Capitol ROI privind protecția datelor SC MAX SRL
PREAMBUL
(1)Având în vedere dispozițiile Regulamentului nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) emis de Parlamentul European și Consiliul Uniunii Europene, denumit în continuare „RGPD”;
(2)Luând în considerare importanţa deosebită a garantării dreptului la viaţă intimă, familială şi privată, aşa cum este prevăzut la art. 26 din Constituţia României și de CEDO;
(3)Ținând seama de necesitatea protejării acestui drept fundamental în cadrul activităţilor de prelucrarea datelor cu caracter personal și respectarea Regulamentului general privind protecția datelor;
(4)Având în vedere că SC MAX SRL a implementat o serie de măsuri tehnice și organizatorice pentru respectarea RGPD (denumite în continuare „Politici GDPR”), care au fost aduse la cunoștința tuturor angajaților pentru a fi respectate;
(5)Având în vedere că SC MAX SRL, denumită în continuare Organizația, prelucrează date cu caracter personal, pentru protecția cărora este necesară actualizarea Regulamentului Intern astfel:
Art. 1. Legalitatea și transparența
(1)Angajații Organizației, denumiţi în continuare angajați, recunosc şi respectă dreptul la viață privată și asigură protecția datelor cu caracter personal;
(2)Prelucrarea datelor cu caracter personal de către angajați se desfășoară în conformitate cu RGPD și respectarea celor șase principii de protecție a datelor personale prevăzute la art. 5 RGPD.[ (1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop”);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”); 4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/35 ( 1 ) Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 de stabilire a unei proceduri pentru furnizarea de informații în domeniul standardelor și reglementărilor tehnice și al normelor privind serviciile societății informaționale (JO L 204, 21.7.1998, p. 37).
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).]
Art. 2. Responsabilitatea
(1)Angajații sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi.
(2)Conducătorii / șefii compartimentelor stabilesc categoriile de date cu caracter personal pe care le prelucrează angajații aflați în subordinea acestora.
Art. 3. Limitarea scopului
(1)Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.
(2)Conducătorii / șefii compartimentelor definesc scopurile pentru care sunt colectate datele cu caracter personal înainte de momentul colectării acestor
(3)Comunicarea scopurilor către persoanele vizate se realizează în scris sau în formă electronică, întrun limbaj cât mai simplu pentru a fi accesibil pentru persoanele vizate.
(4)Datele cu caracter personal nu pot fi prelucrate ulterior în alte scopuri incompatibile cu scopul în care datele au fost iniţial colectate.
(5)Angajații prelucrează datele cu caracter personal numai pentru scopurile pentru care au fost colectate.
Art. 4. Exactitate și limitarea stocării
(1)Angajații sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2)Datele inexacte sau incomplete trebuie şterse sau rectificate la solicitarea persoanei vizate.
(3)Datele cu caracter personal se stochează numai pentru perioada necesară atingerii scopuri stabilite.
(4)Conducătorii / șefii compartimentelor trebuie să argumenteze perioadele minime şi maxime necesare pentru stocarea datelor colectate, având în vedereobligația de respectare a drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de a fi uitat.
(5)În urma verificărilor periodice, datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse, şterse sau transformate în date anonime.
(6)În toate cazuri, se va respecta cu strictețe Politica de retenție.
Art. 5. Drepturile persoanelor vizate
(1)Drepturile persoanelor vizate sunt:
·Dreptul de a fi informat;
·Dreptul de acces;
·Dreptul la rectificare sau actualizare atunci când datele nu mai sunt actuale, inexacte sau incomplete;
·Dreptul de ștergere a datelor;
·Dreptul de a solicita restricționarea prelucrării în condițiile prevăzute de lege;
·Dreptul de a se opune prelucrării, precum și dreptul de a solicita portabilitatea datelor (în condițiile legii);
·Dreptul de a nu fi supus unui proces decizional automatizat cu efect juridic semnificativ sau alt efect similar.
·Dreptul de a depune o plângere în fața autorității de supraveghere, respectiv către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
·Dreptul de a se adresa justiției.
(2)Angajații au obligația să respecte drepturile enumerate mai sus și să respecte Procedura privind respectarea drepturilor persoanelor vizate;
(3)Angajații au obligația să notifice, în cel mai scurt timp, și în cel mult 2 ore, supervizorului direct și/sau responsabilului cu protecția datelor, orice cerere a unei persoane vizate în temeiul RGPD.
Art. 6. Confidențialitate și securitate
(1)Pe toată perioada derulării contractului individual de muncă, precum şi după încetarea acestuia, pe o perioada nelimitata, indiferent de motivele acestei incetari, angajatul va respecta caracterul confidenţial al informaţiilor privitoare la prelucrarea datelor cu caracter personal.
(2)Angajații vor respecta cu strictețe politicile tehnice și de securitate ale Organizației.
(3)Angajații vor depune măsuri constante pentru prevenirea incidentelor de securitate și vor participa la diminuarea pagubelor în măsura în care un astfel de incident de securitate s-a produs.
(4)Angajații au obligația să notifice, în cel mai scurt timp, și în cel mult 15 minute, supervizorului direct și/sau responsabilului cu protecția datelor, orice incident de securitate.
Art. 7. Respectarea politicilor și procedurilor RGPD
(1)Angajații se obligă să respecte cu strictețe Politicile și procedurile RGPD ale Organizației, care vor fi aduse la cunoștința acestora prin grija conducerii și/sau a șefilor de departamente.
(2)Angajații sunt obligați să participe la toate training-urile și ședințele de informare organizate de Organizație pentru protecția datelor cu caracter personal.
Art. 8. Răspundere
Încălcările prezentului Capitol din Regulamentul Intern și a oricăror reguli, politici, proceduri si instrucțiuni interne cu privire la prelucrarea datelor personale in cadrul Organizației atrag răspunderea patrimoniala si/sau disciplinara a salariaților, conform legislației muncii si a prevederilor prezentului Regulament, și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Organizației ca urmare a încălcării. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Organizația va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
Informare cu privire la prelucrarea datelor cu caracter personal
MAX SRL prelucrează datele cu caracter personal ale clienților – persoane fizice în conformitate cu Regulamentul UE 2016/679.
Scopul prelucrarii
Max SRL prelucrează datele cu caracter personal în scopul executării unui contract la care persoana vizată este parte, conform art. 6 alin (1) lit b) din Regulament. În lipsa existenței unui contract, această factura constituie un contract între părți.
Datele prelucrate în temeiul acestui articol sunt nume și prenume, adresa, email, telefon. De asemenea, Max SRL prelucrează, în unele situații și codul numeric personal al persoanelor vizate, în scopul interesului legitim al operatorului, conform art. 6 alin (1) lit f) din Regulament.
Datele colectate sunt utilizate la întocmirea facturilor, urmărirea incasării lor, livrarea mărfii la locul solicitat de beneficiar, contactarea prin email sau telefon a beneficiarului.
În temeiul art. 6 alin (1) lit c) – îndeplinirea unei obligații legale – Max SRL prelucrează datele cu caracter personal în vederea înregistrării facturilor în contabilitate și raportarea către autoritățile fiscale sau a altor instituții abilitate.
Către cine sunt dezvăluite datele cu caracter personal
Datele tale cu caracter personal pot fi dezvăluite către autoritățile fiscale, potrivit legii ori a altor instituții, la cererea acestora ori în baza altor obligații legale. Datele personale nu sunt dezvăluite altor entități din afara SEE.
Durata prelucrării
Având în vedere că scopul principal al prelucrării îl reprezintă executarea unui contract dar și obligația legală, durata maximă a prelucrării o constituie termenul maxim pentru păstrarea documentelor financiar-contabile, conform legii.
Care sunt drepturile tale?
Persoanele fizice ale căror date personale sunt prelucrate de către noi au următoarele drepturi:
– dreptul de a fi informate cu privire la identitatea operatorului, în ce scop se prelucrează datele, cui le-ar putea dezvălui, obligația furnizării datelor;
– dreptul de acces la date (furnizarea datelor de către operator la cererea persoanei fizice este gratuită);
– dreptul de intervenție (persoana vizată poate cere rectificarea, actualizarea, ștergerea sau anonimizarea datelor personale)
– dreptul de opoziție (puteți cere operatorului să nu vă prelucreze datele în scop de marketing)
– dreptul de a nu fi supus unei decizii automate individuale (de exemplu profilarea clientului)
– dreptul de a face plângere la autoritatea natioala de supraveghere (ANSPDCP, www.dataprotection.ro) – dreptul de a se adresa justitiei
Pentru orice întrebări sau solicitări privind prelucrarea datelor cu caracter personal puteți contacta Responsabilul cu protecția datelor cu caracter personal la adresa: dpo@max-srl..ro