Implementarea regulamentului privind protectia datelor cu caracter personal

/ Implementarea regulamentului privind protectia datelor cu caracter personal

Implementarea Regulamentului nr. 679/2016 privind protectia datelor cu caracter personal, in cadrul S.C. UNIMAT S.R.L.

Prevederile Regulamentul nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date , se aplica in cadrul SC UNIMAT SRL, incepand cu data 25 mai 2018.

Confidentialitatea datelor cu caracter personal ale angajatilor si clientilor SC UNIMAT SRL in calitate de operator de date , este una dintre preocuparile principale ale societatii .

Prin urmare SC UNIMAT SRL urmareste in permanenta asigurarea prelucrarii datelor cu caracter personal in stricta conformitate cu principiile privind protectia datelor.

Monitorizarea respectarii cerintelor legale in acest domeniu este asigurata inclusiv de catre responsabilul cu protectia datelor desemnat in cadrul SC UNIMAT SRL.

Prezenta politica de confidentialitate vizeaza datele cu character personal ale angajatilor si clientilor SC UNIMAT SRL

1. TERMENI SI DEFINITII

1.1. Date cu caracter personal – Orice informatii privind o persoana fizica identificata sau identificabila (persoana vizata), direct sau indirect, cum ar fi nume, prenume, numar de identificare, date de geolocalizare, identificator online (adresa IP, cookie IP) si orice elemente specifice identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale

1.2. Date cu caracter special

– date privind originea etnica sau rasiala

– date privind opiniile politice

– date privind confesiunea religioasa sau convingerile filozofice

– apartenenta la sindicate

– date genetice, data biometrice

– date privind sanatatea

– date privind viata sexuala sau orientarea sexual

1.3. Prelucrare –operatiune / set de operatiuni

-colectarea, inregistrarea, organizarea ,structurarea ,stocarea ,adaptarea sau modificarea, extragerea ,consultarea, utilizarea ,

-divulgarea prin transmitere

-diseminarea sau punerea la dispozitie prin orice alt mod

– alinierea sau combinarea ,restrictionarea stergerea sau distrugerea

1.4. Prelucrarea datelor cu caracter personal se poate realiza prin mijloace automate sau neautomate în cadrul unor operaţiuni ori seturi de operaţiuni, fãrã a fi limitate la acestea, dupã cum urmeazã:

a) colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursã;

b) înregistrarea – consemnarea datelor cu caracter personal într-un sistem de evidenţã automat ori neautomat, care poate fi registru, fişier automat, bazã de date sau orice altã formã de evidenţã organizatã, structuratã ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele;

c) organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizãrii/optimizãrii activitãţilor de prelucrare a acestora;

d) stocarea – pãstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţã;

e) adaptarea – transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate;

f) modificarea – actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate;

g) extragerea – scoaterea unei pãrţi din categoria specificã de date cu caracter personal, în scopul utilizãrii acesteia, separat şi distinct de prelucrarea iniţialã;

h) consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fãrã a fi limitate la acestea, în scopul efectuãrii unei operaţiuni sau set de operaţiuni de prelucrare ulterioarã;

i) utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de cãtre şi în interiorul societatii , împuterniciţilor societatii ori destinatarului, dupã caz, inclusiv prin tipãrire, copiere, multiplicare, scanare sau orice alte procedee similare;

j) dezvãluirea – a face disponibile date cu caracter personal cãtre terţi prin comunicare, transmitere, diseminare sau în orice alt mod;

k) alãturarea – adãugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modificã;

l) combinarea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formã nouã, pe baza unor criterii prestabilite, pentru scopuri anume determinate;

m) blocarea – întreruperea prelucrãrii datelor cu caracter personal;

n) ştergerea – eliminarea sau înlãturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrãri, prin împlinirea termenului de pãstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;

o) transformarea – operaţiunea efectuatã asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusiv statistice;

p) distrugerea – aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivã şi irecuperabilã, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.

1.5. Operator – Persoana fizica sau juridica, autoritatea publica, agentia sau al organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern.

1.6. Persoana imputernicita de operator – Persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.

1.7. Reprezentant – Persoana fizica sau juridica, desemnata in scris de operator sau persoana imputernicita de operator, care reprezinta operatorul sau persoana imputernicita de operator in ceea ce priveste obligatiile lor respective care le revin in temeiul Regulamentului General pentru Protectia Datelor.

2.8.CONSIMTAMANT:- Orice indicatie liber exprimata, specifica, in cunostinta de cauza si clara acordata printr-o declaratie sau o actiune fara echivoc.

2.9.LIBER EXPRIMAT: – Consimtamantul nu este valabil daca persoana vizata nu are o alegere reala sau este in imposibilitatea de a refuza sau de a-si retrage consimtamantul cand exista un dezechilibru intre operator si persoana vizata.

2. CONDITII – CONSIMTAMANT VALABIL

  • Persona vizata este in cunostinta de cauza (informata):

  • Operatorul se asigura ca:

      • foloseste o maniera inteligibila si usor accesibila, utilizand un limbaj clar si simplu;

      • informeaza persoana vizata cel putin cu privire la identitatea operatorului, datele de contact ale responsabilului cu protectia datelor, dupa caz, scopul(urile) prelucrarii, destinatarii datelor, statele catre care sunt transferate datele, dupa caz.

  • Tacerea nu reprezinta consimtamant:

– Exemplu: absenta unui raspuns, casuta bifata in prealabil, acceptare tacita;

  • Metode de obtinere a consimtamantului:

– Regulamentul recunoaste validitatea unor metode general utilizate;

– Exemplu: bifarea unor casute, alegerea unor caracteristici ale unor aplicatii sau orice alta declaratie care indica in mod clar acordul;

  • Cererea de consimtamant trebuie sa fie distincta de orice alte aspecte:

      • In cazul unei declaratii care se refera si la alte aspecte, cererea privind obtinerea consimtamantului trebuie sa fie prezentata distinct, intr-o maniera inteligibila, accesibila, utilizant un limbaj clar si simplu;

  • Dovada consimtamantului:

Regulamentul prevede in mod expres ca operatorul trebuie sa fie capabil sa dovedeasca obtinerea consimtamantului

  • In cadrul SC UNIMAT SRL se utilizeazã sisteme de evidenţã şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal cu aplicarea principiilor respectãrii drepturilor omului, legalitãţii, necesitãţii, confidenţialitãţii.

  • SC UNIMAT SRL se supune activitãţilor de control efectuate de Autoritatea naţionalã de supraveghere .

  • Imputerniciţi ai SC UNIMAT SRL sunt persoanele juridice cu care s-a incheiat un contract de prestari servicii si care prelucreazã date cu caracter personal furnizate de SC UNIMAT SRL.

3. ORGANIZAREA ACTIVITÃŢII DE PRELUCRARE A DATELOR CU CARACTER PERSONAL ÎN SC UNIMAT SRL

  • La nivelul societatii SC UNIMAT SRL care are calitatea de operator, funcţioneazã o structurã specializatã în domeniul protecţiei datelor cu caracter personal, denumitã în continuare structurã responsabilã cu protecţia datelor cu caracter personal.

  • SC UNIMAT SRL are desemnata o persoanã – responsabil cu protecţia datelor cu caracter personal (DPO), în directa subordonare a administratorului societatii.

  • SC UNIMAT SRL, în calitate de operator, are în principal urmãtoarele obligaţii:

a) sã notifice Autoritatea naţionalã de supraveghere privind desemnarea unui DPO
b) sã asigure informarea persoanelor vizate şi sã respecte drepturile acestora;
c) sã ia mãsurile necesare pentru a asigura securitatea prelucrãrii datelor cu caracter personal;
d) sã elaboreze Proceduri privind mãsurile de protecţie a persoanelor cu privire la prelucrarea datelor cu caracter personal

e) sã punã la dispoziţia DPO –ului, informaţiile şi documentele în legãturã cu prelucrarea datelor cu caracter personal pe care le deţin, în vederea exercitãrii atribuţiilor de coordonare, îndrumare şi monitorizare a aplicãrii unitare a legislaţiei în domeniul protecţiei persoanelor cu privire la prelucrarea datelor cu caracter personal.

  • Conducerea SC UNIMAT SRL are urmãtoarele atribuţii principale:

a) stabileste scopul şi mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare pentru exercitarea unor competenţe legale;
b) numesc/stabilesc DPO – responsabilul cu protecţia datelor personale;
c) asigurã elaborarea procedurilor proprii şi, dupã avizarea acestora de cãtre DPO, le aprobã;

d) asigurã implementarea şi vegheazã la respectarea normelor procedurale în materia prelucrãrii datelor cu caracter personal de cãtre utilizatori;
e) asigurã desfãşurarea pregãtirii de specialitate şi instruirea utilizatorilor în acest domeniu;
f) dispun mãsuri de completare sau, dupã caz, de modificare a fişei posturilor utilizatorilor;
g) analizeazã şi dispun în ceea ce priveşte suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidenţã a datelor cu caracter personal, în condiţiile legii;
h) informeazã DPO-ul în legãturã cu orice încãlcare a normelor de protecţie a datelor cu caracter personal de naturã a prejudicia drepturile persoanei vizate, cu privire la mãsurile dispuse pentru identificarea persoanei responsabile şi limitarea efectelor unei diseminãri neautorizate a datelor, precum şi cu privire la situaţiile în care au fost emise recomandãri sau aplicate sancţiuni de cãtre Autoritatea naţionalã de supraveghere sau când aceasta a dispus efectuarea unui control prealabil ori a unor investigaţii;
i) analizeazã periodic activitatea responsabilului/structurii responsabile cu protecţia datelor cu caracter personal

  • Atributiile DPO- ului (responsabilul cu protecţia datelor cu caracter personal) sunt urmatoarele:

a) coordoneazã elaborarea şi implementarea procedurilor proprii, pe care le supune aprobãrii conducerii;
b)elaboreazã ghidul pentru exercitarea drepturilor de cãtre persoana vizatã;
c) consiliazã conducerea societatii şi sprijinã instruirea personalului care prelucreazã date cu caracter personal referitoare la normele şi regulile de protecţie a datelor cu caracter personal;
d) informeazã operativ conducerea operatorului sau a împuternicitului acestuia despre vulnerabilitãţile şi riscurile semnalate în sistemul de securitate a prelucrãrii datelor cu caracter personal al structurii şi propune mãsuri pentru înlãturarea acestora;
e) coordoneazã şi monitorizeazã activitatea personalului pe linia protecţiei datelor cu caracter personal la nivelul societatii şi propune conducerii societatii mãsuri privind modificarea, suspendarea ori revocarea drepturilor de acces în situaţiile prevãzute de RGDP, dupã caz;
f) efectueazã, prin sondaj, verificãri privind modul de aplicare a mãsurilor legale de protecţie a datelor cu caracter personal, întocmeşte rapoarte şi face propuneri pentru remedierea deficienţelor constatate, pe care le înainteazã spre aprobare conducerii
g)coordoneazã soluţionarea cererilor persoanelor vizate si tine evident acestora;

Sarcinile si atributiile DPO nu trebuie sa genereze un conflict de interese. Acest lucru presupune, in special faptul ca DPO nu poate detine o pozitie in cadrul societatii care ar conduce la posibilitatea ca DPO sa stabileasca scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Ca regula generala, functiile din cadrul societatii cu care poate intra in conflict de interese, pot fi: director, administrator, sef compartaminte – IT, resurse umane, juridic – sau chiar functii inferioare care pot prelucra date cu caracter personal.

  • Obligatiile utilizatorilor

a) sã cunoascã şi sã aplice prevederile RGPD din domeniul prelucrãrii datelor cu caracter personal, precum şi normele interne în materie emise la nivelul societatii;
b) sã informeze persoana vizatã atunci când datele cu caracter personal sunt colectate direct de la aceasta, în condiţiile legii, respectiv sã ofere orice alte informaţii a cãror furnizare este impusã prin dispoziţii ale Autoritãţii naţionale de supraveghere, ţinând seama de specificul prelucrãrii;
c) sã prelucreze numai datele cu caracter personal necesare îndeplinirii atribuţiilor de serviciu şi sã acorde sprijin DPO- responsabilului cu protecţia datelor cu caracter personal pentru realizarea activitãţilor specifice ale acestuia/acesteia;
d) sã pãstreze confidenţialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
e) sã respecte mãsurile de securitate, precum şi celelalte reguli stabilite de conducerea societatii, inclusiv cele stabilite prin proceduri proprii;
f) sã informeze de îndatã conducerea operatorului sau, dupã caz, a împuternicitului şi DPO ( responsabilul cu protecţia datelor cu caracter personal) despre împrejurãri de naturã a conduce la o diseminare neautorizatã de date cu caracter personal sau despre o situaţie în care au fost accesate/prelucrate date cu caracter personal prin încãlcarea normelor legale, despre care a luat la cunoştinţã.

Pentru fiecare utilizator, fişa postului se completeazã în mod corespunzãtor cu atribuţiile acestuia, inscrise in prezentul regulament.

Înainte de începerea activitãţilor de prelucrare a datelor cu caracter personal, utilizatorul trebuie sã semneze o declaraţie pe propria rãspundere privind respectarea normelor de protecţie a acestor date.

Utilizatorul poate prelucra date cu caracter personal doar pe perioada în care ocupã funcţia respectivã.

Extinderea sau restrângerea atribuţiilor de prelucrare a datelor cu caracter personal se dispune de conducerea societatii atunci când utilizatorul se aflã în una dintre urmãtoarele situaţii:
a) la modificarea raporturilor de muncã

b) la modificarea atribuţiilor privind prelucrarea datelor cu caracter personal, prevãzute în fişa postului.

Dreptul de acces al utilizatorului la sistemul de evidenţã a datelor cu caracter personal se suspendã pe perioada în care acesta se aflã în una dintre urmãtoarele situaţii:

  • urmeazã un curs sau o specializare cu scoatere din program, pentru o perioadã mai mare de 30 zile ;

  • se aflã în concediu fãrã platã, concediu medical, concediu pentru creşterea sau îngrijirea copilului minor, pentru o perioadã mai mare de 30 zile

  • se aflã în concediu de maternitate sau concediu pentru incapacitate temporarã de muncã

  • pe perioada cercetãrii administrative, în situaţia în care faţã de utilizator se efectueazã cercetãri referitoare la prelucrarea datelor cu caracter personal cu încãlcarea dispoziţiilor legale

  • alte cazuri prevãzute de lege

La propunerea DPO-ului, conducãtorul societatii dispune revocarea contului unic de cãtre administratorul aplicaţiei atunci când utilizatorul se aflã în una dintre urmãtoarele situaţii:
a)la încetarea raporturilor de muncã/de serviciu;
b) a intervenit o modificare a raporturilor de muncã/de serviciu, iar noile atribuţii nu impun accesul la date cu caracter personal.

La nivelul societatii se constituie Registrul de evidenţã al societatii al cãrui model este prevãzut în anexa la regulament .

  • Se constituie Registrul de evidenţã a sistemelor de evidenţã a datelor cu caracter personal

  • La nivelul societatii se va tine evidenţa utilizatorilor.

  • Pentru pregatirea continuã la nivelul societatii se intocmeste Planul anual de pregãtire care trebuie sã conţinã teme privind cunoaşterea RGDP, precum şi teme specifice privind riscurile pe care le comportã prelucrarea datelor şi mãsurile minime de securitate.

  • Pregãtirea utilizatorilor se realizeazã în perioada tutelei profesionale.

  • Periodic se realizeazã instructaje cu utilizatorii pentru cunoaşterea procedurilor specifice de lucru instituite la nivelul societatii .

  • Instructajele se efectueazã în mod obligatoriu la modificarea cadrului legal în materie, iar prelucrarea incidentelor se va realiza cu întregul personal al societatii.

  • Utilizatorii trebuie sã fie instruiţi periodic cu privire la riscurile generate de vulnerabilitãţi şi ameninţãri informatice.

SC UNIMAT SRL, prelucreazã date cu caracter personal prin împuterniciţii sai fapt care impune încheierea unui contract sau, dupã caz, un document de cooperare cu societatile colaboratoare care prelucreazã datele pe seama sa. (banca,serviciul de medicina muncii, serviciul extern de SSM si situatii de urgenta, serviciul extern de contabilitate, societatea de asigurari, societatea pentru tiparire tichete de masa ,societatea care administreaza SITE ,societatea care monteaza camera video)

Documentul/ contractual de prestari servicii trebuie sã conţinã obligaţiile împuternicitului de a acţiona doar în baza instrucţiunilor primite de la SC UNIMAT SRL precum şi de a aplica mãsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificãrii, dezvãluirii ori accesului neautorizat, în special dacã prelucrarea respectivã presupune transferul de date on-line, precum şi împotriva oricãrei alte forme de prelucrare ilegalã..

  • PRINCIPIILE PRELUCRARII DATELOR

1.Prelucrarea datelor cu caracter personal trebuie sa asigure:

– Legalitate

– Echitate

– Transparenta

2. Scopul prelucrarii datelor cu caracter personal trebuie fie:

– Determinat,

– Explicit

– Legitim

3. Prelucrarea datelor cu caracter personal trebuie sa fie:

– Adecvata

– Relevant

– Necesara (minimizare)

  • TEMEIURILE PRELUCRARII DATELOR CU CARACTER SPECIAL

Prelucrarea datelor cu caracter personal se poate face in urmatoarele situatii :

  • Raporturi de munca si protectie sociala

  • Arhivare, cercetare, statistica

  • Sanatate publica

  • Protejarea intereselor vitale ale persoanei vizate

  • Consimtamant expres

  • Diagnoza si tratament medical

  • Date facute publice de persoana vizata

  • Actiuni judiciare

SC UNIMAT SRL prelucreazã date cu caracter personal în scopuri de organizare, gestiune economico-financiarã şi administrativã privind proprii angajaţi şi membrii de familie ai acestora, în cadrul activitãţii de management resurse umane, asigurarea asistenţei medicale.

SC UNIMAT SRL prelucreazã date cu caracter personal cu ocazia organizãrii unor concursuri sau examene stabileste condiţiile concrete de asigurare a securitãţii prelucrãrilor, precum şi de informare a persoanelor vizate privind drepturile acestora.

– Datele cu caracter personal astfel prelucrate se şterg sau se distrug dupã realizarea scopului în care au fost prelucrate.

– Stocarea acestor date se va face pentru o perioadã de 30 de zile .

Supravegherea prin mijloace video, fixe sau mobile, a unor spaţii publice perimetrale ori adiacente propriilor sedii, puncte de lucru, precum şi a spaţiilor interioare ale acestora constituie o prelucrare a datelor cu caracter personal pentru ca aceasta este însoţitã de un sistem de stocare a datelor care permite identificarea ulterioarã, a persoanei vizate.

În acest caz este obligatorie avertizarea personalului propriu şi a publicului privind existenţa sistemului de supraveghere, precum şi informarea acestuia privind identitatea operatorului, scopul prelucrãrii, categoriile de date prelucrate, destinatarii datelor sau alte date suplimentare, dupã caz, conform legii.

Instalarea acestor mijloace se realizeazã astfel încât, pe cât posibil, sã nu fie vizualizat interiorul altor imobile sau cãile de acces la acestea, aflate în zona adiacentã echipamentelor de supraveghere.

  • SECURITATEA PRELUCRARII

Securitatea prelucrarii datelor cu caracter personal se asigura de catre operator / SC UNIMAT SRL, prin masuri tehnice si organizatorii, incluzand printre altele:

    • pseudonimizarea si criptarea datelor cu caracter personal;

    • capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in caz de incident;

    • testare si evaluare periodica ale masurilor implementate;

    • capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta sistemelor de prelucrare;

  • NOTIFICAREA INCALCARII

Cand operatorul / SC UNIMAT SRL constata o incalcare a securitatii prelucrarii datelor care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau la accesul neautorizat la acestea se va face notificare la ANSPDCP fara intarzieri nejustificate, in termen de cel mult 72 de ore;

• notificarea include descrierea incalcarii, posibile consecinte si masuri de remediere sau diminuare a efectelor, precum si contactarea DPO-ului numit de SC UNIMAT SRL

In situatia in care incalcarea genereaza un risc ridicat pentru drepturile si libertatile persoanelor fizice, incalcarea este notificata fara intarzieri nejustificate persoana vizata. Risc pentru drepturile si libertatile persoanelor fizice – prejudicii fizice, materiale sau morale:

• Pierderea sau limitarea controlului

• Pierdere financiara

• Discriminare

• Compromiterea reputatiei

• Furt de identitate

• Dezavantaj economic sau social

Operatorul SC UNIMAT SRL poate fi exonerat de notificarea catre persoana vizata daca datele sunt protejate (prin criptare), au fost luate masuri de protectie sau notificarea cere eforturi disproportionate

Operatorul SC UNIMAT SRL are obligatia de a numi un responsabil cu protectia datelor, care verifica daca sunt indeplinite conditiile prevazute de Regulamentul General pentru Protectia Datelor;

Raspunderea este solidara in situatia operatorilor asociati;

Operatorul/ SC UNIMAT SRL raspunde la solicitarile de exercitare a drepturilor reglementate de Regulamentul General pentru Protectia Datelor

Societatea /persoana împuternicită de SC UNIMAT SRL are obligația:

 de a publica datele de contact ale responsabilului cu protecția datelor

(adresa operatorului, număr de telefon și/sau o adresă de e-mail profesională a responsabilului)

 de a comunica ANSDPCP datele de contact ale responsabilului cu protecția datelor

  • DEZVÃLUIREA DATELOR CU CARACTER PERSONAL

Datele cu caracter personal se pot comunica între SC UNIMAT SRL şi împuterniciţii acesteia sau între SC UNIMAT SRL şi alte instituţii ori organisme publice sau entitãţi de drept public în una dintre urmãtoarele situaţii:

a) comunicarea se efectueazã pe baza unui contract sau, dupã caz, a unui document de cooperare care trebuie sã cuprindã cel puţin:

– numãrul de înregistrare a notificãrii,

– temeiul legal al prelucrãrii

– scopul prelucrarii

– termenul maxim de prelucrare,

– drepturile şi obligaţiile pãrţilor,

– modalitãţile de asigurare a securitãţii prelucrãrilor şi de respectare a drepturilor persoanei vizate,

– menţiunea cã datele pot fi utilizate doar de structura beneficiarã şi numai în scopul pentru care au fost solicitate;

b) comunicarea se efectueazã în baza unei solicitãri scrise, care trebuie sã cuprindã temeiul legal, scopul prelucrãrii şi datele solicitate.

Datele cu caracter personal asupra cãrora persoanele vizate au exercitat şi li s-a recunoscut dreptul de opoziţie nu pot face obiectul prelucrãrii.

Comunicarea de date cu caracter personal se poate efectua şi din oficiu, în condiţiile legii.

 Datele cu caracter personal ale clientilor sunt stocate in vederea prelucrarii lor pe durata necesara atingerii scopurilor de prelucrare mai sus si ulterior potrivit cerintelor din politicile noastre interne si in conformitate cu cerintele legale.

 Datele cu caracter personalale clientilor care sunt inscrise in contractul de vanzare /cumparare se arhiveaza si se pastreaza 10 ani conform legislatiei in vigoare.

  • MÃSURI DE ASIGURARE A EXERCITÃRII DREPTURILOR PERSOANELOR VIZATE

  • Drepturile persoanelor vizate

        • Informare (art. 13, art. 14 din RDGE)

        • Acces (art. 15)

        • Rectificare (art. 16, art. 19 din RDGE)

        • Stergere (art. 17, art. 19 din RGDP)

        • Restrictionare (art. 18, art. 19 din RGDP)

        • Portabilitate (art. 20 din RGDP )

        • Opozitie (art. 21 din RGDP)

        • Decizii automate, profilare (art. 22 din RGDP)

        • Restrictii (art. 23 din RGDP)

  1. Dreptul de informare

Operatorul / SC UNIMAT SRL, este obligat sa informeze persoana vizata despre:

  • Identitatea si datele de contact ale operatorului

  • Datele de contact ale DPO

  • Scopurile, temeiul juridic, interesul legitim urmarit

  • Destinatarii, detalii privind un eventual transfer

  • Perioada de stocare (criteriile utilizate) a datelor prelucrate

  • Existenta drepturilor de acces, rectificare, stergere, opozitie, restrictionarea prelucrarii, portabilitatea datelor, a dreptului de retragere a consimtamantului, de a depune o plangere

  • Daca furnizarea datelor decurge dintr-o obligatie legala sau contractuala si care sunt consecintele refuzului

  • Existenta unui proces decizional, crearea de profiluri, logica utilizata, importanta si efectele unei astfel de prelucrari

  • Scopul prelucrarii ulterioare

Informarea persoanei vizate se face în condiţiile prevazute de RGDP.

  • Conducerea SC UNIMAT SRL dispune mãsuri pentru existenţa, în spaţiile accesibile publicului, a mijloacelor de informare a persoanelor vizate care sã cuprindã drepturile conferite de lege , precum şi a procedurii pentru exercitarea drepturilor de cãtre persoana vizatã.

  • În orice situaţie, persoana vizatã trebuie sã fie informatã de catre SC UNIMAT SRL,cu privire la dreptul de a se adresa Autoritãţii naţionale de supraveghere sau instanţei de judecatã.

  • .Conducerea SC UNIMAT SRL informeazã anual Autoritatea naţionalã de supraveghere cu privire la cazurile/ reclamatiile apãrute şi modul de soluţionare a acestora.

  • SC UNIMAT SRL, in cadrul procedurilor proprii a stabilit modalitãţile prin care, în exercitarea dreptului de acces la date, la cererea persoanei vizate, comunicã informaţiile prevãzute de lege, atunci când prelucreazã date cu caracter personal care o privesc pe aceasta.

  • Comunicarea se efectueazã în termen de cel mult 15 zile de la data primirii cererii, cu excepţiile prevãzute de lege.

  • Exercitarea dreptului de acces se face gratuit o singurã datã pe an.

Cuantumul cheltuielilor se rezumã la acoperirea costurilor suportate de operator.

  1. Dreptul persoanei vizate de a-si retrage consimtamantul:

    • Regulamentul recunoaste in mod expres acest drept;

    • persoana vizata trebuie informata cu privire la dreptul de retragere anterior obtinerii consimtamantului;

    • dreptul de retragere trebuie sa poata fi exercitat usor (in aceeasi maniera in care a fost acordat);

    • dupa retragerea consimtamantului, prelucrarea poate continua numai daca exista un alt temei pentru prelucrare.

3. Dreptul de acces

a) Operatorul / SC UNIMAT SRL va confirma daca sunt sau nu prelucrate datele persoanei vizate.

b) Operatorul/ SC UNIMAT SRL, va acorda persoanei vizate care solicita accesul la datele prelucrate si la urmatoarele informatii:

• scopurile prelucrarii datelor cu caracter personal

• categoriile de date cu caracter personal prelucrate

• destinatarii, inclusiv din state/organizatii internationale terte

• perioada de stocare (criteriile utilizate) a datelor cu character personal pe care le-a prelucrat

• Operatorul ii va comunica drepturile – de acces, rectificare, stergere, opozitie, restrictionare, portabilitate, a dreptului de retragere a consimtamantului, sau de a depune plangere

• sursa de colectare a datelor

• garantiile ce insotesc un eventual transfer

c) Operatorul va elibera o copie a datelor prelucrate .Nu se vor elibera copii dupa documentele care contin datele cu caracter personal

d) Daca se solicita copii ulterioare – se va percepe o taxa rezonabila (costuri administrative)

e) Furnizarea copiei nu trebuie sa aduca atingere drepturilor si libertatilor altor persoane.

4. Dreptul la rectificare

a) Persoana vizata are dreptul la rectificarea datelor cu caracter personal inexacte care o privesc, fara intarzieri nejustificate

b) Persoana vizata are dreptul sa faca completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

5. Dreptul la restrictionare

Marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.

SITUATII

    • se contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor

    • prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor

    • operatorul / SC UNIMAT SRL nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta

    • persoana vizata s-a opus prelucrarii, pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate

6. Dreptul la portabilitate

Operatorul / SC UNIMAT SRL asigura primirea datelor (si) transmiterea catre alt operator, intr-un format structurat, utilizat in mod curent si care poate fi citit automat, interoperabil

  • Conditii de exercitare a dreptului de portabilitate

    • datele privesc solicitantul (persoana vizata)

    • datele au fost furnizate de persoana vizata

    • prelucrarea se bazeaza pe consimtamant/contract

    • prelucrarea se efectueaza prin mijloace automate

  • Operatorul / SC UNIMAT SRL se va asigura ca prelucrarea este necesara, portabilitatea datelor pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul/ SC UNIMAT SRL

  • Operatorul/ SC UNIMAT SRL se va asigura ca nu se aduce atingere drepturilor si libertatilor altora

7. Dreptul la opozitie

Se poate manifesta opozitia fata de prelucrarea datelor si crearea de profiluri, din motive legate de situatia particulara in care se afla persoana vizată / marketing direct

Conditii suplimentare:

    • Operatorul SC UNIMAT SRL, va face o informare cu privire la existenta acestui drept in mod explicit, prezentat in mod clar si separat de orice alte informatii, cel tarziu in momentul primei comunicari cu persoana vizata

8. Obligatiile persoanelor imputernicite de SC UNIMAT SRL

  • Obligatia de a pastra evidenta activitatilor de prelucrare desfasurate in numele operatorului;

  • Obligatia de a notifica operatorul fara intarzieri nejustificate ,orice incalcare a securitatii datelor cu caracter personal;

  • Obligatia de a numi un responsabil cu protectia datelor, daca sunt indeplinite conditiile prevazute de Regulamentul General pentru Protectia Datelor;

  • Obligatia de a respecta regulile privind transferul de date in afara tarii/Uniunii

  • Raspunde direct fata de persoana vizata daca :

    • a incalcat o obligatie prevazuta de regulament direct in sarcina sa

    • a actionat in afara instructiunilor operatorului;

In situatia in care o persoana imputernicita de SC UNIMAT SRL incalca prevederile Regulamentului, prin luarea de decizii cu privire la scopul si mijloacele prelucrarii datelor cu caracter personal, devine ea insasi operator cu toate obligatiile asociate.

In cadrul contractelor incheiate pentru prestarea diferitelor servicii pentru SC UNIMAT SRL, se vor stabili clauze care sa stabileasca clar obligativitatea respectarii prevederilor Regulamentului 679/2016 privind protectia datelor cu caracter personal .

Imputernicitul sau persoana imputernicita are urmatoarele obligatii :

1. Obligatia de a pastra evidenta activitatilor de prelucrare desfasurate in numele SC UNIMAT SRL;

2. Obligatia de a notifica SC UNIMAT SRL fara intarzieri nejustificative orice incalcare a securitatii datelor cu caracter personal;

3. Obligatia de a numi un responsabil cu protectia datelor, daca sunt indeplinite conditiile prevazute de RGDP;

4. Obligatia de a respecta regulile privind transferul de date in afara tarii/Uniunii

5. Raspunde direct fata de persoana vizata daca

    • a incalcat o obligatie prevazuta de RGDP direct in sarcina sa

    • a actionat in afara instructiunilor SC UNIMAT SRL;

6. In situatia in care o persoana imputernicita incalca prevederile RGDP, prin luarea de decizii cu privire la scopul si mijloacele prelucrarii datelor cu caracter personal, devine ea insasi operator cu toate obligatiile asociate.

7. Asigura confidentialitatea , integritatea , disponibilitatea si rezistenta continua a sistemelor de prelucrare;

8. Asigura restabilirea si accesul SC UNIMAT SRL in calitate de operator , la baza de date in situatia unui incident de natura fizica sau tehnica

9. Oferă asistenţă operatorului SC UNIMAT SRL prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei acestuia de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale .

10. Ajută operatorul SC UNIMAT SRL să asigure respectarea obligaţiilor prevăzute in RGPD, ţinând seama de caracterul prelucrării şi informaţiile aflate la dispoziţia sa in calitate de IMPUTERNICIT.

11 Sa puna la dispoziţia operatorului SC UNIMAT SRL,toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul contract , permite desfăşurarea auditului, inclusiv a inspecţiilor, efectuate de acesta sau alt auditor mandatat şi participa la acestea.

12. Se angajeaza sa nu divulge datele cu caracter personal prelucrate ,ale angajatilor SC UNIMAT SRL sau ale clientilor acestuia altor persoane sau operatori si nu va solicita angajatilor sau clientilor -alte date cu caracter personal in afara de cele prevazute de legislatia in din prezentele clauze contractuale.

13 . In situatia in care in conformitate cu legislatia in vigoare apare necesitatea prelucrarii unor date cu caracter personal suplimentare care nu au fost solicitate la incheierea contractului intre parti , imputernicitul va notifica in scris operatorul SC UNIMAT SRL, indicand si baza legala.

14. In cazul în care imputernicitul încălcă prezentul contract si implicit Regulamentul UE 679/2016 privind protectia datelor cu caracter personal , este considerat a fi un operator în ceea ce priveşte prelucrarea respectivă si va suporta toate consecintele care decurg din aceasta calitate.

15. Fiecare dintre partile prezentului contract isi asuma obligatia de a pastra confidentialitatea informatiilor apartinand celeilalte parti, la care a avut acces in temeiul si in executarea contractului si in legatura cu care partea careia ii apatin informatiile respective i-a comunicat caracterul confidential al acestora.

16. Se obliga sa utilizeze datele cu caracter personal la care are acces in temeiul si in executarea prezentului contract in conformitate cu RGPD679/2016 privind datele cu caracter personal si in conformitate cu instructiunile primate de la SC UNIMAT SRL sa nu foloseasca ,sa nu inregistreze si sa nu pastreze datele in alte scopuri decat in cel de executare a prevederilor prezentului contract si sa nu le transmita unor terti fara acordul scris dat in prealabil, de catre SC UNIMAT SRL.

17. Este de accord ca datele cu caracter personal pe care le ofera societatii SC UNIMAT SRL sa fie incluse in baza de date a acestuia in executarea prezentului contract si in conformitate cu prevederile legale aplicabile .

18. Obligatiile de confidentialitate si de prelucrare a datelor cu caracter personal in conformitate cu prevederile legale si contractuale revin atat partilor cat si tuturor presupusilor acestora (salariati, colaboratori, reprezentanti) implicate in incheierea si executarea prezentului contract.

SC UNIMAT SRL va specifica urmatoarele date in cadrul contractului cu Imputernicitul :

  1. nume, detalii de contact, operatori asociati, reprezentanti, DPO;

  2. scopul prelucrarii;

  3. categorii de persoane vizate si categorii de date personale;

  4. categorii de destinatari;

  5. detalii legate de transfer;

  6. perioada de stocare;

  7. descriere generala a masurilor de securitate.

Persoanele imputernicite vor specifica urmatoarele date in cadrul contractului cu SC UNIMAT SRL:

1. nume, detalii de contact, reprezentanti, DPO;

2. nume, detalii de contact ale SC …………..SRL, reprezentanti si DPO;

3. categorii de activitati de prelucrare pentru SC …………..SRL;

4. detalii legate de transfer;

5. descriere generala a masurilor de securitate

SC UNIMAT SRL va avertiza persoana imputernicita ca nu are voie sa prelucreze datele cu caracter personal in alte scopuri decat ,strict cu obiectul contractului incheiat .

In cazul in care persoana imputernicita executa alte prelucrari care nu fac obiectul contractului incheiat intre cele doua parti , aceasta va deveni operator de date si va raspunde conform prevederilor Regulamentului 679/2016 in calitate de operator .

  • MASURI TEHNICE

Pentru fiecare utilizator, administratorul aplicaţiei stabileşte un cont unic care sã permitã atât identificarea, cât şi configurarea categoriilor de prelucrãri la care are dreptul, asigurând totodatã şi jurnalizarea operaţiunilor efectuate.

Identificarea în sistem a utilizatorului se poate realiza prin

– introducerea unui cod de identificare de la tastaturã – user name -, însoţitã de introducerea unei parole;

Codurile de identificare, parolele sunt unice, personale şi netransmisibile. Se interzice folosirea lor în comun de cãtre mai mulţi utilizatori.

Parolele trebuie sã aibã minimum 6 caractere alfanumerice – cifre şi litere -, iar introducerea acestora nu trebuie sã fie afişatã în clar pe ecran.

Parolele se schimbã ori de câte ori este nevoie,

La generarea contului unic utilizatorul primeşte în scris parola şi codul de identificare. Utilizatorul are obligaţia sã schimbe parola în urmãtoarele situaţii:

a) la prima accesare a contului unic;

b) în cazurile prevãzute de alin. (6);

c) ori de câte ori apreciazã ca fiind necesar pentru asigurarea securitãţii prelucrãrii datelor cu caracter personal.

Se interzice transcrierea/pãstrarea parolei la vedere sau în alt mod decât cel prevãzut mai sus ori diseminarea/transmiterea acestora cãtre alte persoane.

Documentele care conţin coduri de identificare şi parole de acces vor fi arhivate numai dacã acestea nu se mai aflã în uz.

  • MASURI ORGANIZATORICE

Conducãtorul societatii dispune mãsuri astfel încât conturile de utilizator sã fie suspendate sau revocate imediat pentru personalul aflat in concedii sau absent de la locul de munca pentru o perioada de 30 de zile consecutive .

La reinceperea lucrului, conducatorul societatii dispune reactivarea contului de utilizator.

La apariţia unei situaţii de modificare a competenţelor sau raporturilor de serviciu, conducerea societatii stabileste modalitãţi concrete de revocare/suspendare a conturilor de acces, astfel încât prelucrarea datelor cu caracter personal sã se facã numai de cãtre personalul autorizat şi numai în exercitarea atribuţiilor de serviciu ale acestora.

Revocarea/Suspendarea conturilor de acces se va face numai de cãtre administratorul aplicaţiei.

Conducerea SC UNIMAT SRL permite accesul utilizatorilor la sisteme de evidenţã a datelor cu caracter personal neautomate numai pe baza unei liste nominale aprobate de conducãtorul/şeful acestuia.

Conducãtorul SC UNIMAT SRL stabileşte fiecãrui utilizator tipurile de acces şi operaţiunile permise acestuia, strict necesare pentru îndeplinirea atribuţiilor de serviciu.

Cu ocazia proiectãrii, întreţinerii, actualizãrii aplicaţiilor de gestiune a bazelor de date, se interzice accesul programatorilor/personalului de întreţinere a sistemelor informatice la orice fel de date cu caracter personal deţinute/create/accesate de personalul din structura/unitatea respectivã.

Pentru cazuri excepţionale, numai pe durata intervenţiei şi circumstanţiat limitativ la datele strict necesare, persoanele care asigurã suportul tehnic pot avea acces la datele cu caracter personal numai în prezenţa unui utilizator desemnat de operator. În aceastã situaţie, rãspunderea pentru pãstrarea confidenţialitãţii datelor aparţine persoanelor în cauzã, SENS ÎN CARE TREBUIE SÃ SEMNEZE UN ANGAJAMENT DE CONFIDENŢIALITATE.

Conducãtorul societatii desemneazã utilizatorii care au ca atribuţii de serviciu ştergerea sau distrugerea datelor cu caracter personal.

În cadrul operatorului sau al împuterniciţilor acestuia, operaţiunile de colectare, introducere, modificare şi actualizare a datelor cu caracter personal se fac numai de personalul anume desemnat de cãtre conducãtorii acestora.

Conducãtorii operatorilor sau ai împuterniciţilor acestora dispun mãsurile necesare care sã permitã identificarea utilizatorului care a introdus, modificat sau actualizat datele, precum şi a datei şi orei efectuãrii operaţiunilor.

Bazele de date cu caracter personal deţinute/create şi programele folosite de operatori sau de împuterniciţii acestora sunt salvate, prin copii de siguranţã, la un interval de timp stabilit de conducãtorii operatorului sau ai împuterniciţilor acestuia, în funcţie de mãrimea, volumul şi importanţa acestor baze de date, care nu poate depãşi 6 luni. Operatorii şi împuterniciţii acestora ţin evidenţa copiilor de siguranţã.

Conducãtorii operatorului sau ai împuterniciţilor acestuia desemneazã utilizatori care trebuie sã aibã ca atribuţie de serviciu şi executarea copiilor de siguranţã ale bazelor de date deţinute/create şi ale programelor folosite.

Conducãtorii operatorului sau ai împuterniciţilor acestuia dispun mãsurile necesare pentru stocarea copiilor de siguranţã în camere special amenajate sau în fişete metalice, sigilate. Accesul în încãperea special amenajatã se acordã numai personalului anume desemnat şi se consemneazã într-un registru special. În exercitarea atribuţiilor legale, Autoritatea naţionalã de supraveghere are acces la copiile de siguranţã.

Accesul în încãperile în care se aflã echipamente care prelucreazã date cu caracter personal este strict limitat la utilizatorii desemnaţi de conducãtorii operatorului sau ai împuterniciţilor acestuia şi numai pentru îndeplinirea atribuţiilor de serviciu.

Se interzice orice prelucrare de date cu caracter personal care nu este motivatã strict de îndeplinirea unei atribuţii de serviciu a utilizatorului.

Conducerea societatii dispune luarea mãsurilor tehnice adecvate pentru identificarea eventualelor disfuncţionalitãţi în ceea ce priveşte funcţionarea sistemelor de comunicaţii.

– Responsabilul/Structura responsabilã cu protecţia datelor cu caracter personal efectueazã periodic, prin sondaj, controlul autentificãrilor şi tipurilor de acces, precum şi respectarea mãsurilor de securitate specifice sistemelor de comunicaţii folosite pentru transmiterea acestor date.

– Rezultatul controlului, eventualele disfuncţionalitãţi identificate, precum şi mãsurile de remediere a acestora se consemneazã într-un raport care se supune aprobãrii conducãtorului/şefului structurii/unitãţii respective.

Conducerea societatii dispune mãsurile necesare de securitate a sistemului de comunicaţii pentru înlãturarea posibilitãţii de diseminare neautorizatã sau interceptare a transmisiilor de date. În acest scop se foloseste inclusiv transmisia criptatã a datelor cu caracter personal.

Folosirea sistemelor de comunicaţii pentru transmiterea datelor cu caracter personal se realizeazã numai dacã prin aceastã metodã se asigurã gradul de operativitate impus de specificul activitãţii desfãşurate de structurile implicate.

Conducãtorii operatorului sau ai împuterniciţilor acestuia dispun mãsurile necesare în vederea instituirii şi menţinerii unui nivel suficient de securitate a prelucrãrii datelor cu caracter personal, care vor consta cel puţin în:

a) interzicerea instalãrii de cãtre personalul angajat a altor programe software în afara celor configurate de personalul autorizat, pentru îndeplinirea atribuţiilor de serviciu;

b) configurarea porturilor de acces la mediile de stocare pentru fiecare staţie de lucru şi a comenzilor care permit salvarea sau listarea documentelor, în mod adecvat, pentru categoriile de operaţiuni efectuate de fiecare utilizator, în strictã legãturã cu îndeplinirea atribuţiilor de serviciu ale acestuia;

c) implementarea unor aplicaţii automate de contracarare a vulnerabilitãţilor şi ameninţãrilor informatice şi de securitate a sistemelor informatice.

Conducãtorii operatorului sau ai împuterniciţilor acestuia desemneazã utilizatorii cu drept de imprimare a extraselor din sistemele de evidenţã a datelor cu caracter personal sau a altor documente care includ astfel de date, inclusiv de multiplicare, în strictã corelare cu îndeplinirea atribuţiilor de serviciu ale acestora.

Toate documentele care conţin date cu caracter personal se înregistreazã şi urmeazã regulile de pãstrare, procesare, multiplicare, transport, transmitere, distrugere şi arhivare stabilite prin acte normative interne.

Documentele elaborate de SC UNIMAT SRL, care conţin date cu caracter personal, se marcheazã astfel: în subsolul fiecãrei pagini, se insereazã urmãtorul text: „Document care conţine date cu caracter personal protejate de prevederile RGDP 679/2016 “

Procedurile proprii elaborate de operatori trebuie sã cuprindã:

a) modalitãţi de administrare a conturilor de utilizator;

b) modalitãţi de control al accesului în zonele în care se prelucreazã date cu caracter personal;

c) modalitãţi de asigurare a confidenţialitãţii, integritãţii şi disponibilitãţii datelor cu caracter personal;

d) modalitãţi privind securitatea transmisiilor de date şi accesul securizat la aceste mijloace de transmitere a datelor.

  • ATENTIONARI SI CONCLUZII

In cadrul SC UNIMAT SRL este obligatoriu a se respecta urmatoarele masuri tehnice si organizatorice :

1. Persoana desemnata de catre SC UNIMAT SRL, pentru a colecta si prelucra date cu caracter personal al persoanei vizate va solicita strict datele cu caracter personal prevazute de legilatia in vigoare.

2. Nu se vor solicita persoanei vizate alte date cu caracter personal care nu sunt necesare si obligatorii pentru completarea documentelor ce urmeaza a se incheia intre parti.

3. In situatia in care SC UNIMAT SRL primeste o cerere de acces la datele colectate si prelucrate ,de la o persoana vizata , acesta este obligat sa solutioneze cererea dar in niciun caz nu se vor elibera copii dupa documentele care contin datele cu caracter personal.

4. SC UNIMAT SRL va informa persoana vizata ca aceasta colectare si prelucrare de date cu caracter personal se face conform legislatiei in vigoare.

5. Se va indica care este legea in baza careia se intocmeste documentul: contractul, factura sau alt document official dupa caz si durata de pastrare .

6. SC UNIMAT SRL va informa persoana vizata care este durata de stocare a datelor cu caracter personal, respectand strict prevederile legale inscrise in legislatia in baza careia s-au colectat si prelucrat – respectiv:

– Contractele de munca / dosarele de personal – 75 ANI

– Facturile/ chitantele/registre contabile, documente justificative – 10 ANI

– Cv-urile persoanelor neangajate – 30 ZILE

– Statele de salarii – 50 ANI

– Liste inventariere – 5 ANI

– Dispozitii plata / incasare – 5 ANI

– Ordin de deplasare / delegatii – 5 ANI

7. In cazul imaginilor care monitorizeaza comportamente (ale angajatilor, clientilor, beneficiarilor, furnizorilor,vizitatorilor ) provenite de la sistemul de monitorizare prin camere video , GPS-uri pe masinile proprietate a SC UNIMAT SRL acestea se vor stoca pe o durata maxima de 30 ZILE conform legii 333/2003 si a deciziei ANSPDCP nr 52/2012

8. SC UNIMAT SRL dupa perioada de 30 de zile va proceda la stergerea imaginilor si informatiilor furnizate de camerele video, GPS-uri .

9. SC UNIMAT SRL respecta strict circuitul documentelor care contin date cu caracter personal al persoanei vizate, stabilit de catre angajator /operator astfel incat acestea sa nu ajunga la compartimente, persoane straine care nu au acces la acestea.

10. Documentele care contin datele cu caracter personal ale persoanelor vizate vor fi pastrate/arhivate in dulapuri, incaperi special amenajate care sunt incuiate in vederea restrictionarii accesului persoanelor straine.

11. SC UNIMAT SRL informeaza obligatoriu cui sunt dezvaluite aceste date cu caracter personal – institutii, seviciul intern sau externalizat de financiar contabilitate,serviciul intern sau externalizat de resurse umane , banca contractata de catre societate in vederea platii salariului pe CARD, medic medicina muncii, REVISAL, ITM pentru controalele efectuate .

12. SC UNIMAT SRL asigura securitatea prelucrarii datelor cu caracter personal al persoanei vizate in situatia in care aceste date se transmit la alte compartimente, institutii , banci,servicii externe, medic medicina muncii, prin incheierea unor clauze contractuale conform art. 28 din Regulamentul 679/2016 .

13. In cadrul SC UNIMAT SRL daca este necesar a se intocmi documente cu caracter intern, privind organizarea activitatii desfasurate de catre persoana vizata (angajat) pentru a nu se utiliza date cu caracter personal se va apela la o metoda tehnica, PSEUDONIMIZARE procedeu prevazut de regulamentul 679/2016 prin care in loc de numele persoanei se poate folosi un numar sau o marca, iar in loc de semnatura – se va folosi o bifa a persoanei .

14. Ca o buna practica, SC UNIMAT SRL in situatia in care o persoana vizata (Angajat) nu mai face parte din colectiv, va anunta serviciile externalizate de RU, CONTABILITATE, BANCA , MEDICUL DE MEDICINA MUNCII pentru a aplica fiecare, masurile ce decurg de aici in conformitate cu respectarea regulamentului 679/2016 .

15. Persoanele desemnate de catre SC UNIMAT SRL sa colecteze si sa prelucreze date cu caracter personal, vor fi instruite privind prezentul regulament, prin grija angajatorului.

16. Persoanele desemnate de catre SC UNIMAT SRL sa colecteze si sa prelucreze date cu caracter personal, vor complete o DECLARATIE DE RASPUNDERE privind respectarea masurilor de protectie a datelor cu caracter personal ale persoanelor vizate conform prevederilor regulamentului 679/2016.

17. SC UNIMAT SRL este obligat sa numeasca un DPO intern sau externalizat .

18. Persoanele desemnate de catre SC UNIMAT SRL sa colecteze si sa prelucreze date cu caracter personal vor completa formularul tipizat intocmit de catre angajator, privind informarea persoanei vizate asupra datelor cu caracter personal care i se prelucreaza, scopul prelucrarii, durata de stocare, destinatarii, baza legala a prelucrarii, drepturile persoanei vizate si DPO-ul din cadrul societatii si se vor asigura ca persoanele vizate au fost informate .

19. Persoanele desemnate de SC UNIMAT SRL sa colecteze si sa prelucreze date cu caracter personal, in situatia in care realizeaza ca au fost incalcari de la prevederile regulamentului, vor informa imediat in scris – angajatorul si DPO-ul societatii despre incalcarea respectiva.

20. DPO-ul din cadrul SC UNIMAT SRL este obligat sa notifice incalcarea regulamentului la ANSPDCP in termen de 72 ore de la instiintare.

21. Angajatorul va prelucra prevederile prezentului regulament cu intregul personal angajat.

POLITICA PRIVIND SUPRAVEGHEREA PRIN MIJLOACE VIDEO

Această politică stabileşte:

1. Un set unitar de reguli care reglementează implementarea şi utilizarea sistemului de supraveghere video în scopul asigurării securităţii persoanelor şi bunurilor, pazei şi protecţiei bunurilor, imobilelor, valorilor şi a materialelor din cadrul SC UNIMAT SRL conform RGPD 769/2016 şi măsurile de securitate adoptate pentru protecţia datelor cu caracter personal, protejarea vieţii private, a intereselor legitime şi garantarea drepturilor fundamentale ale persoanelor vizate.

2. Responsabilităţile privind administrarea şi exploatarea sistemului de supraveghere prin mijloace video, precum şi cele privind întocmirea, avizarea şi aprobarea documentelor aferente acestor activităţi.

Politica privind supravegherea prin mijloace video descrie sistemul video al SC UNIMAT SRL şi măsurile de protecţie luate de societate pentru a proteja datele cu caracter personal, viaţa privatăşi alte drepturi fundamentale şi interese legitime ale persoanelor filmate de camere.

DOMENIUL:

Politica se aplică în cadrul activităţii de supraveghere prin mijloace video.

Politica se aplică, corespunzător competenţelor, de către personalul care are atributii de supraveghere din cadrul societatii:

• Sef logistica

• Coordonator transport

  • Manager departament

Supravegherea prin mijloace video se utilizează doar în situaţia în care mijloacele convenţionale aplicate sunt considerabil mai puţin eficiente în realizarea obiectivelor menţionate, conform analizei de risc efectuate la nivelul societatii.

3. CONDIŢII DE LEGITIMITATE

SC UNIMAT SRL prelucrează imaginile înregistrate respectând prevederile legale în domeniu.

3.1 Referinţe normative:

a) Legea nr. 333 din 8 iulie 2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, cu modificărileşi completările ulterioare;

b) Hotărârea nr. 301 din 11 aprilie 2012 pentru aprobarea Normelor Metodologice a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor

c) RGPD 679/2016

d) Decizia ANSPDCP nr. 52 din 31 mai 2012 privind prelucrarea datelor cu character personal prin utilizarea mijloacelor de supraveghere video;

3.2 Utilizarea sistemului video este necesară pentru buna administrare şi funcţionare a SC UNIMAT SRL în special în vederea controlului de securitate şi pază.

3.3 Auditare internă

Sistemul video existent a fost instalat în urma unor analize de risc, anexate planurilor de protecţie şi pază.

3.4. Revizuiri periodice

O revizuire periodică va fi întreprinsă anual de către structurile responsabile cu asigurarea securităţii şi va reanaliza:

 necesitatea menţinerii în uz a sistemului

 îndeplinirea scopului declarat

 posibile alternative adecvate la sistem

 prezenta politică respectă în continuare RGPD 679/2016

4. ZONELE SUPRAVEGHEATE

Sistemul de supraveghere prin mijloace video este implementat la sediu si la punctele de lucru.

Se supraveghează prin mijloace video:

– zonele de acces şi spaţiile destinate publicului

– zonele cu acces restricţionat

– împrejurimile clădirilor pentru a proteja spaţiile exterioare

– locurile de păstrare, depozitare şi manipulare a marfurilor

Amplasarea camerelor a fost atent revizuită pentru a asigura limitarea pe cât posibil a monitorizării zonelor care nu prezintă interes pentru scopul urmărit .

Dispozitivul de înregistrare se amplasează într-un spaţiu bine protejat, asigurat şi încuiat corespunzător, pentru eliminarea posibilităţii sustragerii suportului de stocare sau a dispozitivului, în special în timpul producerii unui eveniment.

Nu sunt monitorizate zonele în care există un nivel ridicat al aşteptărilor privind viaţa privată, precum birourile, toaletele şi alte locaţii similare.

5. DATELE CU CARACTER PERSONAL COLECTATE PRIN INTERMEDIUL SUPRAVEGHERII VIDEO

5.1 Scopul supravegherii prin mijloace video

SC UNIMAT SRL utilizeazăsistemul de supraveghere video doar în scop de securitate şi control acces.

Cu ajutorul acestui sistem se controlează accesul în incinta societatii si se asigură securitatea bunurilor şi siguranţa persoanelor – angajaţi ai societatii ,clienti sau vizitatori, precum şi aproprietăţilor şi informaţiilor deţinute. Sistemul de supraveghere video completează celelalte măsuri fizice de securitate, cum ar fi sistemul de control acces, făcând parte din măsurile întreprinse pe baza politicii de securitate, elaborate la nivelul societatii.

În plus, sistemul de supraveghere video ajută la prevenirea, detectarea şi investigarea furturilor de bunuri deţinute de societate sau la prevenirea, detectarea şi investigarea riscurilor şi ameninţărilor la adresa personalului angajat care îşi desfăşoară activitatea in locaţia supravegheată.

5.2 Limitarea scopului

Sistemul de supraveghere video nu este utilizat în alt scop decât cel notificat, nu foloseşte la monitorizarea activităţii angajaţilor sau la pontaj. De asemenea, sistemul nu este mijloc de investigare sau de obţinere a unor informaţii pentru anchetele interne sau procedurile disciplinare, cu excepţia situaţiilor în care se produce un incident de securitate fizică sau se observă un comportament infracţional (în circumstanţe excepţionale imaginile pot fi

transferate organelor de cercetare în cadrul unei investigaţii disciplinare sau penale).

5.3 Categorii speciale de date

Sistemul video al societatii nu are ca scop captarea (de exemplu prin focalizare sau orientare selectivă) sau prelucrarea imaginilor (de exemplu, indexare, creare de profiluri) care dezvăluie „categorii speciale de date”.

SC UNIMAT SRL nu intenţionează să utilizeze sistemul de supraveghere şi în mod ad hoc, respectiv cu caracter temporar, de circumstanţă.

5.4 Descrierea şi specificaţiile tehnice ale sistemului

În mod convenţional sistemul de supraveghere video este un sistem static. Are ca funcţie înregistrarea imaginilor şi este echipat cu senzori de mişcare. Sistemul poate înregistra orice mişcare detectată de camerele instalate în zona supravegheată, alături de dată, orăşi locaţie.

Toate camerele sunt funcţionale 24 de ore, 7 zile pe săptămână.

Atunci când este necesar, calitatea imaginilor permite recunoaşterea celor care trec prin zona de acţiune a camerelor. Pentru o mai mare siguranţă a prelucrării datelor care pot fi obţinute în urma supravegherii video, camerele sunt fixe (fărăfuncţie de zoom), astfel utilizatorul nu poate modifica perimetrul/ scopul supravegherii. Operatorii special instruiţi trebuie să respecte setările de confidenţialitate şi drepturile de acces.

Nu există interconexiune cu alte sisteme şi nu se înregistrează sunetul.

5.5 Beneficiile sistemului de supraveghere:

• Creşterea controlului în perimetrul supravegheat, a intrărilor şi ieşirilor

• Restricţionarea accesului persoanelor străine

• Eliminarea pierderilor cauzate de evenimente neprevăzute

• Respectarea normativelor şi legislaţiei în vigoare pentru obiectivele cu risc

6. INSTALAREA, ADMINISTRAREA, EXPLOATAREA SISTEMULUI

În vederea asigurării unei protecţii eficiente a drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în cadrul operaţiunilor de supraveghere video a căilor publice de acces şi a spaţiilor publice deschise este interzisă prelucrarea de imagini care să vizualizeze interiorul imobilelor locuite sau a căilor de acces în acestea. Echipamentele sunt astfel instalate încât să se afle sub supraveghere doar acele spaţii identificate în analiza de risc ca având nevoie de protecţie suplimentară. Utilizatorii sistemului video sunt instruiţi să nu monitorizeze astfel de zone.

Imaginile captate de sistemul de supraveghere video sunt vizualizate în timp real pe monitoare si acestea nu pot fi văzute din exterior.

Nu este permis accesul neautorizat la monitoarele pe care sunt afisate inregistrarile video. Accesul este strict limitat la angajaţii autorizaţi.

7. PROTEJAREA VIEŢII PRIVATE ŞI SECURITATEA INFORMAŢIILOR

Pentru a proteja securitatea sistemului video şi pentru a spori gradul de protecţie a vieţii, au fost introduse următoarele măsuri tehnice şi organizatorice:

– limitarea timpului de stocare a materialului filmat, în conformitate cu cerinţele de securitate

– mediile de stocare (serverele pe care se stochează imaginile înregistrate) se află în spaţii securizate, protejate de măsuri de securitate fizică

– toţi utilizatorii cu drept de acces au semnat declaraţii de confidenţialitate, prin care se obligă să respecte prevederile legale în domeniu

– Responsabilul de Protecţie a Datelor Personale va fi consultat înainte de achiziţionarea sau instalarea oricărui nou sistem video de protecţie.

8. ACCESUL LA DATELE PERSONALE ŞI DEZVĂLUIREA ACESTORA

8.1 Drepturi de acces

Accesul la imaginile stocate şi/ sau la arhitectura tehnică a sistemului de supraveghere video este limitat la un număr redus de persoane şi este determinat prin atribuţiile specificate în fişa postului (în ce scop şi ce tip de acces). În special, SC UNIMAT SRL impune limite în privinţa persoanelor care au dreptul:

– să vizioneze materialul filmat în timp real: imaginile care se derulează în timp real sunt accesibile angajatilor desemnaţi să desfăşoare activitatea de supraveghere

– să vizioneze înregistrarea materialului filmat: vizionarea imaginilor înregistrate se va face în cazuri justificate, cum ar fi cazurile prevăzute expres de lege şi incidentele de securitate, de către persoanele special desemnate;

– să copieze, să descarce, să şteargă sau să modifice orice material filmat.

8.2 Instructaj

Toţi angajatii cu drepturi de acces beneficiază de o instruire iniţială în domeniul protecţiei datelor.

Această procedură va fi integrata în programul de instruire şi îndrumare, pentru toţi utilizatorii cu drept de acces şi atribuţii în operarea sistemului de supraveghere video.

Conducerea societatii se va asigura că întregul personal din subordine, implicat în operarea sistemului de supraveghere video, este instruit şi informat cu privire la toate aspectele funcţionale, operaţionale şi administrative ale acestei activităţi.

8.3 Măsuri de păstrare a confidenţialităţii

După instructaj, fiecare participant semnează o declaraţie de confidenţialitate.

8.4 Dezvăluirea datelor cu caracter personal

Orice activitate de dezvăluire a datelor personale către terţi va fi documentatăşi supusă unei analize riguroase privind pe de-o parte necesitatea comunicării, şi pe de altă parte compatibilitatea dintre scopul în care se face comunicarea şi scopul în care aceste date au fost colectate iniţial pentru prelucrare (de securitate şi control acces). În aceste cazuri va fi consultat şi Responsabilul cu Protecţia Datelor Personale. Orice situaţie de dezvăluire va fi consemnată de administratorul sistemului într-un Registru de evidenţă a cazurilor de dezvăluire.

SC UNIMAT SRL are obligaţia punerii la dispoziţia organelor judiciare, la solicitarea scrisă a acestora, înregistrările video în care este surprinsă săvârşirea unor fapte de natură penală.

Sistemul de supraveghere video nu este utilizat pentru verificarea prezenţei la program sau evaluarea performanţei la locul de muncă.

Orice încălcare a securităţii în ceea ce priveşte camerele video este indicata în registrul de notificari , iar Responsabilul cu Protecţia Datelor Personale este informat în legăturăcu acest lucru cât mai repede posibil.

9. DURATA DE STOCARE

Durata de stocare a datelor obţinute prin intermediul sistemului de supraveghere video este proportional cu scopul pentru care se prelucrează datele, astfel că imaginile sunt stocate pentru o perioadă care nu depăşeşte 30 de zile, după care se şterg prin procedură automata în ordinea în care au fost înregistrate. În cazul producerii unui incident de securitate, durata de păstrare a materialului filmat relevant poate depăşi limitele normale în funcţie de timpul necesar investigării suplimentare a incidentului de securitate. Păstrarea este documentată riguros, iar necesitatea păstrării este revizuită periodic.

Dacă durata de stocare depăşeşte termenul prevăzut prin prezenta politică, aceasta se va consemna în Registrul înregistrărilor care depăşesc durata de stocare, gestionat de administratorul sistemului.

10. DREPTURILE PERSOANEI VIZATE

SC UNIMAT SRL garantează că asigură respectarea drepturilor ce revin personelor vizate, conform legii. Toate persoanele implicate în activitatea de supraveghere video şi cele responsabile de administrarea imaginilor filmate, vor respecta Procedura de acces la date cu caracter personal.

10.1. Informarea persoanelor vizate

Informarea primară a persoanelor vizate se realizează în mod clar şi permanent, prin intermediul unui semn adecvat, cu vizibilitate suficientăşi localizat în zona supravegheată, astfel incat , să semnaleze existenţa camerelor de supraveghere, dar şi pentru a comunica informaţiile esenţiale privind prelucrarea datelor personale.

Persoanele vizate sunt atenţionate asupra existenţei sistemului de supraveghere video şi a proprietarului prin note de informare corespunzătoare, care cuprind scopul prelucrării şi SC UNIMAT SRL ca operator al datelor colectate prin intermediul supravegherii video.

Responsabilul cu protecţia datelor personale va asigura actualizarea informărilor, corespunzător realităţilor existente în cadrul activităţilor desfăşurate de societate.

Exercitarea drepturilor de acces, intervenţie şi opoziţie

Pe întreaga perioadă de stocare a datelor cu caracter personal, persoanele vizate au dreptul de acces la datele personale care le privesc deţinute de SC UNIMAT SRL de a solicita intervenţia (ştergere/actualizare/rectificare/anonimizare) sau de a se opune prelucărilor, conform legii.

Orice cerere de a acces, a rectifica, bloca şi/sau şterge date cu caracter personal ca urmare a utilizării camerelor video ar trebui să fie adresată SC UNIMAT SRL, iar o copie a acesteia trebuie trimisă către Responsabilul cu Protecţia Datelor Personale.

În cazul în care persoana vizată are alte întrebări privind prelucrarea de către SC UNIMAT SRL SC UNIMAT SRL a datelor personale care o privesc, se poate adresa Structurii responsabile cu protecţia datelor personale.

Răspunsul la solicitarea de acces, intervenţie sau opoziţie se dă în termen de 15 zile calendaristice. Dacă nu se poate respecta acest termen, persoana vizată va fi informată asupra motivului de amânare a răspunsului, de asemenea i se va comunica şi procedura care va urma pentru soluţionarea cererii.

Dacă există solicitarea expresă a persoanei vizate, se poate acorda dreptul de a vizualiza imaginile înregistrate care o privesc sau i se poate trimite o copie a acestora. Imaginile furnizate vor fi clare, în măsura posibilităţii, cu condiţia de a nu prejudicia drepturile terţilor (persoana vizată va putea vizualiza doar propria imagine, imaginile altor persoanelor care pot apărea în înregistrare vor fi editate astfel încât să nu fie posibilă recunoaşterea/identificarea lor). În cazul unei asemenea solicitări, persoana vizată este obligată să se identifice dincolo de orice suspiciune (să prezinte actul de identitate când participă la vizionare), să menţioneze data, ora, locaţia şi împrejurările în care a fost înregistrată de camerele de supraveghere.

De asemenea, persoana vizată va prezenta şi o fotografie recentă astfel încât utilizatorii desemnaţi să o poată identifica mai usor în imaginile filmate. Persoana va putea vizualiza doar propria imagine, imaginile persoanelor care pot apărea în înregistrare vor fi editate astfel încât să nu fie posibilă recunoaşterea/identificarea lor.

Există posibilitatea refuzării dreptului de acces în situaţia în care se aplică excepţiile prevăzute de lege. Necesitatea de a restricţiona accesul se poate impune şi în cazul în care există obligaţia de a proteja drepturile şi libertăţile unor terţe persoane, de exemplu dacă în imagini apar şi alte persoane şi nu există posibilitatea de a obţine consimţământul lor sau nu se pot extrage, prin editarea imaginilor, datele personale nerelevante.