Procedura de gestionare a cererilor persoanelor vizate cu privire la propriile date cu caracter personal
Anexa nr. 4
Procedura de gestionare a cererilor persoanelor vizate cu privire la propriile date cu caracter personal
I. Cadrul general
(1) Prezenta procedură reglementează modul în care Asociația Națională a Evaluatorilor Autorizați din România, numită în continuare „Asociația”, gestionează și răspunde solicitărilor de acces la datele cu caracter personal formulate de persoanele vizate sau de reprezentanții autorizați ai acestora.
(2) Această procedură permite Asociației să se conformeze obligațiilor legale, să îmbunătățească transparența, să permită persoanelor vizate să verifice dacă informațiile deținute despre acestea sunt actualizate și să crească nivelul de încredere cu privire la modul în care sunt prelucrate datele cu caracter personal.
II. Documente de referință:
(3) Documentele de referință aplicabile sunt:
• Regulamentul European 2016/679 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date, pus în aplicare în România prin Legea 190/2018;
• Politica de confidențialitate a Asociației cu privire la prelucrarea datelor cu caracter personal
III. Solicitările de acces la propriile date cu caracter personal
(4) O solicitare de acces la propriile date cu caracter personal este orice cerere formulată de o persoană fizică sau de un reprezentant autorizat (împuternicit) al unei persoane fizice, având ca obiect informațiile deținute de Asociație despre persoana în cauză. Dreptul de acces la datele cu caracter personal, în virtutea art. 15 din Regulamentul European 2016/679 conferă persoanelor vizate dreptul de a-și vedea propriile date precum și de a solicita o copie de acestora.
(5) O solicitare de acces la propriile date cu caracter personal trebuie formulată în scris pentru a fi validă. În eventualitatea în care o astfel de solicitare este efectuată verbal către un angajat al Asociației, va fi consultat responsabilul cu protecția datelor care va analiza validitatea cererilor referitoare la datele cu caracter personal.
(6) O solicitare de acces la propriile date cu caracter personal poate fi transmisă prin oricare dintre următoarele metode: email, fax, poștă, site-ul Asociației sau alte
mijloace. Solicitările formulate online vor fi tratate ca oricare alte solicitări de acest gen deși răspunsul pe care îl vor primi din partea Asociației nu va fi transmis prin intermediul canalelor de social media.
IV. Dreptul de acces al persoanei vizate
(7) Drepturile de acces ale persoanei vizate cu privire la datele cu caracter personal care o privesc includ următoarele:
• obținerea unei confirmări că Asociația deține și prelucrează sau nu date cu caracter personal despre aceasta;
• dreptul de a primi detalii referitoare la datele prelucrate și la modalitatea de deținere a acestora precum și o copie a acestor date, în măsura în care acest lucru este posibil și rezonabil.
• dreptul de a fi informată cu privire la scopurile pentru care sunt prelucrate datele cu caracter personal și sursa acestor date (dacă acestea nu au fost colectate de la persoana vizată)
• dreptul de a fi informată dacă datele cu caracter personal i-au fost sau urmează să îi fie divulgate către alți destinatari și identitatea acestor destinatari;
• dreptul la portabilitatea datelor. Persoanele vizate pot cere ca datele lor cu caracter personal să le fie puse la dispoziție sau transferate unei terțe părți într-un format structurat și care poate fi citit automat (de exemplu - Word, PDF etc.). Cu toate acestea, asemenea solicitări pot fi îndeplinite doar dacă datele în cauză au fost furnizate de persoana vizată, sunt procesate automat iar prelucrarea se bazează pe consimțământ sau pe executarea unui contract.
• dreptul de a fi informată despre existența unui proces decizional automatizat incluzând crearea de profiluri și de a afla algoritmul logic care stă la baza deciziei automatizate, precum și de a solicita intervenția unui operator uman.
(8) Asociația va răspunde solicitărilor persoanelor vizate cu privire la accesul la propriile date cu caracter personal în termen de 30 de zile calendaristice de la primirea cererii.
V. Cerințele pe care trebuie să le îndeplinească o solicitare de acces la propriile date cu caracter personal pentru a fi validă
(9) Pentru a putea asigura în timp util un răspuns la solicitarea de acces la datele cu caracter personal, persoanei vizate i se va solicita:
• să transmită cererea utilizând un formular tip (prevăzut în anexa 1 la prezenta procedură)
• să ofere Asociației suficiente informații pentru a-i putea fi validată identitatea (pentru a exista certitudinea că persoana care solicită informațiile este chiar persoana vizată sau o persoană autorizată/împuternicită de aceasta).
(10) Asociația va oferi informații persoanelor vizate ale căror cereri au fost formulate în scris și a căror identitate poate fi validată.
(11) Cu toate acestea, Asociația nu va pune la dispoziție informațiile solicitate dacă resursele necesare pentru a identifica și extrage datele sunt excesiv de dificile și consumatoare de timp. Pentru a putea facilita căutarea datelor, va fi identificat deținătorul cel mai probabil al informațiilor (de exemplu, prin referirea la un anumit departament), perioada de timp în care datele au fost generate sau prelucrate și specificarea naturii datelor căutate (de exemplu, o copie a unui anumit formular sau a unui email din cadrul unui anumit departament).
VI. Etapele procesului de soluționare a unei solicitări de acces la propriile date cu caracter personal
(12) Solicitarea. După primirea unei solicitări de acces la propriile date cu caracter personal din partea persoanelor vizate, departamentul sau angajatul care a primit solicitarea o va direcționa către responsabilul cu protecția datelor care va lua act de aceasta. În funcție de complexitatea solicitării și de claritatea acesteia, solicitantului i se poate cere să completeze un formular de acces la propriile date cu caracter personal pentru a-i permite Asociației să localizeze informația relevantă. Modelul formularului este prevăzut în Anexa 1 la prezenta procedură. Formularele completate vor fi păstrate pentru referințe ulterioare, pentru o perioadă de timp prevăzută la capitolul X.
(13) Verificarea identității solicitantului. Responsabilul cu protecția datelor trebuie să verifice identitatea oricărei persoane care solicită accesul la propriile date cu caracter personal pentru a se asigura că informațiile sunt furnizate doar persoanei care este îndreptățită să le ceară. Dacă identitatea celui/celei care formulează o astfel de solicitare nu a putut fi stabilită cu certitudine, persoana care primește
solicitarea îi poate cere petentului două sau mai multe forme de identificare (din care, în mod obligatoriu, un act de identitate cu fotografie). Alte forme de identificare pot fi o adresă de domiciliu sau de corespondență (care să coincidă cu cele deținute de Asociație în baza de date), o adresă de email, alte informații legate de statutul de membru al Asociației etc. În cazul în care solicitantul nu este persoana vizată, va fi necesară o confirmare scrisă (împuternicire) din partea persoanei vizate cu privire la faptul că acesta este autorizat să ceară accesul la datele sale cu caracter personal.
(14) Informații necesare pentru soluționarea solicitărilor de acces la datele cu caracter personal. După primirea documentelor necesare, persoana care deține datele va pune la dispoziția responsabilului cu protecția datelor toate informațiile relevante pentru soluționarea cererii. În cazul în care responsabilul cu protecția datelor este satisfăcut în mod rezonabil de informațiile furnizate de persoana care a primit solicitarea, îl va notifica pe solicitant că va primi un răspuns în termen de 30 de zile calendaristice. Perioada de 30 de zile calendaristice decurge de la data primirii documentelor cerute de Asociație. Solicitantul va fi informat în scris de responsabilul cu protecția datelor cu privire la o eventuală deviere de la termenul de răspuns de 30 de zile care s-ar putea datora unor evenimente neprevăzute.
(15) Revizuirea informațiilor. Responsabilul cu protecția datelor va contacta persoanele/departamentele relevante și le va solicita informațiile care fac obiectul solicitării de acces la datele cu caracter personal. Aceasta poate implica și o întâlnire în care să fie discutată solicitarea, dacă este cazul. Departamentul sau persoana care deține informațiile va transmite aceste date în termenul precizat de responsabilul cu protecția datelor și, după caz, se poate stabili o nouă întâlnire pentru a revizui informațiile deținute. Responsabilul cu protecția datelor va stabili dacă există informații care fac obiectul vreunei excepții. Responsabilul cu protecția datelor se va asigura că informațiile au fost primite/revizuite în termenul impus, astfel încât răspunsul la solicitare să se încadreze în perioada de 30 de zile calendaristice. Responsabilul cu protecția datelor va solicita departamentului relevant să completeze un formular de dezvăluire de date cu caracter personal care va fi anexat răspunsului (modelul formularului este prevăzut în Anexa 2).
(16) Răspunsul la solicitările de acces la datele cu caracter personal.
Responsabilul cu protecția datelor va finaliza răspunsul, incluzând informațiile obținute de la departamentele/persoanele relevante și/sau, după caz, o declarație legată de faptul că Asociația nu deține informațiile solicitate sau dacă se aplică excepții. Responsabilul cu protecția datelor se va asigura că solicitantului i se va transmite un răspuns în scris. Răspunsul poate fi transmis prin email sau printr-o altă cale, specificată de solicitant (de exemplu, prin poștă). Asociația va transmite informații doar prin intermediul unor canale sigure. În cazul informațiilor transmise
pe suport fizic, prin poștă sau curier, coletele vor fi sigilate corespunzător și expediate cu confirmare de primire.
(17) Arhivarea. După transmiterea răspunsului, solicitarea de acces la propriile date cu caracter personal va fi considerată soluționată și arhivată de responsabilul cu protecția datelor.
Etapele procesului de soluționare sunt prezentate în diagrama inclusă în Anexa 3.
VII. Excepții
(18) O persoană fizică nu are drept de acces la date cu caracter personal deținute despre o altă persoană, cu excepția situației în care deține calitatea de reprezentant autorizat (împuternicit) sau are responsabilitate parentală.
(19) Asociația nu este obligată să răspundă la solicitări de date cu caracter personal dacă nu sunt oferite suficiente detalii pentru a permite confirmarea identității persoanei vizate și identificarea / localizarea informațiilor care fac obiectul cererii.
(20) În principiu, Asociația nu va dezvălui următoarele tipuri de informații ca răspuns la o solicitare de acces la datele cu caracter personal din partea persoanei vizate:
• informații despre alte persoane – o solicitare de acces la datele cu caracter personal poate viza informații care au legătură cu alte persoane fizice decât persoana care formulează cererea. Nu va fi acordat accesul la aceste informații, cu excepția cazului în care persoanele implicate consimt să își dezvăluie datele (de exemplu, situația în care un membru al Asociației solicită informații de contact sau alte date cu caracter personal aparținând unui alt evaluator).
• solicitări repetate – în cazul în care Asociația a răspuns deja la o solicitare similară sau identică din partea persoanei vizate într-un termen rezonabil și dacă nu au survenit modificări semnificative ale datelor cu caracter personal deținute despre persoana în cauză, orice altă solicitare ulterioară, survenită într-un termen de șase luni de la cererea inițială, va fi considerată solicitare repetată iar Asociația nu va furniza, în mod normal, o altă copie a acelorași informații.
• informații publice – Asociația nu va fi obligată să furnizeze copii ale unor documente care sunt deja publice;
• opinii exprimate în regim de confidențialitate sau protejate de legea copyright-ului – Asociația nu este obligată să dezvăluie date cu caracter personal deținute despre o persoană vizată care reprezintă opinii confidențiale sau aflate sub incidența drepturilor de autor.
• documente confidențiale, deținute de Asociație nu vor fi dezvăluite în răspunsurile la solicitări de acces la datele cu caracter personal.
VIII. Refuzul de a acorda acces la datele cu caracter personal
(21) Pot exista situații în care persoanele fizice nu au dreptul de a consulta informațiile deținute de asociație despre acestea, cum este cazul:
• informațiilor prelucrate în scop statistic sau de cercetare și care sunt anonimizate (rezultatele cercetării sunt prezentate într-o formă care nu permite identificarea persoanelor implicate)
• solicitărilor care au ca obiect alte scopuri decât cele legate de protecția datelor cu caracter personal și care pot fi refuzate.
(22) Dacă departamentul sau persoana responsabil(ă) din cadrul Asociației refuză o solicitare de acces la datele cu caracter personal, motivele refuzului vor fi explicate în scris. Persoana nemulțumită de rezultatul cererii sale se poate adresa responsabilului cu protecția datelor pentru o eventuală revizuire a răspunsului.
IX. Responsabilități
(23) Responsabilitatea generală pentru asigurarea conformării cu cerințele regulamentului 2016/679 în privința dreptului de acces la datele cu caracter personal revine responsabilului cu protecția datelor.
(24) În cazurile în care Asociația acționează în calitate de operator de date cu caracter personal în relație cu solicitant dreptului de acces, se vor aplica prevederile prezentei proceduri.
(25) În cazurile în care Asociația acționează ca împuternicit în relația cu solicitantul, responsabilul cu protecția datelor va redirecționa cererea către operatorul de date competent, în numele căruia Asociația prelucrează datele cu caracter personal ale celui care formulează solicitarea.
X. Gestionarea documentelor realizate în baza prezentei proceduri
Denumirea documentului | Localizarea documentelor | Persoana responsabilă de arhivare | Măsuri pentru asigurarea protecției datelor | Perioada de stocare |
Formulare de solicitare a dreptului de acces | Arhiva ANEVAR* /server intern | Responsabilul cu protecția datelor | Doar persoanele autorizate pot accesa dosarele | 10 ani |
Formular de dezvăluire de date | Arhiva ANEVAR /server intern | Responsabilul cu protecția datelor | Doar persoanele autorizate pot accesa dosarele | 10 ani |
Răspunsuri la solicitările de acces | Arhiva ANEVAR / server intern | Responsabilul cu protecția datelor | Doar persoanele autorizate pot acces dosarele | 10 ani |
* Arhiva ANEVAR cuprinde totalitatea documentelor stocate în format fizic și/sau electronic.
Anexa 1 CERERE DE ACCES LA PROPRIILE DATE CU CARACTER PERSONAL
Aveți dreptul de a solicita acces la datele cu caracter personal pe care le deținem despre dumneavoastră. În acest sens, vă rugăm să completați acest formular și să îl transmiteți prin poștă sau email. Prin persoană vizată se înțelege persoana fizică ale cărei date cu caracter personal fac obiectul prelucrării. | |
În cazul transmiterii prin poștă, vă rugăm să utilizați următoarea adresă: Asociația Națională a Evaluatorilor Autorizați din România Str. Scărlătescu nr. 7 Sector 1, București În atenția responsabilului cu protecția datelor | |
În cazul transmiterii prin email, vă rugăm să utilizați următoarea adresă: xxxxxxxxxxxxxxxx@xxxxxx.xx. | |
1. Numele și prenumele | 2. Data nașterii |
3. Adresa actuală de domiciliu | |
4. Număr de telefon | |
Telefon acasă: | Telefon mobil: |
5. Detalii privind datele cu caracter personal pe care le solicitați: | |
6. Pentru a ne ajuta să căutăm informațiile pe care le solicitați, vă rugăm să ne furnizați cât mai multe detalii cu putință (de exemplu, copii ale email-urilor transmise între data de … și data de ….). Dacă nu avem la dispoziție suficiente informații pentru a putea localiza datele dorite, este posibil să nu ne putem conforma solicitării dumneavoastră. | |
7. Informațiile solicitate vor fi transmise persoanei vizate (dumneavoastră) sau unui reprezentant autorizat de dumneavoastră? |
În cazul în care datele vor fi transmise reprezentantului autorizat de dumneavoastră, vă rugăm să completați secțiunile 9 și 10. |
8. Confirm faptul că sunt persoana vizată |
Semnătura: Numele în clar: Data: Xxxxxx o copie a actului de identitate. |
9. (Se va completa doar în cazul în care la întrebarea 7 va fi bifată a doua opțiune – respectiv în cazul în care informațiile vor fi transmise reprezentantului autorizat). Persoana vizată (ale cărei date cu caracter personal fac obiectul solicitării) trebuie să furnizeze o împuternicire scrisă pentru ca informațiile să fie puse la dispoziția reprezentantului (împuternicitului) său. |
Prin prezenta, împuternicesc pe dl/dna (completați numele reprezentantului autorizat) să solicite acces la datele cu caracter personal care îmi aparțin. Semnătura persoanei vizate: Numele în clar: |
10. (Se va completa de către reprezentantul persoanei vizate). Confirm că sunt reprezentantul autorizat al persoanei vizate. |
Numele reprezentantului autorizat și adresa la care vor fi transmise informațiile solicitate: Semnătura: Numele în clar: Data: |
Vom depune toate eforturile rezonabile pentru a vă procesa cererea de acces la propriile date cu caracter personal în cel mai scurt timp posibil, într-un interval de 30 de zile calendaristice. Dacă aveți întrebări în perioada în care solicitarea dumneavoastră este în curs de prelucrare, ne puteți contacta la adresa xxxxxxxxxxxxxxxx@xxxxxx.xx. |
Anexa 2 FORMULAR DE DEZVĂLUIRE DE DATE CU CARACTER PERSONAL
Acest formular de dezvăluire de date cu caracter personal este adresat persoanei identificate mai jos, ca urmare a completării cererii de acces la date cu caracter personal, înregistrată la ANEVAR cu numărul ………. (numărul de înregistrare a cererii de acces la date cu caracter personal) | |
Numele și prenumele persoanei vizate | Data nașterii persoanei vizate |
Adresa actuală a persoanei vizate | |
Scopul procesării datelor | |
Destinatari sau categorii de destinatari cărora le pot fi divulgate datele | |
Perioada de păstrare a datelor | |
Sursa datelor cu caracter personal (dacă nu au fost colectate de la persoana vizată) | |
Orice decizii automatizate având ca subiect persoana vizată | |
Răspunsul la cererea de acces la datele cu caracter personal | |
Motivele refuzului de a dezvălui informații către persoana vizată | |
Informațiile au legătură cu o altă persoană sau cu alte persoane decât persoana vizată. | ☐ |
Solicitări repetate – în cazul în care Asociația a răspuns deja la o solicitare similară sau identică din partea persoanei vizate într-un termen rezonabil și dacă nu au survenit modificări semnificative ale datelor cu caracter personal deținute despre persoana în cauză, orice altă solicitare ulterioară, survenită într-un termen de șase luni de la cererea inițială, va fi considerată solicitare repetată iar Asociația nu va furniza, în mod normal, o altă copie a acelorași informații. | ☐ |
Opinii exprimate în regim de confidențialitate sau protejate de legea copyright-ului – Asociația nu este obligată să dezvăluie date cu caracter personal deținute despre o persoană vizată care reprezintă opinii confidențiale sau aflate sub incidența drepturilor de autor. | ☐ |
Documente confidențiale, deținute de Asociație nu vor fi dezvăluite în răspunsurile la solicitări de acces la datele cu caracter personal. | ☐ |
Informații prelucrate în scop statistic sau de cercetare și care sunt anonimizate. | ☐ |
Solicitări care au ca obiect alte scopuri decât cele legate de protecția datelor cu caracter personal și care pot fi refuzate. | ☐ |
Drepturile pe care le aveți în calitate de persoană vizată: | |
• Dreptul la rectificare – respectiv dreptul de a vă actualiza sau corecta datele cu caracter personal inexacte sau incomplete. • Dreptul la ștergerea datelor (dreptul de a fi uitat) – dreptul de a solicita ștergerea datelor cu caracter personal în situațiile prevăzute de Art. 17 din Regulamentul European 2016/679. • Dreptul la restricționarea prelucrării – în anumite situații, când este contestată exactitatea datelor. • Dreptul la opoziție – dreptul de a vă opune prelucrării datelor în anumite scopuri. • Dreptul de a depune o plângere – în cazul în care nu sunteți mulțumiți de modul în care sunt prelucrate datele dumneavoastră cu caracter personal de către ANEVAR sau de modul în care a fost soluționată plângerea dumneavoastră, vă puteți adresa responsabilului cu | |
protecția datelor sau Autorității de supraveghere. |
Numele și prenumele persoanei care comunică datele: Departamentul: Funcția: |
Data: Semnătură: |
~ 14 ~
DA
N U
Se va verifica identitatea solicitantului (persoana vizată sau reprezentantul autorizat al persoanei vizate)
Identitatea solicitantului a fost confirmată?
D A
Formularul de dezvăluire de date a fost completat de departamentele relevante?
Departamentul relevant va furniza informațiile prin intermediul formularului de dezvăluire, în termen de 10 zile calendaristice.
NU
DA
Responsabilul cu protecția datelor verifică dacă se aplică excepții sau dacă sunt implicate datele altor
persoane
DA
NU
Responsabilul cu protecția datelor finalizează răspunsul și transmite datele către persoana vizată prin mijloace securizate
Responsabilul cu protecția datelor va confirma excepția sau va obține consimțământul pentru a dezvălui datele personale ale terțelor persoane
Transferul datelor de la departamentul relevant
Responsabilul cu protecția datelor se întâlnește cu departamentul relevant pentru revizuirea cererii
Închiderea dosarului și arhivarea răspunsului
Niciun răspuns în termen de 10 zile lucrătoare
Verificarea identității:
solicitantului i se va cere să furnizeze 2 forme de identificare: (1) un act de identitate cu poză; (2) confirmarea adresei
Vor fi contactate departamentele relevante pentru a furniza datele solicitate. Începe perioada de 30 de zile.
Solicitantul este rugat să completeze formularul de solicitare a dreptului de acces
Înregistrarea cererii de acces la datele cu caracter personal
ANEVAR primește o cerere de acces la datele cu caracter personal din partea persoanei vizate