Регламент GDPR
Regulament privind păstrarea și ștergerea datelor
1. Представяне
În cursul realizării activității zilnice, societatea gestionează și stochează diverse tipuri de documente. Importantța și sensibilitatea relativă a acestor documente se modifică conform legilor și a reglementărilor interne applicabile.
Societatea trebuie să respecte toate cerințele legale, de reglementare și contractuale applicabile în ceea ce privește colectarea, stocarea, interogarea și distrugerea documentelor. Din privința prezentului regulament, cerințele GDPR pentru stocarea și manipularea datelor cu caracter sunt deosebit de importante.
Acest regulament se aplică tuturor sistemelor, persoanelor și processelor care reprezintă sistemal de informații al organizației, inclusiv managerii, angajații, furnizorii și alte părți terțe care au acces la sistemele companiei.
2. Разпоредба за частни документи и допълнителни документи
Acest regulament începe cu stabilirea principiilor de bază care trebuie luate în considerare în ceea ce privește păstrarea și ștergerea documentelor. În continuare stabilește tipurile de documente gestionate de societate și cerințele generale aplicabile acestora. În cele din urmă, prezintă informațiile privind păstrarea, gestionarea și distrugerea documentelor.
2.1 Общи принципи
Cele mai importante principii privind păstrarea și ștergerea documentelor sunt următoarele:
• Ținerea evidenței are loc în conformitate cu toate cerințele legale, de reglementare și contractuale applicabile;
• Documentele nu trebuie păstrate mai mult decât periodada prevăzută sau necesară;
• Gestionarea efectivă a documentelor, protecția acestora din punct de vedere al integrității și disponibilității trebuie să fie în concordanță cu clasificarea de securitate a documentului;
• Documentele trebuie să fie ușor accesibile în conformitate cu cerințele mediului de afaceri și cu normele relevante de protecție a datelor;
• În cazul documentelor care conțin date cu caracter personal, cât mai curând posibil trebuie utilize soluții pentru a împiedica identificarea automată (pseudonimizare, anonimat) a persoanelor fizice asociate cu datele.
2.2 Tipuri de documente și direcții
În activitatea zilnică societatea gestionează și stochează următoarele documente.
Tabel – Tipuri de evidență și durata de păstrare
2.3 Elemente și documente care trebuie înregistrate
2.3.1 Consimțământ privind gestionarea datelor
Contribuțiile privind gestionarea datelor sunt de regulă valabile până la revocare, cu excepția cazului în care acestea se limitează la activități specifice. În cazul revocării lor, nu va înceta doar baza legală pentru gestionarea ulterioară a datelor prelucrate în urma consimțământului (în absența unui alt temei juridic va rezulta anularea datelor cu caracter personal în cauză), dar temeiul juridic inițial legat de gestionarea ulterioară a declației inițiale va înceta de asemenea. Totuși se recomandă păstrarea documentului care conține consimțământul și după îndeplinirea scopului consimțământului sau retragerea consimțământului, timp de 5 ani până la termenul general de prescriptție în dreptul граждански.
2.3.2 Documente legate de afaceri
În cazul documentelor legate de afaceri, în special acordurile de cooperare, contractele, comenzile și documentele care dovedesc executarea (de exemplu, procesele verbale), pot apărea pretenții în termenul normal de prescripție în dreptul civil, prin urmare se recomandă păstrarea acestor documente timp de până la 5 ani de la executarea contractului respectiv.
2.3.3. Registre contabile si documente necesare pentru stabilirea obligațiilor fiscale
Съобразете чл. 25 alin. (1) din Legea Contabilitatii 82/1991, cu modificarile si completarile ulterioare, registerele de contabilitate obligatorii si documentele opravdaна грижа stau la baza inregistrarilor in contabilitatea financiara se pastreaza in arhiva persoanelor prevazute la art. 1 timp de 10 ani, cu incepere de la data incheierii exercitiului financiar in cursul caruia au fost intocmite, cu exceptiona statelor de salarii, care se pastreaza timp de 50 de ani.
2.3.4. General corespondentă
Păstrarea corespondenței legate de tranzacțiile generale poate fi arhivată conform deciziei conducerii societății. Pot fi definite reguli conform cărora după o anumită periodadă de timp administratorul de sistem persoana sau persoana responsabilă de selectarea fișierelor electronice sau fizice va șterge sau arhiva automat aceste documente.
2.3.5. Класифициран документ
Класифицираните документи са в съответствие със специалния закон, Legea 16 от 1996 г., Legea arhivelor nationale, Legea 135 от 2007 г., legea arhivării documentelor în forma electronica.
2.3.6. Evidențe privind sponsorizările
În sensul prezentului Regulament, toate evidențele referitoare la subvenții primite din fonduri publice vor face obectul acestei definiții. Păstrarea documentelor referitoare la subvenții este reglementată de legea privind subvenția în cauză, de regulă posibilitatea de control s-ar putea avea loc în maxim 10 ani de la finalizarea investiției și, la acest termen se conformează și obligația de a ține evidența.
3. Криптиране и псевдонимизиране
Având în vedere clasificarea informațiilor și suportul de date (de exemplu gestionarea datelor cu caracter personal), trebuie utilize tehnici de criptare pentru a păstra confidențialitatea și integritatea înregistrărilor (de exemplu, accesul la parole).
Trebuie asigurat ca cheile de criptare utilizate pentru a cripta evidențele să fie stocate într-un loc sigur pe întreaga durată a înregistrărilor relevante și să respecte regulamentul de criptare a organizației.
4. Изберете зона за поддръжка на дата
Când selectați un suport de stocare date pe termen lung, trebuie să țineți cont de caracteristicile fizice ale dispozitivului și de durata de utilizare a acestuia.
În cazul în care legislația (sau practica) impune ca documentul să fie stocat pe suport de hârtie, trebuie luate măsuri de precauție adecvate pentru a se asigura că condițiile de mediu corespund tipului de hârtie utilizat. Dacă este posibil, se recomandă asigurarea unei copii de rezervă prin scanare de exemplu.
5. Interogarea documentelor
Cu ocazia alegerii suportului de stocare și menținerii capacității de stocare, trebuie asigurat ca documentele să pot fi interogate într-un format utilizabil în terminele acceptable.
Această interogare este deosebit de importantă având în vedere faptul că, conform GDPR, persoanele vizate au dreptul de a fi informate cu privire la datele lor personale stocate de societate.
Trebuie stabilit un echilibru adecvat între costurile de stocare și viteza interogării, ținând seama în mod corespunzător de cele mai probabile circumstanțe.
6. Distrugerea documentelor
Odată ce durata obligatorie de păstrare a documentelor a ajuns la sfârșitul perioadei prevăzute de regulament, acestea trebuie să fie distruse în siguranță, astfel încât să nu mai poată fi folosite. Procedura de distrugere trebuie să permită înregistrarea detaliilor de distrugere, care trebuie păstrate ca probă.
7. Revizuirea documentelor
Metodele de păstrare și de ștergere a documentelor trebuie să facă obiectul unei proceduri de revizuire periodică care este efectuată sub supravegherea conducerii, pentru a asigura că:
• regulile privind păstrarea și ștergerea documentelor rămân valabile,
• documentele se păstrează în conformitate cu reglementările,
• documentele sunt distruse în siguranță atunci când nu mai sunt necesare,
• спазване на законовите изисквания, правилата и договора,
• processele de interogare a documentelor satisfac nevoile afacerii.
Resultele acestor revizuiri se înregistrează.
Prezentul Regulament este eliberat de administratorul societății, cu efect obligatoriu pentru toți angajații și colaboratorii IMPAR vizați și va fi supus revizuirii periodice conform necesităților practice ale societății în concordanță cu regulamentul GDPR.
Regulament intern privind gestionarea datelor
Introducere
Obiectivul acestui regulament intern privind gestionarea datelor cu caracter personal este de a asigura angajaţilor și colaboratorilor IMPAR SRL (denumită în continuare IMPAR sau compania) o sinteză ale celor mai importante informații legate de activitatea de gestionare de date efectuate de IMPAR SRL
Totodată prezentul document nu se consideră o consultare individuală și substituie auditul protecției datelor. Scopul acestui document este reglementarea internă și asigurarea de asistență și ghidare generală a personalului Impar, în vederea asigurării conformării cu cerințele privind protecția datelor.
De-a lungul desfăşurării activităţii IMPAR gestionează diferite date cu caracter personal ale diferitelor groupri de persoane fizice, cum ar fi:
• persoanele care aplică pentru un loc de muncă
• angajaţii săi
• foşti angajaţi
• delegții furnizorilor cu care IMPAR derulează activități economice, altele decât persoanele cu drept de reprezentare statutară clienţi care participă la anumite promoţii ale societăţii
• Clienții persoane fizice care apelează la serviciile IMPAR prin intermediul vânzărilor retail și/sau web-shop
În ceea ce priveşte colectarea și gestionarea de date ale acestor persoane, IMPAR trebuie să respecte legislația europeană și națională privind protecția datelor cu caracter personal. În acelaşi timp trebuie să țină seama de propriile sale interese de afaceri, condiții operaționale, oportunități tehnice și organizatorice respectiv interestele angajaților și clienților săi.
Obiectivul acestui regulament este de a prezenta pe scurt legislația aplicabilă și măsurile pe care Societatea le ia pentru a respecta legea. Scopul Impar este de a asigura întotdeauna că GDPR este respectat într-un mod clar și verificabil.
Acest regulament se aplică tuturor sistemelor, persoanelor și processelor care constituie sistem de informații IMPAR, inclusiv conducerea, angajații, furnizorii și alte părți terțe care au acces la sistemul Societății.
1. Regulamentul General privind Protecţia Datelor
Regulamentul General privind Protecţia Datelor nr. 2016/679/UE (GDPR) este cea mai importantă normă legislativă care influențează desfăşurarea activității noastre de gestionare a datelor. Regulamentul comunitar produce efecte în toate statele membre ale Uniunii Europeane, prin urmare se aplică în România fără implementare.
1.1 Gestionarea şi procesarea datelor
Având în vedere activitatea IMPAR acesteia i se aplică regulamentul privind protecția datelor. După cum reiese din următoarele concepte ale GDPR, compania și personalul asesteia desfăşoară activităţi de gestionare și prelucrare a datelor.
а. Дефиниция „дата с личен характер“:
Datele cu caracter personal reprezintă orice informaţii referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”). O persoană vizată este acea persoană care poate fi identificată, direct или indirect, în mod specific prin referire la un nume, număr de identificare, date privind locaţia, ID online ori la unul sau mai mulţi factori specifici identităţii sale fizice, fiziologice, genetice, psihice, Economice, Culturele sau sociale.
Prin urmare datele personale reprezintă orice informație pe care IMPAR înregistrează despre o persoană identificată prin digferitele atribte ale persoanei (de exemplu: numărul de telefon, adresa de e-mail, ziua de naștere etc.), deci nu doar datele care permit identificarea propriu zisă a acesteia.
Având în vedere că Impar este o societate Comercială, în activitatea zilnică are de a face cu date personale, în principal prin intermediul vânzărilor directe (продажба на дребно и онлайн), съответно pe cale indirectă, în calitate de delegatți, reprezentanți ai partenerilor persoane правосъдие.
b. Дефиниция „гестионна зона дата или личен характер“:
Gestionare de date înseamnă orice operaţiune care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, limitarea sau ştergerea.
În consecinţă, de-a lungul desfăşurării activităţii IMPAR gestionează date cu caracter personal.
c. Определение „оператор”:
Operator de date se referă la orice persoană fizică sau juridică, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal.
IMPAR stabilește scopul și mijloacele de gestionare a datelor angajaților și altor persoane și prin urmare se consideră operator de date. Personalul angajat al societății devine operator de date prin exercitarea funcției în cadrul activității desfășurate în cadrul companiei.
d. Определение „процесор на дата“:
Procesatorul de date este o persoană fizică sau juridică care processează date cu caracter personal în numele operatorului de date.
Procesatorii de date de mai jos efectuează activități de gestionare a datelor în numele IMPAR:
1.2 Principiile gestionării de date
Legislația stabilește principii obligatorii cu privire la gestionarea și prelucrarea datelor, valabil erga omnes.
La gestionarea datelor cu caracter personal se vor avea în vedere și se vor respecta următoarele principii:
1. Дата с личен характер:
• gestionarea datelor cu caracter personal se face în conformitate cu prevederile legale, în mod echitabil și transparent („legalitate, echitabilitate şi transparenţă”);
• colectarea se face numai în scopuri bine determinate, explicite şi legitime, şi datele să nu vor fi gestionate în moduri incompatibile cu aceste oiective; prelucrarea suplimentară a datelor în scopuri statistice nu se consideră incompatibilitate („scopul bine determinat”);
• trebuie să fie adecvate și relevante pentru gestionarea datelor și trebuie să fie limitate la cât este absolut necesar („economisire”);
• să fie corecte și, dacă este necesar actualizate; datele cu caracter personal incorecte trebuie să fie елиминира sau corectate cât mai curând în măsura în care este posibil, ("изяснявам");
• stocarea trebuie să aibă într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare“);
• trebuie să fie gestionate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării incidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate“).
• respectarea acestor principii trebuie, de asemenea, să fie recunoscută de către operatorul de date („răspundere”).
1.3 Gestionarea categoriilor speciale de date cu caracter personal
Съобразете се с правни подробности относно член 9 от GDPR за създаване на отделни категории, специални за дата (примерна дата, която се съдържа в информацията). Gestionarea acestor categorii de date se face pe motive de prevenţie în ceea ce priveşte sănătatea sau sănătatea la locul de muncă (de exemplu gestionarea rezultator analizei capacității unui angajat sau acordarea de beneficii persoanelor cu handicap).
Dacă apare necesitatea de a gestiona o categorie specială de date alta decât cele de mai sus, este necesară o examinare preliminară a temeiului legal.
1.4 Drepturile persoanelor vizate
În ceea ce priveşte datele cu caracter personal gestionate de societate, GDPR oferă persoanelor vizate un număr de privilegii care apar ca o obligație pentru companie.
Aceste drepturi sunt următoarele:
1. Dreptul la informare
Persoana vizată are dreptul de a fi informată cu privire la sursa datelor cu caracter personal, scopul, durata stocării, baza legală a gestionării, identitatea processatorului, felul interesului legitim, transferul de date către țări terțe, destinatarii datelor și categoriile de destinatari în cazul unor interese legitime.
2. Dreptul la acces
Persoana vizată are dreptul de a primi o informare completă de la operatorul de date cu privire la scopul și modalitatea gestionării datelor sale cu caracter personal și, în cazul în care o astfel de gestionare are loc, are dreptul de a avea acces la datele și inofrmațiile intrinseci ale datelor sale cu caracter personal și la informațiile conexe pe care le administrează.
3. Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaracii suplimentare.
4. Dreptul la ştergere
Persoana vizată are dreptul să solicite operatorului să-i șteargă datele cu caracter personal fără întârzieri nejustificate, iar operatorul de date este obligat să execute ştergerea (în unele cazuri speciale - articolul 17 din GDPR) dacă scopul sau temeiul legal al gestionării datelor a încetat, gestionarea datelor a avut loc fără niciun temei legal.
5. Dreptul la restrictcionarea gestionării de date
În cazuri specifice prevăzute la articolul 18 din GDPR, persoana vizată poate solicita restrikcionarea privind prelucrarea datelor. Restrictția înseamnă că operatorul va stoca datele în cauză în continuare, însă le poate gestiona numai cu consimțământul persoanei vizate sau în vederea validării de drepturi ale persoanei vizate sau ale opertorului, legat de persoana визата.
6. Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restrictționarea prelucrării
Operatorul comunică fiecărui destinatar căruia i-au fost diulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter sau restrictționare a prelucrării efectuate în conformitate cu prevederile articolului 16, articolul 17 alineatul (1) și член 18 от регламента, в случай че изключение не е възможно, тъй като е невъзможно да се доведе до непропорционално преувеличено усилие. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
7. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a solicita emiterea datelor sale personale de către Operator într-o formă lizibilă și/sau accesibilă în scopul portării, având dreptul de a transfera aceste informații unui alt operator de date, fără ca prin această portare interesele sau informațiile aparținând unei terțepersoane să fie lezate.
8. Dreptul la opoziție
Persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării a datelor cu caracter personal care o privesc, inclusiv creării de profileri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. Dreptul la opoziție și condițiile de prelucrare vor fi aduse la cunoștința persoanei vizate cel târziu la momentul primei comunicări cu aceasta.
9. Drepturile legate de crearea de profil şi luarea deciziilor automate
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată inclusiv crearea de profileri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
De asemenea GDPR stabileşte terminene pentru obligațiile Companiei care decurg din drepturile persoanei vizate enumerate la 4.1. În cursul executării procedurilor, colaboratorii responsabili ai companiei trebuie să ia în considerare și aceste termene.
Aceste termene sunt prezentate în tabelul de mai jos:
Societatea trebuie să ia toate măsurile rezonabile pentru a se convinge de identitatea persoanei vizate care dorește să solicite acces sau să-şi exercite drepturile persoanei vizate.
1.5 Temeiuri legale aplicate în activitatea privind gestionarea datelor de către Impar
În gestionarea datelor personale raportat la necesitățile impuse de activitatea Impar cele mai frecvente temeiuri legale în privinţa gestionării datelor sunt consimțământul, executarea contractului, interesul societății și obligația care decurge din prevederile legale. În toate procesele de gestionare a datelor, temeiul legal pentru gestionarea datelor trebuie identificată în prealabil.
Consimţământul
Pentru activitățile de vânzări online șa marketing ale societăţii (newsletter, companie telefonică, informare prin SMS, etc.), este necesar consimțământul prealabil al părții vizate. În cazul copiilor sub 16 ani, este necesară permisiunea reprezentantului său legal.
Înainte de primirea consimțământului, trebuie să furnizate informații transparente celor vizaţi în legătură cu modul în care informațiile lor personale sunt gestionate, trebuie să fie prezentate drepturile lor în acest sens, în special dreptul de a-și retrage consimțământul dat. Aceste informații trebuie furnizate într-o formă accesibilă, în limbaj simplu și gratuit.
Dacă datele cu caracter personal nu sunt obținute direct de către societate, aceste informații trebuie furnizate persoanei vizate într-un termen cât mai scurt de la obținerea datelor, dar nu mai târziu de o lună.
Consimțământul, inclusiv detaliile datelor persoanei vizate, respectiv locul unde şi data când consimţământul a fost dat trebuie întotdeauna înregistrat și păstrat de către societate în conformitate cu Regulamentul de stocare și ştergere a datelor.
Executarea contractului
Datele cu caracter personal furnizate la încheierea contractului sunt necesare pentru executarea contractului de către societate. Acest interes reprezintă o bază juridică suficientă pentru gestionarea datelor cu caracter personal. Interesul rămâne valabil până când interesele legitime legate de executarea contractului pot fi executate – adică până la expirarea termenului de cinci ani după executarea contractului, potrivit codului civil. Totodată este important ca est consimţământ să se refere exclusiv la datele cu caracter personal necesare pentru executarea contractului, urmând ca this date (nomăr telefon, email, etc) să fie elimination (șterse) din registerele și evidențele societății.
Îndeplinirea obligaţiei legale ale Companiei
Îndeplinirea obligaţiilor legale ale operatorului de date pot impune gestionarea datelor personale (de exemplu, în calitate de angajator trebuie să gestioneze anumite informații despre angajaţi, cum ar fi numele, adresa, numărul de identificare fiscală и codul numeric personale и т.н. pentru a-şi îndeplini obligaţiile legate de depunerea declaraţiilor fiscale şi plata impozitelor, salarii etc.).
Urmărirea drepturilor legitime proprii ale societății sau drepturilor aparținând terțelor persoane
Temeiul legal al gestionării datelor poate fi, de asemenea, necesitatea de a asigura respectarea intereselor legitime ale Companiei sau ale unei terțe părți. În cazul gestionării datelor bazate pe un interes legitim, se va evalua raportul interesului legitim care trebuie aplicat este mai presus de obligativitatea și scopul protecției datelor cu caracter personal. Compania este obligată să prezinte evaluarea relevantă. Un astfel de interes este implicat în decizia angajatorului de supraveghere al angajaților și clienților săi cu o camera de supraveghere pentru a preveni sau detecta eventualele furturi / fraude. În cazul acesta trebuie să se facă o evaluare adecvată cu privire la drepturile angajaţilor și clienţilor vizaţi, şi trebuie asigurate garanții adecvate pentru protecția vieții private a salariaților, persoanele vizate fiind în mod obligatoriu informaţi cu privire la existența, locația camerelor respectiv modalitatea și locația de stocare a datelor. De asemenea, după evaluarea prevalării intereselor, în cazuri justificate, angajatorul poate accesa corespondența angajatorului din poșta electronică utilizată pentru îndeplinirea sarcinilor de serviciu, în cazul în care există suspiciuni de încălcare a obligațiilor asumate de salariat, respectiv în măsura în care informațiile ale căror recuperare se urmărește aparțin angajatorului sau reprezintă un potențial de produce efecte juridice care vizaeză angajatorul sub orice aspect. În acest caz, este necesar să se asigure că angajații pot fi prezenți atunci când contul lor de e-mail / utilizarea internetui sau a telefonlui este verificat în timpul unui audit.
Защита, интегрирана в дата
Съобразете се с GDPR reglementărilor, procesul de gestionare a datelor trebuie să includă principiile de bază și protecția adecvată a drepturilor celer vizaţi. În plus față de crearea unor condiții adecvate de gestionare a datelor, aceste condiții vor fi supuse revizuirilor periodice, în concordanță cu necesitățile impuse reale ale societății, adaptate evoluției tehnologiilor utilizate, schimbărilor intervenite în gestionarea datelor și noilor procese de gestionare a datelor. În funcție de evoluția științei și tehnologiei și de costurile de implementare, precum și de natura, scopul, circumstanțele și obiectivele gestionării datelor, precum și de riscurile cu privire la drepturile și libertățile persoanelor fizice, operatorul de date ia măsuri tehnice și organizatorice adecvate, atât în definirea modului de gestionare a datelor, cât și pe parcursul gestionării - cum ar fi un pseudonimizare - pentru punerea efectivă în aplicare a principiilor protecției datelor, cum ar fi economisirea datelor și includerea garanțiilor necesare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate. Operatorul de date acceptă măsuri tehnice și organizatorice adecvate pentru a se asigura că sunt prelucrate numai date cu caracter personal care sunt necesare pentru scopul specific al gestionării de date. Această obligație se referă la cantitatea de date personale colectate, amploarea gestionării, durata stocării și disponibilitatea acestora. Aceste măsuri trebuie să garanteze, în special, că datele cu caracter personal nu sunt puse la dispoziția unui număr nedeterminat de persoane în mod implicit fără intervenția unei persoane fizice.
Compania a luat la cunoştinţă principiul integrat al protecţiei datelor și asigură faptul că acordă atenția cuvenită protecției datelor, realază evaluările impactului asupra protecţiei datelor în cazul implementării unor modificări ale sitemelor de stocare date (upgrade) și/sau sisteme noi care colectează sau gestionează personale informații.
În plus, Compania va revizui periodic funcționarea sistemelor de gestionare a datelor pentru a se asigura că acestea corespund cu necesitățile actuale pentru care acestea au fost create, relevant normele legale aplicabile în acel moment sunt respectate.
În vederea aplicării corespunzătoare a prevederilor GDPR privind gestionarea datelor, societatea asigură, că:
• toți membrii personalului impliți în gestionarea datelor cu caracter personal înțeleg responsabilitatea referitoare la monitorizarea bunelor practici de protecție a datelor
• toţi membrii personalului beneficiază de cursuri privind protecția datelor
• persoanele vizate au la dispoziţie date de contact ușor accesibile în cazul în care aceştia vor să-şi exercite drepturile cu privire la datele cu caracter personal, și gestionează aceste solicitări în mod eficient
1.6 Прехвърляне на лични дати
Transferul datelor cu caracter personal în afara Uniunii Europeane trebuie verificată cu atenție înainte de transmitere, astfel încât transferul să aibă loc în limitele stabilite de GDPR. Acest lucru depinde partțial de modul în care Comisia Europeană evaluează conformitatea garanțiilor privind datele cu caracter personal în țara de destinție, care pot suferi modificări pe parcursul aplicării.
1.7 Обработчици на дата
GDPR prevede că necesitățile proprii de stocare și procesare de date pot fi realizate prin intermediul acelor processatori de date, care oferă garanții suficiente pentru a uvod măsuri tehnice și organizatorice care să îndeplinească cerințele GDPR, asigurând securitatea datelor și trasabilitatea schimbului de date în sistemele proprii.În cazul processatorilor de date din afara Spațiului Economic European, cum ar fi părţi terţe care asigură stocare de date în cloud sau alte tipuri de stocare date, este esențial ca aceste contracte încheiate cu astfel de părţi terţe să includă Termeni și condiții generale pentru gestionarea datelor, în conconrdanță cu regulile specifice trasate de societate pentru gestionarea acestor date.
1.8 Notificarea încălcării drepturilor
Compania este obligată să stabilească în baza principiilor echității și proporționalității, modul și termenul conform cărora va informa persoanele vizate în cazul încălcării cu privire la datele cu caracter personal (incident de protecție a datelor).
În cazul unui incident de protecție a datelor care poate rezulta efecte asupra drepturilor și libertăților persoanelor fizice în terminiți definiți de GDPR, kompetenta autoritatea pentru protecția datelor trebuie informată în termen de 72 de ore.
Procedura de urmărit este cea conformă cu prevederile Regulilor de gestionare a incidentelor, stabilind întregul proces de gestionare a incidentelor de securitate a informațiilor.
Încălcarea normelor de securitate a datelor personale atrage sancțiunea prevăzută de GDPR, sancțiunea aplicată de autoritatea competentă pentru protecția datelor constă în amendă de până la 4% din cifra de afaceri totală anuală sau 20 de милиони евро.
1.9 Limitarea periodadei de stocare a datelor personale
IMPAR va concepe o procedură proprie pentru satbilirea procedurilor de stocare și de ștergere a datelor personale recepționate și utilizate confrom obictului de activitate. În elaborarea acestor proceduri se vor respecta principiile generale GDPR, îndeosebi principiul legalității, scopului și economisirii.Regulile privind procesarea în timp a datelor de către IMPAR sunt reglementate de Regulamentul de stocare și ştergere a datelor.
1.10 Задължения за привеждане на доказателства
GDPR prevede obligativitatea ținerii evidenţelor legate de activitățile de gestionare a datelor cu caracter personal în casurile în care gestionarea datelor nu este ocazională. Modalitatea de evidențiere a activităților IMPAR în care sunt implicate date personale este reglementată prin Evidenţa de gestionare a datelor.
Evidenţa de gestionare a datelor reflectă modalitatea de respectare de către IMPAR a principiilor statuate prin GDPR cu referire la:
• temeiul legal privind gestionara datelor cu caracter personal este întotdeauna clară și lipsită de ambiguitate
• scopul gestionării datelor este bine definit, sfera datelor gestionate este necesară pentru atingerea scopului
• Persoana vizată a fost informată în mod corespunzător cu privire la gestionarea datelor
• durata gestionării datelor şi ştergerea sunt reglementate
• stocarea datelor are loc cu respectarea măsurilor de securitate corespunzătoare
• transferul de date are loccu asigurare de garanţii corespunzătoare
• personana responsabilă pentru gestionarea datelor a fost desemnată.
2. Responsabilitatea privind gestionarea datelor
Siguranța datelor personale constituie o prioritate deosebită în activitatea IMPAR. Pentru a asigura cadrul instituțional de urmărire și control a modalității de respectare a regulamentelor și măsurilor aplicate precum și a eficienței acestora, în cadrul societății sunt auditate aspectele privind: идентифицирайте sursele posibile de proveniență a datelor personale, căile de recepție a acestor date, trierea datelor, stocarea și managementul de date conform scopului declarat pentru care sa obținut consimțământul titlerului, durata de prelucrare și stocare, eliminarea datelor ale căror termin sau utilitate a expirat. În scopul asigurării unei gestiuni echitabile și legale, Impar desemnează persoanele responsabile din cadrul societăţii pentru supravegherea procedurilor de gestionare a datelor precum şi sarcinile pe care această responsabilitate de supraveghere implică.
Acest document trebuie citit și aplicat împreună cu alte documente referitoare la activitățile de gestionare a datelor din cadrul societății, cum ar fi:
• regulamentul intern privind gestionarea datelor
• procedura de notificare a încălcărilor privind datele cu caracter personal (incidente de protecţia datelor)
• procedura de gestionare a cererii persoanei vizate
Definirea clară a rolurilor și responsabilităților, reglementarea adecvată a sarcinilor relevante urmărește prevenirea aparției incidentelor privind protecţia datelor personale și permite luarea unor măsuri eficiente și adecvate în cazul apariției unor asemenea incidente.
2.1 Reguli referitoare la protecţia datelor
În vederea respectării regulilor și normelor legale incidente în materie, IMPAR va stoca și proces datele necesare realizării obiectivelor sale în mod legal și echitabil, urmând ca angajații implicați în aste proceduri să fie implicați în următoarele calități arondate:
• Оператор за дата
• Manager pentru securitatea informațiilor
• Responsabil pentru conformitate
Responsabilitățile specifice ale fiecărui rol sunt descrised în continuarea în acest документ.
Toţi angajații și partenerii Companiei care desfășoară activități de gestionare a datelor sunt obligați să îndeplinească sarcinile și obligațiile de mai jos pentru a asigura aplicarea în mod corespunzător a principiilor generale GDPR, precum principiul gestionării legitime, correcte și transparente a datelor, principiul scopului bine stabilit, principiul economisirii și exactităţii datelor și principiul integrității și al confidențialității.
Prezentul Regulament stabilește responsabilitățile fiecărei calități în cadrul procedurilor GDPR din organizația IMPAR, fără ca aceste calități să producă efecte asupra funcției, sracinilor sau compențelor generale ale angajatului, грижа nunt sunt legate от GDPR и не можете да вземете предвид дали фишата е пълна и постулуи.
2.1.1 Дата на оператора
Conform prevederilor GDPR, operatorul de date este o persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care singur sau împreună cu altele stabileşte scopurile și mijloacele de prelucrare a datelor cu caracter personal.
Operatorul de date са принципно отговорни:
• Asigură conformitatea cu principiile stabilite la articolul 5 din GDPR a modalității de gestionare a datelor cu caracter personal, asigurând posibilitatea verificării și demonstrării modalității de realizare a acestora. Prin urmare, asigură că informațiile personale:
o sunt gestionate în mod legal, corect și transparent,
o sunt colectate în funcţie de obiectivele определена, конкретна и законна,
o sunt limitate la cele adecvate, relevante şi necesare,
o sunt exacte şi, dacă este necesar, актуализирам,
o sunt stocate în aşa fel încât să permită identificarea persoanelor vizate doar atât timp cât este necesar,
o sunt gestionate în siguranţă adecvată.
• Asigură obţinerea consimțământului persoanei vizate în ceea ce privește gestionarea datelor cu caracter personal, inclusiv consimțământul părinţilor în cazul copiilor.
• Pune la dispoziţia persoanei vizate toate informațiile prevăzute de GDPR intr-o formă concisă, transparentă, ușor de înțeles și ușaccesibilă, într-un limbaj simplu și clar.
• Permite exercitarea drepturilor conferite de GDPR de către persoanele vizate și le informează cu privire la prelucrarea cererii sale. În acest sens, persoanele vizate au dreptul de a accesa datele colectate despre ele și au dreptul de a verifica legalitatea gestionării datelor. De asemenea, pot primi informaţii despre durata gestionării datelor, consecințele gestionării datelor (cum ar fi identificarea profilelui), logica gestionării datelor.
• Asigură că va colabora doar cu procesori de date care oferă garanția corespunzătoare că se vor lua măsurile tehnice și organizatorice adecvate pentru a respecta GDPR и proteja datele personale
• Ţine evidența activităților de gestionare a datelor cu caracter personal, ceea ce este responsabilitatea operatorului de date.
• La cerere cooperează cu autoritatea de supraveghere în vederea îndeplinirii sarcinilor sale.
• Asigură că orice persoană care actționează în numele operatorului de date care are acces la datele cu caracter personal, gestionează informaţiile numai în conformitate cu instructțiunile operatorului de date.
• Notifică autoritatea de supraveghere fără întârzieri nejustificate cu privire la orice încălcare a drepturilor privind datele cu caracter personal, cu excepția cazului în care este puțin probabil ca încălcarea datelor cu caracter personal să reprezinte un risc pentru drepturile și libertățile persoanelor fizice, în conformitate cu procedurile organizaționale.
• Documentează orice încălcare a drepturilor privind datele cu caracter personal, inclusiv fapte legate de încălcarea datelor cu caracter personal, efectele acestora și măsurile corective luate.
• Dacă este cazul informează persoana vizată fără întârzieri nejustificate cu privire la încălcarea drepturilor privind datele cu caracter personal.
• Efectuează o evaluare a impactului privind protecția datelor, după caz, în conformitate cu procedurile.
• În îndeplinirea sarcinilor sale este susţinut de responsabilul pentru conformitate care îi asigură resurse necesare îndeplinirii sarcinilor şi accesării şi gestionării datelor cu caracter personal respectiv îl ajută din punct de vedere profesional.
• Datele cu caracter personal pot fi transferate unei țări terțe sau unei organizații internaționale, în cazul în care operatorul de date sau un processator de date a furnizat garanții adecvate și cu condiția ca drepturile persoanelor vizate să fie respectate și să fie disponibile căi de atac eficiente.
2.1.2 Manager pentru securitatea informaţiilor
Sarcina principală a Managerului pentru Securitatea Informațiilor este elaborarea și menținerea securitații informațiilor.
Responsabilitățile Managerului pentru Securitatea Informațiilor sunt următoarele:
• Elaborează și prezintă conducerii măsurile ce trebuie luate pentru asigurarea securității informațiilor;
• Conduce implementarea deciziilor luate de conducere pentru a asigura securitatea informațiilor;
• Supraveghează funcționarea sistemlui de securitate a informațiilor;
• Identifică, cuantifică și monitorizează tipurile, amploarea și impactul incidentelor și erorilor de funccionare și ia măsurile necesare pentru prevenirea și soluționarea acestora;
• Întocmeşte rapoarte în mod regulat și, dacă este necesar după caz, conducerii în legătură cu gestionarea tuturor aspectelor legate de sigurniță;
• Colaborează cu Responsabilul pentru conformitate și execută instrucțiunile acestuia;
• Informează persoana vizată despre regulamentul de securitate a informațiilor;
• Execută prevederile regulamentului privind securitatea informațiilor;
• Se ocupă de managementul riscurilor legate de accesul la servicii sau sisteme;
• Asigură aplicarea și documentarea controalelor de securitate;
• Stabilește planurile de dezvoltare și obiectivele pentru exercițiul financiar;
• Monitorizează realizarea planurilor de dezvoltare.
2.1.3. Responsabil cu protecția datelor
Responsabilitățile Responsabilului pentru protecția datelor sunt următoarele:
• furnizează informații și consultantță profesională operatorului de date sau processatorului de date respectiv angajaţilor responsabili pentru gestionarea datelor cu privire la obligațiile care le revin în temeiul legislației applicabile privind protecția datelor;
• supraveghează respectarea legislației privind protecția datelor și a regulamentului intern privind protecția datelor cu caracter personal de către operatorul de date sau procesorul de date;
• elaborează și menține regulamente interne și externe privind protecția datelor, reglementări privind securitatea informațiilor, obiective și planuri;
• atribuie responsabilități, contribuie la creşterea gradului de conștientizare a personalului în operațiunile de gestionare a datelor, instruieşte personalul și efectuează audituri conexe;
• la cerere oferă consultantță professională privind evaluarea impactului privind protecția datelor și monitorizează evaluarea impactului;
• cooperează cu autoritatea de supraveghere compentă pentru protecția datelor;
• este persoana care ţine legătura cu autoritatea de supraveghere în subiecte legate de gestionarea datelor şi dacă este cazul o consultă legat de orice alt subiect.
• asigură că cerințele legale și de securitate a informațiilor sunt stabilite și îndeplinite pentru a minimiza riscul și a utiliza controale eficiente în cadrul companiei în ceea ce priveşte clienții;
• stabileşte resursele pentru planificarea, implementarea, supravegherea, revizuirea și dezvoltarea în ceea ce priveşte respectarea prevederilor legale, securitatea și gestionarea informațiilor și ia măsuri pentru asigurarea acestora (de exemplu, angajarea) personalului adecvat și gestionarea fluctuației personalului);
• supraveghează gestionarea riscurilor care afectează organizația și serviciile acesteia;
• периодичен efectuează revizuirea securității informațiilor din punct de vedere al aptitudinii, conformităţii şi eficienţei;
• checkază incidentele majore privind securitatea informațiilor;
• asigură ca accesul organizațiilor externe la sistemele informatice să se bazeze pe un acord oficial care stabilește toate cerințele legale și de sigurnață necesare.
Societatea va examina în mod permanent oportunitatea și actualitatea desemnării unui Responsabil cu protecția datelor urmând ca în baza acestor concluzii să desemneze / sau nu resposnabilul.
2.1.4 Angajaţi
Responsabilitățile principale ale angajatului sunt următoarele:
• Cunoaşte şi respectă toate regulamentele organizaţiei legate de protecţia datelor, implication de rolul său.
• Raportează orice incidente reale sau potențiale legate de protecţia datelor.
• Dacă este necesar contribuie la evaluarea impactului privind protecția datelor.
IMPAR SRL
1. Представяне
În cursul realizării activității zilnice, societatea gestionează și stochează diverse tipuri de documente. Importantța și sensibilitatea relativă a acestor documente se modifică conform legilor și a reglementărilor interne applicabile.
Societatea trebuie să respecte toate cerințele legale, de reglementare și contractuale applicabile în ceea ce privește colectarea, stocarea, interogarea și distrugerea documentelor. Din privința prezentului regulament, cerințele GDPR pentru stocarea și manipularea datelor cu caracter sunt deosebit de importante.
Acest regulament se aplică tuturor sistemelor, persoanelor și processelor care reprezintă sistemal de informații al organizației, inclusiv managerii, angajații, furnizorii și alte părți terțe care au acces la sistemele companiei.
2. Разпоредба за частни документи и допълнителни документи
Acest regulament începe cu stabilirea principiilor de bază care trebuie luate în considerare în ceea ce privește păstrarea și ștergerea documentelor. În continuare stabilește tipurile de documente gestionate de societate și cerințele generale aplicabile acestora. În cele din urmă, prezintă informațiile privind păstrarea, gestionarea și distrugerea documentelor.
2.1 Общи принципи
Cele mai importante principii privind păstrarea și ștergerea documentelor sunt următoarele:
• Ținerea evidenței are loc în conformitate cu toate cerințele legale, de reglementare și contractuale applicabile;
• Documentele nu trebuie păstrate mai mult decât periodada prevăzută sau necesară;
• Gestionarea efectivă a documentelor, protecția acestora din punct de vedere al integrității și disponibilității trebuie să fie în concordanță cu clasificarea de securitate a documentului;
• Documentele trebuie să fie ușor accesibile în conformitate cu cerințele mediului de afaceri și cu normele relevante de protecție a datelor;
• În cazul documentelor care conțin date cu caracter personal, cât mai curând posibil trebuie utilize soluții pentru a împiedica identificarea automată (pseudonimizare, anonimat) a persoanelor fizice asociate cu datele.
2.2 Tipuri de documente și direcții
În activitatea zilnică societatea gestionează și stochează următoarele documente.
Tabel – Tipuri de evidență și durata de păstrare
2.3 Elemente și documente care trebuie înregistrate
2.3.1 Consimțământ privind gestionarea datelor
Contribuțiile privind gestionarea datelor sunt de regulă valabile până la revocare, cu excepția cazului în care acestea se limitează la activități specifice. În cazul revocării lor, nu va înceta doar baza legală pentru gestionarea ulterioară a datelor prelucrate în urma consimțământului (în absența unui alt temei juridic va rezulta anularea datelor cu caracter personal în cauză), dar temeiul juridic inițial legat de gestionarea ulterioară a declației inițiale va înceta de asemenea. Totuși se recomandă păstrarea documentului care conține consimțământul și după îndeplinirea scopului consimțământului sau retragerea consimțământului, timp de 5 ani până la termenul general de prescriptție în dreptul граждански.
2.3.2 Documente legate de afaceri
În cazul documentelor legate de afaceri, în special acordurile de cooperare, contractele, comenzile și documentele care dovedesc executarea (de exemplu, procesele verbale), pot apărea pretenții în termenul normal de prescripție în dreptul civil, prin urmare se recomandă păstrarea acestor documente timp de până la 5 ani de la executarea contractului respectiv.
2.3.3. Registre contabile si documente necesare pentru stabilirea obligațiilor fiscale
Съобразете чл. 25 alin. (1) din Legea Contabilitatii 82/1991, cu modificarile si completarile ulterioare, registerele de contabilitate obligatorii si documentele opravdaна грижа stau la baza inregistrarilor in contabilitatea financiara se pastreaza in arhiva persoanelor prevazute la art. 1 timp de 10 ani, cu incepere de la data incheierii exercitiului financiar in cursul caruia au fost intocmite, cu exceptiona statelor de salarii, care se pastreaza timp de 50 de ani.
2.3.4. General corespondentă
Păstrarea corespondenței legate de tranzacțiile generale poate fi arhivată conform deciziei conducerii societății. Pot fi definite reguli conform cărora după o anumită periodadă de timp administratorul de sistem persoana sau persoana responsabilă de selectarea fișierelor electronice sau fizice va șterge sau arhiva automat aceste documente.
2.3.5. Класифициран документ
Класифицираните документи са в съответствие със специалния закон, Legea 16 от 1996 г., Legea arhivelor nationale, Legea 135 от 2007 г., legea arhivării documentelor în forma electronica.
2.3.6. Evidențe privind sponsorizările
În sensul prezentului Regulament, toate evidențele referitoare la subvenții primite din fonduri publice vor face obectul acestei definiții. Păstrarea documentelor referitoare la subvenții este reglementată de legea privind subvenția în cauză, de regulă posibilitatea de control s-ar putea avea loc în maxim 10 ani de la finalizarea investiției și, la acest termen se conformează și obligația de a ține evidența.
3. Криптиране и псевдонимизиране
Având în vedere clasificarea informațiilor și suportul de date (de exemplu gestionarea datelor cu caracter personal), trebuie utilize tehnici de criptare pentru a păstra confidențialitatea și integritatea înregistrărilor (de exemplu, accesul la parole).
Trebuie asigurat ca cheile de criptare utilizate pentru a cripta evidențele să fie stocate într-un loc sigur pe întreaga durată a înregistrărilor relevante și să respecte regulamentul de criptare a organizației.
4. Изберете зона за поддръжка на дата
Când selectați un suport de stocare date pe termen lung, trebuie să țineți cont de caracteristicile fizice ale dispozitivului și de durata de utilizare a acestuia.
În cazul în care legislația (sau practica) impune ca documentul să fie stocat pe suport de hârtie, trebuie luate măsuri de precauție adecvate pentru a se asigura că condițiile de mediu corespund tipului de hârtie utilizat. Dacă este posibil, se recomandă asigurarea unei copii de rezervă prin scanare de exemplu.
5. Interogarea documentelor
Cu ocazia alegerii suportului de stocare și menținerii capacității de stocare, trebuie asigurat ca documentele să pot fi interogate într-un format utilizabil în terminele acceptable.
Această interogare este deosebit de importantă având în vedere faptul că, conform GDPR, persoanele vizate au dreptul de a fi informate cu privire la datele lor personale stocate de societate.
Trebuie stabilit un echilibru adecvat între costurile de stocare și viteza interogării, ținând seama în mod corespunzător de cele mai probabile circumstanțe.
6. Distrugerea documentelor
Odată ce durata obligatorie de păstrare a documentelor a ajuns la sfârșitul perioadei prevăzute de regulament, acestea trebuie să fie distruse în siguranță, astfel încât să nu mai poată fi folosite. Procedura de distrugere trebuie să permită înregistrarea detaliilor de distrugere, care trebuie păstrate ca probă.
7. Revizuirea documentelor
Metodele de păstrare și de ștergere a documentelor trebuie să facă obiectul unei proceduri de revizuire periodică care este efectuată sub supravegherea conducerii, pentru a asigura că:
• regulile privind păstrarea și ștergerea documentelor rămân valabile,
• documentele se păstrează în conformitate cu reglementările,
• documentele sunt distruse în siguranță atunci când nu mai sunt necesare,
• спазване на законовите изисквания, правилата и договора,
• processele de interogare a documentelor satisfac nevoile afacerii.
Resultele acestor revizuiri se înregistrează.
Prezentul Regulament este eliberat de administratorul societății, cu efect obligatoriu pentru toți angajații și colaboratorii IMPAR vizați și va fi supus revizuirii periodice conform necesităților practice ale societății în concordanță cu regulamentul GDPR.
Regulament intern privind gestionarea datelor
Introducere
Obiectivul acestui regulament intern privind gestionarea datelor cu caracter personal este de a asigura angajaţilor și colaboratorilor IMPAR SRL (denumită în continuare IMPAR sau compania) o sinteză ale celor mai importante informații legate de activitatea de gestionare de date efectuate de IMPAR SRL
Totodată prezentul document nu se consideră o consultare individuală și substituie auditul protecției datelor. Scopul acestui document este reglementarea internă și asigurarea de asistență și ghidare generală a personalului Impar, în vederea asigurării conformării cu cerințele privind protecția datelor.
De-a lungul desfăşurării activităţii IMPAR gestionează diferite date cu caracter personal ale diferitelor groupri de persoane fizice, cum ar fi:
• persoanele care aplică pentru un loc de muncă
• angajaţii săi
• foşti angajaţi
• delegții furnizorilor cu care IMPAR derulează activități economice, altele decât persoanele cu drept de reprezentare statutară clienţi care participă la anumite promoţii ale societăţii
• Clienții persoane fizice care apelează la serviciile IMPAR prin intermediul vânzărilor retail și/sau web-shop
În ceea ce priveşte colectarea și gestionarea de date ale acestor persoane, IMPAR trebuie să respecte legislația europeană și națională privind protecția datelor cu caracter personal. În acelaşi timp trebuie să țină seama de propriile sale interese de afaceri, condiții operaționale, oportunități tehnice și organizatorice respectiv interestele angajaților și clienților săi.
Obiectivul acestui regulament este de a prezenta pe scurt legislația aplicabilă și măsurile pe care Societatea le ia pentru a respecta legea. Scopul Impar este de a asigura întotdeauna că GDPR este respectat într-un mod clar și verificabil.
Acest regulament se aplică tuturor sistemelor, persoanelor și processelor care constituie sistem de informații IMPAR, inclusiv conducerea, angajații, furnizorii și alte părți terțe care au acces la sistemul Societății.
1. Regulamentul General privind Protecţia Datelor
Regulamentul General privind Protecţia Datelor nr. 2016/679/UE (GDPR) este cea mai importantă normă legislativă care influențează desfăşurarea activității noastre de gestionare a datelor. Regulamentul comunitar produce efecte în toate statele membre ale Uniunii Europeane, prin urmare se aplică în România fără implementare.
1.1 Gestionarea şi procesarea datelor
Având în vedere activitatea IMPAR acesteia i se aplică regulamentul privind protecția datelor. După cum reiese din următoarele concepte ale GDPR, compania și personalul asesteia desfăşoară activităţi de gestionare și prelucrare a datelor.
а. Дефиниция „дата с личен характер“:
Datele cu caracter personal reprezintă orice informaţii referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”). O persoană vizată este acea persoană care poate fi identificată, direct или indirect, în mod specific prin referire la un nume, număr de identificare, date privind locaţia, ID online ori la unul sau mai mulţi factori specifici identităţii sale fizice, fiziologice, genetice, psihice, Economice, Culturele sau sociale.
Prin urmare datele personale reprezintă orice informație pe care IMPAR înregistrează despre o persoană identificată prin digferitele atribte ale persoanei (de exemplu: numărul de telefon, adresa de e-mail, ziua de naștere etc.), deci nu doar datele care permit identificarea propriu zisă a acesteia.
Având în vedere că Impar este o societate Comercială, în activitatea zilnică are de a face cu date personale, în principal prin intermediul vânzărilor directe (продажба на дребно и онлайн), съответно pe cale indirectă, în calitate de delegatți, reprezentanți ai partenerilor persoane правосъдие.
b. Дефиниция „гестионна зона дата или личен характер“:
Gestionare de date înseamnă orice operaţiune care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, limitarea sau ştergerea.
În consecinţă, de-a lungul desfăşurării activităţii IMPAR gestionează date cu caracter personal.
c. Определение „оператор”:
Operator de date se referă la orice persoană fizică sau juridică, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal.
IMPAR stabilește scopul și mijloacele de gestionare a datelor angajaților și altor persoane și prin urmare se consideră operator de date. Personalul angajat al societății devine operator de date prin exercitarea funcției în cadrul activității desfășurate în cadrul companiei.
d. Определение „процесор на дата“:
Procesatorul de date este o persoană fizică sau juridică care processează date cu caracter personal în numele operatorului de date.
Procesatorii de date de mai jos efectuează activități de gestionare a datelor în numele IMPAR:
1.2 Principiile gestionării de date
Legislația stabilește principii obligatorii cu privire la gestionarea și prelucrarea datelor, valabil erga omnes.
La gestionarea datelor cu caracter personal se vor avea în vedere și se vor respecta următoarele principii:
1. Дата с личен характер:
• gestionarea datelor cu caracter personal se face în conformitate cu prevederile legale, în mod echitabil și transparent („legalitate, echitabilitate şi transparenţă”);
• colectarea se face numai în scopuri bine determinate, explicite şi legitime, şi datele să nu vor fi gestionate în moduri incompatibile cu aceste oiective; prelucrarea suplimentară a datelor în scopuri statistice nu se consideră incompatibilitate („scopul bine determinat”);
• trebuie să fie adecvate și relevante pentru gestionarea datelor și trebuie să fie limitate la cât este absolut necesar („economisire”);
• să fie corecte și, dacă este necesar actualizate; datele cu caracter personal incorecte trebuie să fie елиминира sau corectate cât mai curând în măsura în care este posibil, ("изяснявам");
• stocarea trebuie să aibă într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare“);
• trebuie să fie gestionate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării incidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate“).
• respectarea acestor principii trebuie, de asemenea, să fie recunoscută de către operatorul de date („răspundere”).
1.3 Gestionarea categoriilor speciale de date cu caracter personal
Съобразете се с правни подробности относно член 9 от GDPR за създаване на отделни категории, специални за дата (примерна дата, която се съдържа в информацията). Gestionarea acestor categorii de date se face pe motive de prevenţie în ceea ce priveşte sănătatea sau sănătatea la locul de muncă (de exemplu gestionarea rezultator analizei capacității unui angajat sau acordarea de beneficii persoanelor cu handicap).
Dacă apare necesitatea de a gestiona o categorie specială de date alta decât cele de mai sus, este necesară o examinare preliminară a temeiului legal.
1.4 Drepturile persoanelor vizate
În ceea ce priveşte datele cu caracter personal gestionate de societate, GDPR oferă persoanelor vizate un număr de privilegii care apar ca o obligație pentru companie.
Aceste drepturi sunt următoarele:
1. Dreptul la informare
Persoana vizată are dreptul de a fi informată cu privire la sursa datelor cu caracter personal, scopul, durata stocării, baza legală a gestionării, identitatea processatorului, felul interesului legitim, transferul de date către țări terțe, destinatarii datelor și categoriile de destinatari în cazul unor interese legitime.
2. Dreptul la acces
Persoana vizată are dreptul de a primi o informare completă de la operatorul de date cu privire la scopul și modalitatea gestionării datelor sale cu caracter personal și, în cazul în care o astfel de gestionare are loc, are dreptul de a avea acces la datele și inofrmațiile intrinseci ale datelor sale cu caracter personal și la informațiile conexe pe care le administrează.
3. Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaracii suplimentare.
4. Dreptul la ştergere
Persoana vizată are dreptul să solicite operatorului să-i șteargă datele cu caracter personal fără întârzieri nejustificate, iar operatorul de date este obligat să execute ştergerea (în unele cazuri speciale - articolul 17 din GDPR) dacă scopul sau temeiul legal al gestionării datelor a încetat, gestionarea datelor a avut loc fără niciun temei legal.
5. Dreptul la restrictcionarea gestionării de date
În cazuri specifice prevăzute la articolul 18 din GDPR, persoana vizată poate solicita restrikcionarea privind prelucrarea datelor. Restrictția înseamnă că operatorul va stoca datele în cauză în continuare, însă le poate gestiona numai cu consimțământul persoanei vizate sau în vederea validării de drepturi ale persoanei vizate sau ale opertorului, legat de persoana визата.
6. Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restrictționarea prelucrării
Operatorul comunică fiecărui destinatar căruia i-au fost diulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter sau restrictționare a prelucrării efectuate în conformitate cu prevederile articolului 16, articolul 17 alineatul (1) și член 18 от регламента, в случай че изключение не е възможно, тъй като е невъзможно да се доведе до непропорционално преувеличено усилие. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
7. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a solicita emiterea datelor sale personale de către Operator într-o formă lizibilă și/sau accesibilă în scopul portării, având dreptul de a transfera aceste informații unui alt operator de date, fără ca prin această portare interesele sau informațiile aparținând unei terțepersoane să fie lezate.
8. Dreptul la opoziție
Persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării a datelor cu caracter personal care o privesc, inclusiv creării de profileri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. Dreptul la opoziție și condițiile de prelucrare vor fi aduse la cunoștința persoanei vizate cel târziu la momentul primei comunicări cu aceasta.
9. Drepturile legate de crearea de profil şi luarea deciziilor automate
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată inclusiv crearea de profileri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
De asemenea GDPR stabileşte terminene pentru obligațiile Companiei care decurg din drepturile persoanei vizate enumerate la 4.1. În cursul executării procedurilor, colaboratorii responsabili ai companiei trebuie să ia în considerare și aceste termene.
Aceste termene sunt prezentate în tabelul de mai jos:
Societatea trebuie să ia toate măsurile rezonabile pentru a se convinge de identitatea persoanei vizate care dorește să solicite acces sau să-şi exercite drepturile persoanei vizate.
1.5 Temeiuri legale aplicate în activitatea privind gestionarea datelor de către Impar
În gestionarea datelor personale raportat la necesitățile impuse de activitatea Impar cele mai frecvente temeiuri legale în privinţa gestionării datelor sunt consimțământul, executarea contractului, interesul societății și obligația care decurge din prevederile legale. În toate procesele de gestionare a datelor, temeiul legal pentru gestionarea datelor trebuie identificată în prealabil.
Consimţământul
Pentru activitățile de vânzări online șa marketing ale societăţii (newsletter, companie telefonică, informare prin SMS, etc.), este necesar consimțământul prealabil al părții vizate. În cazul copiilor sub 16 ani, este necesară permisiunea reprezentantului său legal.
Înainte de primirea consimțământului, trebuie să furnizate informații transparente celor vizaţi în legătură cu modul în care informațiile lor personale sunt gestionate, trebuie să fie prezentate drepturile lor în acest sens, în special dreptul de a-și retrage consimțământul dat. Aceste informații trebuie furnizate într-o formă accesibilă, în limbaj simplu și gratuit.
Dacă datele cu caracter personal nu sunt obținute direct de către societate, aceste informații trebuie furnizate persoanei vizate într-un termen cât mai scurt de la obținerea datelor, dar nu mai târziu de o lună.
Consimțământul, inclusiv detaliile datelor persoanei vizate, respectiv locul unde şi data când consimţământul a fost dat trebuie întotdeauna înregistrat și păstrat de către societate în conformitate cu Regulamentul de stocare și ştergere a datelor.
Executarea contractului
Datele cu caracter personal furnizate la încheierea contractului sunt necesare pentru executarea contractului de către societate. Acest interes reprezintă o bază juridică suficientă pentru gestionarea datelor cu caracter personal. Interesul rămâne valabil până când interesele legitime legate de executarea contractului pot fi executate – adică până la expirarea termenului de cinci ani după executarea contractului, potrivit codului civil. Totodată este important ca est consimţământ să se refere exclusiv la datele cu caracter personal necesare pentru executarea contractului, urmând ca this date (nomăr telefon, email, etc) să fie elimination (șterse) din registerele și evidențele societății.
Îndeplinirea obligaţiei legale ale Companiei
Îndeplinirea obligaţiilor legale ale operatorului de date pot impune gestionarea datelor personale (de exemplu, în calitate de angajator trebuie să gestioneze anumite informații despre angajaţi, cum ar fi numele, adresa, numărul de identificare fiscală и codul numeric personale и т.н. pentru a-şi îndeplini obligaţiile legate de depunerea declaraţiilor fiscale şi plata impozitelor, salarii etc.).
Urmărirea drepturilor legitime proprii ale societății sau drepturilor aparținând terțelor persoane
Temeiul legal al gestionării datelor poate fi, de asemenea, necesitatea de a asigura respectarea intereselor legitime ale Companiei sau ale unei terțe părți. În cazul gestionării datelor bazate pe un interes legitim, se va evalua raportul interesului legitim care trebuie aplicat este mai presus de obligativitatea și scopul protecției datelor cu caracter personal. Compania este obligată să prezinte evaluarea relevantă. Un astfel de interes este implicat în decizia angajatorului de supraveghere al angajaților și clienților săi cu o camera de supraveghere pentru a preveni sau detecta eventualele furturi / fraude. În cazul acesta trebuie să se facă o evaluare adecvată cu privire la drepturile angajaţilor și clienţilor vizaţi, şi trebuie asigurate garanții adecvate pentru protecția vieții private a salariaților, persoanele vizate fiind în mod obligatoriu informaţi cu privire la existența, locația camerelor respectiv modalitatea și locația de stocare a datelor. De asemenea, după evaluarea prevalării intereselor, în cazuri justificate, angajatorul poate accesa corespondența angajatorului din poșta electronică utilizată pentru îndeplinirea sarcinilor de serviciu, în cazul în care există suspiciuni de încălcare a obligațiilor asumate de salariat, respectiv în măsura în care informațiile ale căror recuperare se urmărește aparțin angajatorului sau reprezintă un potențial de produce efecte juridice care vizaeză angajatorul sub orice aspect. În acest caz, este necesar să se asigure că angajații pot fi prezenți atunci când contul lor de e-mail / utilizarea internetui sau a telefonlui este verificat în timpul unui audit.
Защита, интегрирана в дата
Съобразете се с GDPR reglementărilor, procesul de gestionare a datelor trebuie să includă principiile de bază și protecția adecvată a drepturilor celer vizaţi. În plus față de crearea unor condiții adecvate de gestionare a datelor, aceste condiții vor fi supuse revizuirilor periodice, în concordanță cu necesitățile impuse reale ale societății, adaptate evoluției tehnologiilor utilizate, schimbărilor intervenite în gestionarea datelor și noilor procese de gestionare a datelor. În funcție de evoluția științei și tehnologiei și de costurile de implementare, precum și de natura, scopul, circumstanțele și obiectivele gestionării datelor, precum și de riscurile cu privire la drepturile și libertățile persoanelor fizice, operatorul de date ia măsuri tehnice și organizatorice adecvate, atât în definirea modului de gestionare a datelor, cât și pe parcursul gestionării - cum ar fi un pseudonimizare - pentru punerea efectivă în aplicare a principiilor protecției datelor, cum ar fi economisirea datelor și includerea garanțiilor necesare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate. Operatorul de date acceptă măsuri tehnice și organizatorice adecvate pentru a se asigura că sunt prelucrate numai date cu caracter personal care sunt necesare pentru scopul specific al gestionării de date. Această obligație se referă la cantitatea de date personale colectate, amploarea gestionării, durata stocării și disponibilitatea acestora. Aceste măsuri trebuie să garanteze, în special, că datele cu caracter personal nu sunt puse la dispoziția unui număr nedeterminat de persoane în mod implicit fără intervenția unei persoane fizice.
Compania a luat la cunoştinţă principiul integrat al protecţiei datelor și asigură faptul că acordă atenția cuvenită protecției datelor, realază evaluările impactului asupra protecţiei datelor în cazul implementării unor modificări ale sitemelor de stocare date (upgrade) și/sau sisteme noi care colectează sau gestionează personale informații.
În plus, Compania va revizui periodic funcționarea sistemelor de gestionare a datelor pentru a se asigura că acestea corespund cu necesitățile actuale pentru care acestea au fost create, relevant normele legale aplicabile în acel moment sunt respectate.
În vederea aplicării corespunzătoare a prevederilor GDPR privind gestionarea datelor, societatea asigură, că:
• toți membrii personalului impliți în gestionarea datelor cu caracter personal înțeleg responsabilitatea referitoare la monitorizarea bunelor practici de protecție a datelor
• toţi membrii personalului beneficiază de cursuri privind protecția datelor
• persoanele vizate au la dispoziţie date de contact ușor accesibile în cazul în care aceştia vor să-şi exercite drepturile cu privire la datele cu caracter personal, și gestionează aceste solicitări în mod eficient
1.6 Прехвърляне на лични дати
Transferul datelor cu caracter personal în afara Uniunii Europeane trebuie verificată cu atenție înainte de transmitere, astfel încât transferul să aibă loc în limitele stabilite de GDPR. Acest lucru depinde partțial de modul în care Comisia Europeană evaluează conformitatea garanțiilor privind datele cu caracter personal în țara de destinție, care pot suferi modificări pe parcursul aplicării.
1.7 Обработчици на дата
GDPR prevede că necesitățile proprii de stocare și procesare de date pot fi realizate prin intermediul acelor processatori de date, care oferă garanții suficiente pentru a uvod măsuri tehnice și organizatorice care să îndeplinească cerințele GDPR, asigurând securitatea datelor și trasabilitatea schimbului de date în sistemele proprii.În cazul processatorilor de date din afara Spațiului Economic European, cum ar fi părţi terţe care asigură stocare de date în cloud sau alte tipuri de stocare date, este esențial ca aceste contracte încheiate cu astfel de părţi terţe să includă Termeni și condiții generale pentru gestionarea datelor, în conconrdanță cu regulile specifice trasate de societate pentru gestionarea acestor date.
1.8 Notificarea încălcării drepturilor
Compania este obligată să stabilească în baza principiilor echității și proporționalității, modul și termenul conform cărora va informa persoanele vizate în cazul încălcării cu privire la datele cu caracter personal (incident de protecție a datelor).
În cazul unui incident de protecție a datelor care poate rezulta efecte asupra drepturilor și libertăților persoanelor fizice în terminiți definiți de GDPR, kompetenta autoritatea pentru protecția datelor trebuie informată în termen de 72 de ore.
Procedura de urmărit este cea conformă cu prevederile Regulilor de gestionare a incidentelor, stabilind întregul proces de gestionare a incidentelor de securitate a informațiilor.
Încălcarea normelor de securitate a datelor personale atrage sancțiunea prevăzută de GDPR, sancțiunea aplicată de autoritatea competentă pentru protecția datelor constă în amendă de până la 4% din cifra de afaceri totală anuală sau 20 de милиони евро.
1.9 Limitarea periodadei de stocare a datelor personale
IMPAR va concepe o procedură proprie pentru satbilirea procedurilor de stocare și de ștergere a datelor personale recepționate și utilizate confrom obictului de activitate. În elaborarea acestor proceduri se vor respecta principiile generale GDPR, îndeosebi principiul legalității, scopului și economisirii.Regulile privind procesarea în timp a datelor de către IMPAR sunt reglementate de Regulamentul de stocare și ştergere a datelor.
1.10 Задължения за привеждане на доказателства
GDPR prevede obligativitatea ținerii evidenţelor legate de activitățile de gestionare a datelor cu caracter personal în casurile în care gestionarea datelor nu este ocazională. Modalitatea de evidențiere a activităților IMPAR în care sunt implicate date personale este reglementată prin Evidenţa de gestionare a datelor.
Evidenţa de gestionare a datelor reflectă modalitatea de respectare de către IMPAR a principiilor statuate prin GDPR cu referire la:
• temeiul legal privind gestionara datelor cu caracter personal este întotdeauna clară și lipsită de ambiguitate
• scopul gestionării datelor este bine definit, sfera datelor gestionate este necesară pentru atingerea scopului
• Persoana vizată a fost informată în mod corespunzător cu privire la gestionarea datelor
• durata gestionării datelor şi ştergerea sunt reglementate
• stocarea datelor are loc cu respectarea măsurilor de securitate corespunzătoare
• transferul de date are loccu asigurare de garanţii corespunzătoare
• personana responsabilă pentru gestionarea datelor a fost desemnată.
2. Responsabilitatea privind gestionarea datelor
Siguranța datelor personale constituie o prioritate deosebită în activitatea IMPAR. Pentru a asigura cadrul instituțional de urmărire și control a modalității de respectare a regulamentelor și măsurilor aplicate precum și a eficienței acestora, în cadrul societății sunt auditate aspectele privind: идентифицирайте sursele posibile de proveniență a datelor personale, căile de recepție a acestor date, trierea datelor, stocarea și managementul de date conform scopului declarat pentru care sa obținut consimțământul titlerului, durata de prelucrare și stocare, eliminarea datelor ale căror termin sau utilitate a expirat. În scopul asigurării unei gestiuni echitabile și legale, Impar desemnează persoanele responsabile din cadrul societăţii pentru supravegherea procedurilor de gestionare a datelor precum şi sarcinile pe care această responsabilitate de supraveghere implică.
Acest document trebuie citit și aplicat împreună cu alte documente referitoare la activitățile de gestionare a datelor din cadrul societății, cum ar fi:
• regulamentul intern privind gestionarea datelor
• procedura de notificare a încălcărilor privind datele cu caracter personal (incidente de protecţia datelor)
• procedura de gestionare a cererii persoanei vizate
Definirea clară a rolurilor și responsabilităților, reglementarea adecvată a sarcinilor relevante urmărește prevenirea aparției incidentelor privind protecţia datelor personale și permite luarea unor măsuri eficiente și adecvate în cazul apariției unor asemenea incidente.
2.1 Reguli referitoare la protecţia datelor
În vederea respectării regulilor și normelor legale incidente în materie, IMPAR va stoca și proces datele necesare realizării obiectivelor sale în mod legal și echitabil, urmând ca angajații implicați în aste proceduri să fie implicați în următoarele calități arondate:
• Оператор за дата
• Manager pentru securitatea informațiilor
• Responsabil pentru conformitate
Responsabilitățile specifice ale fiecărui rol sunt descrised în continuarea în acest документ.
Toţi angajații și partenerii Companiei care desfășoară activități de gestionare a datelor sunt obligați să îndeplinească sarcinile și obligațiile de mai jos pentru a asigura aplicarea în mod corespunzător a principiilor generale GDPR, precum principiul gestionării legitime, correcte și transparente a datelor, principiul scopului bine stabilit, principiul economisirii și exactităţii datelor și principiul integrității și al confidențialității.
Prezentul Regulament stabilește responsabilitățile fiecărei calități în cadrul procedurilor GDPR din organizația IMPAR, fără ca aceste calități să producă efecte asupra funcției, sracinilor sau compențelor generale ale angajatului, грижа nunt sunt legate от GDPR и не можете да вземете предвид дали фишата е пълна и постулуи.
2.1.1 Дата на оператора
Conform prevederilor GDPR, operatorul de date este o persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care singur sau împreună cu altele stabileşte scopurile și mijloacele de prelucrare a datelor cu caracter personal.
Operatorul de date са принципно отговорни:
• Asigură conformitatea cu principiile stabilite la articolul 5 din GDPR a modalității de gestionare a datelor cu caracter personal, asigurând posibilitatea verificării și demonstrării modalității de realizare a acestora. Prin urmare, asigură că informațiile personale:
o sunt gestionate în mod legal, corect și transparent,
o sunt colectate în funcţie de obiectivele определена, конкретна и законна,
o sunt limitate la cele adecvate, relevante şi necesare,
o sunt exacte şi, dacă este necesar, актуализирам,
o sunt stocate în aşa fel încât să permită identificarea persoanelor vizate doar atât timp cât este necesar,
o sunt gestionate în siguranţă adecvată.
• Asigură obţinerea consimțământului persoanei vizate în ceea ce privește gestionarea datelor cu caracter personal, inclusiv consimțământul părinţilor în cazul copiilor.
• Pune la dispoziţia persoanei vizate toate informațiile prevăzute de GDPR intr-o formă concisă, transparentă, ușor de înțeles și ușaccesibilă, într-un limbaj simplu și clar.
• Permite exercitarea drepturilor conferite de GDPR de către persoanele vizate și le informează cu privire la prelucrarea cererii sale. În acest sens, persoanele vizate au dreptul de a accesa datele colectate despre ele și au dreptul de a verifica legalitatea gestionării datelor. De asemenea, pot primi informaţii despre durata gestionării datelor, consecințele gestionării datelor (cum ar fi identificarea profilelui), logica gestionării datelor.
• Asigură că va colabora doar cu procesori de date care oferă garanția corespunzătoare că se vor lua măsurile tehnice și organizatorice adecvate pentru a respecta GDPR и proteja datele personale
• Ţine evidența activităților de gestionare a datelor cu caracter personal, ceea ce este responsabilitatea operatorului de date.
• La cerere cooperează cu autoritatea de supraveghere în vederea îndeplinirii sarcinilor sale.
• Asigură că orice persoană care actționează în numele operatorului de date care are acces la datele cu caracter personal, gestionează informaţiile numai în conformitate cu instructțiunile operatorului de date.
• Notifică autoritatea de supraveghere fără întârzieri nejustificate cu privire la orice încălcare a drepturilor privind datele cu caracter personal, cu excepția cazului în care este puțin probabil ca încălcarea datelor cu caracter personal să reprezinte un risc pentru drepturile și libertățile persoanelor fizice, în conformitate cu procedurile organizaționale.
• Documentează orice încălcare a drepturilor privind datele cu caracter personal, inclusiv fapte legate de încălcarea datelor cu caracter personal, efectele acestora și măsurile corective luate.
• Dacă este cazul informează persoana vizată fără întârzieri nejustificate cu privire la încălcarea drepturilor privind datele cu caracter personal.
• Efectuează o evaluare a impactului privind protecția datelor, după caz, în conformitate cu procedurile.
• În îndeplinirea sarcinilor sale este susţinut de responsabilul pentru conformitate care îi asigură resurse necesare îndeplinirii sarcinilor şi accesării şi gestionării datelor cu caracter personal respectiv îl ajută din punct de vedere profesional.
• Datele cu caracter personal pot fi transferate unei țări terțe sau unei organizații internaționale, în cazul în care operatorul de date sau un processator de date a furnizat garanții adecvate și cu condiția ca drepturile persoanelor vizate să fie respectate și să fie disponibile căi de atac eficiente.
2.1.2 Manager pentru securitatea informaţiilor
Sarcina principală a Managerului pentru Securitatea Informațiilor este elaborarea și menținerea securitații informațiilor.
Responsabilitățile Managerului pentru Securitatea Informațiilor sunt următoarele:
• Elaborează și prezintă conducerii măsurile ce trebuie luate pentru asigurarea securității informațiilor;
• Conduce implementarea deciziilor luate de conducere pentru a asigura securitatea informațiilor;
• Supraveghează funcționarea sistemlui de securitate a informațiilor;
• Identifică, cuantifică și monitorizează tipurile, amploarea și impactul incidentelor și erorilor de funccionare și ia măsurile necesare pentru prevenirea și soluționarea acestora;
• Întocmeşte rapoarte în mod regulat și, dacă este necesar după caz, conducerii în legătură cu gestionarea tuturor aspectelor legate de sigurniță;
• Colaborează cu Responsabilul pentru conformitate și execută instrucțiunile acestuia;
• Informează persoana vizată despre regulamentul de securitate a informațiilor;
• Execută prevederile regulamentului privind securitatea informațiilor;
• Se ocupă de managementul riscurilor legate de accesul la servicii sau sisteme;
• Asigură aplicarea și documentarea controalelor de securitate;
• Stabilește planurile de dezvoltare și obiectivele pentru exercițiul financiar;
• Monitorizează realizarea planurilor de dezvoltare.
2.1.3. Responsabil cu protecția datelor
Responsabilitățile Responsabilului pentru protecția datelor sunt următoarele:
• furnizează informații și consultantță profesională operatorului de date sau processatorului de date respectiv angajaţilor responsabili pentru gestionarea datelor cu privire la obligațiile care le revin în temeiul legislației applicabile privind protecția datelor;
• supraveghează respectarea legislației privind protecția datelor și a regulamentului intern privind protecția datelor cu caracter personal de către operatorul de date sau procesorul de date;
• elaborează și menține regulamente interne și externe privind protecția datelor, reglementări privind securitatea informațiilor, obiective și planuri;
• atribuie responsabilități, contribuie la creşterea gradului de conștientizare a personalului în operațiunile de gestionare a datelor, instruieşte personalul și efectuează audituri conexe;
• la cerere oferă consultantță professională privind evaluarea impactului privind protecția datelor și monitorizează evaluarea impactului;
• cooperează cu autoritatea de supraveghere compentă pentru protecția datelor;
• este persoana care ţine legătura cu autoritatea de supraveghere în subiecte legate de gestionarea datelor şi dacă este cazul o consultă legat de orice alt subiect.
• asigură că cerințele legale și de securitate a informațiilor sunt stabilite și îndeplinite pentru a minimiza riscul și a utiliza controale eficiente în cadrul companiei în ceea ce priveşte clienții;
• stabileşte resursele pentru planificarea, implementarea, supravegherea, revizuirea și dezvoltarea în ceea ce priveşte respectarea prevederilor legale, securitatea și gestionarea informațiilor și ia măsuri pentru asigurarea acestora (de exemplu, angajarea) personalului adecvat și gestionarea fluctuației personalului);
• supraveghează gestionarea riscurilor care afectează organizația și serviciile acesteia;
• периодичен efectuează revizuirea securității informațiilor din punct de vedere al aptitudinii, conformităţii şi eficienţei;
• checkază incidentele majore privind securitatea informațiilor;
• asigură ca accesul organizațiilor externe la sistemele informatice să se bazeze pe un acord oficial care stabilește toate cerințele legale și de sigurnață necesare.
Societatea va examina în mod permanent oportunitatea și actualitatea desemnării unui Responsabil cu protecția datelor urmând ca în baza acestor concluzii să desemneze / sau nu resposnabilul.
2.1.4 Angajaţi
Responsabilitățile principale ale angajatului sunt următoarele:
• Cunoaşte şi respectă toate regulamentele organizaţiei legate de protecţia datelor, implication de rolul său.
• Raportează orice incidente reale sau potențiale legate de protecţia datelor.
• Dacă este necesar contribuie la evaluarea impactului privind protecția datelor.
IMPAR SRL