POLITICA G.D.P.R.

Scopul și domeniul de aplicare

Această politică are scopul de a asigura alinierea Cabinetului de avocat dr. Raul-Felix Hodoș, HBR Financial Services SRL, Hodos Business Recovery SPRL, Blue Greener Services, DPO Services la dispozițiile Regulamentului European 679/2016 (denumit în continuare GDPR). Ea face parte din măsurile organizatorice luate de companii conform acestui regulament.

Definiții și termeni

General Data Protection Regualtion (GDPR) = Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a directivei 95/46/CE(Regulament general privind protecția datelor)
Acest regulament se referă în mod special la prelucrarea datelor cu caracter personal de către operatori.

Termeni principali:

„Date cu caracter personal” înseamnă orice informație privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

„Prelucrare” înseamnă orice operațiune sau un set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structura, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în Dreptul Uniunii sau în dreptul intern.

„Consimțământ al persoanei vizate” înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrată.

„Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce în mod accidental sau ilegal, la distrugere, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acesta.

Principiile și scopul prelucrării

Prelucrarea tuturor datelor cu caracter personal trebuie aliniată la principiile definite în regulament. Pentru punerea în aplicare a GDPR, este important să fie înțelese principiile care sunt enunțate în articolul 5. Deoarece aceste principii formează baza cerințelor GDPR, acestea trebuie aduse la cunoștința și înțelese de toți angajații companiilor.

1. Datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”). Conform acestui principiu toate prelucrările de date cu caracter personal, trebuie să fie corecte, și anume companiile, HBR Financial Services SRL, Hodoș Business Recovery SPRL, DPO Services, Blue Greener Services și Cabinet de avocat dr. Raul-Felix Hodoș nu vor efectua prelucrări care nu sunt legitime. De asemenea, compania va da dovadă de transparență în ceea ce privește prelucrarea datelor cu caracter personal și va informa persoana vizată în mod deschis și transparent.
2. Datele cu caracter personal sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri („limitări legate de scop”). Prelucrarea datelor cu caracter personal trebuie să se limiteze la scopul legitim pentru care au fost colectate inițial de la persoana vizată. Este interzisă prelucrarea datelor cu caracter personal în afara scopului legitim pentru care au fost colectate.
3. Datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”). La colectarea datelor cu caracter personal pot fi solicitate numai datele cu caracter personal necesare pentru îndeplinirea scopului pentru îndeplinirea scopului pentru care s-a făcut colectarea. Aceasta înseamnă că nu pot fi solicitate sau stocat alte date decât cele necesare.
4. Datele cu caracter personal sunt exacte și, în cazul în care este necesar, trebuie să fie actualizate. Trebuie luate toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere “exactitate”.
5. Datele cu caracter personal sunt păstrate într-o formă care permite identificarea persoanelor vizate, pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele(„limitări legale de stocare”). Compania va stabili perioada de păstrare pentru fiecare set de date cu caracter personal. După expirarea termenului de stocare, datele vor fi șterse.
6. Datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”)
7. Operatorul este responsabil de respectarea principiilor de mai sus și poate demonta aceasta („responsabilitatea”)

Datele cu caracter personal vor fi prelucrate doar în cazul existenței unuia din temeiurile legale prezentate în art. 6 alin. 1 din regulament. Aceste temeiuri care stabilesc legalitatea prelucrării sunt:

1. Consimțământul persoanei vizate
2. Prelucrarea necesară pentru încheierea sau executarea unui contract
3. Prelucrarea necesară pentru îndeplinirea unei obligații legale
4. Prelucrarea necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice
5. Prelucrarea necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul
6. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Dacă nu se aplică niciunul din temeiurile juridice de mai sus, prelucrarea este ilegală. Cabinet de avocat dr. Raul-Felix Hodoș, HBR Financial Services și Hodoș Business Recovery, DPO Services și Blue Greener Servicies nu vor efectua sub niciun motiv prelucrări ilegale. Alegerea temeiului sub care se face prelucrarea trebuie sa fie corect înainte de a începe colectarea prelucrării.

Măsurile de securitate privind prelucrarea datelor cu caracter personal

Pentru a ne asigura că au fost luate măsuri organizatorice necesare conform cerințelor GDPR, am dezvoltat un set de proceduri privind securitatea informației, backup, managementul incidentelor. Întregul set de proceduri va fi cunoscut și asumat de către toți angajații.
Printre măsurile adoptate pentru protejarea datelor cu caracter personal amintim:
-Rețele locale și online securizate
-Pregătirea și instruirea angajaților pentru a putea aplica noile reglementări
-Securizarea calculatoarelor cu parole
-Desemnarea unui D.P.O. care să se asigure că toate operațiunile se desfășoară în conformitate cu legea

Drepturile persoanei vizate

Pentru a răspunde cererilor sau plângerilor persoanelor vizate toți angajații trebuie să-și cunoască drepturile astfel cum acestea sunt prevăzute de GDPR.
Drepturile persoanei vizate sunt:

Dreptul la informare

Acest drept oferă persoanei vizate posibilitatea de a solicita unei societăți informații privind datele cu caracter personal prelucrate pe care acesta le deține și le prelucrează în legătură cu ea/el, precum și scopul acelei prelucrări. De exemplu, un client poate solicita lista împuterniciților către care sunt transferate aceste date cu caracter personal.

Dreptul de acces

Acest drept oferă persoanei vizate posibilitatea de a accesa datele sale personale care sunt procesate de către operator. Această solicitarea oferă persoanelor vizate dreptul de a vedea sau vizualiza propriile date cu caracter personal, precum și de a solicita copii ale datelor cu caracter personal.

Dreptul la rectificare

Acest drept oferă persoanei vizate posibilitatea de a retrage un acord anterior pentru prelucrarea datelor sale cu caracter personal într-un anumit scop. Pe baza unei cereri persoana vizată va solicita operatorului să oprească prelucrarea respectivă a datelor cu caracter personal pe baza consimțământului acordat anterior. Operatorul are obligația să înceteze prelucrarea respectivă. Prelucrările anterioare retragerii consimțământului rămân legale.

Dreptul la opoziție

Acest drept oferă persoanei vizate posibilitatea de a se opune unei prelucrări inclusiv prelucrării automatizate și a profilării

Dreptul la ștergerea datelor (dreptul de a fi uitat)

Acest drept oferă persoanei vizate posibilitatea de a cere ștergerea datelor sale cu caracter personal. Operatorul este obligat să dea curs cererii fără întârzieri nejustificate în maxim 30 zile de la data cererii. Dacă există un temei legal dat de legislația locală sau a uniunii, persoana vizată va fi informată de acest lucru și se vor păstra doar acele date care sunt sub incidența acestor legi.

Dreptul la portabilitatea datelor

Acest drept oferă persoanei vizate posibilitatea de a cere transferul datelor sale cu caracter personal către alt operator.

Dreptul de nu fi supus unei decizii automate

Orice plângere a persoanei vizate privind încălcarea GDPR va fi documentată, înregistrată de către departamentul Servicii cu clienții în fișierul de evidență a cererilor/plângerilor GDPR și va fi informat managementul companiei. Comunicarea soluționării cererii/plângerii persoanei vizate se va face prin utilizarea adresei de e-mail………………………….. în cazul în care persoana vizată solicită altă cale de comunicare (nu prin email) atunci se va agrea cu acesta o formă de răspuns.
Controlul plângerilor și a cererilor persoanelor bizare va fi efectuat lunar de către responsabilul cu controlul intern al companiei. Verificarea va consta în analizarea cererilor/plângerilor și verificarea soluționării lor împreună cu persoanele implicite în acest proces.
Timpul maxim de rezolvare este de 20 zile de la data înregistrării cererii.

Breșele de securitate

Orice încălcare a datelor cu caracter personal va fi documentată. O înregistrare de incident va fi deschisă și va fi soluționată cu maximă prioritate. Această înregistrare va fi făcută de către departamentul Custumer Service. Se va avea în vedere găsirea tuturor posibilităților de a micșora sau anula impactul general de acest incident.
Incidentele vor fi tratate conform procedurii de management al incidentelor. Orice incident legat de datele cu caracter personal este catalogat ca fiind critic și va fi escaladat către managementul companiilor.
În cazul necesității acestei raportări trebuie avut în vedere că există un termen maxim de 72 de ore pentru a face această raportare. În cazul în care raportarea nu se face în 72 de ore se produce o încălcare a regulamentului.

Transferul de date cu caracter personal

Datele cu caracter personal nu se transferă către alte persoane sau companii decât dacă există un consimțământ al persoanei vizate, este necesar acest lucru în desfășurarea unui contract în vigoare la care persoana vizată este parte, este necesar pentru alte cerințe legale, este necesar pentru desfășurarea unui proces sau a unei investigații legale. În cazurile enumerate mai sus persoana vizată trebuie să fie informată de aceste transferuri.
În cazul în care transferul este legal trebuie să ne asigurăm că datele sunt criptate. Este absolut interzisă trimiterea de informații cu caracter personal pe canale necriptate.

Aprobarea și controlul procedurii

Această procedură va fi adoptate de asociațiile menționate mai sus, care vor numi un responsabil cu controlul intern al companiei.
Sarcinile acestui responsabil vor fi:
-Controlul periodic al procedurilor
-Controlul proceselor prin stabilirea de audituri interne la interval de 1 an de zile
-Modificarea procedurilor în momentul în care apar schimbări de procese sau au fost înregistrate nonconformități.
-Trimiterea de rapoarte privind controalele către managementul companiei
-Susținerea de cursuri de informare și conștientizare a angajaților în ceea ce privește procedurile interne