PRIVIND PRELUCRAREA ŞI SIGURANŢA DATELOR CU CARACTER PERSONAL
POLITICA de CONFIDENȚIALITATE a TRYAMM Trading Consulting SRL CU RESPECTAREA PREVEDERILOR G.D.P.R.
PRIVIND PRELUCRAREA ŞI SIGURANŢA DATELOR CU CARACTER PERSONAL
S.C. TRYAMM Trading Consulting S.R.L, prin intermediul prezentei Politici de Confidențialitate, a
procedurilor interne de funcționare, precum și a instrumentelor de comunicare publică precum site-urile xxx.XXXXXX.xx, prin newsletterul TRYAMM sau orice altă formă de comunicare cu persoanele fizice și juridice cu care se află în dialog/ colaborare, garantează protejarea datelor cu caracter personal astfel
cum acestea sunt definite de REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI (denumit în continuare Regulamentul) cu deplina respectare a tuturor regulilor impuse de acest Regulament.
Toate informatiile obtinute direct sau indirect vor fi considerate și tratate ca fiind confidențiale și vor fi protejate de către TRYAMM prin intermediul echipamentelor utilizate, a procedurilor de lucru şi
soluţiilor implementate. Procedurile interne precum şi Politica de Confidenţialitate a TRYAMM sunt create prin prisma exigenţelor impuse de Regulamentul G.D.P.R.
Înainte de vă solicita acordul cu privire la prelucrarea datelor cu caracter personal și pentru ca acordul dvs. să fie exprimat în deplină cunoştinţă de cauză, vă solicităm să citiţi cu atenție informațiile legate de GDPR, de drepturile dvs. și de posibilitățile de exercitare a acestora, prezentate mai jos.
INFORMARE cu privire la prelucrarea datelor cu caracter personal (G.D.P.R.)
Începând cu data de 25 mai 2018, Regulamentul 2016/679/UE privind protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulatie a acestor date va fi obligatoriu pentru toate statele Uniunii Europene.
1. REGULILE ȘI PRINCIPIILE impuse de Regulament și respectate de către TRYAMM în operațiunea de prelucrare a datelor cu caracter personal sunt urmatoarele:
(a) prelucrarea se realizează în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
(b) colectarea datelor cu caracter personal se realizează numai în scopurile precizate în această Politică de Confidențialitate
(c) datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul în care sunt prelucrate („reducerea la minimum a datelor”);
(d) în cazul unei actualizari a datelor se iau toate masurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
(e) datele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depașeste perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
(f) datele sunt prelucrate într-un mod care asigură securitatea adecvata a datelor cu caracter personal, inclusiv protecția impotriva prelucrării neautorizate sau ilegale și impotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de masuri tehnice sau organizatorice corespunzătoare („integritate si confidentialitate”).
2. SURSELE DIN CARE PROVIN DATELE
Aceste date se află în baza noastră de date în urma uneia din următoarele circumstanțe:
• au fost obtinuțe în mod direct ca urmare a unor corespondențe anterioare;
• deoarece ești un partener/ client/ furnizor al companiei noastre;
• au fost selectate dintr-o bază de date publică la care ai subscris;
• au fost făcute publice de xxxx prin afișări cu caracter publicitar într-un ghid de afaceri
• au fost oferite de tine pe xxx.XXXXXX.xx pentru a te contacta;
• au fost obținute în cadrul unei întâlniri sau al unui eveniment de afaceri.
3. CATEGORII DE DATE CU CARACTER PERSONAL COLECTATE
Următoarele informații sunt obținute prin mijloace automate atunci când vizitati site-ul, utilizând cookie-uri și tag-uri pixel, care reprezintă instrumente standard în industria internetului. Colectăm informații atunci când vă înregistrați pe site-ul nostru, vă logați și/ sau atunci când vă deconectați. Utilizarea site-ului nostru ne permite să vă aflam:
• numele, adresa de e-mail (dacă le comunici și validezi prin formularul de contact)
• vom primi în mod automat și vom înregistra informații de la computer-ul și
browser-ul dvs., inclusiv adresa IP, software-ul și atributele hardware, precum și pagina solicitată.
Informații detaliate despre rolul cookie-urilor și tipurile de cookies de pe site-ul xxx.XXXXXX.xx găsiți în documentul Termeni si conditii, publicat de asemenea pe site.
4. SCOPURILE colectării, păstrării și procesării datelor cu caracter personal
Prelucrăm datele dvs. cu caracter personal furnizate prin accesarea site-ului cu scopul prezentarii de oferte a căror acceptare ar putea conduce la încheierea unor relatii contractuale. De asemenea,
prelucrăm datele dvs. cu caracter personal în scopuri de marketing, ceea ce presupune inclusiv
transmiterea datelor dvs. cu caracter personal către partenerii noştri contractuali, care la rândul lor vor prelucra datele dvs. în acelaşi scop, aceleaşi condiţii şi tot cu deplina respectare a regulilor impuse de GDPR.
Scopurile prelucrarii datelor dumneavoastă cu caracter personal sunt următoarele:
• de a te ține informat cu privire la activitatea noastră, precum și cu evoluțiile tehnologice,
• de a-ți comunica acțiunile pe care le organizăm sau la care suntem parteneri,
• de a te invita să participi la programele de training sau evenimentele organizate de noi,
• de a personaliza experiența dvs. și pentru a răspunde nevoilor individuale;
• îmbunătăți site-ul nostru;
• îmbunătăți serviciile oferite și nevoile de asistență;
de a te invita să participi la campanile noastre de marketing, unele dintre ele putând fi desfășurate în colaborare cu Parteneri contractuali.
Aplicarea principiilor prelucrării datelor cu caracter personal de către TRYAMM:
1. Datele cu caracter personal sunt prelucrate de TRYAMM cu bună-credință și în conformitate cu dispozițiile legale în vigoare.
2. Datele cu caracter personal sunt colectate de TRYAMM în scopuri bine determinate, explicite și legitime, iar prelucrarea ulterioară nu va fi incompatibilă cu aceste scopuri.
3. Datele cu caracter personal sunt adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate.
4. TRYAMM a luat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală, precum și cu privire la ștergerea sau
rectificarea datelor inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate și pentru care vor fi ulterior prelucrate. Este posibil ca anumite date să fie stocate pe servere din SUA, țară cu care UE are un acord în ceea ce privește prelucrarea datelor personale.
5. DURATA PRELUCRĂRII DATELOR
Stocarea datelor cu caracter personal și prelucrarea acestora se face numai în scopurile legitime menționate mai sus, până la retragerea expresă a consimțământului, printr-o solicitare pe email la adresa xxxx.XXXXXX@xxxxxx.xx cu subiectul “Retragere consimțământ prelucrare date cu caracter personal”.
Totuși, aveți posibilitatea de a vă revizui, modifica sau de a solicita ștergerea datelor înainte de expirarea duratei de prelucrare printr-un mesaj către Data Protection Officer la adresa xxxx.XXXXXX@xxxxxx.xx cu solicitarea dvs., chiar dacă inițial v-ați exprimat acordul cu privire la prelucrarea datelor dvs.
6. DREPTURILE PERSOANELOR ALE CĂROR DATE PERSONALE SUNT PRELUCRATE
Vă aducem la cunostință drepturile persoanelor cărora li se prelucrează date personale conferite de Regulament:
a. Dreptul la informare – semnifică dreptul persoanei vizate și respectiv obligația operatorului de a aduce la cunostința fiecarei persoane informațiile esențiale cu privire la datele de contact ale persoanei responsabile – Data Protection Officer, scopul prelucrarii,destinatarii sau categoriile de destinatari,
perioada de stocare, drepturile persoanei vizate (acces, restricționare, ștergere, retragere,
consimțământ, portabilitate a datelor și opoziție), dreptul de a formula o plângere, eventuale consecințe a nefurnizării datelor și existența unui proces decizional automat.
b. Dreptul de acces – înseamnă că aveți dreptul de a obține o confirmare sau o infirmare din partea Data Protection Officer, dacă prelucrăm sau nu datele dvs. cu caracter personal, iar în caz afirmativ, aveți acces la datele respective și la informațiile privind modalitatea în care sunt prelucrate datele la
solicitarea dvs. expresă, precum și la orice alte informații suplimentare în legatură cu datele prelucrate. Dreptul de acces include posibilitatea de a obține o copie a datelor cu caracter personal care fac obiectul prelucrării.
c. Dreptul la rectificare – se referă la corectarea, fără întârzieri nejustificate, a datelor cu caracter personal inexacte sau la completarea acestor date.
Conform Articolului 16 din Regulament: ”Dreptul la rectificare” – ”Persoana vizată are dreptul de a
obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusive prin furnizarea unei declaraţii suplimentare.”
d. Dreptul la ștergerea datelor (“dreptul de a fi uitat”) – conform Articolului 17 din Regulament, alin.1, persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri nejustificate, iar operatorii au obligaţia de a şterge datele cu caracter personal, în cazul în care există unul dintre motivele:
• datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate;
• persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
• persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) din Regulament, care reglementează dreptul la opoziție,
• există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
• datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
• datele cu caracter personal aparțin unor minori, cu vârsta sub 16 ani.
e. Dreptul la restricționare – Conform Articolului 18, persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre cazurile:
• se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să verificăm exactitatea datelor în cauză,
• prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
• ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru o acțiune în instanţă;
• persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorilor prevalează asupra celor ale persoanei vizate.
Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei vizate. De asemenea, conform
Alineatului 3, operatorul are datoria ca o persoană vizată care a obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp, înainte de ridicarea restricţiei de prelucrare.
f. Dreptul de portabilitate – se referă la dreptul persoanei vizate de a solicita și obține datele într-un format structurat, care poate fi citit automat, precum și dreptul de a solicita și obtine transmiterea datelor unui alt operator.
g. Dreptul la opoziție – semnifică dreptul persoanei vizate de a se opune prelucrării datelor cu caracter personal.
h. Procesul decizional automat – dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automată (inclusiv crearea de profiluri), care produce efecte juridice. Crearea de profiluri se referă la orice formă de prelucrare a datelor personale care constă în folosirea datelor personale pentru a evalua anumite aspecte referitoare la o persoana fizică, precum situația economică, starea de sănătate, preferințe personale, interese, comportament, locație.
7. DREPTUL DE A RETRAGE CONSIMȚĂMÂTUL ȘI DE A DEPUNE PLÂNGERE
Orice cerere, notificare, opoziție etc. privind exercitarea sau încălcarea drepturilor și obligațiilor
conferite de Regulament poate fi adresată și transmisă către Data Protection Officer la sediul nostru sau pe email la adresa xxxx@XXXXXX.xx. Răspunsul va fi comunicat în termen de 30 de zile de la
înregistrarea acesteia. De asemenea, în cazul unei încalcari a drepturilor persoanei vizate aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal la sediul acesteia sau la adresa de email: xxxx://xxxxxxxxxxxxxx.xx/, și de a va adresa instanțelor de judecată competente.
8. PROCEDURI INTERNE pentru procesarea datelor cu caracter personal
Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, TRYAMM a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune:
• Identificarea utilizatorului;
• Tipul de acces;
• Colectarea datelor;
• Execuţia copiilor de siguranţă;
• Computerele şi terminalele de acces;
• Fişierele de acces;
• Instruirea personalului;
• Sistemele de telecomunicații;
• Folosirea computerelor;
• Imprimarea datelor.
a. Utilizatori si tipuri de acces
Utilizatorii pot accesa numai datele cu caracter personal necesare pentru îndeplinirea atribuțiilor alocate de Temperfileld. Pentru aceasta sunt stabile tipurile de acces după funcționalitate (administrare,
introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ștergere), precum şi procedurile privind aceste tipuri de acces.
Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor și a problemelor apărute în utilizarea sistemelor informatice. Computerele și serverele care conțin bazele de date cu informații cu caracter personal se află în încăperi cu acces controlat. Documentele care conţin date cu caracter personal de tipul celor considerate categorii speciale de date sunt ţinute în încăperi sau sisteme de stocare cu acces restricționat.
b. Colectarea datelor
TRYAMM a stabilit modalități stricte prin care se vor distruge datele cu caracter personal.
Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizați desemnați de TRYAMM.
TRYAMM a luat măsuri pentru ca sistemul informațional să înregistreze cine a făcut modificarea, data şi
ora modificării. Pentru o mai bună administrare, operatorul are implementate măsuri ca sistemul informațional să mențină datele șterse sau modificate.
c. Execuția copiilor de siguranță
Sistemul informatic efectuează periodic, în mod automat, un back-up al informatiilor, pentru o eventuală recuperare a datelor, în cazul pierderii, distrugerii sau disfuncționalității sistemelor informatice.
TRYAMM stabilește intervalul de timp la care se vor executa copiile de siguranță ale surselor de date cu caracter personal, precum și ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranță sunt numiți de operator, într-un număr restrâns.
d. Computerele și terminalele de acces
Computerele și alte terminale de acces sunt instalate în încăperi cu acces controlat, care se pot încuia. Dacă computerele sunt deschise și asupra lor nu se acționează o perioadă dată, stabilită de operator, sesiunea de lucru se închide automat.
Utilizatorii sunt instruiți, astfel încât sursele de date cu informațiile cu caracter personal să fie închise, în cazurile când acestea sunt deschise, dacă prin preajmă se află persoane neautorizate.
Serverele care găzduiesc bazele de date pot fi accesate doar în mod controlat, pe baza de drepturi de acces.
e. Fișierele de acces
TRYAMM ia măsuri ca orice accesare a surselor de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator.
Informaţiile înregistrate în fişierul de acces sau în registru vor fi:
• codul de identificare (numele utilizatorului pentru sursele de date cu caracter personal manuale);
• numele fişierului accesat (fişei);
• numărul înregistrărilor efectuate;
• tipul de acces;
• codul operaţiei executate sau programul folosit;
• data accesului (an, lună, zi);
• timpul (ora, minutul, secunda).
Pentru prelucrările automate aceste informaţii vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator.
Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra până la finalizarea
investigațiilor și a oricăror acțiuni în legătură cu acestea.
Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana
împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.
f. Sistemele de telecomunicații
TRYAMM, prin utilizatorii autorizați, realizează periodic controlul autentificărilor şi tipurilor de acces
pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicații. Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.
g. Instruirea personalului
Utilizatorii care au acces la sursele de date cu caracter personal sunt instruiți cu privire la prevederile legale, la cerinţele de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la
importanța menținerii confidențialității acestora și riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
h. Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) TRYAMM a luat următoarele măsuri:
• a interzis folosirea de către utilizatori a programelor software care provin din surse nesigure;
• utilizatorii nu au drepturi de administrator pe computere, prin urmare nu pot instala programe software fără a anunța compartimentul care asigură suportul tehnic;
• se utilizează software cu licență;
• utilizatorii au fost instruiți cu privire la Politica de securitate IT și cea de Confidențialitate a TRYAMM Trading Consulting SRL şi la celelalte politicile generale de operare IT, inclusiv pericolul reprezentat de virușii informatici;
• computerele sunt protejate cu programe antivirus;
i. Imprimarea, multiplicarea, scanarea, distributia datelor
- se va realiza numai de către utilizatorii desemnați și numai în scopul precizat în prezentele reguli.
9. DATE DE CONTACT pentru comunicările pe tema datelor personale
Orice solicitare, precizare sau manifestare a drepturilor referitoare la protecția și prelucrarea datelor cu caracter personal, inclusiv retragerea consimțământului privind prelucrarea acestora, poate fi realizată prin cerere scrisă, semnată si datată, transmisă la sediul nostru din xxxxxx Xxxxxxx 00, xxxxxx 0, Xxxxxxxxx sau pe mail la adresa xxxx.XXXXXX@xxxxxx.xx.
Acest document se completează cu întreg setul de proceduri de securitate cu privire la prelucrarea datelor cu caracter personal, aprobat de conducerea TRYAMM, inclusiv Politica de securitate IT si prevederile specifice ISO27001 a TRYAMM.
Prezenta Politică de Confidențialitate a Datelor cu Caracter Personal a fost adoptată astăzi, 21 mai 2018, în Bucureşti.