentru realizarea evidențelor financiar-contabile, precum și pentru activități de arhivare și statistică.
Datele cu caracter personal tipărite pe suport de hârtie cuprinse documente financiar-contabile se vor păstra (arhiva) pentru întreaga perioada stabilită de normele legale în vigoare (Legea nr. 82/1991, ORDIN nr. 2.634 din 5 noiembrie 2015 privind documentele financiar-contabile).
B. Măsuri tehnice de securitate a datelor cu caracter personal din sistemele informatice
1. Reguli cu privire la protecția fizică (hardware) a dispozitivelor:
Angajații, persoanele împuternicite ale operatorului (utilizatorii autorizați) se vor putea conecta la sistemele informatice ale operatorului doar pe baza unor credențiale;
Angajații, persoanele împuternicite ale operatorului (utilizatorii) au obligația de a schimba parola de acces la sistemele informatice cel puțin o dată la 3 luni, fără posibilitatea a o repeta.
Credențialele și parolele sunt strict confidențiale, nu se comunică nici colegilor și nici superiorilor.
Credențialele și parolele nu se păstrează în format fizic, pe suport de hârtie sau pe suport electronic, pentru a evita posibilitatea ca datele cu caracter personal să fie accesate de persoane neautorizate, prelucrate nelegal, pierdute sau furate, distruse sau vătămate în integritatea lor.
Dispozitivele sau terminalele mobile (telefoane, tablete, laptopuri) nu vor fi lăsate nesupravegheate de către utilizatorii autorizați sau sunt securizate în spații închise.
2. Măsuri cu privire la protecția programelor (software) de lucru utilizate:
Fiecare terminal conectat la internet sau la mediul virtual extern operatorului este dotat cu sisteme de protecție precum antivirus și firewall.
VII. INCIDENTE DE SECURITATE
Incidentul de securitate este definit ca fiind o încălcare a măsurilor de securitate implementate în cadrul operatorului care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal sau la accesul neautorizat la acestea.
Notificarea autorității de supraveghere
Autoritatea de supraveghere, în cazul unui incident de securitate, va fi notificată:
– fără întârzieri nejustificate, în termen de cel mult 72 de ore de la data la care a luat cunoștință (dacă este posibil)
– în cazul în care notificarea nu are loc în termen de 72 de ore aceasta este însoțită de o explicație motivată
Notificarea va:
✓ descrie caracterul încălcării securității datelor cu caracter personal
✓ dacă e posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză
✓ dacă e posibil, categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză
✓ comunica numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații
✓ descrie consecințele probabile ale încălcării securității datelor cu caracter personal
✓ descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal
Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse (registru de incidente de securitate).
Notificarea persoanei vizate în cazul unui incident de securitate
Dacă este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la incident, într-un limbaj clar și simplu, asupra caracterului incidentului.
Notificarea conține cel puțin următoare:
✓ datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
✓ consecințele probabile ale încălcării securității datelor cu caracter personal măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal.
Pentru mai multe detalii: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal