Politica privind confidentialitatea si prelucrarea datelor personale
A ROLL-BAGS PLAST AG S.R.L (”Societatea” sau „Organizația”)
1. Organizatie
Datele organizatiei : ROLL-BAGS PLAST AG S.R.L., cu sediul social in localitatea Mosoaia, Sat Smeura, Nr 157, judet Arges, inregistrata la Oficiul Registrului Comertului, sub nr. J03/922/2011 , cod fiscal RO 28663739, tel: 40 248 543 334, email: office@roll-bags.ro, reprezentata de A.Sofronie, cu functia de reprezentant legal.
2. Introducere
Societatea va depune toate eforturile pentru a prelucra si a asigura securitatea și gestionarea corectă a datelor cu caracter personal pe care le prelucrează, indiferent de mediul de stocare.
Este responsabilitatea atât a conducerii Organizatiei/Societății, cât și a oricărui angajat sau colaborator extern să se asigure că datele sunt prelucrate în condiții de siguranță potrivit Politicii de Securitate și să se asigure că nicio persoană neautorizată nu are acces la datele cu caracter personal.
Orice breșă de securitate asupra datelor cu caracter personal poate avea consecințe nefaste asupra drepturilor persoanelor, precum și prejudicii majore de imagine a companiei.
Oricine are acces la datele cu caracter personal ale companiei trebuie să știe, să înțeleagă și să adere la principiile și regulile enunțate prin prezenta Politică.
3. Termeni si definitii
În sensul prezentei Politici privind confidentialitatea si prelucrarea datelor personale, următorii termeni se definesc astfel:
DATE CU CARACTER PERSONAL: înseamnă orice informații privind o persoană fizică identificată sau identificabilă (”persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
PRELUCRAREA DATELOR CU CARACTER PERSONAL: înseamnă orice operațiune sau un set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, discriminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
OPERATOR – persoana juridică (în continuare ”operator”) care pentru operațiunea vizată stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în conformitate cu legislația în vigoare;
ANGAJAȚI AUTORIZAȚI – înseamnă angajații operatorului care primesc, intră în contact cu sau au acces în orice mod la datele cu caracter personal, în vederea îndeplinirii obligațiilor în cadrul diferitelor obligații asumate;
PERSOANE AUTORIZATE: înseamnă (i) Angajații Autorizați ai Operatorului, precum și (ii) reprezentanții desemnați de contractorii, prestatorii, agenții, colaboratorii sau orice alte persoane sau entități angajate de Operator care primesc, intră în contact cu sau au acces la orice fel de date cu caracter personal în vederea îndeplinirii obligațiilor în cadrul activității curente și care îndeplinesc cumulativ următoarele condiții:
Sunt acceptate expres în scris de Operator ca Persoane Autorizate, în baza unei cereri însoțite de documente relevante transmisă de Operator, și
Sunt supuse unor angajamente scrise de confidențialitate și de protejare a datelor cu caracter personal de natură să ofere garanții suficiente privind respectarea legislației și standardelor în materie, la un nivel cel puțin echivalent celui stabilit prin prezenta procedură.
PERSOANA VIZATA: Orice persoană (fizică) identificată sau identificabilă;
PARTE TERȚĂ: înseamnă persoană fizică sau juridică, autoritatea publică, agenția sau orice alt organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
AUTORITĂȚI DE REGLEMENTARE reprezintă „autoritatea de supraveghere” şi înseamnă, conform GDPR, o autoritate publică independentă instituită de un stat membru. În România Autoritatea de Reglementarea este reprezentată de ANSPDCP.
RESPONSABILUL CU PROTECTIA DATELOR Persoana desemnată de operator care are cel puţin următoarele sarcini:
(a) informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin … referitoare la protecţia datelor;
(b) monitorizarea respectării dispoziţiilor referitoare la protecţia datelor şi a politicilor operatorului / persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal;
(c) furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 GDPR;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36 GDPR, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune..
ÎNCĂLCAREA SECURITĂȚII DATELOR CU CARACTER PERSONAL: înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
INCIDENT DE SECURITATE: înseamnă orice eveniment care îndeplineşte una sau mai multe dintre următoarele criterii:
– orice pierdere, deteriorare, distrugere accidentală sau divulgarea datelor clientului, materiale sau informaţii;
– orice reală sau potenţială situaţie de divulgare de informaţii despre clienţi;
– orice activitate care poate cauza riscuri financiare sau reputaţionale organizaţiei sau clienţilor;
– un telefon pierdut sau furat şi / sau alt dispozitiv portabil, cum ar fi un scaner etc.;
– pierderea sau furtul laptop-urilor sau computerelor desktop, cu active de informaţii ale organizaţiei;
– pierderea, furtul, sau livrarea greşită a bunurilor clienţilor cum ar fi: documente, cutii cu documente, benzi magnetice;
– probleme cu comunicaţiile electronice, cum ar fi trimiterea email-urilor care conţin informaţiipersonale, private sau financiare la adrese de e-mail greşite;
– incidente legate de apă, foc, gaze, inclusive inundaţii, scurgeri, disfuncţionalităţi alarmă sau sistem de monitorizare;
– incidente de automobile, cum ar fi furt şi remorcare;
– orice deteriorare sau potenţial de deteriorare a bunurilor firmei sau părţilor interesate.
INCIDENT DE SECURITATE: înseamnă afectarea securității datelor cu caracter personal și duce de obicei fie la pierderea, alterarea sau la accesul neautorizat al acestora.
În cuprinsul prezentei sunt aplicabile, de asemenea, toate definițiile prevăzute la art. 4 din Regulamentul General privind Protecția Datelor din Legea 190 / 2018 privind măsuri de punere în aplicare a REGULAMENT (UE) nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
4. Principiile prelucrării datelor cu caracter personal
Datele cu caracter personal trebuie:
- Să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
- Să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri („limitări legate de scop”);
- Să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
- Să fie exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
- Să nu fie păstrate mai mult timp decât este necesar („limitări legate de stocare”);
- Să fie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”);
- Să fie prelucrate în concordanță cu drepturile persoanelor vizate;
- Să nu fie transferate în afara Spațiului Economic European, decât în cazul în care teritoriul/țara unde urmează a fi transferate asigură un nivel adecvat de protecție a datelor cu caracter personal sau există un an temei legal pentru transfer sau vreo derogare specifică.
5. Ce date prelucram
Procesăm, printre altele, următoarele categorii de date: adresa IP, tip și versiune de browser, precum si informații pe care utilizatorul le furnizează în timpul completării unui formular de contact
Prelucrăm, de asemenea, date de bază (nume, adresă email si/sau fizica, informații de contact), informații de facturare (date de facturare, date bancare, tip si nr.auto), date de documentare (date din notificările pe care ni le trimiteți și e-mailuri) și date necesare conformității la cerințele legale.
Procesăm datele personale pe care le primim de la dvs. (sau de la angajatorul dvs.) în contextul unei relații de afaceri sau al inițierii unei relații de afaceri sau a unei înregistrări în acord cu interesele legitime. În plus, prelucrăm datele pe care le obținem în mod legitim din surse disponibile public (de exemplu, date de la Registrul Comerțului, site-ul propriu, retele sociale, colaboratori de afaceri, mass-media).
6. Stocarea și accesul la datele cu caracter personal
Societatea se va asigura că sistemele informatice sunt protejate de acces neautorizat. Toți utilizatorii vor primi parole puternice care sunt schimbate periodic. Datele cu caracter personal vor fi criptate și, în măsura în care este fezabil din punct de vedere tehnic, vor fi pseudonimizate. Numele de utilizator și parolele nu vor fi niciodată împărtășite. Datele cu caracter personal pot fi accesate numai pe sisteme informatice care au parole securizate. Sistemul se va bloca automat dacă nu este utilizat timp de 3 minute.
Toate mediile de stocare a datelor cu caracter personal vor fi ținute în condiții adecvate și sigure pentru a evita furtul, pierderea sau degradarea electronică.
Atunci când datele sunt stocate pe dispozitive portabile (laptop, telefon, stick, hard-disk etc), dispozitivul va fi protejat printr-o parolă puternică, iar odată ce perioada de stocare s-a terminat, datele vor fi șterse definitiv.
Datele cu caracter personal vor fi transmise către terți (de exemplu autorități ale statutului, persoane juridice – colaboratori externi) numai atunci când este lucru este conform cu legea și, în toate cazurile, cu respectarea drepturilor persoanei vizate.
7. Drepturile persoanelor vizate
Această procedură este destinată utilizării de către ROLL-BAGS PLAST AG S.R.L atunci când o persoană vizată exercită unul sau mai multe drepturi în temeiul Regulamentului (UE) 679/2016 (Regulamentul GDPR).
Fiecare dintre drepturile implicate are propriile sale aspecte și provocări specifice.
Cu toate acestea, drepturile nu sunt absolute și există excepții. În toate cazurile, Organizatia/Societatea va decide dacă o cerere este întemeiată prin studierea Regulamentului GDPR. În unele cazuri, pentru a stabili dacă o cerere este întemeiată sau nu, se vor consulta departamentul juridic al companiei sau consultanții juridici externi.
Răspunsul la cererea persoanei vizate se va face în termen de o lună. Dacă cererea este întemeiată, se va facilita exercitarea drepturilor. Dacă cererea nu este întemeiată, se va comunica motivul refuzului persoanei vizate și i se va comunica dreptul de a depune o plângere la ANSPDCP și dreptul de a se adresa justiției.
7.1. Dreptul de retragere a consimțământului
Persoana vizată are dreptul de a retrage consimțământul în cazul în care baza pentru prelucrarea datelor sale cu caracter personal este cea a consimțământului (adică prelucrarea nu se bazează pe alt temei legal, precum contractul, obligația legală, interesul legitim, interesele vitale sau interesul public).
Înainte de a exclude prelucrarea datelor cu caracter personal ale persoanei vizate, trebuie să se confirme că consimțământul este într-adevăr baza prelucrării. În caz contrar, dacă prelucrarea nu se bazează pe alt temei legal, precum contractul, obligația legală, interesul legitim, interesele vitale sau interesul public, chiar împreună cu temeiul consimțământului, cererea va fi respinsă. În caz contrar, se va da curs cererii.
În multe cazuri, acordarea și retragerea consimțământului vor fi disponibile pe cale electronică, adică on-line.
În cazul în care consimțământul implică un copil (definit de GDPR ca persoana sub 16 ani) acordarea sau retragerea trebuie să fie autorizată de titularul răspunderii părintești asupra copilului.
7.2. Dreptul la informare
În momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau obținute dintr-o altă sursă, există o cerință de a informa persoana vizată cu privire la utilizarea acestor date și a drepturilor asupra acestora. Respectarea acestui drept este abordată într-un document separat, respectiv „Politica de exercitare a drepturilor” cu privire la orice persoană vizată ale cărei date sunt prelucrate.
7.3. Dreptul de acces
Persoana vizată are dreptul să solicite organizației o confirmare că datele personale sunt prelucrate, iar în caz afirmativ, are dreptul de a obține o copie a acestor date, precum și următoarele informații:
- Scopurile prelucrării;
- Categoriile datelor cu caracter personal în cauză;
- Destinatarii sau categoriile de destinatari ai datelor, dacă există, în special orice țări terțe sau organizații internaționale;
- Durata de stocare a datelor cu caracter personal (sau criteriile utilizate pentru stabilirea acestei perioade);
- Drepturile persoanei vizate la rectificarea sau ștergerea datelor sale cu caracter personal și restricționarea sau opoziția față de prelucrare;
- Dreptul persoanei vizate de a depune o plângere la o autoritate de supraveghere;
- Informații privind sursa datelor, dacă nu provin direct de la persoana vizată;
- Dacă datele personale vor face obiectul unor decizii automate, inclusiv crearea de profiluri și, dacă da, logica acestei decizii sau profilări și eventualele consecințe implicate;
- În cazul în care datele sunt transferate unei țări terțe sau unei organizații internaționale, informații privind garanțiile care se aplică;
În cele mai multe cazuri, va trebui să dam acces persoanei la date, cu excepția situației când cererea este vădit nefondată sau excesivă.
7.4. Dreptul la rectificare
În cazul în care datele cu caracter personal sunt inexacte, persoana vizată are dreptul să solicite corectarea și completarea datelor personale incomplete pe baza informațiilor pe care le furnizează.
Dacă este necesar, ROLL-BAGS PLAST AG S.R.L va lua măsuri suplimentare pentru a verifica dacă informațiile furnizate de persoană sunt corecte înainte de a opera modificarea.
8. Dreptul la ștergere („dreptul de a fi uitat”)
Persoana vizată are dreptul să solicite ROLL-BAGS PLAST AG S.R.L să șteargă fără întârziere datele cu caracter personal care o privesc în următoarele cazuri:
- datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
- persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
- persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea
- datele cu caracter personal au fost prelucrate ilegal;
- datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;
- datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale copiilor.
Organizatia/Societatea va trebui să ia o decizie cu privire la o astfel de solicitare. Ștergerea datelor nu se va realiza dacă:
- datele sunt necesare pentru exercitarea dreptului la liberă exprimare și informare;
- datele sunt necesare pentru îndeplinirea unei obligații legale;
- din motive de interes public în domeniul sănătății publice;
- în scopuri de arhivare în interes public;
- pentru constatarea, exercitarea sau apărarea unui drept în instanță.
8.1. Dreptul la restricționarea prelucării
Persoana vizată își poate exercita dreptul la restricționarea prelucrării în următoarele situații:
- persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
- prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
- operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
- persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din Regulamentul GDPR, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
Organizatia/Societatea, în situația în care primește o cerere de restricționare, va trebui să verifice dacă cererea de încadrează într-unul din cazurile de mai sus. Pentru a se lua o decizie potrivită, este recomandat să se apeleze la Responsabilul cu protecția datelor si la departamentul juridic.
În cazul în care se vor restricționa datele, acestea vor rămâne stocate, dar nu pot fi prelucrate fără consimțământul persoanei. Ele vor putea fi prelucrate pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
În toate cazurile, persoana vizată care a obținut restricționarea prelucrării este informată de către operator înainte de ridicarea restricției de prelucrare.
8.2. Dreptul la portabilitatea datelor
Persoana vizată are dreptul să solicite ca datele personale să fie furnizate într-un format “structurat, utilizat în mod obișnuit și care poate fi citit de mașină” (articolul 20 din Regulamentul GDPR) și să transfere datele respective unei alte părți, de exemplu alt furnizor de servicii. Aceasta se aplică datelor cu caracter personal pentru care prelucrarea se bazează pe consimțământul persoanei vizate, pe temeiul legal al contractului sau în situația în care prelucrarea este efectuată prin mijloace automate.
Acolo unde este posibil din punct de vedere tehnic, persoana vizată poate, de asemenea, solicita ca datele personale să fie transferate direct de la un operator la altul.
8.3. Dreptul la opoziție
Persoana vizată are dreptul de a se opune prelucrării care se bazează pe interesul legitim al operatorului sau al unei terțe părți sau interesul public.
Odată ce obiecția a fost făcută, Organizatia/Societatea trebuie să justifice motivele pe care se bazează prelucrarea și să suspende prelucrarea până când decizia a fost luată. Organizatia/Societatea nu mai prelucrează datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
În cazul în care datele cu caracter personal sunt utilizate pentru marketingul direct, Organizatia/Societatea va înceta prelucrarea.
9. Drepturi în legătură cu deciziile automate, inclusiv crearea profilurilor
Persoana vizată are dreptul să nu facă obiectul unei decizii automate, inclusiv crearea de profiluri în cazul în care decizia are un efect semnificativ sau juridic asupra acesteia. Persoana vizată are, de asemenea, dreptul de a-și exprima punctul de vedere, de a solicita intervenție umană și de a contesta decizia.
Există excepții de la acest drept, care sunt în cazul în care decizia:
- Este necesară pentru încheierea sau executarea contractului;
- Este autorizată prin lege națională sau europeană;
- Se bazează pe consimțământul explicit al persoanei vizate;
În situațiile de la punctele (1) și (2) de mai sus, Organizatia/Societatea va pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia
Pentru a evalua temeinicia unei astfel de cereri, ROLL-BAGS PLAST AG S.R.L, este recomandat să se apeleze la Responsabilul cu protecția datelor si la departamentul juridic sau consilierii legali ai firmei.
10. Consecințe
Nerespectarea prezentei Politici de către angajații companiei sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Societății ca urmare a nerespectării prezentei Politici.
Prezenta Politică va fi adusă de către conducerea ROLL-BAGS PLAST AG S.R.L la cunoștința tuturor celor interesesati si va fi actualizata de fiecare data cand este necesar.
Conducerea,