PROTECTIA DATELOR CU CARACTER PERSONAL
PROTECTIA DATELOR CU CARACTER PERSONAL
1. SCOP
Prezenta procedură este emisa în conformitate cu prevederile Regulamentului General 679/2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Procedura stabilește reguli de lucru si responsabilitati privind colectarea si prelucrarea datelor în mod legal, echitabil și transparent față de membrii și de colaboratorii săi în scopuri bine definite și într-un mod care să asigure securitatea adecvată a acestor date.
2. DOMENIU
-Procedura se aplică in cadrul Asociatiei Prietenii Muntilor care prin activitatea ei prelucreaza date cu caracter personal.
-Se prelucreaza datele total sau parțial prin mijloace electronice sau redactate.
3. DEFINITII SI PRESCURTARI
⮚ Date cu caracter personal (DCP/date) – orice informaţii referitoare la o persoană fizică identificată sau identificabilă;
⮚ Persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
⮚ Persoana vizata - persoană fizică identificată sau identificabilă ale carei date personale au fost prelucrate;
⮚ Prelucrare - orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozițieîn orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
⮚ Operator - persoana fizică sau juridică, care, singur sau împreună cu alte persoane , stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
⮚ Persoana împuternicită de operator - persoana fizică sau juridică, care prelucrează datele cu caracter personal în numele operatorului;
⮚ Utilizator – orice persoană fizică care acționează sub autoritatea operatorului, a persoanei împuternicite de operator sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal;
⮚ Destinatar – persoana fizică sau juridică, (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari;
⮚ Parte terță – o persoană fizică sau juridică, alta decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
⮚ Consimțământ al persoanei vizate - orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care acesta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
⮚ Încălcarea securității datelor cu caracter personal - o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
⮚ Date privind sănătatea –date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
⮚ Responsabilul cu protecția datelor – un membru al Asociatiei independent, care are sarcina de a informa și consilia operatorul și persoanele împuternicite de operator în ceea ce privește prelucrarea datelor cu caracter personal;
⮚ ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
⮚ RGPD-Regulament General pt Protectia Datelor (demunit si Regulament);
⮚ Dreptul de a fi uitat- drept recunoscut de către Curtea de Justiţie a Uniunii Europene (CJUE) în lumina drepturilor fundamentale.
⮚ Asociatia Prietenii Muntilor Resita - APMR
4. DESCRIEREA PROCEDURII
4.1 Modul de lucru
4.1.1 Categorii persoane vizate
Asociatia prelucreaza DCP ale urmatoarelor categorii de persoane vizate:
-membrii Asociatiei;
-sponsori si colaboratori;
4.1.2 Reducerea la minim a datelor
In cadrul Asociatiei Prietenii Muntilor se colecteaza si proceseaza numai DCP absolut necesare pentru indeplinirea scopului pentru care au fost colectate.
4.1.3 Colectarea DCP si informarea persoanelor vizate
APMR este obligata sa respecte si sa demonstreze respectarea aplicarii celor 6 principii prevazute la art. 5 din RGPD pe toată perioada prelucrarii datelor si anume :
- Prelucrarea în mod legal, echitabil și transparent față de persoana vizată;
- Colectarea în scopuri determinate, explicite și legitime, fiind interzisă prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;
- Datele vor fi adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (minimalizarea la maxim a DCP colectate);
- Datele vor fi exacte și, dacă este necesar să fie actualizate, se vor lua măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere;
- Datele vor fi păstrarea într-o formă care să permită identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
- DCP vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice și organizatorice corespunzătoare.
In momentul obtinerii de DCP, indiferent de categoria de persoane vizate de la care se obtin, operatorul are obligativitatea de a furniza persoanelor vizate de la care s-au colectate DCP, intr-o forma concisa, transparenta, informatiile legate de :
a) identitatea și datele de contact ale operatorului;
b) datele de contact ale responsabilului cu protecția datelor;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
d) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
e) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
f) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
g) dreptul de a depune o plângere în fața unei autorități de supraveghere;
h) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
4.1.4 Evidenta activitatilor de prelucrare a DCP
In vederea intocmirii registrului de evidenta a activitatilor de prelucrare a DCP se precizeaza scopurile prelucrarii, categoriile de destinatari carora le-au fost sau le vor fi divulgate aceste DCP.
Acolo unde este posibil sunt precizate in registru termenele-limita preconizate pentru stergerea diferitelor categorii de date.
Se vor pastra atat in format scris cat si electronic, o evidenta a activitatilor de prelucrare a DCP.
4.1.5 Raportarea interna a incalcarii securitatii datelor
-Orice membru al APMR care ia la cunostiinta de o incalcare a securitatii DCP, are obligatia informarii imediate a Consiliului de administratie care informeaza responsabilul DPO despre aceasta incalcare.
-Departamentul implicat si responsabilul DPO iau masurile necesare pentru limitarea riscurilor aduse persoanelor fizice vizate.
-Responsabilul DPO notifica autoritatea de supraveghere competenta, in termen de cel mult 72 de ore de la data la care a luat la cunostinta de aceasta problema, cu exceptia cazului in care este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice. Notificarea se face completand fomularul pus la dispozitie de autoritatile de supraveghere locale.
- De asemenea va fi notificata persoana vizata a carui drepturi de securitate au fost incalcate,cu exceptia cazului in care ar presupune un efort disporportionat.
5. RESPONSABILITATI
5.1 Responsabil coordonator cu protectia datelor
-Monitorizeaza aplicarea si respectarea procedurilor si propune imbunatatiri si actiuni corective bazate pe observatiile acestuia sau ale autoritatilor nationale;
-Instruieste utilizatorii din cadrul APMR cu privire la prevederile Regulamentului (UE) nr.679/2016;
- Contacteaza și solicita consiliere din partea ANSPDCP cu privire la orice altă chestiune, după caz;
- Pastreaza Registrul de evidenta a activitatilor de prelucrare a datelor cu caracter personal;
- Solutioneaza plangerile si cererile adresate de persoanele vizate in exercitarea drepturilor lor;
- Revizuieste procedura atunci cand este cazul;
- Coopereaza cu autoritatea de xxxxxxxxxxxx.xx faciliteaza accesul Autorității la documente și informații pentru îndeplinirea atribuțiilor, precum și pentru exercitarea competențelor de investigare, corectare, autorizare și consultare.
5.2 Utilizatori DCP
Utilizatorii DCP se regasesc nominalizati in “Registrul de evidenta a activitatilor de prelucrare a DCP” .
-Au semnat un angajament de pastrare a confidentialitatii DCP;
-Acceseaza numai acele DCP necesare pentru indeplinirea atributiilor de serviciu;
-Documentele care conţin date cu caracter personal, folosite pentru realizarea anumitor operaţiuni se vor preda persoanelor abilitate sau se vor închide imediat după terminarea acestora;
- Să cunoască și să aplice prevederile prezentei proceduri, ale Regulamentului (UE) nr.679/2016 și a altor acte normative nationale din domeniul prelucrării datelor cu caracter personal;
- Să păstreze confidențialitatea datelor cu caracter personal cu care intră în contact pentru îndeplinirea sarcinilor;
- Să nu divulge datele de conectare la stația de lucru și la aplicațiile care au acces la bazele de date cu caracter personal;
- Să respecte măsurile de securitate și celelalte reguli stabilite de către Asociatie;
- Să informeze conducerea societății și Responsabilul cu Protecția Datelor dacă au cunoștință că anumiți utilizatori prelucrează DCP cu rea credință sau în alte scopuri decât cele privind îndeplinirea sarcinilor de servici;
5.2.1 Responsabilitati utilizatori DCP care folosesc computere si prelucreaza date personale
- Să închidă sesiunea de lucru și să blocheze calculatorul atunci când părăsesc locul de muncă;
- Documentele ce contin DCP vor fi încuiate in fisete sau dulapuri;
- Datele cu caracter personal sunt printate doar dacă această operațiune este strict necesară.
6. Documente de referinta
1. Decizia 2001/497/CE privind clauzele contractuale standard pentru transferul de date cu caracter personal catre tarile terte in temeiul Directivei 95/46/CE.
2. Decizia 2004/915/CE din 27 decembrie 2004 de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe.
3. Directiva 95/46/CE privind protectia datelor.
4. Directiva (UE) 2016/680 a Parlamentului European si a Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date si de aborgare a Decizie cadru 2008/977/JAI a Consiliului.
5. ISO 27001 Sisteme de management a securitatii informatiilor .
6. RGPD-Regulamentul (UE) 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
7. LEGE nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date.
1. INREGISTRARI SI RAPOARTE SCRISE
Nr. Crt. | Descrierea inregistrarii | Forma | Suport de pastrare | Responsabil pentru pastrare | Perioada de pastrare |
1. | Registru de evidenta a prelucrarii datelor cu caracter personal | Nespecific | Electronic si suport hartie | DPO | Pe toata perioada pentru care compania are calitatea de operator de date cu caracter personal |
2. | Registrul de evidenta a plangerilor si cererilor de exercitare a drepturilor persoanelor vizate in ceea ce priveste protectia datelor cu caracter personal | Nespecific | Suport de hartie | DPO | Pe toata perioada pentru care compania are calitatea de operator de date cu caracter personal |