POLITICA GENERALĂ PRIVIND PROTECȚIA DATELOR PERSONALE
POLITICA GENERALĂ PRIVIND PROTECȚIA DATELOR PERSONALE
Subscrisa, GRĂDINIȚA CU PROGRAM PRELUNGIT ”MIKÓ”, cu sediul social în Cluj- Napoca, Str. Aviator Bădescu, nr. 35, jud. Cluj, C.I.F. 43149791, cont bancar: XX00XXXX000000000000XX00, deschis la OTP Cluj, reprezentată prin d-na XXXX XXXXXXXXX XXX, în calitate de director, nr. de telefon: x00000000000, adresă de email: xxxx@xxxxxxxxx.xx, pagină de web: xxx.xxxxxxxxx.xx, în temeiul prevederilor Regulamentului UE nr. 679/2016 pus în aplicare prin Legea nr. 19/2018, adoptăm prezenta politică generală privind protecția datelor personale, prin care se stabilesc mijloacele și procedurile de prelucrare precum colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal, măsurile tehnice și organizatorice adecvate pentru a garanta și a fi în măsură a demonstra faptul că prelucrarea se efectuează în conformitate cu prevederile Regulamentului.
Subscrisa prelucrez date cu caracter personal numai în măsura în care acestea sunt necesare în scopul desfășurării propriei activități.
I. DOMENIUL DE APLICARE ȘI MODIFICAREA POLITICII DE PROTECȚIE A DATELOR
art. 1. Prezenta Politică de protecție a datelor se aplică în cadrul Grădinița cu Program Prelungit MIKÓ, inclusiv angajaților și colaboratorilor gradinitei și se extinde la toate prelucrările de date cu caracter personal.
art. 2. Prezenta Politică este aplicabilă din data de 25 mai 2018.
art. 3. Operatorul își rezervă dreptul ca în orice moment și fără o notificare prealabilă, să modifice Politica sa generală privind datele cu caracter personal prin actualizarea sa sau prin adaptarea ei la noile reglementări, practici sau recomandări, modificările fiind valabile din momentul afișării lor pe pagina web.
II. DEFINIŢII DE BAZĂ
a. „date cu caracter personal" sau DCP înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
b. „prelucrare" înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin
transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
c. „restricţionarea prelucrării" înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
d. „creare de profiluri" înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
e. „pseudonimizare" înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
f. „sistem de evidenţă a datelor" înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
g. „operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
h. „persoană împuternicită de operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
i. „destinatar" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a
datelor, în conformitate cu scopurile prelucrării;
j. „parte terţă" înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
k. „consimţământ" al persoanei vizate înseamnă orice manifestare de voinţă liberă,
specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
l. „încălcarea securităţii datelor cu caracter personal" înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
m. „date genetice" înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
n. „date biometrice" înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau
comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
o. „date privind sănătatea" înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
p. „sediu principal" înseamnă:
(a)în cazul unui operator cu sedii în cel puţin două state membre, locul în care se află
administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;
(b)în cazul unei persoane împuternicite de operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acesteia în Uniune, sau, în cazul în care persoana
împuternicită de operator nu are o administraţie centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activităţile principale de prelucrare, în contextul activităţilor unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligaţii specifice în temeiul prezentului regulament;
• „reprezentant" înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşteobligaţiile lor respective care le revin în temeiul prezentului regulament;
• „întreprindere" înseamnă o persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociatii care desfăşoară în mod regulat o activitate economică;
• „grup de întreprinderi" înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta;
• „reguli corporatiste obligatorii" înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană
împuternicită de operator în una sau mai multe ţăriterţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
• „autoritate de supraveghere" înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;
• „autoritate de supraveghere vizată" înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:
(a)operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorităţii de supraveghere respective;
(b)persoanele vizate care îşi au reşedinţa în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
(c)la autoritatea de supraveghere respectivă a fost depusă o plângere;
• „prelucrare transfrontalieră" înseamnă:
• fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puţin două state membre; sau
• fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puţin două state membre;
• „obiecţie relevantă şi motivată" înseamnă o obiecţie la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile
preconizate în ceea ce priveşte operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanţa riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte drepturile şilibertăţile fundamentale ale persoanelor vizate şi, după caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;
• „serviciile societăţii informaţionale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European şi a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informaţii în domeniul reglementărilor tehnice şi al normelor privind serviciile societăţii
informaţionale (JO L 241, 17.9.2015, p. 1).
• „organizaţie internaţională" înseamnă o organizaţieşi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe ţări sau în temeiul unui astfel de acord
• „modul cookie” este o colecție de date într-un standard industrial pe care o pagină web le transferă pe computerul vizitatorului, temporar, pentru a permite adaptarea conținutului la utilizator. În acest scop, modulele cookie colectează informații cu privire la
comportamentul vizitatorului online.Un modul cookie este un fișier de mici dimensiuni care conține un text alcătuit dintr-un șir de litere și cifre (informații), deseori codificate, care îl identifică în mod unic computerul, terminalul mobil sau alte echipamente ale unui utilizator de pe care se accesează internetul, dar poate conține și alte informații. Un
modul cookie este format din două părți: numele și conținutul sau valoarea modulului cookie. Durata de existență a unui modul cookie este determinată.
Un modul cookie este un fișier care este plasat/descărcat pe dispozitivul care este utilizat când pagina web este accesată, prin solicitarea emisă de către web server unui browser (ex.: Internet Explorer, Google Chrome), care permite utilizarea funcționalităților, înregistrând navigarea
website-ului, astfel încât, cu ocazia unei noi accesări a paginii web, acesta poate prezenta opțiuni adaptate pe baza informațiilor stocate despre ultima vizită.
Un modul cookie este complet „pasiv” el permițând exclusiv strângerea de informații despre comportamentul utilizatorilor.
Modulele cookie ajută la generarea unei experiențe de navigare prietenoase și adaptată preferințelor și intereselor fiecărui utilizator. Refuzarea sau dezactivarea modulelor cookie poate face unele website-uri imposibil de folosit. Refuzarea sau dezactivarea modulelor cookie nu
înseamnă că utilizatorul nu va mai primi publicitate online, ci doar că aceasta nu va mai putea
ține cont de preferințele și interesele vizitatorului, evidențiate prin comportamentul de navigare.
Pagina web a Grădiniței cu Program Prelungit MIKÓ folosește module cookie exclusiv în scopuri statistice (tip browser,accesare pagină, tipul dispozitivului folosit de utilizator, durata de timp petrecut pe site), datele astfel obținute sunt anonimizate prin coduri care nu permit identificarea utilizatorilor.
III. PRINCIPII DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
art. 4. Grădinița cu Program Prelungit MIKÓ, prelucrează date personale cu respectarea următoarelor principii:
a. principiul legalității, echității și transparenței
“Legalitatea” – presupune efectuarea prelucrării datelor cu caracter personal pe baza
consimțământului persoanei vizate sau în temeiul unui alt motiv sau interes legitim prevăzut de lege, inclusiv necesitatea respectării obligațiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau are calitatea de reprezentant sau împuternicit al uneia dintre părți ori pentru a parcurge etapele premergătoare încheierii unui contract.
Conform principiului transparenței orice informație care se adresează publicului sau persoanei vizate trebuie să fie concisă, ușor accesibilă și ușor de înțeles, cu utilizarea unui limbaj simplu și clar. Acest principiu se referă în special la informarea persoanei vizate privind identitatea
operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc.
• principiul limitării legate de scop
Xxxxxx se colectează în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea DCP în alte scopuri decât cele pentru care au fost inițial colectate se efectuează doar atunci când aceasta este compatibilă cu scopurile inițiale. În acest caz nu este necesară existența unui nou temei juridic.
Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu cel inițial, operatorul, pe lângă respectarea principiului legalității, va ține seama de orice legătură între respectivele
scopuri, de contextul în care au fost colectate DCP, în special de așteptările persoanelor vizate bazate pe relația lor cu operatorul, de natura datelor și de consecințele prelucrării ulterioare asupra persoanelor vizate.
• principiul reducerii la minimum a datelor
Înainte de prelucrarea datelor cu caracter personal, se determină dacă și în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată.
Atunci când scopul permite acest lucru și unde cheltuielile implicate sunt proporționale cu scopul urmărit, sunt utilizate date anonime sau statistice.
Datele cu caracter personal nu sunt colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația in vigoare.
• principiul exactității
Grădinița cu Program Prelungit MIKÓ prelucrează date exacte, corecte, complete și
actualizate, după caz. Totodată, Grădinița cu Program Prelungit MIKÓ ia toate măsurile pentru a se asigura că DCP inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.
• principiul limitării legate de stocare
Operatorul păstrează DCP într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor stabilite.
Perioada de stocare a datelor personale diferă de la caz la caz în funcție de scopul prelucrării și de categoria datelor prelucrate.
Perioadele respective sunt bazate pe prevederile legale, având în vedere, de asemenea, obligațiile legale de stocare a anumitor date, termenele de prescripție aplicabile, durata contractelor și scopurile activității desfăşurate.
Se estimează că activitățile de prelucrare vor necesita stocarea datelor cu caracter personal cel puțin pe următoarele perioade:
x0.xx toată durata contractului și pe perioada necesară pentru protejarea drepturilor subscrisei având în vedere legea aplicabilă contractului, inclusiv perioada de prescripție și termenele prevăzute de către legislația fiscală și contabilă, respectiv perioada de stocare stabilită de către subscrisa
x0.xx toată durata soluționării definitive a oricăror situații juridice/divergențe în legătură cu raportul juridic dintre părți
x0.xx toată durata producerii efectelor juridice izvorând din raportul juridic stabilit între părți.
La expirarea perioadei de stocare, DCP se șterg în mod automat sau dacă ștergerea ar avea un impact asupra sistemelor informatice ale gradinitei, datele vor fi anonimizate ireversibil sau pseudonimizate, potrivit posibilităților operatorului, astfel încât să nu mai existe indicii care să poată conduce la identificarea persoanei vizate.
• principiul integrității și confidențialității
Grădinița cu Program Prelungit MIKÓ asigură securitatea adecvată a DCP, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale prin luarea de măsuri tehnice și/sau organizatorice descrise la Capitolul nr. IX din prezenta.
• principiul responsabilității
Operatorul este responsabil pentru respectarea tuturor principiilor care guvernează domeniul prelucrării DCP. Totodată, operatorul are sarcina de a demonstra respectarea acestora.
IV. CATEGORII DE DATE CU CARACTER PERSONAL
art. 5. Categorii de date cu caracter personal colectate de subscrisa sunt, după caz:
• nume şi prenume, domiciliu, cod numeric personal
• număr de telefon, adresă de e-mail
• date privind salariul, contul bancar, starea de sănătate
• date cuprinse în actul de identitate
• imagini foto/video
• altele:……………………………………..
art. 6. Grădinița cu Program Prelungit MIKÓ nu prelucrează date cu caracter personal care dezvăluie originea rasială, opiniile politice, convingerile filozofice ori apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice sau de date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
Alineatul precedent nu se aplică în cazul în care persoana vizată și-a dat consimțământul explicit sau când prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și al protecției sociale, precum și în cazurile reglementate de art. 9 alin. 2 din Regulamentul GDPR.
art. 7. Gradinita nu prelucrează DCP referitoare la condamnări penale și la infracțiuni, cu excepția cazului în care se impune desfacerea contractului individual de muncă ca efect al săvârșirii unei fapte penale, cu respectarea dispozițiilor Codului Muncii.
V. PERSOANELE VIZATE
art. 8. Persoanele vizate în sensul prezentei Politici sunt persoanele fizice identificate sau identificabile ale căror date personale sunt prelucrate de către subscrisa.
art. 9. În cazul în care prelucrarea datelor se efectuează în temeiul consimțământului persoanei vizate, consimțământul este valabil exprimat în cazul în care persona în cauză a împlinit vârsta de 16 ani.
În situația minorului care nu a îndeplinit vârsta de 16 ani, prelucrarea datelor este legală numai dacă și în măsura în care consimțământul necesar este acordat sau autorizat de reprezentantul legal al minorului.
VI. SCOPURILE ÎN CARE SUNT PRELUCRATE DATELE CU CARACTER PERSONAL ȘI TEMEIUL JURIDIC AL PRELUCRĂRII
art. 10. Subscrisa prelucrează datele cu caracter personal ale persoanelor fizice pentru:
• Executarea contractului încheiat între părţi
Datele personale se prelucrează în vederea exercitării drepturilor şi a executăriiobligaţiilor izvorând din contractul încheiat între părţi, astfel încât în funcție de natura contractului încheiat scopul poate consta în frecventarea cursurilor grădiniței de către minorul înscris la instituția de
învâtâmânt, îndeplinirea sarcinilor de serviciu de către angajați în temeiul contractului individual de muncă sau executarea contractelor de colaborare cu patenerii.
• Organizarea evenimentelor (tabere, zile de naștere, team building-uri, cursuri, expoziţii, seminarii, conferinţe etc. )
Datele personale se utilizează în vederea înregistrării/luării în evidenţă a persoanelor care participă la evenimentele organizate şi pentru promovarea acestora.
În cadrul evenimentelor, Grădinița cu Program Prelungit MIKÓ prelucrează date cu caracter personal (imagine, voce, nume şi prenume) prin captarea, realizarea, transmiterea, manipularea, înregistrarea, utilizarea, stocarea şi comunicarea de fotografii, producţii video şi audio şi/sau
înregistrări.
În acest caz, prelucrarea datelor se întemeiază pe consimțământul persoanei vizate, cu aplicarea dispoziţiilor art. 9 din Legea 190/2018.
• Soluționarea cererilor
Datele personale se utilizează în vederea formulării unor răspunsuri la solicitările, la cerințele, la reclamațiile sau la orice altă întrebare transmisă(e) de către persoana vizată.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
• Comunicare în scop de marketing și PR
Datele personale se prelucrează în scop de marketing și PR, prin transmiterea de comunicări cu ocazia organizării evenimentelor şi se întemeiază pe consimţământul persoanei vizate.
• Emiterea documentelor financiar-contabile justificative
Datele personale se prelucrează în vederea menţionării lor pe documentele financiar-contabile justificative emise, în vederea indicării persoanei şi a datelor
cocontractantului/partenerului/sponzorului/donatorului/cumpărătorului/beneficiarului, etc. a datelor privind expediţia şi/sau primirea documentului, etc.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
• Prevenirea fraudelor
În dorinţa de a preveni săvârşirea oricărei nelegalităţi, subscrisa îşi rezervă dreptul de a prelucra date personale şi de a le transmite în caz de nevoie către autritățile publice (instanțe de judecată, etc) . În aceste cazuri, prelucrarea se justifică prin interesul legitim al subscrisei de a preveni fraudele și alte nelegalități în activitatea desfăşurată, precum şi prin existenţa obligației legale de a asigura legalitatea operațiunilor.
• Executarea efectivă a contractului de muncă
Datele personale se prelucrează în vederea încheierii şi executării contractelor individuale de muncă şi se păstrează timp de 75 de ani.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, precum şi prevederile legale în vigoare.
art. 11. Ținând cont de prevederile art. 7 alin. 1 din Regulament conform cărora în cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru prelucrarea DCP, Grădinița cu Program Prelungit MIKÓ pune la dispoziția persoanelor vizate un formular tipizat conținând declarația privind consimțământul acesteia.
art. 12 Declarația va avea o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.
Persoana vizată are dreptul să își retragă în orice moment consimțământul.
art. 13. Interesele legitime urmărite
Pentru a fi considerat legitim, un interes trebuie să îndeplinească următoarele condiții:
a. să fie legal
b. să fie concret
c. să reprezinte un interes real și actual, ca de exemplu un interes comercial
d. prelucrarea este necesară pentru atingerea interesului urmărit.
De exemplu, constituie interes legitim când prelucrarea are loc în cadrul relației cu un partener, pentru a preveni frauda, pentru a asigura securitatea rețelei și a informațiilor în sistemele
informatice, precum și determinarea bonității și a solvabilității partenerului.
VI. DESTINATARII/CATEGORII DE DESTINATARI
art. 14. Ca regulă, nu se divulgă datele personale deţinute de subscrisa către alte persoane fizice sau juridice.
Cu toate acestea, în anumite cazuri prevăzute de lege, subscrisa are dreptul şi/sau obligaţia legală de a divulga datele deţinute către:
• persoane fizice sau juridice care acționează ca persoane împuternicite pentru subscrisa în diverse domenii (de ex. contabil, avocat, etc.)
• bănci
• furnizori de servicii de consultanţă în vederea îndeplinirii obiectivelor proiectelor
• instanțe de judecată sau arbitrale, autorități de stat, autorităţii UE (proiecte)
• furnizori de servicii de asigurări
• furnizori de servicii de tipărire și împlicuire comunicări
• societăți de recuperare creanțe
• societăți ce oferă servicii de curierat/poștă sau de transport
• furnizori de servicii software și/sau echipamente
• parteneri contractuali în vederea îndeplinirii dispozițiilor clienților subscrisei, respectiv a obligațiilor asumate de către subscrisa față de clienți
• publicul larg prin difuzarea înregistrărilor video/foto efectuate sau a testimonialelor înregistrate în cadrul unor evenimente organizate sau nu de subscrisa prin intermediul paginii web a subscrisei sau prin rețelele sociale de comunicare (inclusiv, dar fără a se limita la facebook și instagram), precum și prin orice alte medii offline și online.
art. 15. Xxxxxx pot fi divulgate şi pentru motive legitime legate de activitatea desfăşurată, cum ar fi degrevarea activității subscrisei, apărarea și exercitarea drepturilor sau intereselor subscrisei.
art. 16. Datele cu caracter personal transmise vor fi prelucrate în condiții de securitate și de confidențialitate, în conformitate cu scopul pentru care au fost transmise și cu respectarea drepturilor și libertăților fundamentale ale persoanei vizate.
art. 17. Datele cu caracter personal divulgate către persoane împuternicite de subscrisa sunt limitate la informațiile minime care sunt necesare pentru îndeplinirea sarcinilor sau în
interacțiunile acestor terțe cu subscrisa.
art. 18. Datele cu caracter personal prelucrate de subscrisa pot fi transferate în străinătate către state din Uniunea Europeană sau Spațiul Economic European. Orice transfer realizat de subscrisa într-un stat membru UE sau SEE va respecta cerințele legale prevăzute în Regulamentul GDPR nr. 2016/679 adoptat de Parlamentul European.
VII. DREPTURILE PERSOANEI VIZATE
art. 19. Persoanele vizate au următoarele drepturi:
a. datele cu caracter personal, chiar de la momentul colectării acestora
În vederea asigurării exercitării acestui drept, Grădinița cu Program Prelungit MIKÓ pune la dispoziția persoanei vizate o Notă de informare generală privind prelucrarea DCP, pe suport de hârtie sau în format electronic, transmisă prin e-mail sau afișată pe pagina web a subscrisei.
În mod concret, informațiile privind prelucrarea DCP se furnizează prin una dintre următoarele modalități:
a1. prin afișarea pe pagina web a gradinitei: xxx.xxxxxxxxx.xx
a2. prin trimiterea unui e-mail la care se anexează Nota de informare generală privind prelucrarea DCP
a3. prin afişarea Notei de informare la sediul a gradinitei.
În situația în care operatorul pune la dispoziția persoanei vizate Nota de informare
susmenționată, prin intermediul uneia dintre susmenționatele modalități, obligația de furnizare a informațiilor cuprinse în art. 13-14 din Regulament se consideră îndeplinită în cazul în care persoana vizată nu solicită furnizarea informațiilor în termen de 2 zile calendaristice de la data colectării în cazul în care datele s-au colectat de la persoana vizată sau de la data luării la cunoștință despre deținerea și/sau prelucrarea DCP de către persoana vizată.
Alineatele precedente de la pct. a din prezentul art. nu sunt aplicabile în măsura în care persona vizată deține deja informațiile la care se referă Nota de informare.
• dreptul de a obține confirmarea faptului că datele cu caracter personal sunt sau nu prelucrate și, în caz afirmativ, de a avea acces la tipul de date cu caracter personal și
condițiile în care sunt prelucrate, prin adresarea unei cereri în acest sens către operatorul de date
Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă bazată pe costurile administrative.
În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.
Dreptul de a obține o copie trebuie exercitat astfel încât să nu atingă atingere drepturilor și libertăților altora.
• dreptul de a solicita rectificarea sau ștergerea datelor cu caracter personal („dreptul de a fi uitat”)
Persoana vizată are dreptul de a obține rectificarea sau ștergerea datelor care o privesc, fără întârzieri nejustificate.
• dreptul de a solicita restricționarea prelucrării
În cazul în care persoana vizată a solicitat restricționarea prelucrării DCP pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță ori pentru protecția unor altor persoane sau din motive de interes public.
Înainte de ridicare restricției de prelucrare, operatorul are obligația de a informa persoana vizată.
• dreptul de a retrage consimțământul cu privire la prelucrare, atunci când prelucrarea are la bază consimțământul, fără a afecta legalitatea prelucrării efectuate
până în momentul respectiv
• dreptul de a se opune cu privire la prelucrarea datelor din motive legate de situația particulară în care se află părțile, atunci când prelucrarea se întemeiază pe interes legitim, precum și de a se opune, în orice moment, prelucrării datelor în scopuri de marketing direct, inclusiv crearea de profiluri
• dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează pe aceasta în mod similar într-o măsură semnificativă
• dreptul la portabilitatea datelor, însemnând dreptul de a primi datele cu caracter personal furnizate operatorului de date într-o formă structurată, utilizată în mod curent și care poate fi citită automat, precum și dreptul de a transfera respectivele date către un alt operator, în cazul în care prelucrarea se bazează pe consimțământul persoanei fizice sau executarea unui contract și este efectuată prin mijloace automate
• dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu sediul în mun. București sector 1, B-dul Xxxxxxxx Xxxxxxx nr. 28-30, la numerele de telefon: 0000000000 sau 0318059212, la adresa e- mail: xxxxxxx@xxxxxxxxxxxxxx.xx.
• dreptul de a se adresa instanțelor de judecată competente.
art. 20. Toate informațiile furnizate în temeiul unor cereri formulate de persoanele vizate în temeiul art. 15-22 din Regulament, se furnizează în termen de o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni, când este necesar, în funcție de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la prelungirea termenului de o lună, în interiorul acestui termen, prezentând și motivele întârzierii.
art. 21. Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, despre motivele
amânării și despre posibilitatea de a depune o plângere la o autoritate de supraveghere și de a introduce o acțiune în justiție.
art. 22. Informațiile furnizate în temeiul art. 13 și 14 din Regulament și orice comunicare și orice măsuri luate în temeiul art. 15-22 din Regulament sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în mod special din cauza caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă, ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea
măsurilor solicitate, fie să refuze să dea curs cererii.
art. 23. În cazul în care operatorul are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererile susmenționate, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.
art. 24. Operatorul comunică fiecărui destinatar căruia i-au fost divulgate DCP orice rectificare sau ștergere a DCP sau restricționare a prelucrării efectuate, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
VIII. COLECTAREA DATELOR CU CARACTER PERSONAL art. 25. Datele cu caracter personal provin:
• de la persoana vizată
o din partea partenerilor subscrisei persoane juridice
o surse publice
o altele: .
IX. SECURITATEA DCP
art. 26. Ținând cont de stadiul actual al dezvoltării, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității, integrității, disponibilității și rezistenței continue ale sistemelor și serviciilor de prelucrare.
art. 27. Datele personale sunt protejate împotriva accesului neautorizat și împotriva prelucrării sau divulgării ilegale, precum și pierderii accidentale, modificării sau distrugerii. Acest lucru se aplică indiferent dacă datele sunt prelucrate electronic, pe suport de hârtie sau prin alte mijloace.
art. 28. Accesul la datele cu caracter personal este oferit numai acelor angajaţi ai gradinitei care au nevoie de astfel de date cu caracter personal pentru a-şi îndeplini sarcinile de serviciu legate de oricare dintre scopurile prelucrării menţionate mai sus (inclusiv departamentele resurse umane, financiar-contabil, IT, administrativ).Se procedează în mod similar şi în cazul voluntarilor care cu ocazia prestării activităţii voluntare prelucrează date cu caracter personal.
art. 29. Orice acces la datele cu caracter personal pentru alţi angajaţi este interzis. Documentele care conţin date cu caracter personal sunt stocate în departamentele structurale ale gradinitei ai căror angajaţi au acces la datele cu caracter personal legat de îndeplinirea atribuţiilor de serviciu.
art. 30. Toți angajații care prelucrează DCP au următoarele obligații:
a. să închidă calculatorul sau să iasă din cont ori de câte ori nu se află în incinta unde se află calculatorul conținând DCP
b. să utilizeze parole puternice și sigure pe calculator
c. să păstreze toate suporturile conținând DCP într-un birou/cameră având cheie cu acces controlat sau într-un dulap/sertar închis cu o cheie
d. să nu divulge parola nimănui în afara superiorului său
e. să nu lase nesupravegheate sau la vedere nici calculatorul și nici înscrisurile care conțin DCP
f. să nu folosească DCP în alte scopuri decât cele stabilite de operator
g. să anunțe imediat superiorul despre orice încălcare a securității DCP și să propună măsuri de diminuare și de reparare a prejudiciilor cauzate.
art. 31. La data prezentei, la sediul operatorului, unde are loc prelucrarea DCP este montat sistem de alarmă, documentele sunt stocate într-un dulap închis cu cheia și nu este montată cameră de supraveghere video
art. 32. Toate datele informatice sunt ținute pe un server securizat cu mai multe parole de către specialiști în domeniu.
X. NOTIFICAREA AUTORITĂȚII DE SUPRAVEGHERE ÎN CAZUL ÎNCĂLCĂRII SECURITĂȚII DATELOR CU CARACTER PERSONAL
art. 33. În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul are obligația de a notifica autoritatea de supraveghere, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
art. 34. Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de încălcarea securității DCP.
art. 35. Notificarea susmenționată va cuprinde:
a. caracterul încălcării, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al
înregistrărilor de DCP în cauză
b. numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații
c. consecințele probabile
x. xxxxxxxx luate sau propuse spre a fi luate de operator pentru a remedia problema ivită și a atenua eventualele efecte negative.
art. 36. Operatorul păstrează documentele referitoare la toate cazurile de încălcare a securității DCP care cuprind o descriere a situației de fapt în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse.
XI. INFORMAREA PERSOANEI VIZATE CU PRIVIRE LA ÎNCĂLCAREA SECURITĂȚII DCP
art. 37. Dacă încălcarea securității DCP este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate. Informarea va cuprinde elementele prevăzute la art. 35 pct. b., c. și d.
art. 38. Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:
a. operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate care au fost aplicate astfel încât DCP au devenit neinteligibile oricărei persoane care nu este autorizată să le acceseze (de exemplu: prin criptare)
b. operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze
c. informarea ar necesita un efort disproporționat. În această situație se efectuează o informare publică sau se ia o măsură similară având același scop.
XIII. POLITICA PRIVIND UTILIZAREA COOKIE-URILOR
art.39. Pagina web a gradinitei folosește cookie-uri pentru o mai bună experiență de vizitare. Prin continuarea navigării, vizitatorul este de acord cu modul de utilizare a acestor informații.
Grădinița cu Program Prelungit MIKÓ se angajează să-i protejeze pe vizitatorii paginii web cu privire la colectarea online a oricăror date personale.
Cookie-urile sunt folosite pentru a îmbunătăți utilizarea și funcționalitatea website-ului gradinitei și pentru a înțelege mai bine modul în care vizitatorii utilizează website-ul xxx.xxxxxxxxx.xx, precum și serviciile oferite de către pagina de web.
art. 40. Prin accesarea sau utilizarea în continuare a paginii web (prin orice dispozitiv), vizitatorul declară că este de acord cu utilizarea modulelor cookie și a altor tehnologii similare în scopurile specificate în această politică.
art. 41. Dacă nu este de acord cu modul de utilizare a modulelor cookie, vizitatorul poate modifica setările browser-ului în mod corespunzător, poate renunța la utilizarea/vizitarea website-ului gradinitei sau a altor website-uri partenere.
art. 42. Dezactivarea modulelor cookie ar putea afecta experiența vizitatorului ca utilizator pe website și alte website-uri partenere.
art. 43. Operatorul își rezervă dreptul ca în orice moment și fără o notificare prealabilă, să modifice Politica privind modulele cookie.
art. 44. Toate modificările vor apărea în prezenta politică și intră în vigoare imediat.
art. 45. Utilizarea în continuare a website-ului gradinitei echivalează cu acordul vizitatorului cu privire la orice astfel de modificări.
art. 46. Scopul modulelor cookie
Modulele cookie pot asigura o interacțiune mai rapidă și mai ușoară între utilizatori și website- uri.În alte cazuri, pot fi utilizate pentru stocarea de informații referitoare la activitățile desfășurate de utilizator pe o anumită pagină web, astfel încât acesta să își poată relua ușor
respectivele activități la o accesare ulterioară a website-/ului. Modulele cookie spun serverului ce pagini trebuie să arate utilizatorului, astfel încât acesta să nu fie nevoit să își amintească acest
lucru sau să navigheze întregul website de la început.
XIV. TRANSFERUL DE DATE CU CARACTER PERSONAL CĂTRE TERȚI SAU CĂTRE ORGANIZAȚII INTERNAȚIONALE
art. 47. Grădinița cu Program Prelungit MIKÓ nu va opera transferuri de date cu caracter personal către terțe țări sau către organizaţii internaţionale, decât cu excepţia cazului în care DCP sunt necesare pentru implementarea proiectelor finanţate din fonduri europene sau alte fonduri străine.
În acest caz nu se va solicita consimţământul prealabil al persoanelor vizate, prelucrarea fiind necesară în vederea îndeplinirii obligaţiilor legale şi a prevederilor din ofertă/ghidul solicitantului.
XV. PROCEDURI EXTRAJUDICIARE ȘI ALTE PROCEDURI DE SOLUȚIONARE A LITIGIILOR ÎNTRE OPERATOR ȘI PERSOANELE VIZATE
art. 48. Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul
membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut
loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv
posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78 din Regulamentul UE nr. 679/2016.
art. 49. Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.
Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere care este competentă în temeiul articolelor 55 și 56 din Regulamentul UE nr.
679/2016 nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77 dinRegulamentul UE nr. 679/2016.
Prezenta se publică pe pagina web 07.10.2020 și se afișează la sediul grădiniței